最大化威胁情报价值:正确衡量威胁情报指标

日期:2016-12-22作者:Char Sample

【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

企业安全风险管理>更多

相关推荐

技术手册>更多

  • 构建DMZ 保护网络安全

    DMZ(Demilitarized Zone)即俗称的隔离区或非军事区,与军事区和信任区相对应,作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域,DMZ内通常放置一些不含机密信息的公用服务器,比如Web、Mail、FTP等。

  • 下一代防火墙分析指南

    目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。

  • 终端安全基础指导手册

    为什么我们有了越来越多先进的安全技术,但遭受攻击的次数却有增无减呢?本技术手册将分几部分,为你提供保护常见终端安全的技巧和方法,降低你数据泄漏的风险。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算
【TechTarget中国原创】

威胁情报服务能够产生价值,但企业必须首先确定如何正确地衡量威胁情报指标。在本文中,Char Sample为大家解释了实现这一目标的最佳途径。

威胁情报在日益增长的网络安全领域是项非常庞大且逐渐扩展的业务。相关领域的增长预示着威胁情报服务业务的提升,就像我们见证了入侵检测和预防系统、防火墙、VPN等安全产品的崛起那样。

要触发威胁情报流程,威胁必须发生在某些风险功能的合适角度。重要的是要获得准确和相关的威胁情报度量标准。这个过程的第一步是获得彻底理解公司的环境。

理解公司的环境需要深入了解其当前的漏洞以及它们与公司的风险状况之间的关系。这种理解必须在威胁情报收集和威胁分析开始之前。为什么?因为威胁情报的度量标准必须与这种理解存在相关性。

理解风险和成功的状况,优先选择定量的内容,帮助确定问题的边界。有边界的问题是威胁情报度量标准具有意义的关键组成部分。此外,当问题边界不清楚时,通常是由于公司对风险和成功的理解不当,每个威胁源(threat actor)对应每一项威胁被不当评估和优先从而出现新的问题方向。在某些情况下,这会产生以前所不存在的问题。

边界威胁情报度量标准

在无边界环境中实现有边界威胁情报度量标准是很棘手的,但并不是不能实现。即使是一份基本的风险分析也需要首先提供必要的输入。发现的风险可以被认为是“已知糟糕的”或具有风险的。那些“已知无害的”的部分也可以被量化。综上,对公司原始环境理解的量化对精确和有效的威胁度量标准是必要的。

依赖建模(Dependency modeling)提供了最准确的方法。因此,测量的第一个单元来自对现有与成本相关的漏洞威胁的检查。这里的目标是了解破坏所造成的确切成本。下一步则是将威胁显性化。

来到实际的威胁度量标准环节,希望首先剔除的是多个反馈报告都在相同的因素和事件上进行反馈的那种重复回声式的内容。在提高效率和准确性的努力过程中,使用多路威胁情报服务的公司可以追踪按日期/时间分布的威胁。当匹配的威胁被识别和分发,威胁应该被捕获(按照日期/时间,已识别威胁源和利用手段)并跟踪对抗竞争对手。最感兴趣的两个度量标准是分布的时间,以及其与现有已识别的风险区域的相关性。这将帮助您确定哪些供应商及时提供信息,同时帮助企业减少无用信息,并帮助您理解反馈的相关性和重要性。

衡量成功的因素

接下来,可能也是最重要的一步,度量标准是公司如何处理威胁。尽管许多公司喜欢横向收集他们所在行业相关的度量标准,真正的目标是保持运营并抵御威胁,同时对威胁的存在的保持清醒。因此,最被忽视的度量标准之一是确定多少已被识别的威胁正在尝试利用和攻击公司存在的漏洞。在很多情况下发生的一项早期指示信息,是威胁因素尝试对安全服务进行侦查。因此,了解有多少次尝试被阻止也是很值得的。

当然,即使99%的威胁尝试都失败了,如果有1%的攻击通过了,那么所有类型的活动都需要重新考虑风险和成本。假设可怕的1%攻击成功造成了破坏的情况,下次的度量标准将涉及恢复测量方法。恢复系统实际到原始纯净版本并安装好必要的补丁需要多长时间?

除了跟踪某一条目的典型日期/时间,发现和执行度量标准,关键是要注意向量类和因素数据。标识攻击来自内部还是外部的信息来源是非常重要的,因为涉及到攻击者的性质。例如,一个成功的钓鱼结构通常包括一个不知情的内部与外部的始作俑者。需要在他们的组群中捕捉这些源头,以使威胁源度量标准显现出价值。

需要跟踪发现时间以及确定损害程度所需的时间。最终,这一度量标准,与其他已识别的度量标准一样,应随着时间的推移而进行跟踪。对于可能缺乏资源的威胁情报度量标准的网站团队来说,至少也要每季度进行跟踪。此外,更多的资源密集型网站可能要每周跟踪指标,因此趋势是会按照典型的每周、每月、季度和年度报告进行跟踪。

结论

威胁情报度量标准包含很多方面,某一公司希望在威胁度量标准上投资的深度程度很大程度上取决于其资产的价值。威胁分析服务缺乏个性化网站所需要的定制化,但他们拥有许多中小企业所缺乏的资源。更大的公司有能力,而且也应该投资组建威胁度量标准团队,与数据科学家一道,不仅仅检查公司所遭受到的威胁,同时也可以融入其他数据的作用,如将地缘政治,经济和自然灾害数据混合到一起进行分析。

无论公司规模是大还是小,威胁情报度量标准必须跟踪当前的风险区域。因此,所有的工作都应该在公司环境中具有详细的、可量化的风险理解。只有这样,所得到的威胁度量标准才能显现意义和价值。