網(wǎng)絡(luò)威脅情報(bào)旨在創(chuàng)建和共享有關(guān)快速發(fā)展的網(wǎng)絡(luò)威脅形勢(shì)當(dāng)前狀態(tài)的知識(shí),并為用戶和網(wǎng)絡(luò)安全解決方案提供識(shí)別當(dāng)前威脅和為未來(lái)做出戰(zhàn)略決策所需的信息和背景。
網(wǎng)絡(luò)威脅情報(bào)是使用高級(jí)分析算法收集和分析多源網(wǎng)絡(luò)安全數(shù)據(jù)。通過(guò)收集有關(guān)當(dāng)前網(wǎng)絡(luò)安全威脅和趨勢(shì)的大量數(shù)據(jù)并對(duì)這些數(shù)據(jù)進(jìn)行分析,威脅情報(bào)提供商可以獲得有用的數(shù)據(jù)和見(jiàn)解,幫助他們的客戶更好地檢測(cè)和準(zhǔn)備網(wǎng)絡(luò)威脅。
組織有廣泛的情報(bào)需求,從目前用于攻擊活動(dòng)的惡意軟件變種的低級(jí)信息到旨在為戰(zhàn)略投資和政策制定提供信息的高級(jí)信息。出于這個(gè)原因,威脅情報(bào)可以分為三種不同類型之一:
運(yùn)營(yíng):運(yùn)營(yíng)威脅情報(bào)側(cè)重于網(wǎng)絡(luò)攻擊者用來(lái)實(shí)現(xiàn)其目標(biāo)的工具(惡意軟件、基礎(chǔ)設(shè)施等)和技術(shù)。這種類型的理解有助于分析師和威脅獵手識(shí)別和理解攻擊活動(dòng)。
戰(zhàn)略:戰(zhàn)略威脅情報(bào)是高級(jí)別的,側(cè)重于網(wǎng)絡(luò)威脅領(lǐng)域內(nèi)的普遍趨勢(shì)。這種類型的威脅情報(bào)面向需要了解其組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)作為其戰(zhàn)略規(guī)劃的一部分的高管(通常沒(méi)有網(wǎng)絡(luò)安全背景)。
戰(zhàn)術(shù):戰(zhàn)術(shù)威脅情報(bào)側(cè)重于使用妥協(xié) (IoC) 指標(biāo)識(shí)別特定類型的惡意軟件或其他網(wǎng)絡(luò)攻擊。這種類型的威脅情報(bào)被網(wǎng)絡(luò)安全解決方案攝取,并用于檢測(cè)和阻止傳入或正在進(jìn)行的攻擊。
威脅情報(bào)應(yīng)該提供什么?
網(wǎng)絡(luò)威脅情報(bào)旨在提高組織將網(wǎng)絡(luò)風(fēng)險(xiǎn)降至最低、管理網(wǎng)絡(luò)威脅并將情報(bào)反饋到所有產(chǎn)品中的能力,以保護(hù)任何攻擊面。為了有效支持組織的網(wǎng)絡(luò)安全戰(zhàn)略,威脅情報(bào)平臺(tái)應(yīng)提供某些功能:
多源數(shù)據(jù)關(guān)聯(lián):不同的觀點(diǎn)產(chǎn)生不同的數(shù)據(jù)和見(jiàn)解。威脅情報(bào)平臺(tái)應(yīng)聚合內(nèi)部和外部數(shù)據(jù)源,為組織提供對(duì)其可能面臨的網(wǎng)絡(luò)威脅的全面可見(jiàn)性。
自動(dòng)分析和分類:威脅情報(bào)平臺(tái)收集的數(shù)據(jù)很容易使組織的安全團(tuán)隊(duì)不堪重負(fù),使其無(wú)法有效使用。威脅情報(bào)平臺(tái)應(yīng)該對(duì)情報(bào)進(jìn)行自動(dòng)分析、分類和優(yōu)先排序,以確保分析師首先看到最重要的數(shù)據(jù)。
數(shù)據(jù)共享:將威脅情報(bào)數(shù)據(jù)放在單個(gè)集中式系統(tǒng)上(并依靠分析師手動(dòng)將其分發(fā)到他們的防御解決方案)限制了其有效性。威脅情報(bào)平臺(tái)應(yīng)包括集成,以便在整個(gè)組織的安全部署中自動(dòng)傳播數(shù)據(jù)。
自動(dòng)化:網(wǎng)絡(luò)威脅形勢(shì)迅速發(fā)展,隨著網(wǎng)絡(luò)威脅參與者開(kāi)始新的活動(dòng)并結(jié)束其他活動(dòng),威脅情報(bào)數(shù)據(jù)迅速變得陳舊。如果要為用戶提供價(jià)值,則必須使用自動(dòng)化來(lái)加速分析和使用威脅情報(bào)。
可操作的見(jiàn)解:知道存在特定威脅與知道如何應(yīng)對(duì)它是不同的。威脅情報(bào)平臺(tái)應(yīng)就組織如何保護(hù)自己免受情報(bào)引起他們注意的威脅提供可操作的建議和見(jiàn)解。
如何選擇威脅情報(bào)平臺(tái)
存在許多不同的威脅情報(bào)平臺(tái)和源,并且,對(duì)于威脅情報(bào),更多并不總是更好。訂閱多個(gè)威脅情報(bào)源并嘗試在內(nèi)部匯總和分析它們可能會(huì)導(dǎo)致大量冗余和低質(zhì)量數(shù)據(jù)。相反,組織應(yīng)選擇具有以下品質(zhì)的威脅情報(bào)平臺(tái):
實(shí)時(shí)數(shù)據(jù):許多網(wǎng)絡(luò)攻擊活動(dòng)只持續(xù)數(shù)小時(shí)或數(shù)分鐘,這意味著每天更新的威脅情報(bào)基本上是無(wú)用的。一個(gè)有效的威脅情報(bào)平臺(tái)將提供基于實(shí)時(shí)數(shù)據(jù)分析的洞察力。
粒度威脅可見(jiàn)性:根據(jù)不同的因素(公司規(guī)模、位置、行業(yè)等)針對(duì)不同的網(wǎng)絡(luò)攻擊活動(dòng)。威脅情報(bào)平臺(tái)應(yīng)提供對(duì)更大市場(chǎng)所面臨威脅以及針對(duì)組織特定行業(yè)的威脅的可見(jiàn)性。
集成解決方案:識(shí)別潛在威脅但依賴分析師響應(yīng)的網(wǎng)絡(luò)威脅情報(bào)平臺(tái)并不能為其用戶提供其自動(dòng)化的全部?jī)?yōu)勢(shì)。威脅情報(bào)平臺(tái)應(yīng)與網(wǎng)絡(luò)安全解決方案集成,并能夠自動(dòng)響應(yīng)已識(shí)別的威脅。
文章鏈接: http://m.qzkangyuan.com/10356.html
文章標(biāo)題:網(wǎng)絡(luò)威脅情報(bào)是什么?威脅情報(bào)應(yīng)該提供什么?
文章版權(quán):夢(mèng)飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請(qǐng)注明來(lái)源,網(wǎng)絡(luò)轉(zhuǎn)載文章如有侵權(quán)請(qǐng)聯(lián)系我們!
