本文講的是想上威脅情報?先搞明白這五個問題吧,傳統防禦已經被證明不足以保護公司企業免遭對手越來越多地利用組織的數字陰影發起針對性攻擊。現在,公司企業比以往任何時候都更想弄清到底是誰對他們的資產和業務運營造成了可行威脅。因此,很多公司企業都正將轉向網路威脅情報(cti)作為增強自身防禦的下乙個步驟。但是,cti到底是什麼?
對cti的定義有很多,所以,對cti能做到的事也有著各不相同的期待。其中最直接明了的定義來自於《cbest威脅情報框架》這篇**:「能為緩解有害事件影響提供相關和足夠理解的關於威脅和威脅執行人的資訊。」
cti定義的數量幾乎超越了提供cti服務的新資訊保安公司的數量。事實上,福雷斯特研究公司的乙份新報告《廠商態勢:偵察與監視專業人士轉向網路威脅情報提供商尋求幫助》中提到了20家cti廠商。這一情況凸顯了cti作為安全工具的地位在不斷上公升,但也揭示了在選擇廠商時可能遭遇的迷惑與混亂。
作為安全和風險專業人士,你該怎樣穿越這灘渾水選出最適合你的需求的cti解決方案呢?在安全領域的許多方面,可是沒有cti的萬靈藥的。
下面5個問題可以幫你在評估市場和你的選項時明智一些:
你覆蓋的源的種類和大小怎樣?
你能保證我的情報不會產生誤報嗎?
寬廣的覆蓋範圍必須與警報的準確度相平衡。你要找尋綜合利用高容量和精細化cti來提公升情報準確度的提供商。
事件發生後我多久能收到警報,上下文能回溯到哪兒?
準確度很重要,但如果資訊收到得太晚還是會讓情報無關痛癢或毫無可行性可言。你要找的廠商得能夠提供即時警報,還要能訪問可對潛在事件提供有價值線索和早期洞察的歷史資料。
該服務能整合到我的現有服務裡嗎?
無論提供的方案有多先進,單一廠商肯定不能滿足你所有的需求。任何提供商都必須能夠展示使用api介面與其他解決方案以及包括金融服務資訊共享和分析中心(fs-isac)和註冊資訊保安專業人員(cisp)在內的更廣泛的共享社群整合的能力。支援像openioc和stix這樣的網路空間威脅情報共享的標準也很重要,還有與威脅情報平台如threatconnect和threatquotient的融合。
這服務為我的公司和**鏈定製的程度如何?
最有價值的威脅情報是專為你的公司和資產定製的,而不僅僅是適合你的地域和行業的。所以,為了不被大量警報壓得喘不過氣來,應該有某種機制來為警報排個優先順序。同時提供正規反饋流程的提供商可以使用那些資訊來進一步根據你的需求對服務進行優化。
對想獲得潛在威脅和攻擊者型別的全面、細緻、相關資訊的公司企業而言,cti是十分關鍵的。但攻擊者永遠不會休息,公司企業也永遠不會停止對更好的威脅防護和風險消減的追求。有cti作為理解威脅的堅實基礎,你便可以繼續利用網路態勢感知來加強防禦,短期看,可使你預防和減輕有害事件,長期看,你可以隨著威脅的發展變化優化你的威脅防護投資和策略。
安全威脅情報實戰
2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...
安全威脅情報實戰
2012年5月18日,darkreading發表了一篇文章,題為威脅情報實戰。這個文章提及了威脅情報分析的重要性。作者認為,在面對新型威脅,新技術革新 例如雲計算 的時候,安全專家們需要改變傳統的安全防禦思路。對此,我也表示贊同。首先,要確定所要保護的重要資產。正如 當apt成為主流 中所述,在對抗...
文章記錄 威脅情報
20200915 本篇文章是美團安全部分發表在安全脈搏的一篇文章,文章按照以下脈絡進行闡述。1 企業威脅定義 2 如何評估企業威脅情報質量 3 威脅情報體系構建 4 威脅情報體系運營 以上四個角度進行了闡述,在最終講解了乙個利用自然語言處理的技術來產出情報的案例。其中威脅情報的體系由資料 平台 運維...