威胁情报信息源可以帮助企业从内部系统的信号中找出未知威胁,而安全情报则更进了一步。
多年来,很多企业大量投资于安全信息和事件管理以及日志管理技术来收集、管理和分析日志。大规模数据分析领域的进步让企业使用程序来从数据中发现异常活动和分析攻击。然而,企业很容易被从这些数据中获得的指标和警告所淹没。
这正是安全情报派上用场的时候。我们不是盲目地寻找“新的”和“异常”事件,我们现在可以搜索特定IP地址、URL或者有效载荷模式。这特别重要,因为攻击活动可能很长时间不会被发现;大多数公司是由外部实体通知,而不是内部传感器—尽管数据收集和事件监控方面已经取得进步。
现在,威胁情报信息源的数量正在不断增加,从大型网络安全社区提供的免费开源数据;到经审核和聚合的商业产品;到封闭式信息共享社区—专门针对特定行业或重点领域。当你部署和使用这些威胁情报信息源时,你需要当心你不要再次淹没在数据中。安全情报能够帮助你更容易地在日志数据海洋中找出信号,而不是在持续的日志分析中增加噪音和分析负担。
在根据企业风险和优先级挑选最佳安全情报信息源之前,企业需要考虑以下三个因素:
• 企业威胁情况。企业面临什么类型的威胁?哪些威胁无法被内部部署的安全情报产品发现?
• 传感器功能。你能够收集什么数据,你已经部署或计划部署什么传感器?
• 情报差距分析。如果你有特定的情报信息源,你的企业可以更有效地缓解哪些当前威胁?
金融服务机构不仅需要缓解针对其自身基础设施的威胁,而且还要应对影响其客户的威胁,例如银行恶意软件。关于这个恶意软件使用的命令控制服务器的威胁情报信息可能比不上HTTP请求中假冒设备的情报。因为企业不可能监控连接到该命令控制服务器的客户设备,但受感染机器的IP地址的信息将很有用,可以帮助发现这些系统的传输记录,并通知被感染客户。
威胁情报不应该被限制为简单的基于网络和主机签名,例如IP地址和恶意软件的哈希值。为了让安全情报可以帮助解决业务问题,企业应该考虑交易量或与交易及其他风险相关的特定行业性能指标。对于担心外国竞争者访问其知识产权或商业机密的跨国企业,他们需要考虑这些潜在竞争对手的能力、其地理位置以及过去采用的方法。
为了发挥威胁情报的真正潜力,以及帮助企业充分了解内部收集到的数据,企业应该分享威胁情报。来自其他企业的信息很有用,特别是类似行业的企业,因为他们面临着类似的威胁。但分享你的威胁信息也很有帮助,这能够提供你内部收集的数据的其他方面的信息。例如,不能完全攻击你网络的攻击可能可以有效攻击其他企业的网络。这些网络安全团队现在可能会分享更多关于攻击者的意图和功能的详细信息,让你的团队可以回到你的系统,搜索更多他们可能错过的指标。
最后,只有安全情报程序提供相关的可部署的签名来帮助企业更有效地缓解威胁,安全情报程序才会成功。