獲取及時(shí)和準(zhǔn)確的威脅情報(bào)現(xiàn)在是許多組織安全行動(dòng)的核心。如今，安全團(tuán)隊(duì)似乎擁有豐富的數(shù)據(jù)和情報(bào)來(lái)源可供選擇。然而，對(duì)許多人來(lái)說(shuō)，從無(wú)數(shù)的來(lái)源中選擇正確的信息并將其轉(zhuǎn)化為行動(dòng)是一項(xiàng)艱巨的挑戰(zhàn)，對(duì)一些人來(lái)說(shuō)可能是一種詛咒。

它需要在收集足夠全面的信息與同時(shí)關(guān)注與您自己組織的環(huán)境和基礎(chǔ)設(shè)施特別相關(guān)的內(nèi)容之間取得仔細(xì)的平衡。過(guò)多或多余的數(shù)據(jù)將使安全分析師負(fù)擔(dān)過(guò)重，因?yàn)樗麄兝速M(fèi)時(shí)間篩選大量不必要的信息。另一方面，如果缺少一些至關(guān)重要的東西，則可能會(huì)產(chǎn)生可怕的后果。再加上將所有不同的數(shù)據(jù)源整合為標(biāo)準(zhǔn)化的、可操作的格式所花費(fèi)的大量時(shí)間和專業(yè)知識(shí)，整個(gè)過(guò)程給安全部門和資源帶來(lái)了巨大的壓力。

這是一個(gè)迫切需要自動(dòng)化的領(lǐng)域，而這正是當(dāng)今現(xiàn)代威脅情報(bào)平臺(tái)(TIP)的目標(biāo)所在。他們承諾提供一定程度的復(fù)雜性和速度，幾乎可以消除人工數(shù)據(jù)同化，使安全分析師能夠?qū)Ｗ⒂诟倪M(jìn)防御并與合作伙伴組織合作。

除了急需的數(shù)據(jù)處理之外，自動(dòng)化還可以通過(guò)實(shí)現(xiàn)內(nèi)部和外部更輕松、更快速的情報(bào)共享，在打擊威脅行為者方面帶來(lái)其他優(yōu)勢(shì)。

數(shù)據(jù)處理的苦差事

首先，數(shù)據(jù)同化和啟用帶來(lái)了可喜的時(shí)間節(jié)省，因?yàn)樽詣?dòng)化平臺(tái)可以在幾分鐘和幾小時(shí)內(nèi)處理大量數(shù)據(jù)，比員工手動(dòng)處理要快得多，也準(zhǔn)確得多。

通常情況下，安全團(tuán)隊(duì)會(huì)以不同且不兼容的格式從多個(gè)地方收集大量威脅情報(bào)。對(duì)于分析人員來(lái)說(shuō)，將如此大量的不同信息關(guān)聯(lián)起來(lái)是一項(xiàng)費(fèi)力的工作，而且可能會(huì)犯錯(cuò)誤，尤其是在滿足補(bǔ)救時(shí)間表的壓力下。

自動(dòng)化消除了從大量來(lái)源(包括內(nèi)部日志、開(kāi)源提要和威脅情報(bào)提要)導(dǎo)入數(shù)據(jù)的苦差事。無(wú)論是結(jié)構(gòu)化的還是非結(jié)構(gòu)化的，威脅情報(bào)平臺(tái)(TIP)對(duì)數(shù)據(jù)進(jìn)行規(guī)范化，用額外的上下文豐富數(shù)據(jù)，然后將其關(guān)聯(lián)并轉(zhuǎn)換為標(biāo)準(zhǔn)格式。

除了節(jié)省時(shí)間和避免錯(cuò)誤之外，標(biāo)準(zhǔn)化還帶來(lái)了其他好處:它可以輕松地將數(shù)據(jù)集成到現(xiàn)有的企業(yè)級(jí)安全基礎(chǔ)設(shè)施和工具中。

企業(yè)范圍的情報(bào)共享

通過(guò)自動(dòng)化，智能可以在整個(gè)組織中有效地共享，消除豎井，并允許訪問(wèn)最新的數(shù)據(jù)。這有助于將分散在各個(gè)部門和地點(diǎn)的不相關(guān)的威脅數(shù)據(jù)和知識(shí)轉(zhuǎn)化為可操作的見(jiàn)解。此外，這些聯(lián)合起來(lái)的威脅情報(bào)能力可以快速擴(kuò)展，無(wú)論是為了滿足增長(zhǎng)，還是包括合并和收購(gòu)，或者解決新的漏洞和網(wǎng)絡(luò)攻擊形式。

