如果不能進行處理,網(wǎng)絡(luò)威脅情報僅僅只是數(shù)據(jù)。那么。企業(yè)IT團隊如何通過注重相關(guān)CTI以獲取更快的威脅偵測及響應(yīng)速度呢?
最大化威脅情報價值:正確衡量威脅情報指標(biāo)
威脅情報服務(wù)能夠產(chǎn)生價值,但企業(yè)必須首先確定如何正確地衡量威脅情報指標(biāo)。在本文中,Char Sample為大家解釋了實現(xiàn)這一目標(biāo)的最佳途徑。
數(shù)據(jù)混淆技術(shù)能有效地防止數(shù)據(jù)泄漏嗎?
數(shù)據(jù)混淆技術(shù)提供了不同的方式來確保數(shù)據(jù)不會落入錯誤的人手中,并且,只有少數(shù)個人可訪問敏感信息,同時還可確保滿足業(yè)務(wù)需求。
混合“白+黑”名單方法是如何幫助企業(yè)加強安全的?
企業(yè)不應(yīng)該僅僅依靠黑名單或白名單,而應(yīng)該同時部署這兩者。理想的解決方案是混合白名單-黑名單方法,結(jié)合這兩者的優(yōu)勢……
相關(guān)推薦
安全防御:數(shù)據(jù)與情報需唯“真”是問
如今已經(jīng)是動態(tài)安全時代,傳統(tǒng)設(shè)備和方案都是靜態(tài)的,很難對抗持續(xù)變化和升級的攻擊手段。威脅情報正好是以動態(tài)的手段來對抗攻擊者……
調(diào)研報告:誰偷了企業(yè)對其安全狀況的信心?
日前,思科發(fā)布年度安全調(diào)研報告,報告評估了當(dāng)前的威脅情報和網(wǎng)絡(luò)安全趨勢,并指出隨著當(dāng)今攻擊者的攻擊行動更加復(fù)雜、大膽和更具彈性,全球僅有45%的企業(yè)對其安全狀況充滿信心。
用好威脅情報 防止APT攻擊
在攻擊發(fā)生時,要珍惜檢查事件的廣泛背景,分析誰在攻擊企業(yè)網(wǎng)絡(luò)以及采取哪些措施來防止未來的攻擊。
有哪些頂級威脅情報服務(wù)可供企業(yè)選擇?
威脅情報會從多個來源收集數(shù)據(jù),并將數(shù)據(jù)轉(zhuǎn)變成可操作的背景信息。在本文中,專家Ed Tittel評估了一些頂級威脅情報服務(wù)。
技術(shù)手冊
跨站腳本攻擊防御
跨站腳本攻擊(cross-site scripting,XSS)是Web開發(fā)人員面對的嚴(yán)重安全問題。這種攻擊允許惡意網(wǎng)站操作人員濫用Web用戶對不相關(guān)的第三方網(wǎng)站的信任,在終端用戶系統(tǒng)上執(zhí)行任意腳本。XSS攻擊發(fā)生時,惡意人士在其他用戶的瀏覽器中運行惡意瀏覽器腳本。本專題將介紹跨站腳本攻擊(XSS)以及如何進行防御。
云安全
云計算的概念越來越流行,而且云計算被認(rèn)為是一種強大的商業(yè)模式,使用云計算,可以根據(jù)需要購買計算能力、磁盤存儲、協(xié)作應(yīng)用開發(fā)資源、客戶關(guān)系管理(CRM),而且它非常靈活。但是采用云計算會遇到與外包有關(guān)的敏感的公司數(shù)據(jù)所能遇到的所有風(fēng)險。當(dāng)你和第三方已知或未知的轉(zhuǎn)包商交易時,特別是在全面范圍內(nèi)時,執(zhí)行安全策略和遵從法規(guī)要求就很困難。再加上云模糊的特性以及非傳統(tǒng)廠商進入這個市場,就更增加云的危險。
NAC技巧與應(yīng)用
如今網(wǎng)絡(luò)訪問控制(NAC)技術(shù)正趨向成熟,然而由于NAC的范圍過于廣泛,用戶面對各種各樣的NAC產(chǎn)品總是會有很多顧慮。本技術(shù)手冊從網(wǎng)絡(luò)訪問控制技術(shù)、網(wǎng)絡(luò)訪問控制的選擇技巧、網(wǎng)絡(luò)訪問控制的實施技巧和網(wǎng)絡(luò)訪問控制的實際應(yīng)用這四個方面對網(wǎng)絡(luò)訪問技術(shù)進行了介紹,希望能給大家一些幫助。
遠(yuǎn)程訪問安全
在有些時候,你可能需要有遠(yuǎn)程用戶連接到你的網(wǎng)絡(luò)上。遠(yuǎn)程計算在生產(chǎn)力和環(huán)境上有些得到證明的優(yōu)勢,但是并不是沒有缺點——大部分的時候以信息安全風(fēng)險的形式出現(xiàn)。如果遠(yuǎn)程用戶的電腦感染了病毒或者他們在不安全對的無線連接上傳送敏感的電子郵件和即時消息時,會發(fā)生什么事兒呢?
