信息來(lái)源:secdoctor
“如果沒(méi)有將知識(shí)付諸實(shí)踐,那么它將毫無(wú)價(jià)值”����,這句話如今用在威脅情報(bào)身上也是再合適不過(guò)了��。
在SANS最近進(jìn)行的一項(xiàng)調(diào)查中顯示��,超過(guò)80%的受訪者表示“威脅情報(bào)正在為他們提供價(jià)值”�����。大多數(shù)企業(yè)正在通過(guò)將大量全球威脅數(shù)據(jù)集成到共享中央存儲(chǔ)庫(kù)中來(lái)挖掘其價(jià)值�����。但這只是發(fā)現(xiàn)了威脅情報(bào)的“表面價(jià)值”����。事實(shí)上���,威脅情報(bào)還可以加速安全操作����,這才是其價(jià)值的真正體現(xiàn)�。
以下是將威脅情報(bào)投入實(shí)踐后能夠解決的5種常見(jiàn)安全操作挑戰(zhàn):
1. 警報(bào)過(guò)載
多項(xiàng)研究指出,安全專(zhuān)業(yè)人員正在被警報(bào)所淹沒(méi)����。最近�,《思科2018安全能力基準(zhǔn)研究》報(bào)告發(fā)現(xiàn)����,由于種種限制,組織僅可調(diào)查其在一天當(dāng)中收到的安全警報(bào)中的 56%��。而在受到調(diào)查且被視為有效的警報(bào)中����,有近一半(49%)的警報(bào)沒(méi)有得到補(bǔ)救。通常而言����,安全運(yùn)營(yíng)中心(SOC)的安全操作人員會(huì)率先感受到這種警報(bào)過(guò)載帶來(lái)的窒息感,因?yàn)樗麄冃枰袚?dān)手動(dòng)關(guān)聯(lián)日志和事件���,以進(jìn)行調(diào)查和其他活動(dòng)的繁重任務(wù)���。
通過(guò)環(huán)境內(nèi)部的事件和相關(guān)指標(biāo)來(lái)自動(dòng)增加和豐富外部數(shù)據(jù),使你有能力洞悉事件發(fā)生的細(xì)節(jié)�,例如:何人于何時(shí)�、何地��、攻擊了什么���,為什么以及如何進(jìn)行的攻擊等信息。你可以使用威脅評(píng)分來(lái)進(jìn)一步縮小數(shù)據(jù)集規(guī)模����,然而,僅僅依靠情報(bào)提供商給出的“通用�����、全局性”分?jǐn)?shù)實(shí)際上可能會(huì)產(chǎn)生誤報(bào)和無(wú)效警報(bào)����,因?yàn)榉謹(jǐn)?shù)并不是根據(jù)你特定環(huán)境的上下文給出的。對(duì)此����,你可以根據(jù)自己設(shè)置的參數(shù)(例如周?chē)笜?biāo)來(lái)源、類(lèi)型���、屬性和上下文以及對(duì)手屬性等)使用定制的威脅評(píng)分�,從而允許制定威脅情報(bào)優(yōu)先級(jí),從根據(jù)輕重緩急做出相應(yīng)的決策���,避免因?yàn)椴槐匾木瘓?bào)浪費(fèi)時(shí)間�����,也不至于忽略重點(diǎn)而錯(cuò)過(guò)最佳防御時(shí)機(jī)���。
2. 誤報(bào)
浪費(fèi)時(shí)間和資源來(lái)追逐虛假情報(bào)可能會(huì)造成非常昂貴的代價(jià)。事實(shí)上���,Ponemon的研究將誤報(bào)列為終端保護(hù)的頭號(hào)“隱藏”成本����。定制的威脅分?jǐn)?shù)可以讓您專(zhuān)注于與您的組織相關(guān)的內(nèi)容�,并優(yōu)先考慮威脅情報(bào),以減少誤報(bào)��,但你可能還是會(huì)偏離重點(diǎn)����。這時(shí)候,你可以利用現(xiàn)有的案例管理工具或SIEM(安全信息和事件管理)來(lái)自動(dòng)共享相關(guān)的優(yōu)先級(jí)威脅情報(bào)��,這些系統(tǒng)可以更高效、更有效地執(zhí)行優(yōu)先級(jí)事項(xiàng)��,并減少誤報(bào)�����。
