“如果没有将知识付诸实践,那么它将毫无价值”,这句话如今用在威胁情报身上也是再合适不过了。
在SANS最近进行的一项调查中显示,超过80%的受访者表示“威胁情报正在为他们提供价值”。大多数企业正在通过将大量全球威胁数据集成到共享中央存储库中来挖掘其价值。但这只是发现了威胁情报的“表面价值”。事实上,威胁情报还可以加速安全操作,这才是其价值的真正体现。
以下是将威胁情报投入实践后能够解决的5种常见安全操作挑战:
1. 警报过载
多项研究指出,安全专业人员正在被警报所淹没。最近,《思科2018安全能力基准研究》报告发现,由于种种限制,组织仅可调查其在一天当中收到的安全警报中的 56%。而在受到调查且被视为有效的警报中,有近一半(49%)的警报没有得到补救。通常而言,安全运营中心(SOC)的安全操作人员会率先感受到这种警报过载带来的窒息感,因为他们需要承担手动关联日志和事件,以进行调查和其他活动的繁重任务。
通过环境内部的事件和相关指标来自动增加和丰富外部数据,使你有能力洞悉事件发生的细节,例如:何人于何时、何地、攻击了什么,为什么以及如何进行的攻击等信息。你可以使用威胁评分来进一步缩小数据集规模,然而,仅仅依靠情报提供商给出的“通用、全局性”分数实际上可能会产生误报和无效警报,因为分数并不是根据你特定环境的上下文给出的。对此,你可以根据自己设置的参数(例如周围指标来源、类型、属性和上下文以及对手属性等)使用定制的威胁评分,从而允许制定威胁情报优先级,从根据轻重缓急做出相应的决策,避免因为不必要的警报浪费时间,也不至于忽略重点而错过最佳防御时机。
2. 误报
浪费时间和资源来追逐虚假情报可能会造成非常昂贵的代价。事实上,Ponemon的研究将误报列为终端保护的头号“隐藏”成本。定制的威胁分数可以让您专注于与您的组织相关的内容,并优先考虑威胁情报,以减少误报,但你可能还是会偏离重点。这时候,你可以利用现有的案例管理工具或SIEM(安全信息和事件管理)来自动共享相关的优先级威胁情报,这些系统可以更高效、更有效地执行优先级事项,并减少误报。
3. 防御缺口
尽管组织已经部署了多点产品作为其深度防御战略的一部分,但是妥协和违规的数量和速度仍在持续增加。原因在于,这些保护层在很大程度上是未整合的,都在“孤岛”中运行,难以管理,同时也为防御方面造成空白。
威胁情报可以作为整合这些不同技术的耦合剂,在正确的时间与正确的工具分享正确的情报。你可以将整合的威胁情报直接导出到你的传感器网络(防火墙、防病毒软件、IPS / IDS、网络和电子邮件安全、端点检测和响应以及NetFlow等),允许这些工具生成并应用更新的策略以降低风险。此外,你也可以采取积极主动的预防性方法来进行防御,以更有效地防止未来可能发生的攻击。
4. 知识协同
除了安全工具外,安全团队通常也是在“孤岛”中运行,这使得他们无法共享情报并协同工作。但是,如果团队成员可以在单一环境中工作,共享同一组威胁数据和证据,则可以协作进行调查。通过观察他人的工作并分享见解,他们可以更快地发现威胁,甚至可以利用这些知识来枢轴转动并加速并行的调查,因为这些调查通常是相互隔离但又密切相关的。此外,他们还可以存储关于对手及其战术、技术和程序(TTP)的调查记录,这些记录可以作为集中记忆以便于未来的调查。
5. 混乱的环境
当需要采取行动的时候,大多数安全行动或调查都是在混乱中进行的,因为各个团队都是独立行事并且效率低下。一个单一的共享环境,所有安全团队的管理人员都可以看到分析结果的展开,使得他们能够在团队之间协调任务并监控时间表和结果。威胁情报分析人员、安全操作中心(SOC)和事件响应人员可以协同工作,更快地采取正确行动,缩短响应和补救的时间。
“威胁情报能够提供价值”的观点早已得到安全行业的广泛认同。现在我们真正需要分享的是“如何将威胁情报投入实践以解决我们最棘手的安全操作挑战”的共识。答案在于,利用威胁情报能够在整个威胁分析和事件响应过程中为我们提供更多关注点,以帮助我们更好地制定决策并协作工作。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。