在分析威胁数据时考虑相关性!
又是高中生及其家长焦虑的时候了。高考结束后,各种招生信纷纷涌来,很难做出决定。众所周知,各种证书是很多职业的垫脚石,但哪所学校最适合自己的孩子呢?你的孩子能从大学经历中获得最宝贵的经验吗?
每个学生的大学经历和收获都是不同的。有些人只是在一个舒适的环境中学习和成长,有些人为了在他们想从事的领域工作而获得学位,有些人为了进入某个职业领域而进入大学,或者是各种因素的综合体。
类似地,我们都知道威胁情报包含着巨大的价值,它是否能提取这个价值,它能提取多少价值,也是由多种因素决定的。
SANS最近发布了2018年 *** 威胁情报调查报告,发现81%的 *** 安全人员确认威胁情报正在帮助他们更好地完成工作。数百万以威胁为中心的数据点,公司订阅的世界上许多威胁数据源,以及来自企业的多层防御SIEM内部威胁和事件数据都提供了大量的威胁信息。然而,我们真的捕捉到了威胁信息的价值,真的加强了我们的防御,加快了检测和响应吗?
人们越来越意识到,并非所有的威胁情报都同样重要。对企业来说A对企业来说,至关重要的威胁的威胁信息B毫无意义。那么,如何从威胁情报中获得真正重要的价值呢?立足点是相关性。情报价值取决于你的行业/地区、环境和技术/能力。
1. 工业/地区
特定于公司所在行业和地区的威胁数据比包含其他威胁的一般数据更相关、更重要。国家/ *** 计算机应急响应小组(CERT)根据行业分类的外部威胁馈送和信息共享分析中心非常有用。这些威胁数据馈送源补充了公司的中央数据存储库,有助于降低噪音,使公司的安全团队更加关注当地行业的威胁。
2. 环境
根据公司环境或基础设施的不同,一些威胁指标比其他指标更相关。例如,如果公司员工分布广泛,终端保护是关键,您必须注意文件的散列值,因为它允许您检测设备上的恶意文件。在互联网上,域名和IP它是一个更重要的指标,可以用来跟踪可疑的流量。为了从威胁情报中提取最重要的东西,我们需要能够在中央存储库中收集指标,并添加丰富的工具,以筛选和排序那些对公司真正重要的东西。
3. 技术/能力
该公司的 *** 安全人才储备也是一个非常重要的方面。拥有足够人力的大公司拥有2到3个分隔(如下游IP地址、域名注册商等。)来跟踪威胁数据。没有如此丰富资源的公司必须更仔细地选择,只调查与已知对手相关的行业活跃威胁数据或威胁数据。在这种情况下,自动化和托管安全服务提供商(MSSP)可作为现有员工和技术集的补充。
自动化可以将数百万以威胁为中心的数据点聚合到中央存储库中,并将其转换为统一格式;上下文也可以添加到相关的外部和内部威胁数据中。应用程序自动化还可以帮助过滤掉一些噪音。例如,基于预设参数的自动排序数据。MSSP提供的选择很多,从充当你的整个安全团队,到管理你威胁情报项目的特定功能,再到提供类似威胁追捕或事件响应之类高价值定制化服务都可以。
每个家长都希望自己的孩子从教育中获得很多,影响教育成果的因素也很多。同样,许多因素也决定了公司可以从威胁情报中获得什么价值。在创建公司威胁情报项目时,记得考虑相关性,在分析威胁数据时考虑相关性,这样你就能很好地捕捉到威胁情报的所有价值。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。