标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
详情 | |||||||||||||
[SAFE-ID: JIWO-2024-1807] 作者: 对不起 发表于: [2018-09-03]
本文共 [374] 位读者顶过
通过观察威胁情报是如何产生的,如何在组织中传播及应用,用户可以有效地管理它。 [出自:jiwo.org] 管理威胁情报的产生意味着需要采取一些能够找出其真正来源的有效方法,比如尽可能自动运行并提前识别组织使用的案例,以便可以专注于正确对应数据。 与能够对其采取行动的人分享你的威胁情报–这意味着要确保它是以即时情景的方式产生,并且能够被目标受众理解。 通过提高现有程序的效率,获得更高的投资回报,并使用户的安全系统更加完善强大,有效地利用威胁情报。 您可能已经点击了这篇博客文章,期望能够更有效地管理您的数据提要。毕竟,处理威胁数据来源是任何威胁情报专家工作的基础。但是真正管理起来非常费时——这是理所当然的,任何改进威胁情报管理方法的尝试都会涉及到更有效的数据处理。 让我们探讨一些进行威胁情报管理的指导原则,并通过一些案例研究来展示其价值。 威胁情报管理的现实价值 虽然许多威胁情报解决方案只会为您提供数据源,但威胁情报的真正价值并不在于组织和管理所有不同的数据源——威胁情报提供背景信息,原始数据勾勒出一张地图;威胁情报实际上为您指出了一条路线。 无关组织大小,有效地管理您的威胁情报可以归结为改进威胁情报开展的三个阶段:如何产生威胁情报?如何传播威胁情报?以及它最终在您追求组织的网络安全需求时是如何应用的? 但是,在您着手改进这三个阶段之前,必须先确定什么威胁情报案例对您的组织来说是最重要的,然后才能回答一个更基本的问题,即改进什么。 制作你需要的威胁情报 威胁情报最终是从原始来源衍生出来的完美产品,其中最常见的是威胁数据的输入。在选择要从哪里提取数据,以及如何评估其价值时,需要遵循一些最佳实践方法。单个数据提要通常提供这一数据的主题,如与恶意活动相关的可疑IP地址或电子邮件地址列表。 即使在这个有限的范围内,提要的也只是未区分的信息流,其中没有任何单个数据点优先于其他,这使得手工排序对任何分析师来说都是一个巨大的麻烦。一个好的威胁情报解决方案应该使这个分类过程自动化,例如,通过有明确定义的本体对原始数据进行排序,使分析人员能够更容易研究某个特定的主题。 然而,自动化处理并不等同于制作本身。更完善的威胁情报解决方案将不仅仅包括来自公开的威胁数据源的数据,而且还包括来自像社交媒体、暗网论坛和技术资源网站的数据。之后再将这些不同的数据源合并到一个与您的组织案例相关的数据供应处。 与正确的人分享你的威胁情报 能够将所有这些杂乱无章的数据汇集在一起,从中分析师能够识别模式并得出结论。这看上去不错,然而除非针对最终威胁情报可采取某些行动,否则这份威胁情报仍然不会有多大价值。这是每个人都喜欢使用的商业术语中的一种——“我们需要为今年的第四季度制定更多可行的策略!”——实际这本身并不意味着什么。 要想对威胁情报采取行动,通常需要考虑下列因素:
任何威胁情报发展周期的产出将因其目标受众而产生不同。最终结果可以是具体情景报告,以便吸引商界领袖关注;旨在通知进行安全操作的技术指标;运行趋势和威胁提醒的仪表板,如漏洞、恶意软件或恶意基础设施;对潜在攻击或损害品牌的活动发出警报,等等。 有偏向的运用威胁情报 通过一开始就确定目标受众,以及即将产生的情报的最佳服务案例,从而管理你的威胁情报服务。 回到上面根据目标受众可以产生的不同形式的威胁情报的例子,这里有一些情景可以应用这些情报:
威胁情报有无数的应用程序——比其他任何组织都能有效地利用它。能够更有效地着手管理威胁情报的最佳方法是确定个人需要关注哪些应用程序并找到最适合个人需求的解决方案。 |