威胁情报是一个关键的组织需求

封面故事:持续的威胁情报收集、分析和优化可以帮助组织改进网络安全措施。

通过Anil Gosine, MG Strategy+ 2018年4月13日

网络安全管理人员面临着许多挑战,公司董事会要求提高网络风险意识,更快地处理复杂数据,并为越来越多的智能设备有效地管理服务。如果安全团队采取适当的预防措施,他们就能更好地保护组织免受威胁。工具和人员都需要增强威胁情报。

威胁情报不再是资金雄厚的大型组织的专利。现在要求它成为在这种不断发展的技术环境中经营的所有企业缓解战略的一个整体组成部分。小型企业能够访问可信的威胁情报来源,这些来源可以基于组织的简介和供应链。过去位于安全数据中心的关键数据现在在日益复杂的网络环境生态系统中移动,包括工业物联网(IIoT)、物联网(IoT)、云服务器、虚拟化环境和移动设备。

网络安全和威胁情报

一些企业环境的变化速度如此之快,许多组织难以跟上网络威胁不断变化的本质,或者无法保持对出现的威胁的关注。为了建立有效的网络安全战略,组织需要意识到具体的网络威胁,并了解这些威胁如何影响组织。

威胁情报提供有关当前或新出现威胁的背景、指标、增强的意识和可采取的应对措施。这有助于在作战、战术或战略层面上做出决策。网络对手正在使用更复杂的工具、技术和程序来逃避独立的安全计划。组织需要一个基于证据的、全面的威胁景观视图,并具有积极主动的安全态势,以保护组织免受各种潜在威胁的影响。

威胁情报服务的目标是为组织提供及时意识、识别、根据攻击指标采取行动并组成场景的能力,从而更好地防范零日威胁、高级持续威胁和漏洞利用。世界各地的安全团队都面临着发现、分析和解释大量日常事件以发现攻击的挑战。安全联盟正在努力自动检测、背景化、优先级、执行取证分析、自动化合规性和对事件的响应,超出了安全信息管理到安全威胁情报的范围。

设施所有者应明确他们希望从威胁情报中获得什么;包括:

  • 需要的警报类型
  • 供应商的消息
  • 情报是如何收集、报告并传达给相关利益相关者的
  • 分析过程
  • 如何使用威胁情报。

威胁情报反馈

应进行分析,通过对组织的流程、基础设施、需求、管理威胁情报的能力和安全态势的内部评估来确定组织的需求。客户应该比较数据提要和功能、警报和报告、相关订阅价格和提供商提供的支持。

对于正在发展威胁情报能力的组织来说,威胁情报馈送正在成为情报收集过程的主要方法。这些信息源提供了一个主要的好处,那就是将情报整合成一个容易消化的单一信息源。威胁情报提要的实时性至关重要,特别是在与安全信息和事件管理(SIEM)平台集成以允许自动比较其他提要条目时。

大多数组织在其安全平台中缺乏资源和成熟度来利用威胁情报馈源,应根据内部漏洞评估评估威胁信息,以便更好地确定安全控制的优先级。

威胁情报平台应该为组织准备防御。将威胁情报功能与组织的软件、硬件和策略防御策略相结合,可以增强员工搜索高级攻击、分析非典型恶意软件和检测潜在对手的能力。典型的内部威胁情报团队的部署和结构方式昂贵、亲力亲为,并且与组织的安全态势不一致。

客户应与其供应商合作,改进订阅产品、选定产品、用于集成的技术指标提要、关于事件和新兴网络威胁的具体摘要报告、各个业务部门内的趋势,并确保其与集成流程和业务需求的长期愿景保持一致。

网络安全专业人员和工具太少

该行业仍然需要解决技术娴熟的网络安全专业人员日益短缺、安全产品孤立、缺乏与其他设备和管理工具的集成、缺乏资金以及威胁数据相关性不足等问题。企业必须谨慎地实施计划,以避免典型的失败,例如没有将威胁情报集成到企业平台中,使用但不共享数据,手动流程成为负担,没有实时数据来提供安全意识,以及缺乏上下文化信息。

在网络攻击是在机器层面产生的全球环境中,客户必须确保威胁情报的识别、共享、理解和应用尽可能自动化。自动化平台允许方便地访问情报,并能够将攻击背景化并确定优先级,以便立即采取缓解战略。有效的情报评估来自各种来源和来源类型的情报,为组织创造更好的威胁和风险形象。

对终端客户的价值不在于各种情报馈送的数量,而在于这些馈送对整个环境的适用性。定制仪表板和过滤器以持续演示威胁的能力允许安全团队专注于影响组织的威胁。威胁情报市场提供不同类型的信息源,这些信息源不一定与任何行业或大型制造商的安装基础一致。虽然情报平台必须被视为网络安全的关键组成部分,但组织必须定义其高级需求、功能需求和可见性需求。

通过持续收集威胁情报、分析和优化,组织可以增加保护措施并加强安全工具。以下领域网络安全的重要和有益趋势包括:

  • 在过去的5年里,威胁意识从25%上升到75%。企业已经意识到,网络攻击者的优势在于,他们比自己更了解自己的网络,现在正变得更加主动。
  • 在过去的两年里,已经正式组建内部/外部团队来处理威胁情报的组织的比例从25%上升到45%。
  • 企业对各种威胁情报要素的总体满意度约为73%。这可能是扭曲的,因为有些人可能不明白他们没有从其他威胁情报中收到什么。

随着数据科学和机器学习模型为看待威胁提供了全新的方式,该行业也在取得进展;这样做的效果是避免依赖于事先看到威胁来提供安全性。数据科学和机器学习模型可以基于之前所有内部和外部威胁的集体知识来评估流量,以确定可能成为威胁的差异。根据最近的研究,包括Statista和IDC的报告,据估计,到2018年底,全球外部威胁情报服务支出预计将增加到16亿美元以上。

Anil Gosine全球项目经理是在MG策略+是CFE Media的内容合作伙伴。由内容副经理艾米丽·冈瑟编辑,控制工程, CFE传媒,eguenther@cfemedia.com

更多的答案

关键词:威胁情报,网络安全

的重要性威胁情报馈送

实现针对网络攻击的成功缓解策略

考虑一下:

会如何实施威胁情报馈送可以提高组织对网络攻击的防御能力?

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。

相关文章
工程师新产品
搜索产品,发现你所在行业的创新