利用威脅情報解決五大安全運營挑戰

時間:2019-07-14 來源:海豐科技

多項研究指出,安全專業人員正在被警報所淹沒。《思科2018安全能力基準研究》報告發現,由于種種限制,組織僅可調查其在一天當中收到的安全警報中的 56%。而在受到調查且被視為有效的警報中,有近一半(49%)的警報沒有得到補救。通常而言,安全運營中心(SOC)的安全操作人員會率先感受到這種警報過載帶來的窒息感,因為他們需要承擔手動關聯日志和事件,以進行調查和其他活動的繁重任務。

通過環境內部的事件和相關指標來自動增加和豐富外部數據,使你有能力洞悉事件發生的細節,例如:何人于何時、何地、攻擊了什么,為什么以及如何進行的攻擊等信息。你可以使用威脅評分來進一步縮小數據集規模,然而,僅僅依靠情報提供商給出的“通用、全局性”分數實際上可能會產生誤報和無效警報,因為分數并不是根據你特定環境的上下文給出的。對此,你可以根據自己設置的參數(例如周圍指標來源、類型、屬性和上下文以及對手屬性等)使用定制的威脅評分,從而允許制定威脅情報優先級,從根據輕重緩急做出相應的決策,避免因為不必要的警報浪費時間,也不至于忽略重點而錯過最佳防御時機。

浪費時間和資源來追逐虛假情報可能會造成非常昂貴的代價。事實上,Ponemon的研究將誤報列為終端保護的頭號“隱藏”成本。定制的威脅分數可以讓您專注于與您的組織相關的內容,并優先考慮威脅情報,以減少誤報,但你可能還是會偏離重點。這時候,你可以利用現有的案例管理工具或SIEM(安全信息和事件管理)來自動共享相關的優先級威脅情報,這些系統可以更高效、更有效地執行優先級事項,并減少誤報。

威脅情報可以作為整合這些不同技術的耦合劑,在正確的時間與正確的工具分享正確的情報。你可以將整合的威脅情報直接導出到你的傳感器網絡(防火墻、防病毒軟件、IPS / IDS、網絡和電子郵件安全、端點檢測和響應以及NetFlow等),允許這些工具生成并應用更新的策略以降低風險。此外,你也可以采取積極主動的預防性方法來進行防御,以更有效地防止未來可能發生的攻擊。

除了安全工具外,安全團隊通常也是在“孤島”中運行,這使得他們無法共享情報并協同工作。但是,如果團隊成員可以在單一環境中工作,共享同一組威脅數據和證據,則可以協作進行調查。通過觀察他人的工作并分享見解,他們可以更快地發現威脅,甚至可以利用這些知識來樞軸轉動并加速并行的調查,因為這些調查通常是相互隔離但又密切相關的。此外,他們還可以存儲關于對手及其戰術、技術和程序(TTP)的調查記錄,這些記錄可以作為集中記憶以便于未來的調查。

當需要采取行動的時候,大多數安全行動或調查都是在混亂中進行的,因為各個團隊都是獨立行事并且效率低下。一個單一的共享環境,所有安全團隊的管理人員都可以看到分析結果的展開,使得他們能夠在團隊之間協調任務并監控時間表和結果。威脅情報分析人員、安全操作中心(SOC)和事件響應人員可以協同工作,更快地采取正確行動,縮短響應和補救的時間。

地址:甘肅省蘭州市城關區南濱河東路66號

電話:0931-8278968

傳真:0931-8814250-8027

郵編:730000

官網:http://www.mnycc.club/

江苏省十一选五走势图
天星山西麻将苹果授权码 福彩幸运农场人工计划 手机棋牌游戏平台 上海快三走势图开奖结果 辽宁35选7大星彩票走势图大全 pc蛋蛋特码预测 海王捕鱼内购破解版 九天棋牌? 重庆快乐十分计划大全 九游棋牌3期 吉林快三开奖结果走势图 湖北新11选5 福建快3实时开奖结果 海南竞猜型彩票玩法 广东闲来麻将微信版 黑龙江11选5胆拖