改进威胁情报策略的九种方式

每位首席信息安全官的梦想都是拥有一艘没有任何漏洞的船,高级持续性威胁和黑客活动分子永远无法攻破它。这的确是一种梦想,但我们应当将其变成现实。问题在于,当人们越来越靠近优化威胁情报策略的理念时,他们往往会忽略大局。

宣传和使用威胁情报只有一个真正的目标:减少行动风险,以保持或提升盈利能力。随着攻击方制造数据破坏的新趋势,受到长期损害的可能性也变得更高。那么,首席安全官应当如何行动?

通过将情报资源集中于高度特定化的商业目标(保持或提升盈利能力),过大的目标可以被缩小到一小点高度有价值的情报。要做到这一点,应当建立更加有效的威胁情报策略。

保持对大局的关注,减少行动威胁,保持盈利能力应当是企业威胁情报策略的基础。

01. 情报收集,更进一步

收集网络威胁情报有三个主要方法:

  1. 通过截取和分析通讯过程等使用的信号,获得信号情报(Signals Intelligence,SIGINT);
  2. 来源于公开信息的开源情报(Open-source Intelligence,OSINT);在我们讨论的这个情景下,它们是使用搜索引擎或专门的爬虫软件搜集的互联网情报;
  3. 人工情报(HUMINT),使用威胁源社区中的线人。

当然,应该根据企业的实际情况排布三者的优先级。

02. 建设与否:忍受痛苦并选择

威胁情报有一个特点:获取多少也不嫌多。

大多数企业开始进行情报收集时入口很小,他们查找得越多,得到的就越多。一段时间之后,这变成了过于繁重,但又必须完成的任务。这时候就又遇到那个老生常谈的问题了:建设还是购买?在单独进行选择之前,应当先咨询与你的用例有关的专家。

03. 获得更好的上下文

这样做十分诱人:专注于最新的威胁,与此同时凝视上周获取的信号,甄别最微小的趋势。但如果你在细节上迷失,将有可能漏掉更危险的猎物和更持久的威胁。基本上,你的威胁情报必须包括宏观和微观的时间段,最大限度地减少遭受严重数据泄露的风险。

04. 知道多少并不重要,方法才重要

威胁情报中最为常见的问题并不是收集或处理数据,而是在企业不同部门之间沟通获取的信息。如果获得高质量的威胁情报,应急小组、安全行动中心、事件响应、漏洞管理等领域都能够大幅度进步。如果你在看完这篇文章之后做的唯一一件事就是调查如何在企业内分配情报,你的时间不会白费。

05. 打破知识隔阂

众所周知,对于威胁情报而言,存在很大的知识隔阂。这个隔阂的大小大约与 C 级高管的规模与能力相当。但这必须改变。

不论如何,你必须清楚知识隔阂并不一定是 C 级高官的问题,而是无法将这些真实存在的网络威胁转换成高管能够理解并据其响应的安全专家的失误。因此不论是通过面谈还是渠道,都应当牢记多与高管进行沟通。询问他们的需求,以及他们希望如何实现。他们需要一种可以方便理解并消化的信息格式。

06. 行动 vs 策略

有用的威胁情报项目能够自动处理来自各种源头的外部攻击数据(也被称为入侵指标)。

事件识别只是第一步。第二步是自动化防御控制,阻止未来的事件发生。这一威胁情报的关键功能之所以有效,是因为它围绕计算资源展开。基于行动能力建立的世界级威胁情报方案包括围绕人才的资源和策略性分析。分析师确定当前和未来针对企业战略资产的信息安全威胁。

07. 确定趋势

趋势的确定可能包括宏观项目,比如确定企业明年面临的顶级网络威胁。宏观趋势一般都是从季度或年度视角上作出的。包括确定有可能被对手利用的新工具发布时间的微观趋势基本上是以天或周的时间跨度确定的。

08. 内部狩猎

检测恶意内部人员以及未检测到的外部攻击是威胁情报应当定期执行的另一个策略性功能。了解网络拓部结构和可用的观测源是先决条件之一。但伟大的猎人应当具有创造性,他们能够基于规律和来自单个或组合数据集的异常识别发明新的狩猎方法。

09. 不断地问你自己这个问题

说到底,你想要它有多复杂,威胁情报就能多复杂。永远有更多需要测试的东西、更多需要检查的日志文件和更多需要阅读的研究报告。但在做这些事情的同时,你需要不断问自己同一个问题:这对帮助企业保持盈利有好处吗?只要问题的答案是否定的,你就应当将它放下,并选择新的目标,毕竟总还有更多需要观测的数据。

本文转自d1net(转载)

时间: 2024-12-21 22:26:56

改进威胁情报策略的九种方式的相关文章

“老三样”会思考:以威胁情报驱动安全产品演进

安全从来不是一成不变,但当我们听惯了各种"下一代安全"时,难道就真的觉得"老三样"不行了?事实上,防火墙.入侵检测.防病毒这些老三样们仍然占据着安全市场的出货量主力.所以,市场一次又一次的告诉我们,它们依然有价值! 只不过,它们在变. 如果把这些安全设备.软件比喻为手和脚的话,那么变的是什么,是不是缺少点什么?对的,"大脑"!在360网神看来,安全产品该由规则驱动转向威胁情报驱动,进而来说,数据则是安全的大脑,有了它才能让手和脚更聪明.灵活. 威