最專業(yè)的
企業(yè)級IT網(wǎng)站群
微信公眾號 官方微博
TechTarget中國 版權(quán)所有 京ICP備09021745號
All Rights Reserved, Copyright 2016
TechTarget中國 版權(quán)所有 京ICP備09021745號All Rights Reserved, Copyright 2016
【TechTarget中國原創(chuàng)】
如果不能進行處理,網(wǎng)絡(luò)威脅情報僅僅只是數(shù)據(jù)。在本文中,我們?yōu)镮T團隊提供了聚焦于相關(guān)的CTI以獲得更快的威脅偵測及響應(yīng)速度的技巧。
作為政府承包商的一名前安全分析師,Larry Larsen為聯(lián)邦機構(gòu)做的很多工作都涉及威脅情報在網(wǎng)絡(luò)防御策略中的廣泛使用。
“我們發(fā)現(xiàn)了來自許多不同來源的針對政府的多種各異的攻擊方法,要了解攻擊的來源和緣由在運營角度勢在必行”,Larsen回憶說。
現(xiàn)在,作為弗吉尼亞州費爾法克斯市的Apple Federal Credit Union公司的首席信息安全官,Larsen拉森應(yīng)用類似的方法,在威脅情報程序設(shè)計用于處理針對他當(dāng)前雇主的多方面的威脅應(yīng)用過程中,發(fā)現(xiàn)了許多的價值。
“網(wǎng)絡(luò)安全并非是真正意義上的技術(shù)冒險”,他說,“它是在技術(shù)環(huán)境中的行為風(fēng)險,這同時也是反情報方法的介入點”。
大多數(shù)公司都有防火墻、反病毒軟件和其他IT安全工具,這些工具可以接入公司的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中。但是(這些工具)經(jīng)常沒辦法告訴安全分析師攻擊的源頭來自哪里,以及是誰正在試圖進入后門等這些信息。
“我想知道是誰正坐在鍵盤前操縱著這些攻擊,還有他們到底想要得到什么”,Larsen說,“想要財務(wù)數(shù)據(jù)?還是大規(guī)模的信息收集活動?還是想要收集這些信息用于更加具有破壞性的攻擊?”
