人们普遍认为,威胁情报对于建立强大的安全态势必不可少。 然而,尽管许多公司声称他们在攻击和攻击者威胁到您的业务之前就已经对其有了了解,但他们的数据源造成的问题可能比他们解决的问题还要多。 只有四分之一的安全专家认为他们正在有效地使用威胁数据。 本文告诉您如何获取最新的相关威胁情报以保护您的业务。
5 分钟。 读
亲近你的朋友,但更要亲近你的敌人。 这不仅适用于宫廷阴谋,也适用于企业安全人员。
在网络攻击不断变化且无处不在的时代,每个企业都应该知道其风险在哪里。 您需要了解您的潜在敌人,这样您才能预测他们会如何以及在何处发起攻击,确定您被黑客攻击的可能性,并在您不可避免地成为目标时做好应对准备。
公司需要及时、相关的、适用于其业务和处理的数据的威胁信息。 以下是一些实现该功能的方法:
威胁情报应该能够全面地描述可能影响贵公司的攻击趋势。 然而,从威胁数据中收集的信息需要集中在您的特定企业或组织所面临的最重大风险上。
威胁情报应该通过贵公司实际使用的技术进行过滤,这意味着您应该清楚了解贵组织所依赖的技术。 例如,不依赖 Oracle 数据库的企业可以安全地忽略影响该产品的漏洞和针对该产品的威胁。 此外,安全团队需要评估公司所使用的技术提供商。 如果技术的供应商或开发商不关注并补救针对其软件的威胁,那么企业应该向他们施加压力。
攻击者往往专注于特定行业。 例如,金融、医疗保健和电力公司都成为特定群体的目标。 因此,要注意您所在特定行业所面临的威胁。
公司需要及时、相关的威胁信息,这些信息适用于他们的业务和处理的数据。
开发这种情报的一个可能方法是加入信息共享和分析中心(ISAC)或组织(ISAO) 。 ISAC 通常专注于关键基础设施群体(例如能源或金融),而 ISAO 则专注于行业的特定子领域,例如信用卡处理商或医院。
然而,这些团体依赖您提供针对您的网络的威胁的数据。 虽然许多群组的成员仅满足于收集信息,但最强大的群组是那些成员也自由分享他们所看到的威胁的信息的群组。 虽然这种共享可能会引起企业高管的担忧,但安全专家可以在自己的行业内建立规模更小、联系更紧密的网络。
利用威胁情报最有用的方法可能是从同行那里获取见解——由人类为人类创造的情报。 与安全同行进行比较有助于您更好地解释威胁数据,并提供必要的背景信息来制定安全程序设计以应对新威胁。
尽管许多供应商都转向情报源以及分析和响应机器可读数据的功能,但除非您提供可操作的背景信息,否则这些数据本身可能呈现出不完整且零散的画面。
Sara Boddy 目前领导 F5 Labs(F5 Networks 的威胁情报报告部门)。 在加入 F5 之前,她就职于 Demand Media,担任信息安全和商业智能副总裁。 萨拉 (Sara) 曾管理 Demand Media 的安全团队达 6 年之久。 在加入 Demand Media 之前,她在 Network Computing Architects 和 Conjungi Networks 担任过 11 年的各种信息安全咨询职务。