網絡安全情報:並非僅僅是收集和做出反應那麼簡單

大數據已然成為所有機構的資訊 力量。大數據在機構內部使用時,它的專有訊息使用可運用於商業利益的推動,而在對外使用時,則有潛力地改變人們的生活及社會。

網絡安全中的威脅情報是大數據的體現,但其數據量和數據多樣性令其使用變得異常複雜。

在美國和英國接受調查的公司中,有86%表示威脅情報

‘對我們的安全使命很有價值’”

 – Ponemon Institute,2017年9月

任何用於安全分析的數據都需要經過數個特定的過程才能實施操作,包括數據的正規化和消除誤報。

數據正規化包含消除重複數據和不同格式(如.csv,JSON,PDF,電子郵件等)的調整。這種格式差異與豐富威脅情報源有直接的關係,威脅情報源可能包括開源、商業和專用的信息共享群組。

消除誤報是一個更為複雜的過程。誤報是指最初被標記為惡性的數據,實際上卻是良性的。

這種情況可能會經常發生,因為更多的數據來源被整合進入機構內的安全基礎架構,因此需要分析師花費大量的時間和資源予以識別。

機器學習算法可通過運用複雜的數學分析來確定任何惡性或良性判斷的準確性,有助於補救這一問題。

商業軟件廠商喜歡展示其產品生產“即時”數據的能力。這實際上意味著資訊可足夠迅速地以原貌呈現給最終用戶。

但是,對於首席資訊安全官而言,即時資訊確實有其必要性。但這通常意味著需要部署大量資源來處理在當今構成威脅情報數據的大量數據。

一旦標準化並經過策劃,威脅數據就可以與各種安全解決方案相互整合,如下一代防火牆、Web應用防火牆、入侵偵測系統、端點防護系統和網絡流量檢測系統(如分佈式數據中心的微分段系統) 。

儘管運用威脅情報數據需要投入資源和努力,但各機構仍會頻繁地對威脅情報進行投入,以保護其品牌和客戶。

Ponemon Institute最近的一項調查顯示,企業越來越重視威脅情報。在美國和英國接受調查的628名受訪者中,86%表示威脅情報“對他們的安全使命有價值”,高於去年的77%。

還有相似比例的受訪者認為威脅情報是“組織安全所不可或缺的”。過半的受訪者表示他們積極使用威脅情報(63%),並表示這是推動安全運營中心(SOC)決策的關鍵因素。

但是,只有27%的受訪者在有效使用威脅情報方面給其機構打了高分。那麼,對於一般企業的首席資訊安全官來說,造成如此低的績效評估的障礙和痛點又是什麼呢?

對於緩慢使用威脅情報的主要原因之一似乎是在情報方面缺乏專業知識。但這並不總是可以通過培訓或僱用大量專家就能解決的。相反,威脅情報被認為數量過於龐大且複雜,很難採取行動。

Anomali是一家可提供一系列解決方案來幫助和管理威脅情報的處理和活動的公司。 STAXX產品提供各種免費的數據來源回饋。任何STIX/TAXII回饋都可使用,Anomali團隊還以其Limo服務形式打造自己的數據來源。

付費用戶從ThreatStream®開始,它可有效匯總各種威脅情報數據源(進階、ISAC/ISAO、FOSS等),並能智能地識別潛在實施者和/或活動,並為其所發現的任何威脅增加 TTP(策略,技術和程序)數據。

ThreatStream®可與SIEM、防火牆、入侵偵測系統、端點保護系統以及任何帶有可使用API的系統相整合。 通過整合資訊,使其合理化並對其進行智能化配置,安全運營中心可以獲得可執行的資訊,或者讓數據自動輔助的其他安全設施。

Anomali Enterprise™ 以通過將IOC與無限量的日誌進行匹配、自動建立告警並將威脅指標與SIEM和其他系統進行比對,從而增強這套工具處理能力。

Anomali用戶可以通過信任圈擴展他們的情報蒐集能力,以無縫參與方式,精心挑選渴望共享數據的公司進行情報分享。

找到您所在地區的代表,了解Anomali如何能為您的網絡安全工作帶來積極成效,並立即與危險情報專家交談吧!

ComplianceNetworksSecuritySoftware