“威脅數據”轉化為“威脅情報”是安全計劃成功的關鍵

時間:2019-06-26 來源:海豐科技

“威脅情報”是目前信息安全領域最熱門的術語之一。但是,正如許多流行語一樣,它經常被濫用,造成了很多混亂。

很多人認為“威脅數據”(即威脅信息源)就是“威脅情報”,但實際上,前者只是后者的一部分。當威脅數據添加了情境,就成為了威脅情報,從而生成相關的、“可轉化為行動”的信息,使企業能夠更好地調整其安全和業務目標。

威脅數據是惡意域、IP 地址或哈希值的原始集合,不包括任何攻擊或威脅情境。

威脅數據確實有其用例。但是,威脅數據不包含情境信息,因此其用例是有限的,無法幫助安全團隊制定決策。為了正確使用威脅情報,企業必須清楚:將威脅情報引入其安全計劃的目的是什么。如果不清楚這一點,那么企業的安全計劃只會帶來嚴重的資源消耗,不會產生任何實際價值。

 

數據質量

雖然數據源對于威脅情報計劃至關重要,但是并非所有數據源都“生而平等”。

企業擁有許多威脅情報源,最常見的來源包括:惡意代碼處理、掃描/爬取、蜜罐、人工智能和內部監測。威脅情報的提供方式有三種:開源情報、免費資源或付費訂閱。

為了從這些數據源中獲得最大的收益,企業需要很好地了解這些來源,以便評估與其內部情報相關的數據。

最好的數據源會近乎實時地更新和轉發。使用舊的或不完整的數據可能會誤導企業關注錯誤的目標,最終導致數據過載和告警疲勞。在云計算時代,IP 地址每天都會被多次重用,因此上述情況尤其嚴重。

 

數據增強

成功的威脅情報計劃的關鍵是:對每個數據源進行適當的分析,以獲得相關情境信息,從而改變運營方式并保護環境。

如果未進行認真的規劃和執行,那么將威脅情報納入現有的安全計劃可能會導致令人失望的結果。例如,一家采用“金融服務行業信息共享和分析中心”(FS-ISAC)威脅情報的制造公司,將不太可能實現其預期的結果;這是因為,這類情報源具有金融服務行業情境,而非制造行業情境。

 

安全情報和業務目標

威脅情報計劃成功的基礎是:確保該計劃與企業的業務目標保持一致。而實現這一點的最佳方法是:評估數據源如何解決與特定業務運營相關的安全問題。

通常來說,當事件發生時,企業對其影響范圍或嚴重程度知之甚少,其了解的信息通常僅限于單個告警或信標。因此,企業必須結合適當的情境和情報,以便更深入地了解事件,確定其影響范圍。高級攻擊隱藏在復雜的編碼或惡意代碼背后,因此這種模糊性是其典型特征。安全團隊必須對每個事件進行分類和評估,以確定其真實性和嚴重性,以及其是否需要更多關注(調查)。

在這兩個階段中,安全運營團隊通常依靠威脅情報來確定事件的可能范圍及其可能造成的損害。例如,關于某個文件的告警可能只包含一個哈希信標。手動分析可能會發現其他信標,但是這種分析非常耗時。

 

正確使用自動化

更好的方法是部署自動化的威脅情報增強系統。

分析師可能需要幾分鐘甚至幾小時,才能完成網絡中的惡意代碼和信標分析;而自動化方法只需幾秒鐘就能完成。自動化的威脅情報增強可以實現既快速又高效、可預測且可重復的流程。這種方法還能使分析師從繁瑣且容易出錯的任務(如收集和驗證數據)中解放出來,使其專注于增值分析和威脅獵殺。

威脅情報的目標是使用數據來提高安全性并提供更高的可見性。因此,安全人員可以根據威脅的風險級別來確定補救措施的優先級。

選擇“正確”的數據源只是第一步,更重要的問題是:設置數據挖掘機制和工作流程、增強數據并將其轉化為威脅情報。

 

 

原文名稱:Understanding how databecomes intelligence is central for any successful security program

原文作者:AndreaFumagalli

地址:甘肅省蘭州市城關區南濱河東路66號

電話:0931-8278968

傳真:0931-8814250-8027

郵編:730000

官網:http://www.mnycc.club/

江苏省十一选五走势图
福州掌心麻将下载 下载琼崖海南麻将2019 湖北30选5走势图 明日股票推荐 未来云南麻将教程 nba各球队球员名 基金配资哪家好 快三河北走势图 股票分析软件手机版排名 天津市快乐十分钟开 股票指数期权以股票指数 湖南麻将规则 有十万闲钱该如何理财 南京麻将机 s江苏十一选五任三 如何买卖白银