威脅情報的價值很多 但相關性才是最有價值的
2018年03月29日
分析威脅數據的時候把相關性考慮進去吧!
又到了高中生及其家長們焦躁不安的時節了。高考一過����,各種招生函件紛紛涌來�,做出決定是如此之難。眾所周知����,各種證書是很多職業的敲門磚,但哪所學校最適合自家孩子?自家孩子能從大學經歷中盡可能得到最寶貴的經驗嗎?
每個學生的大學經歷和收獲都各不相同。有人就是在感覺舒服的環境里學習并成長�����,有的是求得學位以便在想從事的領域工作�,還有為了進入某種職業領域而進入大學,又或者,是各種因素的綜合體����。
與之類似�,我們都知道威脅情報中蘊含著巨大的價值�����,能否抽取這一價值���,能抽出多少價值�����,則同樣是由多種因素決定的。
SANS最近發布了《2018網絡威脅情報調查》報告���,發現81%的網絡安全人員確認威脅情報正幫助他們更好地完成工作。數百萬以威脅為中心的數據點,公司訂閱的全球多個威脅數據源�����,還有來自企業多層防御和SIEM的內部威脅及事件數據,都提供了大量的威脅情報�。但是���,我們真的盡可能地捕捉到了威脅情報中蘊含的價值�,真正強化了我們的防御���,加快了檢測與響應嗎?
人們越來越認識到��,不是所有的威脅情報都是同樣重要的。對企業A至關重要的威脅情報,可能對企業B毫無意義���。那么,怎樣從威脅情報中捕獲真正重要的價值呢?落腳點在相關性上。情報價值由你所處行業/地區�、你的環境和你擁有的技術/能力決定�。
1. 行業/地區
特定于公司所處行業及地區的威脅數據�,就比包含其他領域威脅的通用數據更相關,更重要得多�。來自國家/政府計算機應急響應小組(CERT)和信息共享與分析中心的按行業歸類的外部威脅饋送��,就非常有用。以這些威脅數據饋送源補充公司中央數據存儲庫���,有助于降低噪音,讓公司安全團隊更專注在本地本行業中發生的威脅上��。
2. 環境
根據公司環境或基礎設施的不同����,某些威脅指標要比其他指標更相關一些。比如說,如果公司員工分布較廣且終端防護是關鍵,那你就得關注文件散列值�����,因為這能使你檢測出設備上的惡意文件�。而在網絡上,域名和IP就是更重要的指標,可以用來追蹤可疑流量�。為從威脅情報中抽取出最重要的東西��,我們需要能在中央存儲庫中聚合指標并加以上下文豐富的工具,以便篩選排序出那些對公司而言真正重要的東西。
3. 技術/能力
公司的網絡安全人才儲備也是很重要的一方面��。人手充裕的大公司就有資源以2到3個分隔度(比如下游IP地址����、域名注冊商等等)來追蹤威脅數據。而沒有這么充裕的資源的公司,就必須更加精挑細選,只調查針對本行業的活躍威脅數據或與已知對手相關的那些威脅數據�����。這種情況下�����,自動化和托管安全服務提供商(MSSP)可以作為現有員工和技術集的補充。
自動化可以將數百萬以威脅為中心的數據點聚合進中央存儲庫���,并將之轉譯成統一的格式;還能通過關聯外部和內部威脅數據來添加上下文。應用自動化還可以來幫助過濾掉一些噪音���。比如說,基于預設的參數自動排序數據�。MSSP提供的選擇很多�����,從充當你的整個安全團隊,到管理你威脅情報項目的特定功能�,再到提供類似威脅追捕或事件響應之類高價值定制化服務都可以���。
每個家長都希望自家孩子從教育中收獲良多���,而教育結果的影響因素是很多的���。同樣地�����,很多因素決定著公司企業可以從威脅情報中獲得什么樣的價值。在創建公司威脅情報項目的時候�,一定記得將相關性納入考慮����,分析威脅數據時考慮了相關性�,你就會很好地捕捉到威脅情報的全部價值。
江蘇國駿信息科技有限公司在信息網絡安全����、運維平臺建設�、動漫設計��、軟件研發��、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型�,從“人員素養”�����、“制度流程”、“技術產品”三個視角提供全面���、可信的方案,業務涵蓋咨詢����、評估��、規劃、管控����、建設��、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商����。
