信息來源:51cto
通過觀察威脅情報是如何產(chǎn)生的�����,如何在組織中傳播及應用,用戶可以有效地管理它�。
管理威脅情報的產(chǎn)生意味著需要采取一些能夠找出其真正來源的有效方法,比如盡可能自動運行并提前識別組織使用的案例�����,以便可以專注于正確對應數(shù)據(jù)。
與能夠?qū)ζ洳扇⌒袆拥娜朔窒砟愕耐{情報–這意味著要確保它是以即時情景的方式產(chǎn)生�,并且能夠被目標受眾理解。
通過提高現(xiàn)有程序的效率�����,獲得更高的投資回報�,并使用戶的安全系統(tǒng)更加完善強大��,有效地利用威脅情報�。
您可能已經(jīng)點擊了這篇博客文章,期望能夠更有效地管理您的數(shù)據(jù)提要�����。畢竟�,處理威脅數(shù)據(jù)來源是任何威脅情報專家工作的基礎。但是真正管理起來非常費時——這是理所當然的�����,任何改進威脅情報管理方法的嘗試都會涉及到更有效的數(shù)據(jù)處理��。
讓我們探討一些進行威脅情報管理的指導原則�,并通過一些案例研究來展示其價值�。
威脅情報管理的現(xiàn)實價值
雖然許多威脅情報解決方案只會為您提供數(shù)據(jù)源�����,但威脅情報的真正價值并不在于組織和管理所有不同的數(shù)據(jù)源——威脅情報提供背景信息�����,原始數(shù)據(jù)勾勒出一張地圖;威脅情報實際上為您指出了一條路線�。
無關(guān)組織大小,有效地管理您的威脅情報可以歸結(jié)為改進威脅情報開展的三個階段:如何產(chǎn)生威脅情報?如何傳播威脅情報?以及它最終在您追求組織的網(wǎng)絡安全需求時是如何應用的?
但是��,在您著手改進這三個階段之前�����,必須先確定什么威脅情報案例對您的組織來說是最重要的�,然后才能回答一個更基本的問題,即改進什么��。
制作你需要的威脅情報
威脅情報最終是從原始來源衍生出來的完美產(chǎn)品��,其中最常見的是威脅數(shù)據(jù)的輸入�。在選擇要從哪里提取數(shù)據(jù),以及如何評估其價值時��,需要遵循一些最佳實踐方法。單個數(shù)據(jù)提要通常提供這一數(shù)據(jù)的主題��,如與惡意活動相關(guān)的可疑IP地址或電子郵件地址列表�。
即使在這個有限的范圍內(nèi),提要的也只是未區(qū)分的信息流�����,其中沒有任何單個數(shù)據(jù)點優(yōu)先于其他�����,這使得手工排序?qū)θ魏畏治鰩焷碚f都是一個巨大的麻煩��。一個好的威脅情報解決方案應該使這個分類過程自動化�����,例如�,通過有明確定義的本體對原始數(shù)據(jù)進行排序�,使分析人員能夠更容易研究某個特定的主題。
然而�,自動化處理并不等同于制作本身。更完善的威脅情報解決方案將不僅僅包括來自公開的威脅數(shù)據(jù)源的數(shù)據(jù)�,而且還包括來自像社交媒體�����、暗網(wǎng)論壇和技術(shù)資源網(wǎng)站的數(shù)據(jù)��。之后再將這些不同的數(shù)據(jù)源合并到一個與您的組織案例相關(guān)的數(shù)據(jù)供應處�����。
與正確的人分享你的威脅情報
能夠?qū)⑺羞@些雜亂無章的數(shù)據(jù)匯集在一起�����,從中分析師能夠識別模式并得出結(jié)論�����。這看上去不錯��,然而除非針對最終威脅情報可采取某些行動�,否則這份威脅情報仍然不會有多大價值�����。這是每個人都喜歡使用的商業(yè)術(shù)語中的一種——“我們需要為今年的第四季度制定更多可行的策略!”——實際這本身并不意味著什么。
要想對威脅情報采取行動��,通常需要考慮下列因素:
-
即時性�。威脅情報提示你的組織經(jīng)受網(wǎng)絡攻擊是即時性的。攻擊發(fā)生后再將這些攻擊提示整合歸納就失去了即時性��。
-
關(guān)聯(lián)性��。威脅情報應該是個性化的�����。您唯一需要擔心的是那些針對您使用的系統(tǒng)的目標漏洞��。
-
連貫性�。這也許是威脅情報可否被定義�,以及可否采取措施最基本的方面了——這必須能夠被那些能夠采取行動的人所理解。關(guān)于組織安全系統(tǒng)中重大缺陷的一份緊急報告落在經(jīng)理的收件箱中�,但由于它是用一種高度技術(shù)性和難以解析的語言編寫的,經(jīng)理沒有充分理解威脅的緊迫性�,因此選擇不對其進行優(yōu)先排序,于是產(chǎn)生了嚴重的后果�����。
任何威脅情報發(fā)展周期的產(chǎn)出將因其目標受眾而產(chǎn)生不同。最終結(jié)果可以是具體情景報告��,以便吸引商界領袖關(guān)注;旨在通知進行安全操作的技術(shù)指標;運行趨勢和威脅提醒的儀表板�����,如漏洞�、惡意軟件或惡意基礎設施;對潛在攻擊或損害品牌的活動發(fā)出警報,等等�。
有偏向的運用威脅情報
通過一開始就確定目標受眾,以及即將產(chǎn)生的情報的最佳服務案例��,從而管理你的威脅情報服務�����。
回到上面根據(jù)目標受眾可以產(chǎn)生的不同形式的威脅情報的例子��,這里有一些情景可以應用這些情報:
-
一個組織的首席財務官在閱讀一份報告后決定將明年預算的更大部分分配給該組織的網(wǎng)絡安全團隊�����,該報告強調(diào)一旦團隊從使用免費威脅數(shù)據(jù)源切換到更完整的威脅情報解決方案后�����,投資回報將不斷增長。
-
在將威脅情報解決方案整合到現(xiàn)有的安全軟件中后�,分析師可以花更多時間進行警報分類和事件調(diào)查,自動化大部分數(shù)據(jù)收集并幫助他們避免誤報�。
-
組織的安全團隊設置一個自動警報,以防任何在互聯(lián)網(wǎng)上(不僅僅社交媒體網(wǎng)站��,甚至還有一些日常很難接觸到資源網(wǎng)站:如暗網(wǎng)市場)提及該組織的情況�����。在此之后��,公共關(guān)系部門能夠更快地對潛在的品牌破壞性黑客和敏感信息泄漏給與反應�����。
威脅情報有無數(shù)的應用程序——比其他任何組織都能有效地利用它��。能夠更有效地著手管理威脅情報的最佳方法是確定個人需要關(guān)注哪些應用程序并找到最適合個人需求的解決方案�����。
