網(wǎng)絡(luò)威脅情報的類型,如何選擇威脅情報平臺
      
                                    
                                
      
                                
      
                                    
      網(wǎng)絡(luò)威脅情報旨在創(chuàng)建和共享有關(guān)快速發(fā)展的網(wǎng)絡(luò)威脅形勢當(dāng)前狀態(tài)的知識,并為用戶和網(wǎng)絡(luò)安全解決方案提供識別當(dāng)前威脅和為未來做出戰(zhàn)略決策所需的信息和背景。
      

      網(wǎng)絡(luò)威脅情報的類型,如何選擇威脅情報平臺-南華中天
      

      網(wǎng)絡(luò)威脅情報的類型
      

      網(wǎng)絡(luò)威脅情報是使用高級分析算法收集和分析多源網(wǎng)絡(luò)安全數(shù)據(jù)。通過收集有關(guān)當(dāng)前網(wǎng)絡(luò)安全威脅和趨勢的大量數(shù)據(jù)并對這些數(shù)據(jù)進(jìn)行分析,威脅情報提供商可以獲得有用的數(shù)據(jù)和見解,幫助他們的客戶更好地檢測和準(zhǔn)備網(wǎng)絡(luò)威脅。
      

      組織有廣泛的情報需求,從目前用于攻擊活動的惡意軟件變種的低級信息到旨在為戰(zhàn)略投資和政策制定提供信息的高級信息。出于這個原因,威脅情報可以分為三種不同類型之一:
      

      運(yùn)營:運(yùn)營威脅情報側(cè)重于網(wǎng)絡(luò)攻擊者用來實現(xiàn)其目標(biāo)的工具(惡意軟件、基礎(chǔ)設(shè)施等)和技術(shù)。這種類型的理解有助于分析師和威脅獵手識別和理解攻擊活動。
      

      戰(zhàn)略:戰(zhàn)略威脅情報是高級別的,側(cè)重于網(wǎng)絡(luò)威脅領(lǐng)域內(nèi)的普遍趨勢。這種類型的威脅情報面向需要了解其組織的網(wǎng)絡(luò)風(fēng)險作為其戰(zhàn)略規(guī)劃的一部分的高管(通常沒有網(wǎng)絡(luò)安全背景)。
      

      戰(zhàn)術(shù):戰(zhàn)術(shù)威脅情報側(cè)重于使用妥協(xié) (IoC) 指標(biāo)識別特定類型的惡意軟件或其他網(wǎng)絡(luò)攻擊。這種類型的威脅情報被網(wǎng)絡(luò)安全解決方案攝取,并用于檢測和阻止傳入或正在進(jìn)行的攻擊。
      

      網(wǎng)絡(luò)威脅情報的類型,如何選擇威脅情報平臺-南華中天
      

      威脅情報應(yīng)該提供什么?
      

      網(wǎng)絡(luò)威脅情報旨在提高組織將網(wǎng)絡(luò)風(fēng)險降至最低、管理網(wǎng)絡(luò)威脅并將情報反饋到所有產(chǎn)品中的能力,以保護(hù)任何攻擊面。為了有效支持組織的網(wǎng)絡(luò)安全戰(zhàn)略,威脅情報平臺應(yīng)提供某些功能:
      

      多源數(shù)據(jù)關(guān)聯(lián):不同的觀點(diǎn)產(chǎn)生不同的數(shù)據(jù)和見解。威脅情報平臺應(yīng)聚合內(nèi)部和外部數(shù)據(jù)源,為組織提供對其可能面臨的網(wǎng)絡(luò)威脅的全面可見性。
      

      自動分析和分類:威脅情報平臺收集的數(shù)據(jù)很容易使組織的安全團(tuán)隊不堪重負(fù),使其無法有效使用。威脅情報平臺應(yīng)該對情報進(jìn)行自動分析、分類和優(yōu)先排序,以確保分析師首先看到最重要的數(shù)據(jù)。
      

      數(shù)據(jù)共享:將威脅情報數(shù)據(jù)放在單個集中式系統(tǒng)上(并依靠分析師手動將其分發(fā)到他們的防御解決方案)限制了其有效性。威脅情報平臺應(yīng)包括集成,以便在整個組織的安全部署中自動傳播數(shù)據(jù)。
      

      自動化:網(wǎng)絡(luò)威脅形勢迅速發(fā)展,隨著網(wǎng)絡(luò)威脅參與者開始新的活動并結(jié)束其他活動,威脅情報數(shù)據(jù)迅速變得陳舊。如果要為用戶提供價值,則必須使用自動化來加速分析和使用威脅情報。
      

      可操作的見解:知道存在特定威脅與知道如何應(yīng)對它是不同的。威脅情報平臺應(yīng)就組織如何保護(hù)自己免受情報引起他們注意的威脅提供可操作的建議和見解。
      

      網(wǎng)絡(luò)威脅情報的類型,如何選擇威脅情報平臺-南華中天
      

      如何選擇威脅情報平臺
      

      存在許多不同的威脅情報平臺和源,并且,對于威脅情報,更多并不總是更好。訂閱多個威脅情報源并嘗試在內(nèi)部匯總和分析它們可能會導(dǎo)致大量冗余和低質(zhì)量數(shù)據(jù)。相反,組織應(yīng)選擇具有以下品質(zhì)的威脅情報平臺:
      

      實時數(shù)據(jù):許多網(wǎng)絡(luò)攻擊活動只持續(xù)數(shù)小時或數(shù)分鐘,這意味著每天更新的威脅情報基本上是無用的。一個有效的威脅情報平臺將提供基于實時數(shù)據(jù)分析的洞察力。
      

      粒度威脅可見性:根據(jù)不同的因素(公司規(guī)模、位置、行業(yè)等)針對不同的網(wǎng)絡(luò)攻擊活動。威脅情報平臺應(yīng)提供對更大市場所面臨威脅以及針對組織特定行業(yè)的威脅的可見性。
      

      集成解決方案:識別潛在威脅但依賴分析師響應(yīng)的網(wǎng)絡(luò)威脅情報平臺并不能為其用戶提供其自動化的全部優(yōu)勢。威脅情報平臺應(yīng)與網(wǎng)絡(luò)安全解決方案集成,并能夠自動響應(yīng)已識別的威脅。