确保组织的安全基础设施覆盖所有可能的威胁入口点是一回事,但确保主动防护又是另一回事。在不断增长的在线威胁和复杂的网络威胁中,组织需要通过积累威胁情报来不断增强其网络防御以跟上步伐。但责任并不止于此,他们需要理解收集到的数据并将各个点连接起来以维护无威胁的环境。有效的威胁关联是主动防御已知威胁和未知威胁的关键要素。这是组织通常在IT安全解决方案和系统中寻找的东西。也就是说,如果他们依赖外包商来满足他们的安全需求,那么这就是他们对各自供应商的期望。有效威胁关联的要素确保客户网络安全需要安全服务提供商减少误报和漏报并验证传感器性能和可用性。这些挑战可以通过有效的威胁关联来解决。通过适当的威胁关联,安全响应团队可以专注于他们的最高优先级。由于更严格的隐私准则和法律,这提高了他们的效率,同时降低了潜在风险和公司责任。但是如何建立有效的威胁关联呢?为了有效地连接构成当今混合威胁的各个部分,安全提供商需要高质量的数据。添加到客户解决方案和系统中的信息必须及时且相关。理想的关联过程是使用接近实时的信息。安全提供商越早检测到主动入侵,处理它的速度就越快。识别和监控潜在的威胁源也比事后处理攻击更具成本效益。一旦发现数据泄露,受害者必须向拥有受影响数据的人支付经济赔偿。安全外包也会使用相关信息。他们需要在正确的时间将正确的信息发送给正确的人。例如,如果由于网络故障而无法连接到客户端的防火墙,您应该通知网络运营中心(NOC),而不是安全团队。除此之外,他们还需要过滤掉不相关的噪音以避免误报。他们需要检测手动日志调查或仅查看单个设备的工具可能会遗漏的高风险威胁。网络中的每个设备都需要以无缝方式与所有其他设备协同工作。安全供应商需要确保他们的基础设施能够满足客户的威胁情报收集、集成和关联需求。有效威胁关联架构的三个要素有效的威胁关联架构至少包含三个基本步骤:收集、集成和关联。1.收集一些安全解决方案只是从公司网络中提取传感器日志文件并将它们上传到中央存储库,可能会采用压缩来降低网络带宽需求。其他人通常在单个设备上执行收集和初始分析以分发收集过程,从而从根本上降低带宽需求。无论工作如何分配和完成,这一步都只是收集所有可用的威胁情报和需要规范化或聚合的数据源的问题。2.合并此阶段也称为“规范化”或“聚合”,涉及过滤掉不相关的数据,以专注于通常定义的对安全解决方案及其用户重要的内容。在此步骤中,消除了许多误报。合并删除重复数据并确保每条数据都采用标准格式。这样,在关联时,可以轻松地将信息与其他所有内容进行比较。即使数据来自不同的来源(具有不同配置的系统、来自不同供应商的解决方案等),仍然可以形成相关性。3.关联最终目标是从多个安全平台获取数据并将其关联起来,为威胁响应团队提供及时、相关和准确的情报。对于使用集中式数据库的解决方案,分析师可以简单地运行适当的查询并获得响应。但是,这可能会受到可伸缩性和性能问题的限制。为了分析大量数据,组织需要能够处理大量处理需求和时间的系统,考虑到威胁渗透网络的速度很快,这可能会受到限制。每个组织都需要一个有效的威胁关联架构,才能承受不断增加的威胁数量和复杂性带来的风险。无论他们的安全要求是内部的还是第三方的,他们都有一个共同点。他们需要及时、相关、准确的数据——幸运的是,这些数据并非遥不可及。
