海量威脅數據令安全團隊不堪重負。十年前,除了政府機構還沒人談論威脅情報;現在,公司企業卻被威脅數據狂轟濫炸,不得不直面分辨真正威脅的挑戰。
聚合這些數據需要思想上的轉變和威脅情報的成熟以達到更好的風險規避效果。否則,僅為擁有數據而收集數據不僅沒有任何好處,還會在實際上削弱安全情報規劃的力量,畢竟分析那些大多數情況下只是噪音而非真正的威脅指示器(Indicator)的數據是需要耗用時間和人力的。
威脅情報 = 大數據
如果企業的長期目標是擁有成熟的威脅情報規劃,那它們需要進行內部風險評估和制訂行動計劃。
首先,威脅情報是關乎獲取盡可能多的數據,而不僅僅是應對當前威脅的當前數據。忽視歷史數據會遺漏能為安全工作帶來啟發并提高企業抵御能力的有價值的信息。解決辦法是弄清適合各自環境的不同平臺,而不是直接加大投入。
再者,大多數安全團隊并沒有有效利用自身威脅數據,因為數據實在是太多了。靠人力分析以跟上數據產生的速度根本不可能。而且有很多新的方式可以擴散威脅數據,由于人力無法以有意義的速度攝入數據,這就演變成了典型的大數據問題。
威脅情報只在安全分析師可以利用數據的情況下才有價值,產生長長報告的程序對推進威脅情報毫無用處。從億萬數據中淘出可用的幾千條需要大量的時間和人力,數據洪流通常會令安全分析員們痛苦萬分,信息大爆炸,既是挑戰也是機會。
許多安全廠商一致認為,威脅情報已成為大數據問題。另外,威脅情報同時也是內部威脅,不僅僅是“內鬼”,操作失誤的員工也包含在內,當然也包括出問題的機器和設備。因此,企業需要進行內部審計來認清自身內部和外部漏洞,因為不知道要防范什么也就無從談起自我保護。
態勢感知
隨著網絡安全環境的發展和轉變,尤其是企業越來越依賴于云服務和需要適應不斷變化的基礎設施,一些公司可能還沒準備好將注意力放在風險評估上。公司企業持續遷移到云端,威脅指示器在不斷改變,那么,企業該怎樣促進威脅情報的發展和規避風險呢?
企業需要了解,最重要的是數據以及保證數據的安全。要在最高優先級的資產周圍部署安防程序,要確切的知道高危數據存在哪兒。更重要的是,企業要清楚,不是所有的數據都是有價值的。根據需要評估情報并合理投資,僅僅是將技術堆到問題上不是有效率的做法。如果風險評估已經完成,且有成形的一攬子計劃,安全廠商反應的速度便可以快上很多。
許多人都知道,要防御某種威脅,一般至少要見過一次這種威脅(即黑名單)。共享大范圍攻擊簽名信息有助于最小化漏洞和剔除更大的威脅。如果企業能夠在它們的活躍領域找出入侵者,就有更大的機會在數據被盜前阻止罪犯。但在防御大范圍攻擊上最大的挑戰就是,一旦攻擊簽名被發現且被共享,攻擊者便會又制造出一款新的惡意軟件。
知曉自身環境可以發現行為上的異常現象,而行為分析是威脅情報中極有價值的一環。“知識就是力量”可不是一句空話,感知越多,就越不容易淪為受害者。安全態勢感知通常更具性價比,且是安全情報的基石。
對所有企業而言最重要的,是清楚它們自身環境中真正重要的地方。共享威脅情報信息可以幫助識別已知風險,自我學習有關可用服務的知識,以及擁有根據自身環境特別定制的威脅情報程序,將有助于企業防范網絡攻擊。
隨著越來越多的產業甄別出更多的需要,威脅情報也將持續成長和進化來適應企業的需要。企業需要信息來源,而一旦它們擁有信息來源,用來存儲和管理這些數據的平臺也就成為了必需。
如果企業正尋求購入安全產品,打分機制將成為使平臺個性化的工具。這種機制應該是以客戶為中心的視角給出的評分,而不是內置的所謂的“智能”評分。
威脅情報“待辦事項”清單
篩選威脅數據以使企業了解自身面臨的風險狀況是一件勞心勞力的工作。下列5條可以幫助確定從何處入手:
1. 弄清自身內部外部環境。盡管聽起來有點像老調重彈,卻是規劃威脅情報通途中重要的第一步。
2. 保持清醒,別被噪音干擾。知道有價值威脅數據和噪音的區別可以幫助企業理解自身環境中正在發生的各種動作。
3. 進行風險評估。風險評估是通向降低風險的第一步。沒有風險評估將拉長與第三方廠商合作的進度。
4. 共享,充分共享。共享非泄密信息可以使安全團隊對具體威脅了解更多,掌握大范圍攻擊的生命周期。
5. 研究可用的服務。有大量高品質的高端服務可以提供自動化工具和實時風險評估。很多平臺都能夠聚合海量數據并確定哪些信息是做出響應的。
原文地址:http://www.aqniu.com/neo-points/9953.html
京公網安備 11010502049343號