信息來源:51cto
通過觀察威脅情報(bào)是如何產(chǎn)生的��,如何在組織中傳播及應(yīng)用�����,用戶可以有效地管理它���。
管理威脅情報(bào)的產(chǎn)生意味著需要采取一些能夠找出其真正來源的有效方法�,比如盡可能自動(dòng)運(yùn)行并提前識別組織使用的案例,以便可以專注于正確對應(yīng)數(shù)據(jù)�。
與能夠?qū)ζ洳扇⌒袆?dòng)的人分享你的威脅情報(bào)–這意味著要確保它是以即時(shí)情景的方式產(chǎn)生,并且能夠被目標(biāo)受眾理解�。
通過提高現(xiàn)有程序的效率,獲得更高的投資回報(bào)�����,并使用戶的安全系統(tǒng)更加完善強(qiáng)大���,有效地利用威脅情報(bào)����。
您可能已經(jīng)點(diǎn)擊了這篇博客文章��,期望能夠更有效地管理您的數(shù)據(jù)提要���。畢竟����,處理威脅數(shù)據(jù)來源是任何威脅情報(bào)專家工作的基礎(chǔ)��。但是真正管理起來非常費(fèi)時(shí)——這是理所當(dāng)然的�����,任何改進(jìn)威脅情報(bào)管理方法的嘗試都會涉及到更有效的數(shù)據(jù)處理��。
讓我們探討一些進(jìn)行威脅情報(bào)管理的指導(dǎo)原則��,并通過一些案例研究來展示其價(jià)值��。
威脅情報(bào)管理的現(xiàn)實(shí)價(jià)值
雖然許多威脅情報(bào)解決方案只會為您提供數(shù)據(jù)源����,但威脅情報(bào)的真正價(jià)值并不在于組織和管理所有不同的數(shù)據(jù)源——威脅情報(bào)提供背景信息,原始數(shù)據(jù)勾勒出一張地圖;威脅情報(bào)實(shí)際上為您指出了一條路線����。
無關(guān)組織大小,有效地管理您的威脅情報(bào)可以歸結(jié)為改進(jìn)威脅情報(bào)開展的三個(gè)階段:如何產(chǎn)生威脅情報(bào)?如何傳播威脅情報(bào)?以及它最終在您追求組織的網(wǎng)絡(luò)安全需求時(shí)是如何應(yīng)用的?
但是�����,在您著手改進(jìn)這三個(gè)階段之前�����,必須先確定什么威脅情報(bào)案例對您的組織來說是最重要的,然后才能回答一個(gè)更基本的問題�����,即改進(jìn)什么����。
制作你需要的威脅情報(bào)
威脅情報(bào)最終是從原始來源衍生出來的完美產(chǎn)品,其中最常見的是威脅數(shù)據(jù)的輸入���。在選擇要從哪里提取數(shù)據(jù)��,以及如何評估其價(jià)值時(shí)�,需要遵循一些最佳實(shí)踐方法����。單個(gè)數(shù)據(jù)提要通常提供這一數(shù)據(jù)的主題,如與惡意活動(dòng)相關(guān)的可疑IP地址或電子郵件地址列表�。
即使在這個(gè)有限的范圍內(nèi),提要的也只是未區(qū)分的信息流����,其中沒有任何單個(gè)數(shù)據(jù)點(diǎn)優(yōu)先于其他,這使得手工排序?qū)θ魏畏治鰩焷碚f都是一個(gè)巨大的麻煩。一個(gè)好的威脅情報(bào)解決方案應(yīng)該使這個(gè)分類過程自動(dòng)化��,例如��,通過有明確定義的本體對原始數(shù)據(jù)進(jìn)行排序��,使分析人員能夠更容易研究某個(gè)特定的主題����。
然而���,自動(dòng)化處理并不等同于制作本身�。更完善的威脅情報(bào)解決方案將不僅僅包括來自公開的威脅數(shù)據(jù)源的數(shù)據(jù)�����,而且還包括來自像社交媒體����、暗網(wǎng)論壇和技術(shù)資源網(wǎng)站的數(shù)據(jù)。之后再將這些不同的數(shù)據(jù)源合并到一個(gè)與您的組織案例相關(guān)的數(shù)據(jù)供應(yīng)處�。
