【51CTO.com快译】安全威胁的本质,就是过于动态而无法一劳永逸。那么,这里有一些方法可调优威胁情报模型以助您摆脱自满的表象。
威胁情报的事实真相
请经常询问您的威胁情报服务提供商,有关任何或是所有您所想到的问题。
“他们每个人都应该告诉您,他们是如何收集和校对数据的,” Webroot公司的安全结构高级总监Dave Dufour表示,“他们有历史记录吗?那他们是如何编译的?他们能把威胁从‘窗帘’后揪出来吗?这些都是您应该问的。”他补充道。含有恶意IP地址的黑名单被每天更新一次,可能对于大多数组织是足够的。但如果您觉得不够的话,完全可以要求他们做得更为频繁些。
译者总结:简言之,就是要注意考量威胁情报服务提供商们是如何收集、分析和生成情报的,以及情报的整个生命周期。
当心那些偏差和营销伎俩所粉饰了的数据,咨询公司的IP架构总裁John Pironti警告说:“有时候只会看到一个由于偏差所致的原因或假设。”Pironti补充说,作为供应商和研究人员都会设法寻找对他们某个特定的观点或是“预先定义目的”的支持。所以您从一开始就要准备好询问出各种问题,并完全可以迫使提供商们去证明其数据和结论。
译者总结:不要被服务提供商所宣称技巧所迷惑,如果不能产生跟您的组织或者威胁模型有关系的威胁情报,那将都是浮云。
购买还是激活
组织和信息安全工作人员有时能会惊讶地发现,他们所面对的是某种根本没有被激活的威胁情报的数据源或服务。所以说他们不是要把钱投入一个新的解决方案,而是要购买已经放在那儿的,而且已经启动了的设备的许可证,才能更具经济效益。Webroot的Dufour如此建议道。
“很多情况下,那些可能需要组织花精力去搭建起来的,却正是他们已经拥有的威胁可见性,”他补充道。用户可能并没有包含其他安全信息的威胁数据源的集合,而可能只能看到那些被阻止或已攻击的部分。CISO(首席信息安全官)并不总是知道每一种之间的转换关系,但信息安全专业人员们却能知道其设备里正在发生着什么。
译者总结:“售后服务”也很重要。提供商应该为您投入持续的时间,和你一道讨论情报的输入与输出,以产生满足您目前和未来的需求的有价值的数据。
质量控制
您的威胁防御系统的智能水平取决于它所派生出来的数据。安全专业人员应该持续监测威胁情报数据的静态性,判定它们是否来自白名单或黑名单,以及它们的频率更新,Webroot的Dufour如是说。
在威胁的全局上,客户也应该对于那些正在被用来收集数据的输入感知器的可见性。从而给他们一种方式,来判断供应商或服务提供者,为其特定环境场景所提供的数据的适用性和有效性。威胁情报供应商应该对特定的威胁产生一个声誉评分,其置信区间,是用一个区间的各种数值来提供指定的概率。如果他们不是已经提供了的话,这将是他们用来回应需求的一个不错的增值服务。
Webroot说,另一个值得注意的问题是来自威胁情报数据的假阳性数量。这些阻断和警报不但浪费了时间、减缓了业务、还骚扰了终端用户。
保持精度
数据,特别是那些威胁情报数据,有时只能成为一种“钝器”而非“利器”。比如说为一个组织而进行的正确数据组合,却可能对另一个组织是极其错误或不适合的。对威胁情报而言,一种固定的模式是不能适合所有的。IP架构师John Pironti如是说。
他鼓励用户留意威胁情报提供商或服务供应商对业务知识的缺失。Pironti警告说:“情报供应商一般不会将客户情报类业务知识纳入到他们的分析和报告之中。“此外,他们所被分配到的风险通常是基于安全专业人员角度的,而不是从更广泛的组织本身的视觉出发的,因此这使得情况更为复杂和微妙。他补充道:一般所要关注的水平应该基于组织,包括其领导层或业务模型。
