七種威脅情報模型調(diào)優(yōu)的方法
譯文【51CTO.com快譯】安全威脅的本質(zhì),就是過于動態(tài)而無法一勞永逸。那么,這里有一些方法可調(diào)優(yōu)威脅情報模型以助您擺脫自滿的表象。
威脅情報的事實真相
請經(jīng)常詢問您的威脅情報服務提供商,有關任何或是所有您所想到的問題。
“他們每個人都應該告訴您,他們是如何收集和校對數(shù)據(jù)的,” Webroot公司的安全結(jié)構(gòu)高級總監(jiān)Dave Dufour表示,“他們有歷史記錄嗎?那他們是如何編譯的?他們能把威脅從‘窗簾’后揪出來嗎?這些都是您應該問的。”他補充道。含有惡意IP地址的黑名單被每天更新一次,可能對于大多數(shù)組織是足夠的。但如果您覺得不夠的話,完全可以要求他們做得更為頻繁些。
| 譯者總結(jié):簡言之,就是要注意考量威脅情報服務提供商們是如何收集、分析和生成情報的,以及情報的整個生命周期。 |
當心那些偏差和營銷伎倆所粉飾了的數(shù)據(jù),咨詢公司的IP架構(gòu)總裁John Pironti警告說:“有時候只會看到一個由于偏差所致的原因或假設。”Pironti補充說,作為供應商和研究人員都會設法尋找對他們某個特定的觀點或是“預先定義目的”的支持。所以您從一開始就要準備好詢問出各種問題,并完全可以迫使提供商們?nèi)プC明其數(shù)據(jù)和結(jié)論。
| 譯者總結(jié):不要被服務提供商所宣稱技巧所迷惑,如果不能產(chǎn)生跟您的組織或者威脅模型有關系的威脅情報,那將都是浮云。 |
購買還是激活
組織和信息安全工作人員有時能會驚訝地發(fā)現(xiàn),他們所面對的是某種根本沒有被激活的威脅情報的數(shù)據(jù)源或服務。所以說他們不是要把錢投入一個新的解決方案,而是要購買已經(jīng)放在那兒的,而且已經(jīng)啟動了的設備的許可證,才能更具經(jīng)濟效益。Webroot的Dufour如此建議道。
“很多情況下,那些可能需要組織花精力去搭建起來的,卻正是他們已經(jīng)擁有的威脅可見性,”他補充道。用戶可能并沒有包含其他安全信息的威脅數(shù)據(jù)源的集合,而可能只能看到那些被阻止或已攻擊的部分。CISO(首席信息安全官)并不總是知道每一種之間的轉(zhuǎn)換關系,但信息安全專業(yè)人員們卻能知道其設備里正在發(fā)生著什么。
| 譯者總結(jié):“售后服務”也很重要。提供商應該為您投入持續(xù)的時間,和你一道討論情報的輸入與輸出,以產(chǎn)生滿足您目前和未來的需求的有價值的數(shù)據(jù)。 |
質(zhì)量控制
您的威脅防御系統(tǒng)的智能水平取決于它所派生出來的數(shù)據(jù)。安全專業(yè)人員應該持續(xù)監(jiān)測威脅情報數(shù)據(jù)的靜態(tài)性,判定它們是否來自白名單或黑名單,以及它們的頻率更新,Webroot的Dufour如是說。
在威脅的全局上,客戶也應該對于那些正在被用來收集數(shù)據(jù)的輸入感知器的可見性。從而給他們一種方式,來判斷供應商或服務提供者,為其特定環(huán)境場景所提供的數(shù)據(jù)的適用性和有效性。威脅情報供應商應該對特定的威脅產(chǎn)生一個聲譽評分,其置信區(qū)間,是用一個區(qū)間的各種數(shù)值來提供指定的概率。如果他們不是已經(jīng)提供了的話,這將是他們用來回應需求的一個不錯的增值服務。
Webroot說,另一個值得注意的問題是來自威脅情報數(shù)據(jù)的假陽性數(shù)量。這些阻斷和警報不但浪費了時間、減緩了業(yè)務、還騷擾了終端用戶。
保持精度
數(shù)據(jù),特別是那些威脅情報數(shù)據(jù),有時只能成為一種“鈍器”而非“利器”。比如說為一個組織而進行的正確數(shù)據(jù)組合,卻可能對另一個組織是極其錯誤或不適合的。對威脅情報而言,一種固定的模式是不能適合所有的。IP架構(gòu)師John Pironti如是說。
他鼓勵用戶留意威脅情報提供商或服務供應商對業(yè)務知識的缺失。Pironti警告說:“情報供應商一般不會將客戶情報類業(yè)務知識納入到他們的分析和報告之中。“此外,他們所被分配到的風險通常是基于安全專業(yè)人員角度的,而不是從更廣泛的組織本身的視覺出發(fā)的,因此這使得情況更為復雜和微妙。他補充道:一般所要關注的水平應該基于組織,包括其領導層或業(yè)務模型。