Larsen是通過實施威脅情報容量來幫助引導(dǎo)安全程序技術(shù)方面的越來越多的安全技術(shù)官員中的一人。據(jù)分析公司IT-Harvest的統(tǒng)計,2015年威脅情報市場保守估計總計達(dá)1億9000萬美元的收入。但預(yù)計今年將高達(dá)4億6000萬美元,到2018年將超過15億美元。
推動市場發(fā)展的是大眾越來越基于公司所面臨的具體威脅情況,面向?qū)嶋H需求在安全方面的集中努力并促成對環(huán)境更好的感知聚焦。總部設(shè)在三藩和倫敦的Digital Shadows公司便提供此類的服務(wù),量身定制的威脅分析和警報,面向被盜數(shù)據(jù)和憑證的深度網(wǎng)頁搜索等等,這些都通過該公司的SearchLight平臺實現(xiàn)。
這是事關(guān)“了解你周圍發(fā)生的事情,你可以弄清楚該做什么,”Rick Holland說,他是長期供職于Forrester Research的資深分析師,現(xiàn)在是Digital Shadows的戰(zhàn)略副總裁和SANS Cyber Threat Intelligence Summit的聯(lián)合主席。
他說:“環(huán)境意識需要那些提供并超越公司的邊界的內(nèi)部和外部視野的工具”。
根據(jù)Larsen和其他安全專家的意見,我們總結(jié)了實施網(wǎng)絡(luò)威脅情報能力時,你需要牢記的一些原則。
挖掘你的內(nèi)部基礎(chǔ)設(shè)施
建立強大的態(tài)勢感知能力所需的大量數(shù)據(jù)都是留存在公司內(nèi)部的。從應(yīng)用程序日志數(shù)據(jù)、入侵檢測和入侵防御系統(tǒng)、防火墻、終端防病毒系統(tǒng)和其他安全控制工具能夠告訴你很多關(guān)于即將在網(wǎng)絡(luò)內(nèi)發(fā)生的問題以及目前已經(jīng)曝光在你面前的漏洞。位于芝加哥的Alliant Credit Union公司首席信息安全官Bill Podborny指出。
它可以告訴你誰在試圖闖入你的網(wǎng)絡(luò),什么東西混了進來以及正常的用戶和網(wǎng)絡(luò)行為應(yīng)該是什么樣子的。最重要的,他補充道,你從自己內(nèi)部網(wǎng)絡(luò)中所收集的數(shù)據(jù),利用安全信息和事件管理或者像Splunk的數(shù)據(jù)收集和分析工具,能夠幫助你識別縫隙和利用你的安全控制范圍內(nèi)的漏洞,據(jù)此可以提前做出反應(yīng)。
公司經(jīng)常關(guān)注使用來自外部的威脅反饋和威脅數(shù)據(jù)。他們很難將數(shù)據(jù)放回與自己內(nèi)部網(wǎng)絡(luò)所發(fā)生的事情聯(lián)系起來,這只是因為他們沒有足夠的視野。
“情報的最佳來源是公司自己的數(shù)據(jù)”,SIEM供應(yīng)商LogRhythm公司的首席信息安全官James Carder說道,該公司位于科羅拉多州的博爾德市。該公司的統(tǒng)一安全情報平臺(Unified Security Intelligence Platform)將日志管理、終端及網(wǎng)絡(luò)監(jiān)控、SIEM以及安全分析組合起來。
“如果公司內(nèi)部沒有基礎(chǔ)設(shè)施的部分,你就無法將數(shù)據(jù)放在公司內(nèi)部。如果不關(guān)注自己公司內(nèi)部的數(shù)據(jù)便無法運轉(zhuǎn)公司”,Carder說。
充分利用入侵?jǐn)?shù)據(jù)
創(chuàng)建威脅情報程序的任何方法應(yīng)該包括收集和分析網(wǎng)絡(luò)內(nèi)不同惡意行為的流程,特殊行業(yè)內(nèi)的威脅情報數(shù)據(jù),從金融服務(wù)、醫(yī)療健康到零售,這些行業(yè)的威脅數(shù)據(jù)的來源更加寬廣,超出了業(yè)務(wù)自身的范疇。
“公司必須從實際入侵發(fā)生的環(huán)境中收集威脅情報數(shù)據(jù)”,Holland強調(diào)。
舉例來說,安全公司應(yīng)該監(jiān)控和收集有關(guān)攻擊和僵尸活動的數(shù)據(jù),命令和控制流量、惡意軟件交付機制和文件泄露。
你需要具備從公司遭遇的攻擊中收集IP地址、惡意域名、文件哈希值和其他損害的指標(biāo)的能力,并且使用這些信息快速識別未來自己網(wǎng)絡(luò)中相似的攻擊目標(biāo)。