学习javascript面向对象 掌握创建对象的9种方式_javascript技巧

本文为大家分享了javascript创建对象的9种方式,供大家参考,具体内容如下 [1]使用Object构造函数 [缺点]使用同一个接口创建很多对象,会产生大量重复代码 var person = new Object(); person.name = "Nicholas"; person.age = 29; person.job = "Software Engineer"; person.sayName = function(){ alert(this.name);

九种必定失败的淘宝客方式

6月22日,亚洲最大的网络零售商圈淘宝网宣布:为推动网络零售行业的整体发展,淘宝开放平台(Taobao Open Platform)全面试开放.与去年只开放部分API不同,今次开放的系统建构在数据开放.平台开放和插件标准开放上. 开放数据包括15大类共100多个API,从业务深度与广度来说,都比上一次有了很大的提高,可以方便将淘宝的基础电子商务提供给第三方电子商务开发者.涉及到用户隐私与安全的内容,利用了非常安全的页面化方式开放出来,这是"Powered by Taobao"的一个独创

Threatbook合伙人李秋石:具有中国特色的安全威胁情报

 WOT2015"互联网+"时代大数据技术峰会于2015年11月28日于深圳前海华侨城JW万豪酒店盛大揭幕,42位业内重量级嘉宾汇聚,重磅解析大数据技术的点睛应用.秉承专注技术.服务技术人员的理念.DBA+社群作为本次大会合作方,将通过图文直播为大家全程跟踪报道这场技术盛宴.    在安全圈提起"威胁情报",可谓无人不知无人不晓.什么是威胁情报?威胁情报是一种基于证据的知识,包括了情境.机制.指标.隐含和实际可行的建议.威胁情报描述了现存的.或者是即将出现针对资产的

机器人、威胁情报、对抗机器学习以及深度学习是如何影响安全领域的

转 安全数据科学正在蓬勃发展,有报告显示安全分析市场将在2023年达到八十亿美元的价值, 26%的增长率.这要感谢不屈不挠的网络攻击.如果你想要在2017年走在不断涌现的安全威胁的前面,那么投资在正确的领域是很重要的.在2016年3月,我写了一篇<2016年需要注意的4个趋势>.而2017年的文章由我与来自Netflix的Cody Rioux合作,带来他的平台化视角.我们的目标是帮助你为2017年的每一个季度形成一个计划(例如,4个季度有4个趋势).对于每一个趋势,我们都提供了一个短小精悍的理

秋色园QBlog技术原理解析:系列终结篇:最后的AOP策略(十九)

开篇闲话: 好几个月没写文章了,从9月15号发布新浪"微博粉丝精灵"V1.0后,持续的几个月都在折腾它,现在都折腾到V3.4版本了. 因此,本篇迟来了三个月了,同时,本篇也是本系列的最后一篇了,也是秋色园最后杀手锏,霸气总该是要外露的.   上节回顾: 上节  秋色园QBlog技术原理解析:性能优化篇:读写分离与文本数据库(十八), 秋色园 QBlog 将一些简单频繁的数据,借用文本外储,来分减一些压力,从而为并发降温,保障网站的顺利运行.   本节概要: 文本外储,在一定程序上解决了

威胁情报如何在企业安全市场合纵连横?

本文讲的是 :  威胁情报如何在企业安全市场合纵连横?  ,  [IT168 评论]每年的RSA都会为网络安全行业带来新的风向标和新的热门词汇,今年的RSA所提出的威胁情报和大数据安全即风靡整个行业,传统安全市场也受到云计算.大数据技术的影响,行业联动已经成为必然.越来越多的安全厂商开始推动产业联盟的成立,各大互联网巨头在积极开拓市场的同时也将众多传统安全企业收罗旗下.基于感知的安全系统和解决方案层出不穷,安全的感知能力和数据挖掘能力逐渐引起行业重视.本文将就威胁情报采各家安全厂商之言,看威胁情

威胁情报怎么用

威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少.下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正. 有些时候情报和威胁情报很容易被划等号,其实不然.威胁情报(和攻击者相关).漏洞情报(和脆弱点相关).资产情报(内部IT业务资产和人的信息),都属于情报的范畴,但作用和生产维护方法都不同,需要明确区分.它们都是安全分析需要的信息,资产和漏洞在多年前就一直被重视,甚至安全建设就是被认为是围绕着资产和漏洞的.现实中攻防对抗的不断演进,让我们不得不进入主

威胁情报七大通用守则

威胁情报的价值在于,可使企业安全领先黑客一步,甚至是多步. 网络安全是一项艰难的事业.每天,企业都要面临来自全球各地黑客的猛攻.身为一名网络安全从业人员,我们的任务不仅仅需要实时对抗这些攻击,还要在事发前缓解以预防威胁.而这就需要威胁情报. 无论选择哪种类型的威胁情报,总有那么一些良好实践可以遵循.甚至网上有一些免费可得的开源信息,可帮助企业预测并准备好应对未来的攻击.Recorded Future 公司的情报及策略副总裁,李维·甘德特,带来以下7条威胁情报通用规则.无论我们是否采用威胁情报平台