最大化威胁情报价值:正确衡量威胁情报指标

日期:2016-12-22作者:Char Sample

【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 安全加密秘籍

    无论是企业的自身需要还是安全标准的强制规定,为了更好的保护数据,加密已经成为企业的不二选择。本技术手册将详细介绍各种加密技术,帮助企业更好的保护数据。

  • 金融行业安全指导

    安全是金融行业永远的话题。现在网络犯罪分子们越来越多的利用综合渠道,包括网络,手机,邮件等,制造机会,跟踪欺诈消费者。本技术手册将从三个方面为您提供详细的安全策略,包括:金融安全风险及挑战,案例学习:金融安全启示录和金融安全最佳实践。

  • 服务器虚拟化安全

    从现在起,五年以后,几乎没有一家企业会使用“真正的”计算机。虚拟软件将会截取并模拟数据库、网络应用程序或者文件共享所能进行的一切工作,允许一个机架安装服务器起到10台服务器的作用。虚拟化是必然的;自IP网络以来,它是IT业最重要的新势力。对这一趋势带来的影响,安全专家如果有一种挥之不去的恐惧感,他们应该得到原谅。在内部网络中,虚拟化正重新绘制分布图;硬件以及网络过滤曾经将服务器和应用程序分离,虚拟化可以把它们集中到同一个刀片服务器上。影响深远的变化的到来不会没有安全挑战。

  • 企业风险安全管理

    企业风险安全管理的需求正在推动身份识别管理和内容监视等技术的发展。但是,有太多的企业正在依靠技术而不是政策来处理风险管理问题。风险管理是种关键推动因素,你需要搞清楚需要做什么,而且应该把钱花在什么地方……</P

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。因此,测量的第一个单元来自对现有与成本相关的漏洞威胁的检查。这里的目标是了解破坏所造成的确切成本。下一步则是将威胁显性化。

来到实际的威胁度量标准环节,希望首先剔除的是多个反馈报告都在相同的因素和事件上进行反馈的那种重复回声式的内容。在提高效率和准确性的努力过程中,使用多路威胁情报服务的公司可以追踪按日期/时间分布的威胁。当匹配的威胁被识别和分发,威胁应该被捕获(按照日期/时间,已识别威胁源和利用手段)并跟踪对抗竞争对手。最感兴趣的两个度量标准是分布的时间,以及其与现有已识别的风险区域的相关性。这将帮助您确定哪些供应商及时提供信息,同时帮助企业减少无用信息,并帮助您理解反馈的相关性和重要性。

衡量成功的因素

接下来,可能也是最重要的一步,度量标准是公司如何处理威胁。尽管许多公司喜欢横向收集他们所在行业相关的度量标准,真正的目标是保持运营并抵御威胁,同时对威胁的存在的保持清醒。因此,最被忽视的度量标准之一是确定多少已被识别的威胁正在尝试利用和攻击公司存在的漏洞。在很多情况下发生的一项早期指示信息,是威胁因素尝试对安全服务进行侦查。因此,了解有多少次尝试被阻止也是很值得的。

当然,即使99%的威胁尝试都失败了,如果有1%的攻击通过了,那么所有类型的活动都需要重新考虑风险和成本。假设可怕的1%攻击成功造成了破坏的情况,下次的度量标准将涉及恢复测量方法。恢复系统实际到原始纯净版本并安装好必要的补丁需要多长时间?

除了跟踪某一条目的典型日期/时间,发现和执行度量标准,关键是要注意向量类和因素数据。标识攻击来自内部还是外部的信息来源是非常重要的,因为涉及到攻击者的性质。例如,一个成功的钓鱼结构通常包括一个不知情的内部与外部的始作俑者。需要在他们的组群中捕捉这些源头,以使威胁源度量标准显现出价值。

需要跟踪发现时间以及确定损害程度所需的时间。最终,这一度量标准,与其他已识别的度量标准一样,应随着时间的推移而进行跟踪。对于可能缺乏资源的威胁情报度量标准的网站团队来说,至少也要每季度进行跟踪。此外,更多的资源密集型网站可能要每周跟踪指标,因此趋势是会按照典型的每周、每月、季度和年度报告进行跟踪。

结论

威胁情报度量标准包含很多方面,某一公司希望在威胁度量标准上投资的深度程度很大程度上取决于其资产的价值。威胁分析服务缺乏个性化网站所需要的定制化,但他们拥有许多中小企业所缺乏的资源。更大的公司有能力,而且也应该投资组建威胁度量标准团队,与数据科学家一道,不仅仅检查公司所遭受到的威胁,同时也可以融入其他数据的作用,如将地缘政治,经济和自然灾害数据混合到一起进行分析。

无论公司规模是大还是小,威胁情报度量标准必须跟踪当前的风险区域。因此,所有的工作都应该在公司环境中具有详细的、可量化的风险理解。只有这样,所得到的威胁度量标准才能显现意义和价值。