3. 防御缺口
盡管組織已經(jīng)部署了多點(diǎn)產(chǎn)品作為其深度防御戰(zhàn)略的一部分����,但是妥協(xié)和違規(guī)的數(shù)量和速度仍在持續(xù)增加���。原因在于�,這些保護(hù)層在很大程度上是未整合的����,都在“孤島”中運(yùn)行,難以管理�,同時(shí)也為防御方面造成空白。
威脅情報(bào)可以作為整合這些不同技術(shù)的耦合劑�����,在正確的時(shí)間與正確的工具分享正確的情報(bào)��。你可以將整合的威脅情報(bào)直接導(dǎo)出到你的傳感器網(wǎng)絡(luò)(防火墻、防病毒軟件�、IPS / IDS、網(wǎng)絡(luò)和電子郵件安全�、端點(diǎn)檢測(cè)和響應(yīng)以及NetFlow等),允許這些工具生成并應(yīng)用更新的策略以降低風(fēng)險(xiǎn)���。此外����,你也可以采取積極主動(dòng)的預(yù)防性方法來(lái)進(jìn)行防御�����,以更有效地防止未來(lái)可能發(fā)生的攻擊�。
4. 知識(shí)協(xié)同
除了安全工具外,安全團(tuán)隊(duì)通常也是在“孤島”中運(yùn)行����,這使得他們無(wú)法共享情報(bào)并協(xié)同工作。但是�,如果團(tuán)隊(duì)成員可以在單一環(huán)境中工作,共享同一組威脅數(shù)據(jù)和證據(jù)�����,則可以協(xié)作進(jìn)行調(diào)查。通過(guò)觀察他人的工作并分享見(jiàn)解����,他們可以更快地發(fā)現(xiàn)威脅,甚至可以利用這些知識(shí)來(lái)樞軸轉(zhuǎn)動(dòng)并加速并行的調(diào)查�����,因?yàn)檫@些調(diào)查通常是相互隔離但又密切相關(guān)的�����。此外����,他們還可以存儲(chǔ)關(guān)于對(duì)手及其戰(zhàn)術(shù)�����、技術(shù)和程序(TTP)的調(diào)查記錄��,這些記錄可以作為集中記憶以便于未來(lái)的調(diào)查��。
5. 混亂的環(huán)境
當(dāng)需要采取行動(dòng)的時(shí)候�����,大多數(shù)安全行動(dòng)或調(diào)查都是在混亂中進(jìn)行的,因?yàn)楦鱾€(gè)團(tuán)隊(duì)都是獨(dú)立行事并且效率低下�。一個(gè)單一的共享環(huán)境,所有安全團(tuán)隊(duì)的管理人員都可以看到分析結(jié)果的展開(kāi)����,使得他們能夠在團(tuán)隊(duì)之間協(xié)調(diào)任務(wù)并監(jiān)控時(shí)間表和結(jié)果。威脅情報(bào)分析人員����、安全操作中心(SOC)和事件響應(yīng)人員可以協(xié)同工作,更快地采取正確行動(dòng)�����,縮短響應(yīng)和補(bǔ)救的時(shí)間��。
“威脅情報(bào)能夠提供價(jià)值”的觀點(diǎn)早已得到安全行業(yè)的廣泛認(rèn)同?,F(xiàn)在我們真正需要分享的是“如何將威脅情報(bào)投入實(shí)踐以解決我們最棘手的安全操作挑戰(zhàn)”的共識(shí)。答案在于�,利用威脅情報(bào)能夠在整個(gè)威脅分析和事件響應(yīng)過(guò)程中為我們提供更多關(guān)注點(diǎn),以幫助我們更好地制定決策并協(xié)作工作�����。
