行業(yè)動態(tài)

利用威脅情報解決五大安全運營挑戰(zhàn)

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-05-09    瀏覽次數(shù):
 

信息來源:secdoctor

        “如果沒有將知識付諸實踐,那么它將毫無價值”,這句話如今用在威脅情報身上也是再合適不過了。

       在SANS最近進行的一項調(diào)查中顯示,超過80%的受訪者表示“威脅情報正在為他們提供價值”。大多數(shù)企業(yè)正在通過將大量全球威脅數(shù)據(jù)集成到共享中央存儲庫中來挖掘其價值。但這只是發(fā)現(xiàn)了威脅情報的“表面價值”。事實上,威脅情報還可以加速安全操作,這才是其價值的真正體現(xiàn)。

以下是將威脅情報投入實踐后能夠解決的5種常見安全操作挑戰(zhàn):

1. 警報過載

       多項研究指出,安全專業(yè)人員正在被警報所淹沒。最近,《思科2018安全能力基準(zhǔn)研究》報告發(fā)現(xiàn),由于種種限制,組織僅可調(diào)查其在一天當(dāng)中收到的安全警報中的 56%。而在受到調(diào)查且被視為有效的警報中,有近一半(49%)的警報沒有得到補救。通常而言,安全運營中心(SOC)的安全操作人員會率先感受到這種警報過載帶來的窒息感,因為他們需要承擔(dān)手動關(guān)聯(lián)日志和事件,以進行調(diào)查和其他活動的繁重任務(wù)。

       通過環(huán)境內(nèi)部的事件和相關(guān)指標(biāo)來自動增加和豐富外部數(shù)據(jù),使你有能力洞悉事件發(fā)生的細(xì)節(jié),例如:何人于何時、何地、攻擊了什么,為什么以及如何進行的攻擊等信息。你可以使用威脅評分來進一步縮小數(shù)據(jù)集規(guī)模,然而,僅僅依靠情報提供商給出的“通用、全局性”分?jǐn)?shù)實際上可能會產(chǎn)生誤報和無效警報,因為分?jǐn)?shù)并不是根據(jù)你特定環(huán)境的上下文給出的。對此,你可以根據(jù)自己設(shè)置的參數(shù)(例如周圍指標(biāo)來源、類型、屬性和上下文以及對手屬性等)使用定制的威脅評分,從而允許制定威脅情報優(yōu)先級,從根據(jù)輕重緩急做出相應(yīng)的決策,避免因為不必要的警報浪費時間,也不至于忽略重點而錯過最佳防御時機。

2. 誤報

       浪費時間和資源來追逐虛假情報可能會造成非常昂貴的代價。事實上,Ponemon的研究將誤報列為終端保護的頭號“隱藏”成本。定制的威脅分?jǐn)?shù)可以讓您專注于與您的組織相關(guān)的內(nèi)容,并優(yōu)先考慮威脅情報,以減少誤報,但你可能還是會偏離重點。這時候,你可以利用現(xiàn)有的案例管理工具或SIEM(安全信息和事件管理)來自動共享相關(guān)的優(yōu)先級威脅情報,這些系統(tǒng)可以更高效、更有效地執(zhí)行優(yōu)先級事項,并減少誤報。

3. 防御缺口

       盡管組織已經(jīng)部署了多點產(chǎn)品作為其深度防御戰(zhàn)略的一部分,但是妥協(xié)和違規(guī)的數(shù)量和速度仍在持續(xù)增加。原因在于,這些保護層在很大程度上是未整合的,都在“孤島”中運行,難以管理,同時也為防御方面造成空白。

       威脅情報可以作為整合這些不同技術(shù)的耦合劑,在正確的時間與正確的工具分享正確的情報。你可以將整合的威脅情報直接導(dǎo)出到你的傳感器網(wǎng)絡(luò)(防火墻、防病毒軟件、IPS / IDS、網(wǎng)絡(luò)和電子郵件安全、端點檢測和響應(yīng)以及NetFlow等),允許這些工具生成并應(yīng)用更新的策略以降低風(fēng)險。此外,你也可以采取積極主動的預(yù)防性方法來進行防御,以更有效地防止未來可能發(fā)生的攻擊。

4. 知識協(xié)同

       除了安全工具外,安全團隊通常也是在“孤島”中運行,這使得他們無法共享情報并協(xié)同工作。但是,如果團隊成員可以在單一環(huán)境中工作,共享同一組威脅數(shù)據(jù)和證據(jù),則可以協(xié)作進行調(diào)查。通過觀察他人的工作并分享見解,他們可以更快地發(fā)現(xiàn)威脅,甚至可以利用這些知識來樞軸轉(zhuǎn)動并加速并行的調(diào)查,因為這些調(diào)查通常是相互隔離但又密切相關(guān)的。此外,他們還可以存儲關(guān)于對手及其戰(zhàn)術(shù)、技術(shù)和程序(TTP)的調(diào)查記錄,這些記錄可以作為集中記憶以便于未來的調(diào)查。

5. 混亂的環(huán)境

       當(dāng)需要采取行動的時候,大多數(shù)安全行動或調(diào)查都是在混亂中進行的,因為各個團隊都是獨立行事并且效率低下。一個單一的共享環(huán)境,所有安全團隊的管理人員都可以看到分析結(jié)果的展開,使得他們能夠在團隊之間協(xié)調(diào)任務(wù)并監(jiān)控時間表和結(jié)果。威脅情報分析人員、安全操作中心(SOC)和事件響應(yīng)人員可以協(xié)同工作,更快地采取正確行動,縮短響應(yīng)和補救的時間。

       “威脅情報能夠提供價值”的觀點早已得到安全行業(yè)的廣泛認(rèn)同?,F(xiàn)在我們真正需要分享的是“如何將威脅情報投入實踐以解決我們最棘手的安全操作挑戰(zhàn)”的共識。答案在于,利用威脅情報能夠在整個威脅分析和事件響應(yīng)過程中為我們提供更多關(guān)注點,以幫助我們更好地制定決策并協(xié)作工作。

 
 

上一篇:2018年05月08日 聚銘安全速遞

下一篇:“新一代幽靈”Spectre-NG:英特爾又現(xiàn)8個CPU新漏洞