與正確的人分享你的威脅情報(bào)
能夠?qū)⑺羞@些雜亂無章的數(shù)據(jù)匯集在一起,從中分析師能夠識別模式并得出結(jié)論�。這看上去不錯(cuò),然而除非針對最終威脅情報(bào)可采取某些行動(dòng)�����,否則這份威脅情報(bào)仍然不會有多大價(jià)值。這是每個(gè)人都喜歡使用的商業(yè)術(shù)語中的一種——“我們需要為今年的第四季度制定更多可行的策略!”——實(shí)際這本身并不意味著什么�。
要想對威脅情報(bào)采取行動(dòng),通常需要考慮下列因素:
-
即時(shí)性�����。威脅情報(bào)提示你的組織經(jīng)受網(wǎng)絡(luò)攻擊是即時(shí)性的��。攻擊發(fā)生后再將這些攻擊提示整合歸納就失去了即時(shí)性����。
-
關(guān)聯(lián)性。威脅情報(bào)應(yīng)該是個(gè)性化的�����。您唯一需要擔(dān)心的是那些針對您使用的系統(tǒng)的目標(biāo)漏洞����。
-
連貫性。這也許是威脅情報(bào)可否被定義����,以及可否采取措施最基本的方面了——這必須能夠被那些能夠采取行動(dòng)的人所理解�。關(guān)于組織安全系統(tǒng)中重大缺陷的一份緊急報(bào)告落在經(jīng)理的收件箱中�,但由于它是用一種高度技術(shù)性和難以解析的語言編寫的,經(jīng)理沒有充分理解威脅的緊迫性���,因此選擇不對其進(jìn)行優(yōu)先排序�����,于是產(chǎn)生了嚴(yán)重的后果。
任何威脅情報(bào)發(fā)展周期的產(chǎn)出將因其目標(biāo)受眾而產(chǎn)生不同����。最終結(jié)果可以是具體情景報(bào)告,以便吸引商界領(lǐng)袖關(guān)注;旨在通知進(jìn)行安全操作的技術(shù)指標(biāo);運(yùn)行趨勢和威脅提醒的儀表板�,如漏洞、惡意軟件或惡意基礎(chǔ)設(shè)施;對潛在攻擊或損害品牌的活動(dòng)發(fā)出警報(bào)�,等等。
有偏向的運(yùn)用威脅情報(bào)
通過一開始就確定目標(biāo)受眾���,以及即將產(chǎn)生的情報(bào)的最佳服務(wù)案例��,從而管理你的威脅情報(bào)服務(wù)����。
回到上面根據(jù)目標(biāo)受眾可以產(chǎn)生的不同形式的威脅情報(bào)的例子,這里有一些情景可以應(yīng)用這些情報(bào):
-
一個(gè)組織的首席財(cái)務(wù)官在閱讀一份報(bào)告后決定將明年預(yù)算的更大部分分配給該組織的網(wǎng)絡(luò)安全團(tuán)隊(duì)���,該報(bào)告強(qiáng)調(diào)一旦團(tuán)隊(duì)從使用免費(fèi)威脅數(shù)據(jù)源切換到更完整的威脅情報(bào)解決方案后�����,投資回報(bào)將不斷增長�����。
-
在將威脅情報(bào)解決方案整合到現(xiàn)有的安全軟件中后��,分析師可以花更多時(shí)間進(jìn)行警報(bào)分類和事件調(diào)查����,自動(dòng)化大部分?jǐn)?shù)據(jù)收集并幫助他們避免誤報(bào)����。
-
組織的安全團(tuán)隊(duì)設(shè)置一個(gè)自動(dòng)警報(bào),以防任何在互聯(lián)網(wǎng)上(不僅僅社交媒體網(wǎng)站��,甚至還有一些日常很難接觸到資源網(wǎng)站:如暗網(wǎng)市場)提及該組織的情況�����。在此之后,公共關(guān)系部門能夠更快地對潛在的品牌破壞性黑客和敏感信息泄漏給與反應(yīng)�。
威脅情報(bào)有無數(shù)的應(yīng)用程序——比其他任何組織都能有效地利用它。能夠更有效地著手管理威脅情報(bào)的最佳方法是確定個(gè)人需要關(guān)注哪些應(yīng)用程序并找到最適合個(gè)人需求的解決方案���。
