下一代威胁情报方案：XTI

2022年3月30日作者：GoUpSec

扩展威胁情报（XTI）将防御者思维重新调整到攻击者思维，这可以大大缩小安全团队与黑客之间的“不对称鸿沟”。

全球的安全主管和企业高管每天都被各种新威胁、新危机和惨烈的网络安全事件搅得心神不安，彻夜难眠。如今，各行各业，无论企业规模大小，随时都有可能遭受网络攻击，而且攻击的强度和造成的损失每天都在增加。传统的威胁情报方法已经捉襟见肘，力不从心。

根据美国财政部的数据，2021年仅勒索软件团伙就至少获利5.9亿美元。随着威胁参与者采用更具针对性的策略、技术和程序(TTP)来发动攻击，传统的威胁情报技术作为孤立的安全方案已经不足以预先检测勒索软件威胁，也难以提高行业的响应和防御水平。

因此，越来越多的网络安全团队开始寻找更有针对性的威胁情报解决方案，以期通过早期预警信号来缩短威胁的检测和响应时间。于是，网络安全行业开始酝酿新的威胁情报解决方案，例如扩展威胁情报（XTI）。

XTI有三个关键服务：外部攻击面管理(EASM)、数字风险保护(DRPS)和安全评级服务(SRS)。如下图所示：

但Gartner在上个月发布的报告中表示，太多网络安全方案的交集让行业用户感到困惑，因为他们不知道应该优先部署哪些方案或服务来应对威胁，XTI也正面临这个问题。

虽然XTI的分类和定义尚存在一些混乱，但有一点可以明确的是，威胁情报正在面临一次方法革命，扩展威胁情报将安全思维从防御者思维重新调整到攻击者思维，这可以大大缩小安全团队与黑客之间的“不对称鸿沟”。

传统威胁情报方法的局限性

过去，威胁情报被看作是寻找未知线索的第一选择，但被动的、反应式的传统网络威胁情报(CTI)应用不太可能填补早期预警的空白，因为其对暗网数据的收集和分析能力有限。

根据2021年SANS威胁情报调查报告，尽管暗网市场已成为想要套现的威胁行为者的一站式商店，但只有38%的受访者将暗网资源视为其情报收集源的一部分。在2022年的SANS威胁情报报告中，这个比例进一步下滑（红框标注）：

对闭源和暗网情报的冷落可能是因为长期以来业界的一个误解，即假设来自深网和暗网的相关情报已经被包含在公共威胁情报源和IOC中。对于战术情报来说，公共威胁情报源中的暗网情报也许够用，但在收集特定公司的运营和战略情报方面，是远远不够的。

导致传统CTI短板的另一个因素是网络安全供应商和技术提供商传播的错误安全观念，即输入现有安全堆栈的IOC才是最有效的预防网络威胁的主动方式。

事实上，可见性才是网络防御的最关键因素，有效防御的前提是必须知道要保护什么，缺乏对暴露资产的关键漏洞的可见性和情报是传统CTI程序的常见短板。

根据IBM X-Force的威胁情报指数，漏洞扫描和利用已经超过网络钓鱼，成为网络攻击最大的感染媒介(35%)。保持资产清单的动态更新，并从外部视角运行连续扫描可以帮助漏洞管理团队发现并优先修补负载均衡或VPN等关键资产上被严重利用的漏洞。

为何需要“扩展”？

基于预防、响应和战略相结合的理想模型，网络安全专家认为，预警机制应该围绕威胁情报建立。威胁情报项目的首要目的是帮助安全团队填补关于当前和未来威胁的认知空白。

在过去十年中，业界诞生了许多提供外部威胁可见性的解决方案，例如数字风险保护服务(DRPS)和外部攻击面管理(EASM)。

EASM可以帮助安全团队从攻击者的角度来思考和处理安全问题。通过识别被遗忘的资产或影子资产来了解不断变化的攻击环境，帮助安全团队及早发现弱点和漏洞。

DRPS解决方案则通常是企业保护关键数字资产以及与第三方、品牌、员工和VIP人员相关风险的的首选扩展解决方案。DRPS的利益相关者可以扩展到欺诈预防团队、高管和其他面向客户的部门。

DRPS和EASM技术能够帮助组织监控和处理多种数据源，包括社交媒体、SSL证书、域名注册、漏洞数据库、违规数据集、深网资源、代码存储库等。而扩展威胁情报（XTI）技术则能充分利用二者生成的海量数据，生成持续且可操作的威胁情报。事实上，Gartner在过去几个月发布的另一份报告中，提出了网络安全服务提供商应与DRPS或EASM合作的观点。

对于当下的XTI市场，网络安全领导者面临的最大挑战之一就是从各种安全技术和方案中选择有效组合来防止数据泄露。而且随着网络安全市场的整合趋势加速，大量功能类似的方案被五花八门的市场分类方法贴上花里胡哨的标签，导致选型的难度进一步加大。

与此同时，安全从业人员正在努力部署和整合多种安全工具，这些工具又会从不同的供应商那里生成大量警报，最终导致复杂性上升，生产力下降。

因此，未来应该特别强调人工智能与网络安全部门整合的重要性。人工智能驱动的自动化技术和威胁情报团队的组合可以提高生产力，同时将大量警报流高效率转化为事件流。内置的缓解支持功能对于分析甚至破坏对手的基础设施也至关重要。

XTI的优点

XTI的优点之一就是易于部署和使用。一些XTI产品可以在数小时内落地部署并投入使用，无需资产或关键字的excel列表即可启动运转。不同XTI厂商提供的功能模块会有差异，最常见的是外部攻击面管理(EASM)，EASM通常会包含一个数字足迹(DFP)发现和映射流程。

此外，数字风险保护(DRPS)和网络威胁情报(CTI)也应运而生。例如，以数字资产（包括品牌关键字）的自动发现为例，集成的DRPS和CTI技术能收集和分析表层、深层和暗网的数据，以进行实时处理和分析。

XTI的最大优点是它从黑客视角提供了对情报盲点的持续可见性，使企业能够主动应对网络威胁。DRPS、EASM和CTI这三个模块不仅仅是在一个威胁情报平台上共存，而且将紧密互操作和协作。

其他优点如下：