分析威胁数据时要考虑相关性!又是高中生和家长们焦躁不安的时候了。高考后,各种录取通知书纷至沓来,一时难以抉择。众所周知,各种证书是很多职业的敲门砖,但是哪所学校最适合你的孩子呢?您的孩子能否从大学经历中获得最宝贵的经验?每个学生的大学经历和收获都是不同的。有些人只是在他们感到舒适的环境中学习和成长,有些人获得学位以便他们可以在他们想从事的领域工作,有些人上大学是为了进入一个职业领域,或者这些因素的某种组合。同样,我们都知道威胁情报蕴含着巨大的价值。这个价值能不能提取出来,能提取出多少价值,也是由各种因素决定的。最近的一份SANS报告《2018网络威胁情报调查》发现,81%的网络安全专业人员确认威胁情报正在帮助他们更好地完成工作。数以百万计的以威胁为中心的数据点、公司订阅的多个全球威胁数据源以及来自企业多层防御和SIEM的内部威胁和事件数据提供了丰富的威胁情报。但是,我们是否真的在威胁情报中获取了尽可能多的价值,以真正加强我们的防御并加快检测和响应速度?人们越来越意识到并非所有威胁情报都同样重要。对企业A至关重要的威胁情报,对企业B来说可能毫无意义。那么,如何从威胁情报中获取真正重要的价值呢?立足点在于相关性。智能价值取决于你的行业/地区、你的环境和你拥有的技术/能力。1.行业/地区与涵盖??其他领域威胁的一般数据相比,特定于公司行业和地区的威胁数据的相关性和重要性要高得多。来自国家/政府计算机应急响应小组(CERT)和信息共享与分析中心的行业外部威胁反馈非常有用。用这些威胁数据源补充企业中央数据存储库可以帮助减少噪音,并让企业安全团队更多地关注其行业中本地发生的威胁。2.环境根据公司环境或基础设施,一些威胁指标比其他指标更相关。例如,如果您的公司拥有分布广泛的员工队伍并且端点保护是关键,那么您需要注意文件哈希值,因为这将使您能够检测设备上的恶意文件。在网络上,域名和IP是比较重要的指标,可以用来追踪可疑流量。为了从威胁情报中提取最重要的东西,我们需要能够在中央存储库中聚合和上下文丰富指标的工具,以便我们可以过滤和整理那些对公司真正重要的东西。3.技术/能力公司的网络安全人才储备也是一个重要的方面。拥有大量员工的大公司有资源以2或3度分离(例如下游IP地址、域名注册商等)跟踪威胁数据。没有如此充足资源的公司必须更具选择性,只调查针对其行业或与已知对手相关的活动威胁数据。在这种情况下,自动化和托管安全服务提供商(MSSP)可以补充现有的员工和技术组合。自动化可以将数百万个以威胁为中心的数据点聚合到一个中央存储库中,并将它们转化为统一的格式;它还可以通过关联外部和内部威胁数据来添加上下文。应用程序自动化还可以帮助过滤掉一些噪音。例如,根据预设参数自动对数据进行排序。MSSP提供多种选择,从充当您的整个安全团队,到管理威胁情报程序的特定功能,再到提供高价值的定制服务,例如威胁搜寻或事件响应。每个家长都希望自己的孩子在教育中有所收获,影响教育效果的因素有很多。同样,许多因素决定了组织可以从威胁情报中获得的价值。在创建企业威胁情报程序时,请记住考虑相关性,在分析威胁数据时考虑相关性,这样您就可以很好地获取威胁情报的全部价值。