“沒有什么相關(guān)的威脅情報能比得上實際發(fā)生在公司內(nèi)部的真實事件”,Holland說。
關(guān)乎質(zhì)量,而非數(shù)量
有關(guān)威脅數(shù)據(jù)的一項常見誤解是需要大量的信息才能真正起到作用。事實上,除非你的公司有足夠的人員和資源來篩選大量的數(shù)據(jù),從干草堆中尋找一根針,因此你需要關(guān)注的是威脅數(shù)據(jù)的質(zhì)量,而非數(shù)量。
“我不關(guān)心是否每天會送來500TB的數(shù)據(jù)”,Apple Federal Credit Union的Larsen說,“我寧可選擇1024KB我實際能用得到的信息”。
訂閱威脅信息源的關(guān)鍵是選擇那些能夠幫助你回答“那又怎么樣”問題的內(nèi)容,Larsen補充道。有太多數(shù)量提供即將出現(xiàn)的威脅和威脅源的信息源和服務(wù),但很難辨別你的公司究竟需要哪一款。
多個威脅服務(wù)使用來自同一信息源的威脅源的情況很常見。因此,安全運營過程中的大量信息也很可能是重復(fù)的。
“公司必須避免嘗試訂閱所有的‘信息源’”,Holland建議說,“與你的業(yè)務(wù)、威脅模型所不相關(guān)的威脅情報只會壓垮你的安全人員和安全控制”,從另一個角度說,相關(guān)的威脅情報減少了干擾,因此安全團隊必須跟蹤和釋放掉它們,以便進一步聚焦在較小且更具相關(guān)性的事件數(shù)據(jù)上,他說。
像敵人一樣思考
當(dāng)實際實施網(wǎng)絡(luò)威脅情報時,采取基于風(fēng)險的方法。這意味著要理解潛在的目標(biāo)——你最具價值的資源——以及它們是如何被保護的。還有,有時,做到這一點的最佳辦法是像敵人一樣思考,據(jù)Larsen說。“如果我是壞人,我會盜取哪些數(shù)據(jù)以及我要怎么得手?”
最終情報的重要性
Forrester Research的高級分析師Josh Zelonis建議,在訂閱威脅情報服務(wù)時,選擇支持自定義服務(wù)的供應(yīng)商具體化需求。“在不理解公司詳細(xì)情況以及所面臨威脅源的動機前提下,為某人推薦威脅信息訂閱源是不負(fù)責(zé)任的”,他說。
按照Apple Federal Credit Union的首席信息安全官Larry Larsen的話來說,目標(biāo)應(yīng)該是嘗試和獲得“最終情報”來從服務(wù)供應(yīng)商處拓展可能性。“最終情報與單純的信息之間有很大的差別”,Larsen說,他的公司在SurfWatch Labs處訂閱了某一自定義的威脅情報。最終情報是你可以直接立即利用、挖掘和采取行動的信息。
舉例來說,獲得威脅源是黑網(wǎng)站上兜售的雅虎賬戶的情報。而完全了解在數(shù)據(jù)轉(zhuǎn)存中的這些賬戶屬于公司內(nèi)的48名用戶則是另外一件事。
“威脅情報需要與您公司的方式通知戰(zhàn)略和戰(zhàn)術(shù)決策的需求量身定制”,Zelonis說。
“任何沒有被濃縮到這個級別的情報就僅僅是數(shù)據(jù),如果公司內(nèi)部沒有能力進行濃縮和提取時應(yīng)該避免這一問題。”
-- J.V.
要了解主要的威脅源以及對方所使用的各種技術(shù)、技巧和流程是很重要的。對方使用哪種攻擊向量?他們在跟蹤哪種數(shù)據(jù)以及原因是什么?
公司所面臨的主要威脅來自于不懷好意的內(nèi)部人員、外部威脅源、國家資助的實體還是犯罪組織?或者還是來源于用戶疏忽地點擊了來自陌生人郵件中的附件。
“我告訴我的同事們必須保持健康的意識”,Larsen說,“你真的需要告誡你的員工,特別是當(dāng)他們在進行與網(wǎng)絡(luò)防御有關(guān)的任務(wù)時,這需要有意識地反復(fù)訓(xùn)練”。
采取基于風(fēng)險的方法
要讓威脅情報能夠充分利用起來,需要對公司所面臨的威脅造成的風(fēng)險有敏銳的認(rèn)識,Ryan Stolte表示。他是位于三藩市的安全供應(yīng)商Bay Dynamics公司的聯(lián)合創(chuàng)始人和CTO,該公司提供將用戶和實例行為分析集成起來的自動化的平臺Risk Fabric。
“威脅和漏洞是一定存在的,某些價值也存在風(fēng)險”,Stolte說。某些威脅并不具有相關(guān)性,因為你的數(shù)據(jù)或其他資產(chǎn)并沒有遭受風(fēng)險,他補充說,“如果你面臨的威脅確實存在,但不會有任何損失,那誰會在意?”
