安全团队疲于应付威胁数据的巨量。虽然十年前没有人在谈论,除了政府机构威胁情报,组织现在轰炸威胁数据留给他们确定什么是相关的挑战。
汇总数据需要观念的转变,为了一个成熟的威胁情报,以便更好地规避风险。
专家说,对于有数据的目的,收集的数据没有任何好处,并且可以使用时间和人力来分析是最常见的噪音,而不是威胁的实际指标数据实际上减损安全情报计划。
如果企业的长期目标是拥有成熟的威胁情报计划,他们需要进行内部风险评估和设计行动计划。
托梅尔·施瓦茨,安全研究主任,Adallom实验室指出,“威胁情报是不看的所有数据。威胁情报是新的,和产品正在改变。可以理解,只是封堵的产品是不会帮助非常重要。威胁情报是关于让尽可能多的数据对当前威胁,因为我们可以,而不仅仅是当前的数据“。
无视历史数据俯瞰着丰富的信息,可以通知安全保卫方案,使企业抵御更广泛的事件信息。Schwartz说,“在当前的安全状态,攻击者会成功。新的数据和历史数据的相关性不会发生不够和企业都害怕的合作。”
答案是不是在问题投钱,而是自行了解不同的平台,这将有助于其特定环境的需要。
大多数安全团队无法做出有价值的利用他们的威胁数据的,因为仅仅是太多了。处该数据产生的速度来分析所需要的脑功率是力所能及不可能的。
“人类不能摄取以有意义的速率数据,”安妮·波拿巴,CEO,Brightpoint的说。
“有很多的威胁数据的新途径加以传播。我们面临的挑战和机遇是信息的泛滥。它已经成为一个经典的大数据问题,因为人类无法摄取在这有意义的速度。”
这个数据的泛滥经常会留下安全分析师挣扎。
商业供应商,包括ThreatQuotient,TRUSTAR,Brightpoint的,Webroot公司,北欧和Adollom都一致认为,威胁情报已经成为数据挖掘问题。
威胁情报是唯一有价值的,如果安全分析师可以利用的数据,并产生冗长的报告,计划无助于推动威胁情报。
试图削减数百个百万个数据点,以确定此事需要大量的时间和人力数千人。山姆Glines,挪威的首席执行官说,“如果你有一个10页的综合报告,告诉你所有的漏洞,第二个是打印报表,它已经过时。”
“威胁情报,补充说:” Glines“,也来自内部的威胁,不只是无赖员工,但机器和流氓设备。这也是员工不知道任何更好“。企业需要做的内部审计,了解他们的内部和外部的安全漏洞,因为他们不能保护自己,如果他们不知道他们在防御什么。
“来了解攻击的生命周期是很重要的,并且有免费和开源的信息送出那里。开源饲料的问题是,它们提供了大量的信息,这些信息并不总是有价值的。”
更多精品供应商将能够为用户提供更有价值的和准确的信息,公司将评估情报,并根据客户的需要适当地投资。
与所有的漏洞和转换正在发生的网络安全,特别是企业更多地依赖云服务提供和应对不断变化的基础设施,一些企业可能还没有准备好把重点放在风险评估。Glines还表示,“供应商可以工作快了很多,如果风险评估已经完成和计划到位。”
随着公司不断转移到云,威胁指标变化,所以企业如何提高威胁情报,并降低风险?
Glines说,“公司需要明白,什么是最重要的是数据和保护这些数据。各地的资产对齐方案是最高优先级。知道我的高风险数据驻留“。更重要的是,企业应该明白,并非所有的数据是有价值的。Glines建议,“评估情报并适当地根据投资的需要。它是没有效率的问题,只是扔技术“。
山姆Glines,北欧的CEO
知道他们的环境,也让他们认识到行为异常,行为分析是威胁情报的一个有价值的一块。麦克Banic营销副总裁,和韦德威廉姆森,在威达产品营销总监说,“指标是东西,你不熟悉。他们将新开始游戏,清新,与从未见过的东西。这不是恶意软件是什么,它的恶意软件做什么。该恶意软件采取的行动是什么是重要的。”
格雷森Milbourne,在Webroot公司的安全情报总监说,“作者明白,要抵御的东西,它需要观察至少一次。有人却看到你正在做知道如何防范什么。”其中一个在试图抵御大规模攻击的最大挑战是,一旦签名已被确定和共享,坏人已经创建了一个新的应用程序。
分享大规模商品的攻击签名信息,有助于最大限度地减少漏洞和淘汰更大的威胁。如果企业能够找到他们的活跃阶段入侵者,他们已经停止了罪犯被窃取数据之前的机会较大。
波拿巴建议,“在你的企业的利益共同体是怎么回事进行比较。以垂直社区,供应链和访问是怎么回事什么幕后识别相关数据,内容和环境知识的优势。”
知识就是力量,这不是一个陈词滥调,在研究威胁情报时不应忽视。米尔伯恩说:“他们知道得越多,就越有可能不成为受害者。安全意识通常更划算,它是安全情报的基本组成部分。”
对于所有企业来说,最重要的是要意识到什么对他们自己的环境最重要。分享威胁情报有助于识别已知的风险,但米尔伯恩说:“我们需要看看这些威胁在世界上发生的频率。80%的威胁甚至不再普遍存在。“让他们自己了解可用的服务,并根据他们的环境需要制定专门的威胁情报计划,将会有所帮助。”
随着越来越多的行业发掘更多的需求,威胁情报将继续增长和发展,以满足企业的需求。瑞安特罗斯特,管理主体,ThreatQuotient说,“威胁智能感知系统需要迎合大众,这确实不是现在。企业需要资源,而一旦他们有资源,他们需要一个平台来存储和管理他们的数据。”
如果企业都四处购物为供应商,得分是一种工具,将个性化的平台。特罗斯特说,“展望未来,进球将是至关重要的。它应该是从客户中心的角度,而不是嵌入的智能分数“。
这个故事,“威胁情报需要长大”最初发表CSO 。