威脅情報(bào)的價(jià)值很多 但相關(guān)性才是最有價(jià)值的
2018年03月29日
分析威脅數(shù)據(jù)的時(shí)候把相關(guān)性考慮進(jìn)去吧!
又到了高中生及其家長(zhǎng)們焦躁不安的時(shí)節(jié)了。高考一過(guò)��,各種招生函件紛紛涌來(lái)���,做出決定是如此之難�����。眾所周知���,各種證書是很多職業(yè)的敲門磚,但哪所學(xué)校最適合自家孩子?自家孩子能從大學(xué)經(jīng)歷中盡可能得到最寶貴的經(jīng)驗(yàn)嗎?
每個(gè)學(xué)生的大學(xué)經(jīng)歷和收獲都各不相同�����。有人就是在感覺(jué)舒服的環(huán)境里學(xué)習(xí)并成長(zhǎng)���,有的是求得學(xué)位以便在想從事的領(lǐng)域工作��,還有為了進(jìn)入某種職業(yè)領(lǐng)域而進(jìn)入大學(xué)���,又或者���,是各種因素的綜合體。
與之類似���,我們都知道威脅情報(bào)中蘊(yùn)含著巨大的價(jià)值��,能否抽取這一價(jià)值�,能抽出多少價(jià)值�����,則同樣是由多種因素決定的���。
SANS最近發(fā)布了《2018網(wǎng)絡(luò)威脅情報(bào)調(diào)查》報(bào)告����,發(fā)現(xiàn)81%的網(wǎng)絡(luò)安全人員確認(rèn)威脅情報(bào)正幫助他們更好地完成工作��。數(shù)百萬(wàn)以威脅為中心的數(shù)據(jù)點(diǎn)���,公司訂閱的全球多個(gè)威脅數(shù)據(jù)源�,還有來(lái)自企業(yè)多層防御和SIEM的內(nèi)部威脅及事件數(shù)據(jù),都提供了大量的威脅情報(bào)�。但是,我們真的盡可能地捕捉到了威脅情報(bào)中蘊(yùn)含的價(jià)值���,真正強(qiáng)化了我們的防御�����,加快了檢測(cè)與響應(yīng)嗎?
人們?cè)絹?lái)越認(rèn)識(shí)到,不是所有的威脅情報(bào)都是同樣重要的���。對(duì)企業(yè)A至關(guān)重要的威脅情報(bào)��,可能對(duì)企業(yè)B毫無(wú)意義����。那么�,怎樣從威脅情報(bào)中捕獲真正重要的價(jià)值呢?落腳點(diǎn)在相關(guān)性上。情報(bào)價(jià)值由你所處行業(yè)/地區(qū)�����、你的環(huán)境和你擁有的技術(shù)/能力決定����。
1. 行業(yè)/地區(qū)
特定于公司所處行業(yè)及地區(qū)的威脅數(shù)據(jù)��,就比包含其他領(lǐng)域威脅的通用數(shù)據(jù)更相關(guān)����,更重要得多���。來(lái)自國(guó)家/政府計(jì)算機(jī)應(yīng)急響應(yīng)小組(CERT)和信息共享與分析中心的按行業(yè)歸類的外部威脅饋送�,就非常有用���。以這些威脅數(shù)據(jù)饋送源補(bǔ)充公司中央數(shù)據(jù)存儲(chǔ)庫(kù)�,有助于降低噪音�����,讓公司安全團(tuán)隊(duì)更專注在本地本行業(yè)中發(fā)生的威脅上�。
2. 環(huán)境
根據(jù)公司環(huán)境或基礎(chǔ)設(shè)施的不同,某些威脅指標(biāo)要比其他指標(biāo)更相關(guān)一些�����。比如說(shuō)��,如果公司員工分布較廣且終端防護(hù)是關(guān)鍵,那你就得關(guān)注文件散列值��,因?yàn)檫@能使你檢測(cè)出設(shè)備上的惡意文件��。而在網(wǎng)絡(luò)上�����,域名和IP就是更重要的指標(biāo)�,可以用來(lái)追蹤可疑流量。為從威脅情報(bào)中抽取出最重要的東西�,我們需要能在中央存儲(chǔ)庫(kù)中聚合指標(biāo)并加以上下文豐富的工具���,以便篩選排序出那些對(duì)公司而言真正重要的東西���。
3. 技術(shù)/能力
公司的網(wǎng)絡(luò)安全人才儲(chǔ)備也是很重要的一方面。人手充裕的大公司就有資源以2到3個(gè)分隔度(比如下游IP地址�、域名注冊(cè)商等等)來(lái)追蹤威脅數(shù)據(jù)。而沒(méi)有這么充裕的資源的公司�����,就必須更加精挑細(xì)選����,只調(diào)查針對(duì)本行業(yè)的活躍威脅數(shù)據(jù)或與已知對(duì)手相關(guān)的那些威脅數(shù)據(jù)����。這種情況下���,自動(dòng)化和托管安全服務(wù)提供商(MSSP)可以作為現(xiàn)有員工和技術(shù)集的補(bǔ)充�����。
自動(dòng)化可以將數(shù)百萬(wàn)以威脅為中心的數(shù)據(jù)點(diǎn)聚合進(jìn)中央存儲(chǔ)庫(kù)�����,并將之轉(zhuǎn)譯成統(tǒng)一的格式;還能通過(guò)關(guān)聯(lián)外部和內(nèi)部威脅數(shù)據(jù)來(lái)添加上下文����。應(yīng)用自動(dòng)化還可以來(lái)幫助過(guò)濾掉一些噪音���。比如說(shuō)���,基于預(yù)設(shè)的參數(shù)自動(dòng)排序數(shù)據(jù)。MSSP提供的選擇很多�����,從充當(dāng)你的整個(gè)安全團(tuán)隊(duì),到管理你威脅情報(bào)項(xiàng)目的特定功能�����,再到提供類似威脅追捕或事件響應(yīng)之類高價(jià)值定制化服務(wù)都可以�。
每個(gè)家長(zhǎng)都希望自家孩子從教育中收獲良多,而教育結(jié)果的影響因素是很多的����。同樣地,很多因素決定著公司企業(yè)可以從威脅情報(bào)中獲得什么樣的價(jià)值��。在創(chuàng)建公司威脅情報(bào)項(xiàng)目的時(shí)候��,一定記得將相關(guān)性納入考慮���,分析威脅數(shù)據(jù)時(shí)考慮了相關(guān)性,你就會(huì)很好地捕捉到威脅情報(bào)的全部?jī)r(jià)值�。
江蘇國(guó)駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)��、動(dòng)漫設(shè)計(jì)�����、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀����。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”����、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�����、可信的方案�,業(yè)務(wù)涵蓋咨詢、評(píng)估��、規(guī)劃�����、管控�、建設(shè)、培訓(xùn)等���。
江蘇國(guó)駿信息科技有限公司——全面可信的信息安全服務(wù)商����。