有時威脅情報服務提供商能提供出很少的或根本沒有深入了解到組織的特定風險。“風險評分是基于一般技術條件和規(guī)范的,而不是那些受到影響的組織的特有風險。”Pironti解釋道。組織需要清楚這些風險評分是如何計算出來的,并在必要時可以要求提供商們予以修改。
| 譯者總結(jié):有了威脅情報提供商,獲取威脅數(shù)據(jù)源已經(jīng)不是困難的事情了。反而如何在這些數(shù)據(jù)產(chǎn)生的同時,能夠獲取適合組織自身的,而且能加以分析和利用的數(shù)據(jù),才是組織和服務提供商需要做足功課的地方。 |
找自身原因
涉及到如何處理威脅數(shù)據(jù)時,組織可能會發(fā)現(xiàn)他們也有一些來自內(nèi)部的挑戰(zhàn)。根據(jù)Ponemon(安全研究中心)和安全報告提供商Anomali的報告顯示:在處理威脅響應數(shù)據(jù)時,超過三分之二的組織(69%)缺乏具有專業(yè)知識的技術人員。
阻礙組織如何應對威脅情報數(shù)據(jù)的另一個問題是缺乏掌控權(quán)(58%),而另一些人則認為缺乏合適的技術(52.5%)。“組織在流程方面和報告技能方面的不足,為給威脅數(shù)據(jù)設定優(yōu)先級設置了額外的挑戰(zhàn)。”Anomali在一份報告的總結(jié)部分如是說。
超過一半的受訪者(52%)認為他們的組織需要一個合格的分析師,從威脅情報中得到最多價值;幾乎相同數(shù)量的受訪者(49%)表示,他們的信息安全團隊根本不接收或閱讀任何威脅情報報告。這表明那些工作量本就過載的IT部門,或許已用戶被質(zhì)疑了他們能否真的勝任于管理太多的所謂“首要任務”。
付諸行動
威脅情報數(shù)據(jù)可以成為一個偉大的工具,一個有助于指導安全專業(yè)人員和可能重置日常議程與優(yōu)先級的晴雨表。但任何流向IT部門的數(shù)據(jù)量級都是壓倒性的(真的有人去審查每條服務器日志嗎?)。然而那些威脅情報數(shù)據(jù)如果不被用來采取任何行動的話,它們將對任何人都沒有任何好處。
“您可能沒必要去使用那些威脅情報,除非您有能力對它們采取行動。” Anomali的副總裁Jason Trost在最近一次Dark Reading的虛擬事件里提到:“如果您不對它們采取行動的話,您可能都不值得去消費那些數(shù)據(jù)。”
組織必須探究數(shù)據(jù)及其內(nèi)部發(fā)生了什么。Webroot的David Dufour表示,然后他們來決定如何(或如需)對數(shù)據(jù)的顯示內(nèi)容進行應用。“如果您沒有可用的資源去使用它們,那么您很可能就是在浪費您的錢財。“他還補充說,不如把這筆錢花費到事件響應的方面。
| 譯者總結(jié):要注意對情報的整合與應用能力,如果所得的情報不能結(jié)合企業(yè)實際產(chǎn)生可實施的安全控制和操作的話,更別提和決策流程相結(jié)合了。 |
正確使用威脅情報數(shù)據(jù)
客戶通過自我教育,義不容辭的使得自己在采集和使用安全產(chǎn)品方面變得明智,而不僅僅局限于在威脅情報數(shù)據(jù)方面。但是作為安全提供商Leidos的Chris Coryea經(jīng)理也指:值得注意的是信息不對稱的發(fā)生情況實在是太常見了。
”據(jù)IDC的報告,77%的公司調(diào)查將SIEM(安全信息與事件管理)與威脅情報相等同,另外35%將威脅情報與安全的社區(qū)所提供的共享信息相關聯(lián)。“Coryea在該公司的博客上寫道。”這兩點證明了許多組織的網(wǎng)絡安全成熟度還在一個淺的層次上。”
| 譯者總結(jié):除了與SIEM之外,企業(yè)還可以將威脅情報數(shù)據(jù)導入SO(安全運營)并形成聯(lián)動,從而從風險評估管理的角度制定出適合本企業(yè)的解決方案與措施。 |
供應商可以通過提供相關性、上下文環(huán)境和威脅情報內(nèi)容的態(tài)勢常識等來幫助企業(yè)培養(yǎng)更多威脅的應對能力。信息安全專業(yè)人員從而需要按需評估其組織的威脅情報相關性和威脅源的危害價值。
這可能對于信息安全專業(yè)人員來說,起初會是個是一個鎮(zhèn)痛的意見交換與沖撞的過程。但是如果能正確地和貫徹始終的做到的話,組織不但能更好地保護自己,還能筑起信息安全領域更為廣闊的防護“柵欄”。
原文標題:7 Ways To Fine-Tune Your Threat Intelligence Model,作者:Terry Sweeney
【51CTO譯稿,合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】
