摘要:获取及时和准确的威胁情报现在是许多组织安全行动的核心。如今,安全团队似乎拥有丰富的数据和情报来源可供选择。然而,对许多人来说,从无数的来源中选择正确的信息并将其转化为行动是一项艰巨的挑战,对一些人来说可能是一种诅咒。 |
它需要在收集足够全面的信息与同时关注与您自己组织的环境和基础设施特别相关的内容之间取得仔细的平衡。过多或多余的数据将使安全分析师负担过重,因为他们浪费时间筛选大量不必要的信息。另一方面,如果缺少一些至关重要的东西,则可能会产生可怕的后果。再加上将所有不同的数据源整合为标准化的、可操作的格式所花费的大量时间和专业知识,整个过程给安全部门和资源带来了巨大的压力。
这是一个迫切需要自动化的领域,而这正是当今现代威胁情报平台(TIP)的目标所在。他们承诺提供一定程度的复杂性和速度,几乎可以消除人工数据同化,使安全分析师能够专注于改进防御并与合作伙伴组织合作。
除了急需的数据处理之外,自动化还可以通过实现内部和外部更轻松、更快速的情报共享,在打击威胁行为者方面带来其他优势。
数据处理的苦差事
首先,数据同化和启用带来了可喜的时间节省,因为自动化平台可以在几分钟和几小时内处理大量数据,比员工手动处理要快得多,也准确得多。
通常情况下,安全团队会以不同且不兼容的格式从多个地方收集大量威胁情报。对于分析人员来说,将如此大量的不同信息关联起来是一项费力的工作,而且可能会犯错误,尤其是在满足补救时间表的压力下。
自动化消除了从大量来源(包括内部日志、开源提要和威胁情报提要)导入数据的苦差事。无论是结构化的还是非结构化的,威胁情报平台(TIP)对数据进行规范化,用额外的上下文丰富数据,然后将其关联并转换为标准格式。
除了节省时间和避免错误之外,标准化还带来了其他好处:它可以轻松地将数据集成到现有的企业级安全基础设施和工具中。
企业范围的情报共享
通过自动化,智能可以在整个组织中有效地共享,消除竖井,并允许访问最新的数据。这有助于将分散在各个部门和地点的不相关的威胁数据和知识转化为可操作的见解。此外,这些联合起来的威胁情报能力可以快速扩展,无论是为了满足增长,还是包括合并和收购,或者解决新的漏洞和网络攻击形式。
在过去,缺乏对安全信息的访问常常阻碍了对危害整体安全的威胁的集体理解。通过协作,个体可以集思广益,设计并共享最有效的防御措施。
专注于正确的优先事项
在吸收了来自内部和外部的相关数据后,威胁情报平台(TIP)的可以支持安全团队
根据内部预先确定的标准评估威胁的严重性和相关性。
安全分析师可以专注于最关键和最紧急的补救措施,而不是被冗余和无关的ioc分散注意力。自动化完成了艰苦的工作,处理和确定数据的优先级,让安全团队根据其组织的安全状态、遵从性义务和内部治理标准来设置参数。
它为流程带来了一致性,快速区分哪些是重要的,从而缩短了检测和响应危险威胁的时间,突出了应该改进安全实践的地方,以及应该分配额外资源的地方,以帮助进行安全预算和规划。
扩展外部协作
除了数字处理和威胁的优先级,现代威胁情报平台(TIP)的还有另一个妙招来帮助对抗威胁行为者:它促进了情报的双向交换。重要的威胁情报和补救措施可以迅速与政府机构、安全社区和行业协会共享,从而减少网络犯罪分子扩散攻击的机会。
随着威胁行为者通过暗网上的网络犯罪论坛和勒索软件即服务等产品比以往任何时候都更加合作,网络攻击的规模和复杂程度可能会继续增长。“五大家族”组织只是另一个新发展的例子,涉及黑客团伙汇集他们的知识,组成一个集团,策划更大规模的网络犯罪活动。但是,如果通过威胁情报平台(TIP)的共享情报成为所有组织的最佳实践,像这样的恶意行为者将发现越来越难以利用新的受害者。
转向威胁驱动型企业
网络安全是一项全球性挑战。关键的威胁情报不应该被禁锢在组织内部,让坏人可以自由地使用类似的策略进行进一步的攻击。采用双向反馈的威胁情报平台(TIP),将支持一种积极的趋势,即采取更有活力和合作的方式来打击犯罪活动,增强每个安全团队在网络威胁造成损害之前先发制人的能力。
威胁情报平台(TIP)能够提供与组织的特定行业、威胁环境和操作环境高度相关的情报,从而实现精确的威胁检测和响应。当每个人都准备好向前迈出下一步,并与志同道合的社区分享经验教训时,所有参与者的集体防御将得到加强。
编辑:Harris