威脅情報程序的目標(biāo)應(yīng)該有關(guān)保護機密性、完整性以及重要資產(chǎn)的可用性,而無論是網(wǎng)站、支付系統(tǒng),還是數(shù)據(jù)庫或其他知識產(chǎn)權(quán)。需要了解哪些是重要的資產(chǎn)以及如果它們不可用時會造成什么樣的后果。
最大的風(fēng)險是知識產(chǎn)權(quán)的喪失,名譽損失還是客戶的流失?
“每天工作結(jié)束后,我都試著去理解。如果我今天要去修復(fù)一個問題,如何操作才能夠最大程度上降低風(fēng)險?”,Stolte說,“如果我要修復(fù)100個問題,風(fēng)險又會如何降低,原因會是什么?”
從小規(guī)模嘗試開始
根據(jù)Podborny的觀察,當(dāng)實際實施網(wǎng)絡(luò)威脅情報時,很容易被數(shù)據(jù)所淹沒。處理威脅情報數(shù)據(jù)就好像從消防水管中飲水那樣,消費和演算來內(nèi)部和外部信息源所傾倒的大量信息需要有恰到好處的流程控制。
“首先嘗試著取得一些成果”,他說。要弄清楚威脅數(shù)據(jù)會帶來什么,以及應(yīng)該如何處理他們,然后可以從流程中學(xué)習(xí)并構(gòu)建。
“一些成果指的是:你能夠?qū)δ軌虬l(fā)生在自己身上的具體事件保持積極的態(tài)度,或者如果這個事件從未發(fā)生過,你可以證明它能夠發(fā)生在你身上”,Podborny說。
實施網(wǎng)絡(luò)威脅情報程序的關(guān)鍵在于要讓好的信息以完全的信息進行展示,Stolte強調(diào)。
“不要自己閉門造車”,他說,“對待辦事項做好計劃,先調(diào)整部分?jǐn)?shù)據(jù)。確保能夠先得到一些結(jié)果并且依據(jù)這些結(jié)果可以進行下一步的操作”,他補充說,在推出計劃企業(yè)范圍。
堅持標(biāo)準(zhǔn)
關(guān)注新興的技術(shù)和標(biāo)準(zhǔn)。威脅情報程序的成功,依賴于你以自動的方式或通過手工分類實現(xiàn)數(shù)據(jù)獲取和處理數(shù)據(jù)的能力。
你需要能夠解析出數(shù)據(jù)到某一點上,來看看它是否足夠采取行動,或者是否僅僅是供參考,Podborny指出。威脅情報的一大部分工作是關(guān)于修正數(shù)據(jù),并采對其取適當(dāng)?shù)男袆印?/p>
支持信息分享參數(shù)的威脅信息源和服務(wù),如結(jié)構(gòu)化威脅情報表達(dá)式(Structured Threat Information eXpression,STIX)以及可信自動交換指標(biāo)信息(Trusted Automated eXchange of Indicator Information,TAXII),代表著信息遵從某一標(biāo)準(zhǔn)格式,且相對于非標(biāo)準(zhǔn)化的數(shù)據(jù),更容易自動化和共享。
按Digital Shadows公司的Holland的話說,企業(yè)正在意識到要構(gòu)建成功的威脅情報程序,僅僅依靠技術(shù)是不夠的。技術(shù)在其中起到促成并加速對人的分析的作用。
“我們開始看到面向結(jié)構(gòu)化威脅情報表達(dá)式(STIX)此類標(biāo)準(zhǔn)后面有更多的牽引力量,這將推動威脅情報從業(yè)人員統(tǒng)一溝通規(guī)則”,他說。這將促成執(zhí)行阻攔、偵測和響應(yīng)敵人的防御功能身手更加敏捷。
京公網(wǎng)安備 11010502049343號