威脅情報用戶有效關(guān)聯(lián)的重要性
確保組織的安全基礎(chǔ)設(shè)施覆蓋所有可能的威脅入口是一回事,而確保主動保護是另一回事。
在不斷增長的在線威脅和復(fù)雜的網(wǎng)絡(luò)威脅中,組織需要通過積累威脅情報不斷增強其網(wǎng)絡(luò)防御能力,以跟上發(fā)展的步伐。但是,責(zé)任并不僅限于此,他們需要理解收集到的數(shù)據(jù),并把這些點聯(lián)系起來,以保持一個沒有威脅的環(huán)境。
有效的威脅關(guān)聯(lián)是主動防護的關(guān)鍵要素,不僅可以防御已知威脅,而且還可以防御未知威脅。這就是組織通常在IT安全解決方案和系統(tǒng)中尋找的東西。也就是說,如果他們依靠外包商來滿足他們的安全需求,那這也是他們對各自提供商的期望。
有效威脅關(guān)聯(lián)的要素
保證客戶網(wǎng)絡(luò)的安全需要安全服務(wù)提供商減少誤報和漏報,并驗證傳感器的性能和可用性。這些挑戰(zhàn)可以通過有效的威脅關(guān)聯(lián)來解決。
通過適當(dāng)?shù)耐{關(guān)聯(lián),安全響應(yīng)團隊可以專注于他們的最優(yōu)先級。這提高了他們的效率,同時降低了由于更嚴格的隱私保護指南和法律帶來的潛在風(fēng)險和公司責(zé)任。但怎樣才能建立有效的威脅關(guān)聯(lián)呢?
為了有效地連接構(gòu)成當(dāng)今混合威脅的各個部分,安全提供商需要高質(zhì)量的數(shù)據(jù)。添加到客戶的解決方案和系統(tǒng)中的信息必須及時且相關(guān)。
理想的相關(guān)過程是使用接近實時的信息。安全提供商越早發(fā)現(xiàn)主動入侵,就能越快處理它。識別和監(jiān)控潛在的威脅源也比事后處理攻擊的效果更劃算。一旦發(fā)現(xiàn)數(shù)據(jù)泄露,受害者必須向擁有受影響數(shù)據(jù)的人支付經(jīng)濟補償。
安全外包也將使用相關(guān)信息。他們需要在正確的時間將正確的信息傳遞給正確的人。例如,如果由于網(wǎng)絡(luò)故障而無法連接到客戶端的防火墻,應(yīng)該通知網(wǎng)絡(luò)運營中心(NOC),而不是安全團隊。除此之外,他們還需要過濾掉不相關(guān)的噪聲,以免誤報。他們需要檢測手動日志調(diào)查或僅查看單個設(shè)備的工具可能會忽略的高風(fēng)險威脅。網(wǎng)絡(luò)中的每個設(shè)備都需要以無縫方式與所有其他設(shè)備一起使用。
安全提供商需要確保他們的基礎(chǔ)設(shè)施能夠滿足客戶的威脅情報收集、整合和關(guān)聯(lián)需求。
有效的威脅關(guān)聯(lián)架構(gòu)的三要素
一個有效的威脅關(guān)聯(lián)架構(gòu)至少包含三個基本步驟:收集、整合和關(guān)聯(lián)。
1. 收集
一些安全解決方案只是從公司網(wǎng)絡(luò)中提取傳感器日志文件,然后將其上傳到中央存儲庫,可以采用壓縮來減少網(wǎng)絡(luò)帶寬需求。其他的通常在單個設(shè)備上執(zhí)行收集和初始分析以分配收集過程,從根本上減少了帶寬需求。無論如何分配和完成工作,此步驟都只是收集所有需要標(biāo)準(zhǔn)化或聚合的可用威脅情報和數(shù)據(jù)源。
2. 整合
這個階段也稱為“標(biāo)準(zhǔn)化”或“聚合”,它涉及過濾無關(guān)數(shù)據(jù),將重點放在安全解決方案及其用戶通常定義的重要內(nèi)容上。在這一步中,許多誤報被消除。
整合會去除重復(fù)的數(shù)據(jù),并確保每個數(shù)據(jù)都是標(biāo)準(zhǔn)格式的。通過這種方式,在關(guān)聯(lián)時,可以輕松地將信息與其他所有信息進行比較。即使數(shù)據(jù)來自不同的來源(具有不同配置的系統(tǒng),來自不同供應(yīng)商的解決方案等),仍然可以形成相互關(guān)系。
3. 關(guān)聯(lián)
最終目標(biāo)是從多個安全平臺獲取數(shù)據(jù),并將其關(guān)聯(lián)起來,為威脅響應(yīng)團隊提供及時、相關(guān)和準(zhǔn)確的情報。
對于使用集中式數(shù)據(jù)庫的解決方案,分析人員只需運行適當(dāng)?shù)牟樵兙涂梢缘玫巾憫?yīng)。但是,這可能會受到可伸縮性和性能問題的限制。為了分析大量的數(shù)據(jù),組織需要能夠處理大量處理需求以及時間的系統(tǒng),考慮到威脅滲透網(wǎng)絡(luò)的快速速度,這些時間可能是有限的。
每個組織都需要一個有效的威脅關(guān)聯(lián)架構(gòu),如果他們要承受不斷增長的數(shù)量和復(fù)雜性的威脅所帶來的風(fēng)險。不管他們的安全需求是依賴內(nèi)部的還是第三方的,他們都有一個共同點。他們需要及時、相關(guān)、準(zhǔn)確的數(shù)據(jù)——幸運的是,這些數(shù)據(jù)并非遙不可及。
