威脅情報用戶有效關(guān)聯(lián)的重要性

2019-09-10 20:52:15劉詢

計算機與網(wǎng)絡(luò) 2019年20期

劉詢

確保組織的安全基礎(chǔ)設(shè)施覆蓋所有可能的威脅入口是一回事，而確保主動保護是另一回事。

在不斷增長的在線威脅和復(fù)雜的網(wǎng)絡(luò)威脅中，組織需要通過積累威脅情報不斷增強其網(wǎng)絡(luò)防御能力，以跟上發(fā)展的步伐。但是，責(zé)任并不僅限于此，他們需要理解收集到的數(shù)據(jù)，并把這些聯(lián)系起來，以保持一個沒有威脅的環(huán)境。

有效的威脅關(guān)聯(lián)是主動防護的關(guān)鍵要素，不僅可以防御已知威脅，還可以防御未知威脅，這就是組織通常在IT安全解決方案和系統(tǒng)中尋找的東西。如果他們依靠外包商來滿足安全需求，這也是他們對各自提供商的期望。

有效威脅關(guān)聯(lián)的要素

保證客戶網(wǎng)絡(luò)的安全，需要安全服務(wù)提供商減少誤報和漏報，并驗證傳感器的性能和可用性。這些挑戰(zhàn)可以通過有效的威脅關(guān)聯(lián)來解決。

通過適當(dāng)?shù)耐{關(guān)聯(lián)，安全響應(yīng)團隊可以專注于他們的最優(yōu)先級。這提高了他們的效率，同時降低了由于更嚴(yán)格的隱私保護指南和法律帶來的潛在風(fēng)險和公司責(zé)任。但怎樣才能建立有效的威脅關(guān)聯(lián)呢？

為了有效地連接構(gòu)成當(dāng)今混合威脅的各個部分，安全提供商需要高質(zhì)量的數(shù)據(jù)，添加到客戶的解決方案和系統(tǒng)中的信息必須及時且相關(guān)。

理想的相關(guān)過程是使用接近實時的信息。安全提供商越早發(fā)現(xiàn)主動入侵，就能越快處理它。識別和監(jiān)控潛在的威脅源也比事后處理攻擊的效果更劃算。一旦發(fā)現(xiàn)數(shù)據(jù)泄露，受害者必須向擁有受影響數(shù)據(jù)的人支付經(jīng)濟補償。

安全外包也將使用相關(guān)信息。他們需要在正確的時間將正確的信息傳遞給正確的人。例如，由于網(wǎng)絡(luò)故障而無法連接到客戶端的防火墻，應(yīng)該通知網(wǎng)絡(luò)運營中心，而不是安全團隊。除此之外，還需要過濾掉不相關(guān)的噪聲，以免誤報。他們需要檢測手動日志調(diào)查或僅查看單個設(shè)備的工具可能會忽略的高風(fēng)險威脅。網(wǎng)絡(luò)中的每個設(shè)備都需要以無縫方式與所有其他設(shè)備一起使用。

安全提供商需要確保他們的基礎(chǔ)設(shè)施能夠滿足客戶的威脅情報收集、整合和關(guān)聯(lián)需求。

威脅關(guān)聯(lián)架構(gòu)的三要素

一個有效的威脅關(guān)聯(lián)架構(gòu)至少包含3個基本步驟：收集、整合和關(guān)聯(lián)。

收集

一些安全解決方案只是從公司網(wǎng)絡(luò)中提取傳感器日志文件，然后將其上傳到中央存儲庫，采用壓縮來減少網(wǎng)絡(luò)帶寬需求。其他的通常在單個設(shè)備上執(zhí)行收集和初始分析以分配收集過程，從根本上減少了帶寬需求。無論如何分配和完成工作，此步驟都只是收集所有需要標(biāo)準(zhǔn)化或聚合的可用威脅情報和數(shù)據(jù)源。

整合

這個階段也稱為“標(biāo)準(zhǔn)化”或“聚合”，它涉及過濾無關(guān)數(shù)據(jù)，將重點放在安全解決方案及其用戶通常定義的重要內(nèi)容上。在這一步中，許多誤報被消除。

整合會去除重復(fù)的數(shù)據(jù)，并確保每個數(shù)據(jù)都是標(biāo)準(zhǔn)格式。通過這種方式，在關(guān)聯(lián)時，可輕松地將信息與其他所有信息進行比較。即使數(shù)據(jù)來自不同的來源（不同配置的系統(tǒng)或不同供應(yīng)商的解決方案等），仍然可以形成相互關(guān)系。

關(guān)聯(lián)

最終目標(biāo)是從多個安全平臺獲取數(shù)據(jù)，并將其關(guān)聯(lián)起來，為威脅響應(yīng)團隊提供及時、相關(guān)和準(zhǔn)確的情報。

對于使用集中式數(shù)據(jù)庫的解決方案，分析人員只需運行適當(dāng)?shù)牟樵兙涂梢缘玫巾憫?yīng)。但是，這可能會受到可伸縮性和性能問題的限制。為了分析大量的數(shù)據(jù)，組織需要大量能夠滿足處理需求以及時間的系統(tǒng)，考慮到威脅滲透網(wǎng)絡(luò)的速度，這些時間可能是有限的。

每個組織都需要一個有效的威脅關(guān)聯(lián)架構(gòu)，他們要承受不斷增長的數(shù)量和復(fù)雜性威脅所帶來的風(fēng)險。不管他們的安全需求是依賴內(nèi)部的還是第三方的，都有一個共同點。他們需要及時、相關(guān)和準(zhǔn)確的數(shù)據(jù)———幸運的是，這些數(shù)據(jù)并非遙不可及。