用历史应对威胁情报数据过载挑战

本文讲的是用历史应对威胁情报数据过载挑战 ,没过滤的威胁情报应用到防御上,只会产生大量误报。

有句名言说过:“那些不记得过去的人注定要重蹈覆辙。”想必正看此文的各位还记得网络安全早期时候,网络团队都依赖防火墙来处理新兴安全需求,而且重点基本是在阻止和封堵上。很快,需要整理的数据山呼海啸而来,从堆积如山的日志中找出真正的威胁让人疲于应付。不过,安全团队依然在努力跟进。

随着威胁持续进化,安全层越加越多,比如入侵检测、入侵预防,还有反病毒。伴随新增的终端解决方案,存储残片激增,数据和噪音水平暴涨——误报困扰着整个行业。接下来的几年市场继续成熟,安全成为一门独立的学科。公司企业成立了安全专家团队,新技术涌现,提供公司环境上下文,自动化某些流程,制定行动优先级。

特别是最近,集成与整合的趋势显现,目标是降低复杂性,方便自动化。但由于这些工作大多以厂商为中心,想将真正行业顶尖的终端解决方案融入到公司安全基础设施中往往不太容易,有时候甚至相互冲突导致顾此失彼。

同样的历史在威胁情报身上重演——太多数据太多误报。随着公司企业将威胁情报深化为自身安全态势的基石,内部安全运营中心(SOC)、事件响应和威胁情报团队开始成为公司必备。这些专家不断找寻各种方法,应用威胁情报理解和处理公司面临的最紧迫威胁。

困难在于,他们有太多的数据反馈,有些来自商业源,有些是开源,有些是行业内数据,还有些是公司现有安全厂商反馈的——每种数据反馈都有各自的格式。除此之外,公司防御层中的每个终端产品,都有自己独特的情报。缺乏自动筛选数据汪洋的工具和洞见,数据只能成为噪音。疲于奔命地试图将未经筛选的威胁情报应用到公司防御上,必然会产生大量误报。

想要控制蕴藏在异构威胁数据中的能量,就得将大量数据整合进中央存储仓库,将之转录成统一的格式以供分析和应用。然后,还得用额外的内部和外部威胁与事件数据加以丰富。通过将公司内部事件和相关指标,与IOC数据、对手及其攻击方法相关联,你可以得到额外的关键上下文和相关性,可以确定特定于公司的威胁优先级。

审视网络安全发展历程可以看到,集成、上下文和优先化,是让我们得以从现有安全投资和安全运作中获取更多益处的东西。集成做对了,可以在现有安全工具和服务的基础上有效应用威胁情报。SIEM、日志、票据系统、事件响应平台、编配与自动化工具等现有工具和服务都可以充分利用起来。能够无视厂商差异的开放且可扩展的集成,可以完全解锁你设想中的威胁情报,快速处理对公司最重要的威胁。

从网络安全历史中学到的经验教训,诸如散沙一盘的问题,上下文、自动化和优先化的重要性,集成中的注意事项等,可以应用到威胁情报的进化中来。通过并行和敏捷应用,我们可以在共享情报、集成防御和协调响应上走得更快。只有到那时,我们才可以说是真正认识到操作威胁情报的好处——提升安全态势并减小弱点暴露窗口期。

时间: 2024-11-29 22:39:19

用历史应对威胁情报数据过载挑战的相关文章

CS 3:威胁情报解决方案峰会——数据是威胁情报的基础

"威胁情报"可谓是安全圈儿里最近当之无愧的热词.在刚刚落下帷幕的安全界盛会RSA大会上,大会主席阿米特·约伦(Amit Yoran)发表主题演讲,认为"未来安全防御应该增加在安全检测技术上的投资."作为提升安全检测能力重要手段的威胁情报,其重要性不言而喻. 由安全牛举办的"CS 3:威胁情报解决方案峰会"吸引了360.IBM.谷安天下.微步在线.白帽汇,这国内五家在威胁情报应用技术上领先的安全厂商和安全咨询公司到场.据安全牛主编 李少鹏 介绍,C

快速识别重要威胁:威胁情报与SIEM的结合

ThreatConnect是威胁情报代表性企业之一,著名的钻石模型理论提出者.ThreatConnect近期发布了一份报告,讲述企业如何通过威胁情报平台来增强SIEM/SOC的安全能力,以便更全面的理解威胁.消除误报,形成主动.智能的防御体系.小编带您一起具体了解下这份报告的内容. 1. 从SIEM的本质出发,它是用来做什么的?有哪些局限? 安全信息与事件管理系统(SIEM)在国内我们通常更倾向于称之为安全运营中心(以下简称SOC),主要用于发现整个企业中的趋势和态势,从多种事件和具有上下文信息

威胁情报共享:是安全突破,还是昙花一现?

