威脅情報(bào)用戶有效關(guān)聯(lián)的重要性

劉詢

確保組織的安全基礎(chǔ)設(shè)施覆蓋所有可能的威脅入口是一回事，而確保主動(dòng)保護(hù)是另一回事。

在不斷增長(zhǎng)的在線威脅和復(fù)雜的網(wǎng)絡(luò)威脅中，組織需要通過(guò)積累威脅情報(bào)不斷增強(qiáng)其網(wǎng)絡(luò)防御能力，以跟上發(fā)展的步伐。但是，責(zé)任并不僅限于此，他們需要理解收集到的數(shù)據(jù)，并把這些聯(lián)系起來(lái)，以保持一個(gè)沒(méi)有威脅的環(huán)境。

有效的威脅關(guān)聯(lián)是主動(dòng)防護(hù)的關(guān)鍵要素，不僅可以防御已知威脅，還可以防御未知威脅，這就是組織通常在IT安全解決方案和系統(tǒng)中尋找的東西。如果他們依靠外包商來(lái)滿足安全需求，這也是他們對(duì)各自提供商的期望。

有效威脅關(guān)聯(lián)的要素

保證客戶網(wǎng)絡(luò)的安全，需要安全服務(wù)提供商減少誤報(bào)和漏報(bào)，并驗(yàn)證傳感器的性能和可用性。這些挑戰(zhàn)可以通過(guò)有效的威脅關(guān)聯(lián)來(lái)解決。

通過(guò)適當(dāng)?shù)耐{關(guān)聯(lián)，安全響應(yīng)團(tuán)隊(duì)可以專(zhuān)注于他們的最優(yōu)先級(jí)。這提高了他們的效率，同時(shí)降低了由于更嚴(yán)格的隱私保護(hù)指南和法律帶來(lái)的潛在風(fēng)險(xiǎn)和公司責(zé)任。但怎樣才能建立有效的威脅關(guān)聯(lián)呢？

為了有效地連接構(gòu)成當(dāng)今混合威脅的各個(gè)部分，安全提供商需要高質(zhì)量的數(shù)據(jù)，添加到客戶的解決方案和系統(tǒng)中的信息必須及時(shí)且相關(guān)。

理想的相關(guān)過(guò)程是使用接近實(shí)時(shí)的信息。安全提供商越早發(fā)現(xiàn)主動(dòng)入侵，就能越快處理它。識(shí)別和監(jiān)控潛在的威脅源也比事后處理攻擊的效果更劃算。一旦發(fā)現(xiàn)數(shù)據(jù)泄露，受害者必須向擁有受影響數(shù)據(jù)的人支付經(jīng)濟(jì)補(bǔ)償。

安全外包也將使用相關(guān)信息。他們需要在正確的時(shí)間將正確的信息傳遞給正確的人。例如，由于網(wǎng)絡(luò)故障而無(wú)法連接到客戶端的防火墻，應(yīng)該通知網(wǎng)絡(luò)運(yùn)營(yíng)中心，而不是安全團(tuán)隊(duì)。除此之外，還需要過(guò)濾掉不相關(guān)的噪聲，以免誤報(bào)。他們需要檢測(cè)手動(dòng)日志調(diào)查或僅查看單個(gè)設(shè)備的工具可能會(huì)忽略的高風(fēng)險(xiǎn)威脅。網(wǎng)絡(luò)中的每個(gè)設(shè)備都需要以無(wú)縫方式與所有其他設(shè)備一起使用。

安全提供商需要確保他們的基礎(chǔ)設(shè)施能夠滿足客戶的威脅情報(bào)收集、整合和關(guān)聯(lián)需求。

威脅關(guān)聯(lián)架構(gòu)的三要素

一個(gè)有效的威脅關(guān)聯(lián)架構(gòu)至少包含3個(gè)基本步驟：收集、整合和關(guān)聯(lián)。

收集

一些安全解決方案只是從公司網(wǎng)絡(luò)中提取傳感器日志文件，然后將其上傳到中央存儲(chǔ)庫(kù)，采用壓縮來(lái)減少網(wǎng)絡(luò)帶寬需求。其他的通常在單個(gè)設(shè)備上執(zhí)行收集和初始分析以分配收集過(guò)程，從根本上減少了帶寬需求。無(wú)論如何分配和完成工作，此步驟都只是收集所有需要標(biāo)準(zhǔn)化或聚合的可用威脅情報(bào)和數(shù)據(jù)源。

整合

這個(gè)階段也稱(chēng)為“標(biāo)準(zhǔn)化”或“聚合”，它涉及過(guò)濾無(wú)關(guān)數(shù)據(jù)，將重點(diǎn)放在安全解決方案及其用戶通常定義的重要內(nèi)容上。在這一步中，許多誤報(bào)被消除。

整合會(huì)去除重復(fù)的數(shù)據(jù)，并確保每個(gè)數(shù)據(jù)都是標(biāo)準(zhǔn)格式。通過(guò)這種方式，在關(guān)聯(lián)時(shí)，可輕松地將信息與其他所有信息進(jìn)行比較。即使數(shù)據(jù)來(lái)自不同的來(lái)源（不同配置的系統(tǒng)或不同供應(yīng)商的解決方案等），仍然可以形成相互關(guān)系。

關(guān)聯(lián)

最終目標(biāo)是從多個(gè)安全平臺(tái)獲取數(shù)據(jù)，并將其關(guān)聯(lián)起來(lái)，為威脅響應(yīng)團(tuán)隊(duì)提供及時(shí)、相關(guān)和準(zhǔn)確的情報(bào)。

對(duì)于使用集中式數(shù)據(jù)庫(kù)的解決方案，分析人員只需運(yùn)行適當(dāng)?shù)牟樵兙涂梢缘玫巾憫?yīng)。但是，這可能會(huì)受到可伸縮性和性能問(wèn)題的限制。為了分析大量的數(shù)據(jù)，組織需要大量能夠滿足處理需求以及時(shí)間的系統(tǒng)，考慮到威脅滲透網(wǎng)絡(luò)的速度，這些時(shí)間可能是有限的。

每個(gè)組織都需要一個(gè)有效的威脅關(guān)聯(lián)架構(gòu)，他們要承受不斷增長(zhǎng)的數(shù)量和復(fù)雜性威脅所帶來(lái)的風(fēng)險(xiǎn)。不管他們的安全需求是依賴內(nèi)部的還是第三方的，都有一個(gè)共同點(diǎn)。他們需要及時(shí)、相關(guān)和準(zhǔn)確的數(shù)據(jù)———幸運(yùn)的是，這些數(shù)據(jù)并非遙不可及。