在過(guò)去，缺乏對(duì)安全信息的訪問(wèn)常常阻礙了對(duì)危害整體安全的威脅的集體理解。通過(guò)協(xié)作，個(gè)體可以集思廣益，設(shè)計(jì)并共享最有效的防御措施。

專注于正確的優(yōu)先事項(xiàng)

在吸收了來(lái)自內(nèi)部和外部的相關(guān)數(shù)據(jù)后，威脅情報(bào)平臺(tái)(TIP)的可以支持安全團(tuán)隊(duì)

根據(jù)內(nèi)部預(yù)先確定的標(biāo)準(zhǔn)評(píng)估威脅的嚴(yán)重性和相關(guān)性。

安全分析師可以專注于最關(guān)鍵和最緊急的補(bǔ)救措施，而不是被冗余和無(wú)關(guān)的ioc分散注意力。自動(dòng)化完成了艱苦的工作，處理和確定數(shù)據(jù)的優(yōu)先級(jí)，讓安全團(tuán)隊(duì)根據(jù)其組織的安全狀態(tài)、遵從性義務(wù)和內(nèi)部治理標(biāo)準(zhǔn)來(lái)設(shè)置參數(shù)。

它為流程帶來(lái)了一致性，快速區(qū)分哪些是重要的，從而縮短了檢測(cè)和響應(yīng)危險(xiǎn)威脅的時(shí)間，突出了應(yīng)該改進(jìn)安全實(shí)踐的地方，以及應(yīng)該分配額外資源的地方，以幫助進(jìn)行安全預(yù)算和規(guī)劃。

擴(kuò)展外部協(xié)作

除了數(shù)字處理和威脅的優(yōu)先級(jí)，現(xiàn)代威脅情報(bào)平臺(tái)(TIP)的還有另一個(gè)妙招來(lái)幫助對(duì)抗威脅行為者:它促進(jìn)了情報(bào)的雙向交換。重要的威脅情報(bào)和補(bǔ)救措施可以迅速與政府機(jī)構(gòu)、安全社區(qū)和行業(yè)協(xié)會(huì)共享，從而減少網(wǎng)絡(luò)犯罪分子擴(kuò)散攻擊的機(jī)會(huì)。

隨著威脅行為者通過(guò)暗網(wǎng)上的網(wǎng)絡(luò)犯罪論壇和勒索軟件即服務(wù)等產(chǎn)品比以往任何時(shí)候都更加合作，網(wǎng)絡(luò)攻擊的規(guī)模和復(fù)雜程度可能會(huì)繼續(xù)增長(zhǎng)。“五大家族”組織只是另一個(gè)新發(fā)展的例子，涉及黑客團(tuán)伙匯集他們的知識(shí)，組成一個(gè)集團(tuán)，策劃更大規(guī)模的網(wǎng)絡(luò)犯罪活動(dòng)。但是，如果通過(guò)威脅情報(bào)平臺(tái)(TIP)的共享情報(bào)成為所有組織的最佳實(shí)踐，像這樣的惡意行為者將發(fā)現(xiàn)越來(lái)越難以利用新的受害者。

轉(zhuǎn)向威脅驅(qū)動(dòng)型企業(yè)

網(wǎng)絡(luò)安全是一項(xiàng)全球性挑戰(zhàn)。關(guān)鍵的威脅情報(bào)不應(yīng)該被禁錮在組織內(nèi)部，讓壞人可以自由地使用類似的策略進(jìn)行進(jìn)一步的攻擊。采用雙向反饋的威脅情報(bào)平臺(tái)(TIP)，將支持一種積極的趨勢(shì)，即采取更有活力和合作的方式來(lái)打擊犯罪活動(dòng)，增強(qiáng)每個(gè)安全團(tuán)隊(duì)在網(wǎng)絡(luò)威脅造成損害之前先發(fā)制人的能力。

威脅情報(bào)平臺(tái)(TIP)能夠提供與組織的特定行業(yè)、威脅環(huán)境和操作環(huán)境高度相關(guān)的情報(bào)，從而實(shí)現(xiàn)精確的威脅檢測(cè)和響應(yīng)。當(dāng)每個(gè)人都準(zhǔn)備好向前邁出下一步，并與志同道合的社區(qū)分享經(jīng)驗(yàn)教訓(xùn)時(shí)，所有參與者的集體防御將得到加強(qiáng)。