最大化威胁情报价值:正确衡量威胁情报指标

日期:2016-12-22作者:Char Sample

【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

相关推荐

  • 抵御WannaCry等攻击?这里有一波资源来袭……

    连续几天勒索蠕虫WannaCry都作为霸屏一般的存在,且该勒索病毒源头软件背后的黑客黑客组织放话还要在6月持续放大招,不免令人担心。那么为了应对潜在的恶意攻击,企业该怎么做呢?

  • VeriSign iDefense威胁情报功能一览

    VeriSign iDefense威胁情报为选定系统提供实时威胁数据,同时,该服务还可提供有关国家和区域新兴事件的可操作情报报告,以及针对特定行业和企业风险问题的定制报告。

  • 2017:更多IoT攻击堆高数据泄露事故

    不断叠高的数字让企业对这类事故似乎变得有些麻木,实际上这是非常危险的。在新一年,由IoT攻击带来的数据泄露事故或成为最大的安全问题。而目前,企业仍未做好应对威胁形势的准备……

  • 对企业而言,非短信双因素验证是个好办法吗?

    NIST宣布计划弃用基于短信的双因素身份验证,因为这种方法带来太多安全风险。这是否是正确的转变?其他组织是否应该向他们一样,采用非短信双因素身份验证作为最佳做法?

技术手册>更多

  • 经济危机下的IT安全

    2008年的爆发的经济危机,影响遍布各行各业,IT也受到很大的冲击。经济不景气总是犯罪的最佳时机,对敏感数据、客户和架构的威胁都在大幅增加,恶意网站、不满的员工、控制不好的合作伙伴、安全预算的缩减,各种威胁的频繁出现等都给安全带来了更多的不稳定性。那么企业面对这样的形势,应该怎么作呢?本专题综合了一些安全专家的意见和建议,希望能为企业的安全形势提供帮助。

  • 跨站脚本攻击防御

    跨站脚本攻击(cross-site scripting,XSS)是Web开发人员面对的严重安全问题。这种攻击允许恶意网站操作人员滥用Web用户对不相关的第三方网站的信任,在终端用户系统上执行任意脚本。XSS攻击发生时,恶意人士在其他用户的浏览器中运行恶意浏览器脚本。本专题将介绍跨站脚本攻击(XSS)以及如何进行防御。

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 2010年安全最佳实践汇总手册

    2010年即将过去,在这一年中, IT安全各方面有哪些最佳实践值得大家去关注呢?本技术手册将为您总结2010年TT安全网站受欢迎的安全最佳实践,其中涉及网络安全、安全管理、身份认证与管理安全、系统安全、数据库安全和金融安全等方面。希望能够给安全朋友们提供一些帮助。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。因此,测量的第一个单元来自对现有与成本相关的漏洞威胁的检查。这里的目标是了解破坏所造成的确切成本。下一步则是将威胁显性化。

来到实际的威胁度量标准环节,希望首先剔除的是多个反馈报告都在相同的因素和事件上进行反馈的那种重复回声式的内容。在提高效率和准确性的努力过程中,使用多路威胁情报服务的公司可以追踪按日期/时间分布的威胁。当匹配的威胁被识别和分发,威胁应该被捕获(按照日期/时间,已识别威胁源和利用手段)并跟踪对抗竞争对手。最感兴趣的两个度量标准是分布的时间,以及其与现有已识别的风险区域的相关性。这将帮助您确定哪些供应商及时提供信息,同时帮助企业减少无用信息,并帮助您理解反馈的相关性和重要性。

衡量成功的因素

接下来,可能也是最重要的一步,度量标准是公司如何处理威胁。尽管许多公司喜欢横向收集他们所在行业相关的度量标准,真正的目标是保持运营并抵御威胁,同时对威胁的存在的保持清醒。因此,最被忽视的度量标准之一是确定多少已被识别的威胁正在尝试利用和攻击公司存在的漏洞。在很多情况下发生的一项早期指示信息,是威胁因素尝试对安全服务进行侦查。因此,了解有多少次尝试被阻止也是很值得的。

当然,即使99%的威胁尝试都失败了,如果有1%的攻击通过了,那么所有类型的活动都需要重新考虑风险和成本。假设可怕的1%攻击成功造成了破坏的情况,下次的度量标准将涉及恢复测量方法。恢复系统实际到原始纯净版本并安装好必要的补丁需要多长时间?

除了跟踪某一条目的典型日期/时间,发现和执行度量标准,关键是要注意向量类和因素数据。标识攻击来自内部还是外部的信息来源是非常重要的,因为涉及到攻击者的性质。例如,一个成功的钓鱼结构通常包括一个不知情的内部与外部的始作俑者。需要在他们的组群中捕捉这些源头,以使威胁源度量标准显现出价值。

需要跟踪发现时间以及确定损害程度所需的时间。最终,这一度量标准,与其他已识别的度量标准一样,应随着时间的推移而进行跟踪。对于可能缺乏资源的威胁情报度量标准的网站团队来说,至少也要每季度进行跟踪。此外,更多的资源密集型网站可能要每周跟踪指标,因此趋势是会按照典型的每周、每月、季度和年度报告进行跟踪。

结论

威胁情报度量标准包含很多方面,某一公司希望在威胁度量标准上投资的深度程度很大程度上取决于其资产的价值。威胁分析服务缺乏个性化网站所需要的定制化,但他们拥有许多中小企业所缺乏的资源。更大的公司有能力,而且也应该投资组建威胁度量标准团队,与数据科学家一道,不仅仅检查公司所遭受到的威胁,同时也可以融入其他数据的作用,如将地缘政治,经济和自然灾害数据混合到一起进行分析。

无论公司规模是大还是小,威胁情报度量标准必须跟踪当前的风险区域。因此,所有的工作都应该在公司环境中具有详细的、可量化的风险理解。只有这样,所得到的威胁度量标准才能显现意义和价值。