評估威脅情報服務的關鍵是什麼

2021-09-23 04:19:55 字數 2504 閱讀 8680

在本文中,專家ed tittel**了評估威脅情報服務的關鍵標準,以幫助企業選擇滿足其需求的最佳服務。

在企業確定威脅情報服務候選產品名單後,下一步工作是選擇最滿足其需求的服務。由於威脅情報服務市場仍然相對較新,詳細對比服務細節來了解服務提供的內容是乙個挑戰。

例如,有些服務可能有三種水平的標準檔案格式資料來源,可用於不同製造商的各種安全裝置,而另一種威脅情報服務則提供構建在其他服務之上不同層次的服務—基礎服務是資料服務訂閱,也需要使用專有安全裝置。同時,還有一種型別的服務提供標準格式的資料,並有機會加入可信的威脅情報客戶社群,在那裡分享情報、經驗和見解,而沒有公開洩露安全漏洞或損害其在現有或潛在客戶間聲譽的風險。

同時,無論服務提供商方面在何種程度提供分析、過濾和一般清理服務,企業還是需要自己花時間和一定的技能來處理威脅情報。大多數威脅情報服務都是基於這樣的假設,即客戶至少有一名安全人員負責規劃和部署主動安全措施。事實上,很多企業客戶有安全運營中心。這種技能要求阻礙著大多數小型企業和很多中型企業的部署,因為他們沒有這樣的人力資源投入到這樣的工作。

但是,高知名度的小型企業(可能因其政治或社會觀點而受到關注)可能需要尋求預算來購買威脅情報服務。現在,攻擊的數量和複雜度仍在不斷上公升,並且,與較大型企業相比,小型企業更容易受到攻擊,因為幾乎所有公司都有吸引犯罪社群的寶貴資訊。

威脅情報服務的評估標準

forrester首席分析師rick holland建議,在評估服務之前,企業應完全明白自己的使命和業務要求,以及情報要求。然後,在評估潛在**商時,確定每個**商的情報要求是否符合企業的要求。

下面是研究和對比威脅情報服務時需要考慮的關鍵評估因素:

資料流

• 多少資料流是可用的,以及它們的側重點是什麼?資料流可能涵蓋ip/域url、聲譽、安全風險、漏洞等。

• 服務提供商使用什麼平台來處理資料?

• 資料流的檔案格式是什麼?格式通常是csv、xml和類似標準格式。有些服務提供商提**用程式設計介面,讓客戶可以通過網路服務拉取資料服務。

• 企業可以從多少不同的資料來源獲取資料?

• 哪些資料來源?在客戶要求下,大多數**商願意披露他們的威脅情報資料**,有些**商不能或者不會這樣做,因為這是機密資訊。

裝置

哪些裝置可以接收這些資料流?例如,很多企業已經投資於安全和資訊事件管理和/或入侵防禦系統裝置。企業應確定這些資料流是否可用於現有裝置--這可以幫助降低成本,或者服務提供商的服務是否繫結到其自己的裝置。

警報和報告

服務提供商是否提供實時警報作為基礎服務或最低水平訂閱服務的部分,或者該功能需要更**格的訂閱?報告或總結發布的頻率如何?是否是針對專門行業?

報告對安全人員非常有用,特別是當它們針對企業的行業,幷包含相關惡意軟體、新興威脅、威脅執行者及其動機等資訊時。報告總結應該包含在傳送給高管的狀態更新中,以及安全意識培訓中,讓每個人都獲取這些資訊。

**

通常情況下,客戶購買威脅情報來訂閱乙個或多個資料流—一年、兩年和三年增量。服務提供商可能基於使用者數量提供分級定價,並隨著購買數量的增加提供優惠折扣。

例如,服務提供商可能提供相同的資料流,而基於使用者數量提供不同定價,例如1到2500名使用者、2501到10000名使用者等。每個提供商的資料流訂閱**各不相同,但都在每月1500到10000的範圍內,這取決於訂閱的資料流數量。

有些服務需要客戶在訂閱威脅情報資料流時購買他們的安全裝置,這可能給總成本增加數千美元。還有些威脅情報服務需要客戶訂閱兩種不同服務來獲取完整資訊,這類似於企業執行主要防病毒/反間諜軟體套件,偶爾使用第二個產品或服務掃瞄系統。

服務提供商的支援水平

在威脅情報行業服務提供商的支援很像人壽保險,你永遠不想使用它,但這非常重要。技術支援不僅可以解決如何整合資料流到安全裝置以及各指標的意思等問題,還應該可以輔助事故響應、打擊惡意**等。

在比較威脅情報服務時,企業應研究以下問題的答案:

• 提供商是否提供全年全天候**聯絡其支援工程師?

• 提供商聲稱其響應**呼叫的速度如何?30分鐘內?還是更長時間?

• 公升級支援成本多少,這可能包括更快的響應時間或隨時聯絡3級工程師?

• 如果客戶需要事故響應援助,該服務的成本和條款是什麼?

• 多少員工可以聯絡技術支援獲得援助?有些**商提供支援計畫,其中多名員工可以聯絡技術支援。

• 是否提供培訓?這涵蓋在訂閱費用中還是單獨收費?

研究威脅情報服務的技巧

很多威脅情報服務(例如fireeye和logrhythm)在其**提供最新最好的資訊。另乙個很好的資訊源是gartner blog network,在那裡很多作者會**威脅情報以及一般安全問題。同時,企業還可以關注cyber threat intelligence integration center(網路威脅情報整合中心),這個情報機構還在構建中,旨在提供「綜合所有**的情報分析」。

雲運維的關鍵是什麼?

隨著雲時代的到來,越來越多的企業和機構將關鍵業務放在雲端執行,如何做好雲運維是it部門面臨的乙個新的挑戰。做好雲運維,首先要明白雲運維和傳統運維的不同,傳統運維是以伺服器為中心的運維模式 而雲運維是一種以應用程式為中心的運維模式。而以應用程式為中心就是做好雲運維的關鍵!以應用程式為中心是關鍵 雲時代...

解決問題能力的關鍵是什麼

先說邏輯性思考。我們都知道,邏輯推理包括演繹推理和歸納推理。演繹推理就是從一般性前提出發,得出具體陳述和個別結論的過程。比如,我們知道這麼兩條資訊 第一,所有的母雞都會下蛋,第二,伊莉莎白是乙隻母雞。我們就能推理出 伊莉莎白會下蛋 這個結論。那麼,演繹推理怎麼幫我們解決實際問題呢?比如,某個網際網路...

決定乙個專案進度與質量的關鍵是什麼

因為一直沒有在業務領域長期的工作過,因此不好擅自說乙個專案的成功與否。因為這個是由終端使用者來定義的。就從工作完成好壞這個單層的意義上來談 決定乙個專案進度與質量的關鍵是什麼 吧。首先,乙個專案的進度控制是否好,要認真考慮以下幾個因素 1 人員配備。清楚team中的技術人員的特點和能力,以分配相應的...