有时威胁情报服务提供商能提供出很少的或根本没有深入了解到组织的特定风险。“风险评分是基于一般技术条件和规范的,而不是那些受到影响的组织的特有风险。”Pironti解释道。组织需要清楚这些风险评分是如何计算出来的,并在必要时可以要求提供商们予以修改。
译者总结:有了威胁情报提供商,获取威胁数据源已经不是困难的事情了。反而如何在这些数据产生的同时,能够获取适合组织自身的,而且能加以分析和利用的数据,才是组织和服务提供商需要做足功课的地方。
找自身原因
涉及到如何处理威胁数据时,组织可能会发现他们也有一些来自内部的挑战。根据Ponemon(安全研究中心)和安全报告提供商Anomali的报告显示:在处理威胁响应数据时,超过三分之二的组织(69%)缺乏具有专业知识的技术人员。
阻碍组织如何应对威胁情报数据的另一个问题是缺乏掌控权(58%),而另一些人则认为缺乏合适的技术(52.5%)。“组织在流程方面和报告技能方面的不足,为给威胁数据设定优先级设置了额外的挑战。”Anomali在一份报告的总结部分如是说。
超过一半的受访者(52%)认为他们的组织需要一个合格的分析师,从威胁情报中得到最多价值;几乎相同数量的受访者(49%)表示,他们的信息安全团队根本不接收或阅读任何威胁情报报告。这表明那些工作量本就过载的IT部门,或许已用户被质疑了他们能否真的胜任于管理太多的所谓“首要任务”。
付诸行动
威胁情报数据可以成为一个伟大的工具,一个有助于指导安全专业人员和可能重置日常议程与优先级的晴雨表。但任何流向IT部门的数据量级都是压倒性的(真的有人去审查每条服务器日志吗?)。然而那些威胁情报数据如果不被用来采取任何行动的话,它们将对任何人都没有任何好处。
“您可能没必要去使用那些威胁情报,除非您有能力对它们采取行动。” Anomali的副总裁Jason Trost在最近一次Dark Reading的虚拟事件里提到:“如果您不对它们采取行动的话,您可能都不值得去消费那些数据。”
组织必须探究数据及其内部发生了什么。Webroot的David Dufour表示,然后他们来决定如何(或如需)对数据的显示内容进行应用。“如果您没有可用的资源去使用它们,那么您很可能就是在浪费您的钱财。“他还补充说,不如把这笔钱花费到事件响应的方面。
译者总结:要注意对情报的整合与应用能力,如果所得的情报不能结合企业实际产生可实施的安全控制和操作的话,更别提和决策流程相结合了。
正确使用威胁情报数据
客户通过自我教育,义不容辞的使得自己在采集和使用安全产品方面变得明智,而不仅仅局限于在威胁情报数据方面。但是作为安全提供商Leidos的Chris Coryea经理也指:值得注意的是信息不对称的发生情况实在是太常见了。
”据IDC的报告,77%的公司调查将SIEM(安全信息与事件管理)与威胁情报相等同,另外35%将威胁情报与安全的社区所提供的共享信息相关联。“Coryea在该公司的博客上写道。”这两点证明了许多组织的网络安全成熟度还在一个浅的层次上。”
译者总结:除了与SIEM之外,企业还可以将威胁情报数据导入SO(安全运营)并形成联动,从而从风险评估管理的角度制定出适合本企业的解决方案与措施。
供应商可以通过提供相关性、上下文环境和威胁情报内容的态势常识等来帮助企业培养更多威胁的应对能力。信息安全专业人员从而需要按需评估其组织的威胁情报相关性和威胁源的危害价值。
这可能对于信息安全专业人员来说,起初会是个是一个镇痛的意见交换与冲撞的过程。但是如果能正确地和贯彻始终的做到的话,组织不但能更好地保护自己,还能筑起信息安全领域更为广阔的防护“栅栏”。
原文标题:7 Ways To Fine-Tune Your Threat Intelligence Model,作者:Terry Sweeney
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】