用历史应对威胁情报数据过载挑战

简介: 本文讲的是用历史应对威胁情报数据过载挑战 ,没过滤的威胁情报应用到防御上,只会产生大量误报。

本文讲的是用历史应对威胁情报数据过载挑战 ,没过滤的威胁情报应用到防御上,只会产生大量误报。
image

有句名言说过:“那些不记得过去的人注定要重蹈覆辙。”想必正看此文的各位还记得网络安全早期时候,网络团队都依赖防火墙来处理新兴安全需求,而且重点基本是在阻止和封堵上。很快,需要整理的数据山呼海啸而来,从堆积如山的日志中找出真正的威胁让人疲于应付。不过,安全团队依然在努力跟进。

随着威胁持续进化,安全层越加越多,比如入侵检测、入侵预防,还有反病毒。伴随新增的终端解决方案,存储残片激增,数据和噪音水平暴涨——误报困扰着整个行业。接下来的几年市场继续成熟,安全成为一门独立的学科。公司企业成立了安全专家团队,新技术涌现,提供公司环境上下文,自动化某些流程,制定行动优先级。

特别是最近,集成与整合的趋势显现,目标是降低复杂性,方便自动化。但由于这些工作大多以厂商为中心,想将真正行业顶尖的终端解决方案融入到公司安全基础设施中往往不太容易,有时候甚至相互冲突导致顾此失彼。

同样的历史在威胁情报身上重演——太多数据太多误报。随着公司企业将威胁情报深化为自身安全态势的基石,内部安全运营中心(SOC)、事件响应和威胁情报团队开始成为公司必备。这些专家不断找寻各种方法,应用威胁情报理解和处理公司面临的最紧迫威胁。

困难在于,他们有太多的数据反馈,有些来自商业源,有些是开源,有些是行业内数据,还有些是公司现有安全厂商反馈的——每种数据反馈都有各自的格式。除此之外,公司防御层中的每个终端产品,都有自己独特的情报。缺乏自动筛选数据汪洋的工具和洞见,数据只能成为噪音。疲于奔命地试图将未经筛选的威胁情报应用到公司防御上,必然会产生大量误报。

想要控制蕴藏在异构威胁数据中的能量,就得将大量数据整合进中央存储仓库,将之转录成统一的格式以供分析和应用。然后,还得用额外的内部和外部威胁与事件数据加以丰富。通过将公司内部事件和相关指标,与IOC数据、对手及其攻击方法相关联,你可以得到额外的关键上下文和相关性,可以确定特定于公司的威胁优先级。

审视网络安全发展历程可以看到,集成、上下文和优先化,是让我们得以从现有安全投资和安全运作中获取更多益处的东西。集成做对了,可以在现有安全工具和服务的基础上有效应用威胁情报。SIEM、日志、票据系统、事件响应平台、编配与自动化工具等现有工具和服务都可以充分利用起来。能够无视厂商差异的开放且可扩展的集成,可以完全解锁你设想中的威胁情报,快速处理对公司最重要的威胁。

从网络安全历史中学到的经验教训,诸如散沙一盘的问题,上下文、自动化和优先化的重要性,集成中的注意事项等,可以应用到威胁情报的进化中来。通过并行和敏捷应用,我们可以在共享情报、集成防御和协调响应上走得更快。只有到那时,我们才可以说是真正认识到操作威胁情报的好处——提升安全态势并减小弱点暴露窗口期。

原文发布时间为:六月 15, 2017
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/learn/25955.html

相关文章
|
3月前
|
存储 监控 安全
强化数据丢失防护:五大策略助力数据分类与安全升级
强化数据丢失防护:五大策略助力数据分类与安全升级
|
14天前
|
云安全 存储 弹性计算
|
2月前
|
存储 监控 安全
深入解析Sysmon日志:增强网络安全与威胁应对的关键一环
在不断演进的网络安全领域中,保持对威胁的及时了解至关重要。Sysmon日志在这方面发挥了至关重要的作用,通过提供有价值的见解,使组织能够加强其安全姿态。Windows在企业环境中是主导的操作系统,因此深入了解Windows事件日志、它们的独特特性和局限性,并通过Sysmon进行增强,变得至关重要。
|
3月前
|
运维 监控 安全
两种策略可保护企业免受下一次大规模技术故障的影响
两种策略可保护企业免受下一次大规模技术故障的影响
|
4月前
|
SQL 安全 物联网
网络安全漏洞与信息安全:技术、挑战与应对策略
【8月更文挑战第12天】本文旨在探讨网络安全领域的关键问题,包括安全漏洞的发现、加密技术的应用以及提升安全意识的重要性。我们将分析常见的网络攻击类型和防御措施,并讨论如何通过教育和政策来提高个人和组织的安全防护能力。文章还将提供一些实用的建议,帮助读者在日益复杂的网络环境中保护自己的数据和隐私。
|
7月前
|
搜索推荐 大数据
年底突发舆情风险的排查与分析的方法措施
在特殊时期如年底,舆情风险更加显著。因此,对于政企单位来说,如何进行年底突发舆情风险的排查与分析是其需要关注的重要问题。接下来,本文就具体来为各位说说关于年底突发舆情风险的排查与分析怎么做好?
73 0
|
存储 缓存 负载均衡
如何应对系统热点的挑战
如何应对系统热点的挑战
156 0
|
人工智能 监控 供应链
应对2023年不可避免的数据泄露的5个步骤
应对2023年不可避免的数据泄露的5个步骤
188 0
|
安全 算法 数据挖掘
网络安全防护之态势检测系统的挖掘分析
互联网的迅速发展和广泛应用,使互联网与各行各业深度结合。同时,网络安全问题日益突出,网络安全威胁日益严重。中国的网络安全形势不容乐观。恶意病毒、代码、安全漏洞等问题似乎在良好的网络环境中不断发生,泄露的信息不计其数。面对各种网络安全问题,国家不断出台各种网络安全政策,应对各种隐患和挑战。其中,面对海量的网络安全数据,如何有效地挖掘和分析,形成客观的网络安全分析是非常重要的部分,也是本文讨论的主要内容。
201 0
网络安全防护之态势检测系统的挖掘分析
网络舆情应对策略建议
在舆情应对工作过程中,或多或少地会暴露出一些不足和存在的问题,那么针对这些问题应该如何解决呢?下面小编为大家整理了一些舆情策略建议,可供参考。