五大因素助力企业或机构建立自己的威胁情报团队


 

有许多企业或机构都想建立自己威胁情报团队,但不知道从何开始,更不知道究竟是什么威胁情报。在过去的几年里,尽管厂商竞相建立基于情报的问题解决方案,但威胁情报的定义在业界仍被迷雾所笼罩。抛开对威胁情报概念本身的争论,在本文中我们将讨论组织机构如何建立自己的团队,从而有效利用情报推动企业安全。这包括以下五个关键因素:

  因素1:建立情报优先框架。

为了有效利用情报,组织必须首先证实并优先考虑有用的信息。首先发现情报的空白之处,接下来根据欠缺的情报制定需求,然后将与机构相关的需求组织起来。

举个例子,在优先情报需求(PIR)文件里,“P1”可能表示以我方为目标的对手,在这种情况下,另一个需求以我方为目标的国家级对手,这可以表示为“P1.a.”。

这种结构使得机构可以建立一个集中的清单,以便定期审查所有的情报需求。

  因素2:整合情报来源。

威胁情报的来源很丰富,包含以下几个方面:

技术来源包括SIEM,IDS,防火墙,下一代终端安全平台,以及大量的设备日志;

公开来源包括公开的的厂商报告,大量免费订阅的公告,厂商漏洞列表(微软、苹果、Adobe等),以及各种媒体资源;

封闭来源包括社区邮件列表,和类似ISACS的组织;

此外,还有付费情报提供者。

  因素3:映射情报收集。

威胁情报的获取来源如此广泛,需要通过因素1中所定义的情报优先级进行排列。例如,公开报告与一些已知威胁目标相关且可能会对攻击目标相关的情报请求进行排序。威胁情报通过一些内部系统,如:已知来源的邮件,日期,与其映射的优先权,已获取的情报,及一些数据处理(分析)。将已收集到的情报存储在可搜索的存储库(数据库)中,在可能的情况下,将其传入技术节点中,获取可操作信息并应用到SIEM中,建立防火墙或日志记录事件,建立入侵检测规则,或禁止HASH进入终端防御系统中。

  因素4:寻找最棒的人才。

关键是雇用有能力深入分析内部情报并针对组织机构行成分析报告的威胁情报分析人员。收集到新的威胁情报之后,需要有人评估其对组织机构是否有价值、解释其价值在哪里、决定情报对谁有价值,并且撰写分析报告说明其应用场景。

把图书馆装满谍报分析书籍并不难,但培养能够进行情报分析工作的SOC分析人员既费时又费力。许多技术专家的世界是二元的,一切非黑即白。而情报分析人员生活在灰色的世界里:他们考虑无数情况,并对事情发生或者变化的可能性进行评估。这些分析人员将采用可替代的的竞争假设(ACH)处理多种可能性或结果。

  因素5:将成品展示给观众。

传播威胁情报是威胁情报团队的重要工作之一。通过每星期、甚至每天都通报在近一段时间内收集并分析的情报的产品,威胁情报团队能够确保其内部用户了解当前发生的各种事件。威胁情报产品应当针对受众订制,并包含对客户更实际的信息。

例如,一个机构组织的威胁情报产品如果能够做到涵盖已知的攻击、即将发生的可能影响企业安全的事件、最新与企业安全有关的新闻、以及对可能发生的情报进行评估,那么这个产品一定会在主动面对威胁方面表现出色。

原文链接:http://www.darkreading.com/vulnerabilities---threats/how-to-roll-your-own-threat-intelligence-team/a/d-id/1326445

(责任编辑:安博涛)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

2016年软件即服务发展的五大主题

2016年软件即服务发展的五大主题

对于2016年软件即服务(SaaS)我并没有什么伟大的预言,也没有深邃的远见或是史诗般的猜...[详细]

从生产安全体系视角看数据安全

从生产安全体系视角看数据安全

互联网的发展一日千里,安全技术随着互联网的发展,出现的新场景、新技术、新名称都越...[详细]

RSA 2019大会最值得关注的10个网络安全趋势

RSA 2019大会最值得关注的10个网络安全趋势

RSA2019大会本周开幕,来自八家知名网络安全厂商的高官们谈到了他们期待在今年大会上...[详细]

Gartner:政府部门2019年将重点投资「数据

Gartner:政府部门2019年将重点投资「数据分析与网络安全」的技术

数字化转型时一场长期竞赛,2018年数字化转移面临的主要挑战是缺少用于支持数字化转型...[详细]

区块链正在应用于正在兴起的网络安全运动

区块链正在应用于正在兴起的网络安全运动

尽管有关加密货币和交易所的黑客和欺骗的新闻铺天盖地,但事实仍然是,真正的区块链在...[详细]

返回首页 返回顶部