海量威胁数据令安全团队不堪重负。十年前,除了政府机构还没人谈论威胁情报;现在,公司企业却被威胁数据狂轰滥炸,不得不直面分辨真正威胁的挑战。
聚合这些数据需要思想上的转变和威胁情报的成熟以达到更好的风险规避效果。否则,仅为拥有数据而收集数据不仅没有任何好处,还会在实际上削弱安全情报规划的力量,毕竟分析那些大多数情况下只是噪音而非真正的威胁指示器(Indicator)的数据是需要耗用时间和人力的。
威胁情报 = 大数据
如果企业的长期目标是拥有成熟的威胁情报规划,那它们需要进行内部风险评估和制订行动计划。
首先,威胁情报是关乎获取尽可能多的数据,而不仅仅是应对当前威胁的当前数据。忽视历史数据会遗漏能为安全工作带来启发并提高企业抵御能力的有价值的信息。解决办法是弄清适合各自环境的不同平台,而不是直接加大投入。
再者,大多数安全团队并没有有效利用自身威胁数据,因为数据实在是太多了。靠人力分析以跟上数据产生的速度根本不可能。而且有很多新的方式可以扩散威胁数据,由于人力无法以有意义的速度摄入数据,这就演变成了典型的大数据问题。
威胁情报只在安全分析师可以利用数据的情况下才有价值,产生长长报告的程序对推进威胁情报毫无用处。从亿万数据中淘出可用的几千条需要大量的时间和人力,数据洪流通常会令安全分析员们痛苦万分,信息大爆炸,既是挑战也是机会。
许多安全厂商一致认为,威胁情报已成为大数据问题。另外,威胁情报同时也是内部威胁,不仅仅是“内鬼”,操作失误的员工也包含在内,当然也包括出问题的机器和设备。因此,企业需要进行内部审计来认清自身内部和外部漏洞,因为不知道要防范什么也就无从谈起自我保护。
态势感知
随着网络安全环境的发展和转变,尤其是企业越来越依赖于云服务和需要适应不断变化的基础设施,一些公司可能还没准备好将注意力放在风险评估上。公司企业持续迁移到云端,威胁指示器在不断改变,那么,企业该怎样促进威胁情报的发展和规避风险呢?
企业需要了解,最重要的是数据以及保证数据的安全。要在最高优先级的资产周围部署安防程序,要确切的知道高危数据存在哪儿。更重要的是,企业要清楚,不是所有的数据都是有价值的。根据需要评估情报并合理投资,仅仅是将技术堆到问题上不是有效率的做法。如果风险评估已经完成,且有成形的一揽子计划,安全厂商反应的速度便可以快上很多。
许多人都知道,要防御某种威胁,一般至少要见过一次这种威胁(即黑名单)。共享大范围攻击签名信息有助于最小化漏洞和剔除更大的威胁。如果企业能够在它们的活跃领域找出入侵者,就有更大的机会在数据被盗前阻止罪犯。但在防御大范围攻击上最大的挑战就是,一旦攻击签名被发现且被共享,攻击者便会又制造出一款新的恶意软件。
知晓自身环境可以发现行为上的异常现象,而行为分析是威胁情报中极有价值的一环。“知识就是力量”可不是一句空话,感知越多,就越不容易沦为受害者。安全态势感知通常更具性价比,且是安全情报的基石。
对所有企业而言最重要的,是清楚它们自身环境中真正重要的地方。共享威胁情报信息可以帮助识别已知风险,自我学习有关可用服务的知识,以及拥有根据自身环境特别定制的威胁情报程序,将有助于企业防范网络攻击。
随着越来越多的产业甄别出更多的需要,威胁情报也将持续成长和进化来适应企业的需要。企业需要信息来源,而一旦它们拥有信息来源,用来存储和管理这些数据的平台也就成为了必需。
如果企业正寻求购入安全产品,打分机制将成为使平台个性化的工具。这种机制应该是以客户为中心的视角给出的评分,而不是内置的所谓的“智能”评分。
威胁情报“待办事项”清单
筛选威胁数据以使企业了解自身面临的风险状况是一件劳心劳力的工作。下列5条可以帮助确定从何处入手:
1. 弄清自身内部外部环境。尽管听起来有点像老调重弹,却是规划威胁情报通途中重要的第一步。
2. 保持清醒,别被噪音干扰。知道有价值威胁数据和噪音的区别可以帮助企业理解自身环境中正在发生的各种动作。
3. 进行风险评估。风险评估是通向降低风险的第一步。没有风险评估将拉长与第三方厂商合作的进度。
4. 共享,充分共享。共享非泄密信息可以使安全团队对具体威胁了解更多,掌握大范围攻击的生命周期。
5. 研究可用的服务。有大量高品质的高端服务可以提供自动化工具和实时风险评估。很多平台都能够聚合海量数据并确定哪些信息是做出响应的。
原文地址:http://www.aqniu.com/neo-points/9953.html