最近,威胁情报共享的概念在企业安全领域逐渐流行起来,并已在行业大会和供应商的市场推广活动中成为流行语.但是,威胁情报共享究竟指的是什么呢?我们真的可以利用它有效地防范网络攻击吗?   关于威胁情报共享有许多有效的途径来传递,如用户到供应商.供应商到用户.用户到用户.供应商到供应商.威胁情报共享的核心就是供应商从用户那里收集信息,然后将这些信息再传递给用户,以便使用户们更好地应对网络威胁和网络攻击. 另一种共享情境是针对同样的情报,供应商对其改造再利用,如利用其创造出一种新的或者改良的检测方法,或

威胁情报在甲方安全运维中的应用

前言 很多企业使用 SIEM 来收集日志数据,并将安全事件与多类安全设备(入侵检测设备.Web应用防火墙等)日志相关联,指导安全人员进行风险处置.然而 SIEM 也存在局限,监控人员往往被淹没在海量的告警之中无从下手,原因之一就是对于威胁的告警没有处理的依据,例如缺乏经验的监控人员很难判定一条安全事件告警是扫描还是针对性攻击引起的(通常后者需要更多关注).而通过借助于威胁情报,可为监控人员提供处理依据,也可为安全人员在进行日志分析和攻击溯源时提供有力帮助. 在本文中,来自证通股份有限公司的安全管

从RSAC2017看威胁情报如何落地

年度安全峰会RSA2017已于美国时间2月13日盛大开幕.从最近三年RSA所有演讲的主题词热度可以看出,"Threat"和"Intelligence"都是大家关注的重点.威胁情报厂商也如雨后春笋般出现在网络安全领域,除了新起之秀外,也有不少传统安全厂商将业务扩展到威胁情报领域,纷纷争相推出自己的威胁情报产品.威胁情报"从理念到产品再到客户投入使用只用了短短几年时间,这些嗅觉敏锐的企业是如何占得市场先机的呢?小编从本届RSA大会上选出几家有代表性的威胁情报厂

机器人、威胁情报、对抗机器学习以及深度学习是如何影响安全领域的

转 安全数据科学正在蓬勃发展,有报告显示安全分析市场将在2023年达到八十亿美元的价值, 26%的增长率.这要感谢不屈不挠的网络攻击.如果你想要在2017年走在不断涌现的安全威胁的前面,那么投资在正确的领域是很重要的.在2016年3月,我写了一篇<2016年需要注意的4个趋势>.而2017年的文章由我与来自Netflix的Cody Rioux合作,带来他的平台化视角.我们的目标是帮助你为2017年的每一个季度形成一个计划(例如,4个季度有4个趋势).对于每一个趋势,我们都提供了一个短小精悍的理

如何用大数据做威胁情报 | 硬创公开课

       大数据.威胁情报,这两个词汇听起来非常性感.在我们的想象中,掌握大数据的人就像先知和上帝,俯视我们所不能完全理解的事态,精准地预言我们将要面临的危机.然而,对于大数据的利用是非常考验功力和技巧的.很多学艺不精的团队稍不留神就可能把威胁情报搞成"摆摊算卦".  本期硬创公开课我们请来了白帽汇的创始人刘宇,白帽汇拥有一样独门武器,那就是NOSEC大数据平台,可以汇总诸多白帽子网罗的独特情报.像黑客一样去思考,就是他们的自我要求,今天就请刘宇来聊聊白帽汇在真枪实弹的对抗中,究竟

HP姚翔:大数据应对企业安全业务新挑战

本文讲的是HP姚翔:大数据应对企业安全业务新挑战,在月初刚刚结束的RSA2013(美国)大会上,大数据安全成了众多厂商热议的话题,同时也成为今年业界最为关注的技术热点之一.包括惠普在内的众多厂商都推出了和大数据安全相关的产品与解决方案.在日前举行的媒体沟通会上,惠普企业安全产品部北亚区总经理姚翔和媒体分享了企业目前面临的风险变化,以及惠普在大数据安全方面的成绩,并介绍惠普如何通过大数据来实现大安全. ▲惠普企业安全产品部北亚区总经理姚翔 企业安全业务面临的问题 姚翔首先总结到,新环境下企业安全目

如何从威胁数据当中提取出威胁情报

威胁情报供给能力已经成为各类组织机构内网络安全体系的重要组成部分.目前已经有多家安全方案供应商针对最新恶意软件手段.恶意域名.网站.IP地址以及基于主机的违规指标(简称IoC)提供与安全威胁相关的情报反馈. 而这些威胁反馈方案的本质思路可谓大同小异.恶意人士的行动速度正变得越来越快,而强大的情报供应能力则将使安全供应商得以快速反应并共享与实际出现的最新威胁相关联的重要信息. 这些策略无疑会给情报订阅用户带来诸多助益.企业能够通过这种众包方式快速获得关键信息,同时实现恶意软件特征签名的快速交付.然