• 公司动态
  • 行业资讯
  • 新宝gg官网下载观点
  • 威胁情报
  • 新宝gg官网下载研究
  • “威胁数据”转化为“威胁情报”是新宝gg官网下载计划成功的关键

    时间:2019-06-26 来源:海丰科技

    “威胁情报”是目前信息新宝gg官网下载领域最热门的术语之一。但是,正如许多流行语一样,它经常被滥用,造成了很多混乱。

    很多人认为“威胁数据”(即威胁信息源)就是“威胁情报”,但实际上,前者只是后者的一部分。当威胁数据添加了情境,就成为了威胁情报,从而生成相关的、“可转化为行动”的信息,使企业能够更好地调整其新宝gg官网下载和业务目标。

    威胁数据是恶意域、IP 地址或哈希值的原始集合,不包括任何攻击或威胁情境。

    威胁数据确实有其用例。但是,威胁数据不包含情境信息,因此其用例是有限的,无法帮助新宝gg官网下载团队制定决策。为了正确使用威胁情报,企业必须清楚:将威胁情报引入其新宝gg官网下载计划的目的是什么。如果不清楚这一点,那么企业的新宝gg官网下载计划只会带来严重的资源消耗,不会产生任何实际价值。

     

    数据质量

    虽然数据源对于威胁情报计划至关重要,但是并非所有数据源都“生而平等”。

    企业拥有许多威胁情报源,最常见的来源包括:恶意代码处理、扫描/爬取、蜜罐、人工智能和内部监测。威胁情报的提供方式有三种:开源情报、免费资源或付费订阅。

    为了从这些数据源中获得最大的收益,企业需要很好地了解这些来源,以便评估与其内部情报相关的数据。

    最好的数据源会近乎实时地更新和转发。使用旧的或不完整的数据可能会误导企业关注错误的目标,最终导致数据过载和告警疲劳。在云计算时代,IP 地址每天都会被多次重用,因此上述情况尤其严重。

     

    数据增强

    成功的威胁情报计划的关键是:对每个数据源进行适当的分析,以获得相关情境信息,从而改变运营方式并保护环境。

    如果未进行认真的规划和执行,那么将威胁情报纳入现有的新宝gg官网下载计划可能会导致令人失望的结果。例如,一家采用“金融服务行业信息共享和分析中心”(FS-ISAC)威胁情报的制造公司,将不太可能实现其预期的结果;这是因为,这类情报源具有金融服务行业情境,而非制造行业情境。

     

    新宝gg官网下载情报和业务目标

    威胁情报计划成功的基础是:确保该计划与企业的业务目标保持一致。而实现这一点的最佳方法是:评估数据源如何解决与特定业务运营相关的新宝gg官网下载问题。

    通常来说,当事件发生时,企业对其影响范围或严重程度知之甚少,其了解的信息通常仅限于单个告警或信标。因此,企业必须结合适当的情境和情报,以便更深入地了解事件,确定其影响范围。高级攻击隐藏在复杂的编码或恶意代码背后,因此这种模糊性是其典型特征。新宝gg官网下载团队必须对每个事件进行分类和评估,以确定其真实性和严重性,以及其是否需要更多关注(调查)。

    在这两个阶段中,新宝gg官网下载运营团队通常依靠威胁情报来确定事件的可能范围及其可能造成的损害。例如,关于某个文件的告警可能只包含一个哈希信标。手动分析可能会发现其他信标,但是这种分析非常耗时。

     

    正确使用自动化

    更好的方法是部署自动化的威胁情报增强系统。

    分析师可能需要几分钟甚至几小时,才能完成网络中的恶意代码和信标分析;而自动化方法只需几秒钟就能完成。自动化的威胁情报增强可以实现既快速又高效、可预测且可重复的流程。这种方法还能使分析师从繁琐且容易出错的任务(如收集和验证数据)中解放出来,使其专注于增值分析和威胁猎杀。

    威胁情报的目标是使用数据来提高新宝gg官网下载性并提供更高的可见性。因此,新宝gg官网下载人员可以根据威胁的风险级别来确定补救措施的优先级。

    选择“正确”的数据源只是第一步,更重要的问题是:设置数据挖掘机制和工作流程、增强数据并将其转化为威胁情报。

     

     

    原文名称:Understanding how databecomes intelligence is central for any successful security program

    原文作者:AndreaFumagalli

    地址:甘肃省兰州市城关区南滨河东路66号

    电话:0931-8278968

    传真:0931-8814250-8027

    邮编:730000

    官网:http://www.gshfns.com/