4月15日訊 歐盟網絡與信息安全局（簡稱ENISA）發布首份網絡威脅情報平臺（TIP）綜合研究報告。

威脅情報平臺（TIP）:

是一個可以支持整個安全團隊的平臺，從CSO/CISO到安全威脅分析團隊，支持執行日常事件響應、網絡防御和威脅分析。成熟的 TIP 用于日常運營，支持對攻擊的阻止和處理，支持戰略決策和流程改進，它可以幫助實現企業威脅情報計劃對威脅情報進行全生命周期的管理。威脅情報的生命周期包括：威脅情報需求分析、收集、分析、使用。

考慮到信息交換格式和工具仍然是網絡安全圈（尤其是事件響應者）的主要關注事項，ENISA 分析了現有 TIP 平臺和解決方案的局限性及一些關鍵機會。下圖為現有的 TIP 解決方案：

隨著信息安全管理日益成為每家現代企業的關鍵組成部分，態勢感知和安全數據的需求在不斷增長。ENISA 邀請了專家對現有工具、實踐和 TIP 學術文獻進行研究分析得出這份報告，并提出了一系列切實可行的建議，以幫助組織機構等解決并克服現有的 TIP局限性。

此外，報告還詳細介紹了這些平臺的用戶、TIP 的主要功能以及全球不同團隊（例如 CTI 團隊、安全運維中心 SOC、計算機安全事件響應小組 CSIRT/CERT、信息共享與分析中心 ISAC 等）所使用的 TIP 現狀。

ENISA 提供的建議：

ENISA 建議組織機構在開發和部署 TIP 解決方案之前將重點放在具體要求和需求上。ENISA 還強烈建議組織機構檢查其擔任的不同網絡情報活動是否由技術平臺和系統提供支持。

報告中還鼓勵組織機構在重大資金投入之前，先投入時間通過開源 TIP 進行PoC 測試，并了解此類系統的優勢。ENISA 鼓勵 TIP 解決方案的開發人員提供有效的威脅分類和相關性評估，將重點更多地放在提升 TIP 分析能力上。此外，報告指出 TIP 應具有更加靈活可用的信任建模功能，鼓勵 TIP 開發人員和提供商向威脅信息消費者提供通知功能，以防信息來源提供的共享信息不夠準確，或缺乏可信度。

ENISA 呼吁研究界和學術界繼續探索 TIP 的優勢，以及這些平臺進一步趨于成熟的方式。

下圖為理想的 TIP 模式：