威胁谍报是目前信息安适范围最热门的术语之一。但是,正如许多风行语一样,它经常被滥用和滥用。所有的嗡嗡声都造成了很多混乱。
此中大部分源于威胁数据(即威胁信息)是威胁谍报的说法,当它只是一个难题时。当数据通过威胁上下文进行丰富时,威胁数据将成为威胁谍报,从而生成相关的可操纵信息,使组织能够更好地调解其安适性和业务方针。
威胁数据是恶意域,IP地点或哈希值的原始调集,不供给任何打击或威胁上下文。
虽然威胁数据确实具有其用例,但其优势在没有上下文的情况下受到限制,以允许安适团队做出明智的决策。为了正确操作威胁谍报,组织必需通过将其引入其安适打算,清楚地了解其寻求实现的方针。没有它,威胁谍报措施可能会成为资源的昂贵消耗,并且几乎没有实际价值。
虽然数据馈送对付威胁谍报措施至关重要:并非所有来源都是平等的。
虽然有许多威胁谍报来源,但最常见的来源是:恶意软件措置惩罚惩罚,扫描/爬行,蜜罐,人工智能和内部遥测。威胁谍报凡是作为开源,免费资源或付费订阅供给。
为了从这些数据源中获得最大收益,组织需要很好地舆解其源的来源,以便他们可以评估与其内部智能相关的数据。
最好的Feed会近乎实时地更新和转发。消化旧的或不完整的数据可能导致组织存眷错误的方针,这可能导致数据过载和警报疲劳。在云计算时代尤其如此,IP地点可以每天多次颁布和反复使用。
告成的威胁谍报打算的关键是对每个数据馈送进行适当的分析 - 获得进行操纵变换和掩护环境所需的上下文。
如果没有仔细的规划和执行,将威胁谍报纳入现有的安适打算可能会导致令人掉望的功效。例如,一家给与FS-ISAC(金融处事部门)威胁谍报的制造公司将不太可能实现其预期的功效; 因为这种特殊的谍报来源将具有金融处事配景,而不是专注于与其行业相关的威胁。
告成的根本是确保威胁谍报打算与业务方针连结一致。执行此操纵的最佳要领是评估特定数据馈送如何解决与特定业务操纵相关的安适问题。
凡是,当事件产生时,对其范畴或严重水平知之甚少。常识凡是仅限于单个警报或指示器,必需通过适当的配景和智能来丰富,以便从第一个事件中转移并确定潜在事件的全部范畴。这种模糊性是最先进的打击的范例特征,它隐藏在庞大的编码或恶意软件背后。安适团队必需对每个事件进行分类和评估,以确定其准确性和严重性,以确定是否需要更多存眷(查询拜访)。
在这两个阶段中,安适运营团队凡是依靠威胁谍报来确定事件的可能范畴及其可能造成的损害。例如,有关文件的警报可能只包罗一个哈希指示符。手动分析可能会发明其他指标,但这种分析非常耗时。
更好的要领是部署自动威胁谍报增强系统。
虽然分析人员可能需要几分钟甚至几小时才华从恶意软件分析转向整个网络中的指标,但自动化要领可以在几秒钟内完成不异的事情。自动化威胁谍报丰富可用于实现既快速又高效的可预测且可反复的流程。这种要领还使分析人员免于收集和验证数据的繁琐且容易堕落的任务,从而将其释放出来用于增值分析和威胁搜寻。
威胁谍报的方针是使用数据来提高安适性并供给更高的可见性,因此安适人员可以按照他们对业务带来的危害确定调处法子的优先级。
选择“正确”的数据源是第一步,但设置机制和事情流程来挖掘它,丰富它并将其转化为可操纵的智能更为重要。