企业热衷于威胁情报共享以及威胁情报在各网络安全领域的融合应用,源于威胁情报价值日益凸显。以下是IDC对威胁情报为企业安全运营带来的价值的分析:可见,威胁情报方案对于提高企业IT安全团队的效率、降低数字风险有着立竿见影的效果。随着企业越来越重视威胁情报在漏洞管理、安全运营SOC、事件检测与响应、风险分析、欺诈防范、供应链风险等方面的应用,开源威胁情报平台成为业界关注的热点。企业安全社区。开源威胁情报和商业威胁情报有什么区别?开源威胁情报有哪些优势?未来是什么?供您参考:什么是开源威胁情报及其驱动因素?这是一个很好的问题。让我们从驱动它的因素开始?我们看到的是各种规模和复杂性的组织都在增加对威胁情报的使用。激励他们的是仅从现有安全控制中获得的威胁情报是不够的。这样做的原因是因为威胁情报通常是专有的,由供应商驱动,由其威胁情报团队驱动,并因他们在客户群中看到的情况而进一步恶化。组织发现他们需要更广泛的威胁情报视图。它必须涵盖多个商业来源、开源行业和政府。这才是推动这一运动的真正原因,即对威胁情报有更广泛、更开放的看法。第一个问题,什么是开源威胁情报?我用三个特征来总结开源威胁情报。首先是开源,我在谷歌上搜索并发现了大量的开源威胁情报平台和服务,它们并不完全相同,但概念之间有一些相似之处——开源,对吧?它不受任何实体控制。通过社区方法,任何人都可以做出贡献。这类似于企业或行业安全联盟的合作。情报不能单独完成。开源威胁情报的第二个特点是灵活,威胁情报可以很容易改变。您可以按需获得所需的威胁情报。最后,我认为开源威胁情报的第三个特点是可移植性。这种威胁情报很容易移动,并且很容易将其集成到您选择的任何环境中。这是与传统威胁情报平台的一个非常有趣的区别。这就引出了下一个问题,为什么(开源)威胁情报很难集成到现有的安全控制中?这里有两个关键因素。首先,正如我提到的,开源威胁情报与传统的安全解决方案有着根本的不同。传统安全解决方案提供的价值在于它们检测和阻止威胁的能力,它们通过自己专有的威胁情报来实现这一点,从而增强了它们的核心价值主张。所以他们真的没有动力分享或公开(威胁情报),或者真正将其他人的威胁情报集成到他们的解决方案中。这是第一个因素。我要说的第二个因素是技术限制。同样,传统的安全解决方案旨在执行特定操作。在网络安全方面,我们往往会发挥作用或获得更大的曝光度。例如,下一代防火墙如今不仅仅做防火墙,还集成了入侵防御功能。他们正在进行深度数据包检测和URL相关检测;他们正在做沙盒。此外,在此基础上,加密流量也在增加。下一代防火墙越来越胖,做了大量的工作,占用资源。因此,这种方法有很大的局限性。许多下一代防火墙直接限制了您可以集成第三方威胁情报的空间。我们看到的另一个因素是,即使您消除了容量限制,下一代防火墙的策略管理在许多情况下也会很麻烦。这是另一个限制。回到开源威胁情报领域,您如何看待业界正在启动开源威胁情报运动的说法?我看到两件事。首先,几年前一群供应商组成了网络威胁联盟(CTA)。我认为PaloAltoNetworks和赛门铁克等其他供应商是重要的创始成员,他们的目标是让行业能够共享威胁指标。但我不认为CTA取得了特别的成功,而且坦率地说,我们对网络威胁联盟知之甚少,甚至它是否还存在?无论如何,如前所述,CTA的企业成员提供专有的网络安全解决方案,支持的威胁情报服务也是彼此专有的。你让这些供应商慷慨无私地分享威胁情报。这听起来很伤感,但缺乏激励机制。但一些安全厂商(具体来说,厂商)确实采取了行动,试图整合第三方威胁情报,并试图让他们的系统更加开放。我将重点介绍一些示例。例如,PaloAltoNetworks有一个名为MineMeld的开源项目,它将聚合来自多个来源的威胁情报,并且他们正在帮助实现自动化。我认为McAfee在他们所谓的DXL方面也取得了长足的进步,这不仅是一种将整个McAfee解决方案整合在一起的方式,而且还允许像我们这样的第三方解决方案轻松集成。这里要考虑的其他方面是安全编排、自动响应(SOAR)。这些供应商正在努力促进威胁情报在不同系统之间的移动。这种方法的挑战再次回到安全控制本身的局限性。因此,如果我们选择PaloAltoNetworks,他们是市场领先的防火墙提供商,对吗?他们已采取措施整合第三方威胁情报。然而,您仍然只能将少数第三方威胁指示器放入PaloAltoNetworks防火墙这一事实并不能解决问题。因此,无论是使用MineMeld还是使用SOAR完成,都存在很大的局限性。归根结底,最大的问题是专有安全解决方案之间的差异是情报共享的最大阻力。同样,这些专有安全解决方案的架构已经非常完整和自洽,它们确实只适合做它们正在做的事情。你提到BanduraCyber??被集成到其他一些产品和解决方案中。那么Bandura在开源威胁情报运动中的作用是什么?开放是我们工作的核心,对吧?因此,我们提供所谓的威胁情报保护平台。在那里,我们汇总来自多个来源的威胁情报。我们正在与许多商业威胁情报提供商合作。我们是开源的,我们正在通过ISEC、ISAO集成引入政府行业。对我们来说,我们今天不生产自己的威胁情报,我们不依赖它。我们正在合作,我们希望客户能够使用他们想要的威胁情报。因此,我们正在采取积极措施来汇总和呈现来自领先供应商和所有这些来源的威胁情报。但随后我们还整合了来自任何来源的威胁情报。我们已经看到许多大型企业花费数百万美元整合多个威胁情报来源,并且更多企业将考虑使用像ThreatQuotient这样的解决方案来聚合威胁情报平台。我们正在做这样的整合。我们与ThreatQuotient合作,我们与Anomali合作,我们与RecordedFuture合作,ThreatConnect、SOAR、SIEM系统将是重要的集成。然后,关键部分是对威胁情报采取行动。我们走到一起,我们走到一起,但随后我们将采取行动,这就是我认为对我们来说非常有趣的事情。您真的可以将我们视为一个开放的威胁情报执行平台。同样,我们将能够根据来自任何来源的威胁情报采取行动。我们不偏向于我们自己的威胁情报,我们想要开放和灵活,但这并不意味着我们不会随着时间的推移拥有一些我们自己的威胁情报,但核心竞争力一直是提供开放和灵活的威胁情报。让客户得到他们想要的信息。由于网络是动态的,今天的威胁情报来源将与明天、五年和十年后的情况大不相同。Bandura网络威胁情报平台的主要特点是什么?1.聚合来自多个来源的IP和域威胁情报,包括领先的商业供应商、开源、政府和行业来源。2.实时集成来自任何来源的IP和域威胁情报,包括来自威胁情报提供商和平台(TIP)、SIEM、SOAR、端点和网络安全解决方案的情报。3.根据IP和域等威胁情报,以接近实时的速度主动过滤网络流量。
