4月15日訊 歐盟網(wǎng)絡(luò)與信息安全局（簡稱ENISA）發(fā)布首份網(wǎng)絡(luò)威脅情報平臺（TIP）綜合研究報告。

威脅情報平臺（TIP）:

是一個可以支持整個安全團隊的平臺，從CSO/CISO到安全威脅分析團隊，支持執(zhí)行日常事件響應(yīng)、網(wǎng)絡(luò)防御和威脅分析。成熟的 TIP 用于日常運營，支持對攻擊的阻止和處理，支持戰(zhàn)略決策和流程改進，它可以幫助實現(xiàn)企業(yè)威脅情報計劃對威脅情報進行全生命周期的管理。威脅情報的生命周期包括：威脅情報需求分析、收集、分析、使用。

考慮到信息交換格式和工具仍然是網(wǎng)絡(luò)安全圈（尤其是事件響應(yīng)者）的主要關(guān)注事項，ENISA 分析了現(xiàn)有 TIP 平臺和解決方案的局限性及一些關(guān)鍵機會。下圖為現(xiàn)有的 TIP 解決方案：

隨著信息安全管理日益成為每家現(xiàn)代企業(yè)的關(guān)鍵組成部分，態(tài)勢感知和安全數(shù)據(jù)的需求在不斷增長。ENISA 邀請了專家對現(xiàn)有工具、實踐和 TIP 學術(shù)文獻進行研究分析得出這份報告，并提出了一系列切實可行的建議，以幫助組織機構(gòu)等解決并克服現(xiàn)有的 TIP局限性。

此外，報告還詳細介紹了這些平臺的用戶、TIP 的主要功能以及全球不同團隊（例如 CTI 團隊、安全運維中心 SOC、計算機安全事件響應(yīng)小組 CSIRT/CERT、信息共享與分析中心 ISAC 等）所使用的 TIP 現(xiàn)狀。

ENISA 提供的建議：

ENISA 建議組織機構(gòu)在開發(fā)和部署 TIP 解決方案之前將重點放在具體要求和需求上。ENISA 還強烈建議組織機構(gòu)檢查其擔任的不同網(wǎng)絡(luò)情報活動是否由技術(shù)平臺和系統(tǒng)提供支持。

報告中還鼓勵組織機構(gòu)在重大資金投入之前，先投入時間通過開源 TIP 進行PoC 測試，并了解此類系統(tǒng)的優(yōu)勢。ENISA 鼓勵 TIP 解決方案的開發(fā)人員提供有效的威脅分類和相關(guān)性評估，將重點更多地放在提升 TIP 分析能力上。此外，報告指出 TIP 應(yīng)具有更加靈活可用的信任建模功能，鼓勵 TIP 開發(fā)人員和提供商向威脅信息消費者提供通知功能，以防信息來源提供的共享信息不夠準確，或缺乏可信度。

ENISA 呼吁研究界和學術(shù)界繼續(xù)探索 TIP 的優(yōu)勢，以及這些平臺進一步趨于成熟的方式。

下圖為理想的 TIP 模式：