ISO 27000 标准是什么?
ISO 27002 的用处是什么? 在深入研究之前,重要的是要了解 ISO 27002 是国际标准化组织 (ISO) 发布的更广泛 ISO 27000 系列标准的一部分。
ISO 27000 系列通过十几个标准,提出对信息安全管理系统 ( ISMS ) 的要求。使用这些标准,任何类型的组织都可以管理资产的安全性,例如财务信息、知识产权、员工详细信息或第三方委托的信息。 ISO 27001 是唯一可帮助机构了解对信息安全管理系统 (ISMS) 的各种要求,并允许在满足所有要求时通过 ISO 27001 认证的全球标准。
ISO 27001 解释了获得认证 ISMS 的要求,但它在很大程度上依赖于 ISO 27002。ISO 27002 比要求更深入,实际上定义了组织应如何实施要求和标准。它还可以作为最佳实践指南,不仅用于实施,还用于在标准实施时如何最好地利用这些标准。
威胁情报添到 ISO 27002 会发生什么?
最近对 ISO 27002 的更新包括增加了 11 个全新的控件,例如,物理安全监控、云安全、Web 过滤,以及……这就是威胁情报。
实施新的 ISO 27002 威胁情报控制,以帮助组织收集和分析“与信息安全威胁相关的信息”,其总体目的是“提供对可能影响机构的威胁环境的感知,以便能够采取适当的缓解措施”。 这种控制添加非常重要,不仅标准化了威胁情报的需求,所消耗的情报也有助于通知和实现其他多个控制的实施。
例如,从使用威胁情报中获得的上下文和见解可以为云安全策略提供信息,识别影响供应链合作伙伴的漏洞,甚至帮助检测和监控物理和环境威胁。
ISO建议机构考虑三层标准情报
为了企业能够正确使用威胁情报,ISO建议组织机构考虑三层标准情报,即战略、战术和运营。
-
战略威胁情报:交换有关不断变化的威胁形势的高级信息,例如攻击者的类型或攻击活动类型
-
运营威胁情报:有关攻击者实施攻击的具体方法、工具和技术的信息
-
战术威胁情报:有关特定攻击活动的详细信息,包括IOC等传统的失陷指标
威胁情报的主要目的和目标是让安全团队更了解组织机构的安全风险,了解整体的安全威胁态势,更早地了解具体的安全威胁,并使他们能够从被动防御转变为主动防御。为了更深入地理解这一点,笔者通过以下三层解读:
战略
- 通过了解整体的网络和物理(近源)威胁形势,将网络和物理威胁融合,相关的威胁需要达到足够影响行业及同行,以及特定行业组织机构的高度,以创造决策优势价值
- 能够根据情报提供的战略优先级做出明智的安全架构和预算决策
- 创建和跟踪与组织机构的安全战略和目标相一致的优先情报要求
- 完整的情报和特别定制的报告,以帮助决策者了解风险并确定风险优先级,并做出更好、更明智的决策
- 识别组织机构应该意识到的新出现的威胁、TTP 和威胁组织
运营
- 通过已验证的技术情报了解特定攻击的威胁角色、威胁指标和TTP 之间的关系
- 将威胁情报映射到 MITRE ATT&CK 等通用威胁知识框架,以对威胁行为进行分类、评估安全漏洞并与网络安全社区共享情报
- 多种来源的综合情报,不仅可以了解技术细节,还可以了解威胁和最新安全事件的各个方面
战术
- 高价值的失陷指标 (IoC) 可以直接集成到安全产品中,使安全团队的分析师能够在其已建立的工作流程中深入分析情报关联的上下文
- 针对威胁角色和恶意软件可供搜索和检测的规则,可以在安全数据中主动搜索威胁
- 可以实时洞察行业和组织机构自身面临的当前和新出现威胁的威胁情报源
版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/18787.html