威胁情报:实际上,它是如何工作的?

威胁情报的工作原理 - Flexa Cloud

网络威胁情报是如何产生的? 它在公司的日常工作中如何运作? 与尚未到达那里的同行相比,利用它的组织更有可能获得哪些优势?

在我们关于该主题的系列文章中,我们力求帮助您理解为什么这个概念是基本的。 所以现在让我们试着回答这些问题。 查看! 

→ 也许您想了解威胁情报的概念。 在这种情况下,请先阅读这篇文章: 

威胁情报周期的六个阶段

网络威胁情报是收集、处理和分析数据的六部分周期的最终产品。 这个过程是一个循环,因为在情报开发过程中发现了新的问题和知识差距,从而定义了新的收集要求。 

从这个意义上说,一个有效的情报程序是迭代的,随着时间的推移变得更加完善。

为了最大限度地发挥您生成的威胁情报的价值,在执行任何其他操作之前识别您的用例并定义目标至关重要。 关注以下主题!

一、规划与方向

生成可操作的威胁情报的第一步是提出正确的问题。

最能推动创建可操作威胁情报的问题集中在单一事实、事件或活动上——通常要避免广泛的、开放式的问题。

根据以下因素确定您的情报目标的优先级,例如它们与您组织的核心价值观的紧密程度、由此产生的决策将产生多大的影响以及决策的敏感性。

此阶段的一个重要指导因素是了解谁将消费最终产品并从中受益。 

你需要问和回答: 

  • 情报会交给需要快速报告新漏洞利用的精通技术的分析师团队吗? 
  • 或者对于正在寻求广泛的趋势概览来为其下一季度的安全投资决策提供信息的高管?

2. 收藏

下一步是收集满足第一阶段定义的要求的原始数据。 最好从各种来源(内部)收集信息资产,例如网络事件日志和过去的事件响应记录; 以及来自开放网络、暗网和技术资源的外部资源。

威胁数据通常被认为是 IoC 列表,例如恶意 IP 地址、域和文件哈希。 但它也可能包括漏洞信息,例如来自客户的个人身份信息、来自粘贴网站的原始代码以及来自新闻来源或社交网络的文本。

3. 加工

在收集了所有原始数据之后,您需要对其进行分类,使用元数据标签对其进行组织,并过滤掉冗余信息或误报和误报。

今天,即使是小型组织每天也会收集数百万个日志事件和数十万个指标的数据。 对于人类分析师来说,高效处理太多了——数据收集和处理需要自动化才能开始有意义。

像这样的解决方案 西门子 是一个很好的起点,因为它们通过可以为几个不同的用例配置的相关规则使结构化数据相对容易,但只能接受有限数量的数据类型。

如果您从许多不同的内部和外部来源收集非结构化数据,您将需要一个更强大的解决方案。 

4. 分析

下一步是了解处理后的数据。 分析的目的是寻找潜在的安全问题,并以符合规划和指导步骤中概述的情报要求的格式通知相关团队。

威胁情报可以采取多种形式,具体取决于您的初始目标和目标受众。 但这个想法是将信息资产以公众理解的格式放置,范围可以从简单的威胁列表到经过同行评审的报告。

5. 披露

然后将成品分发给其目标消费者。 为了使威胁情报具有可操作性,它需要在正确的时间接触到正确的人。

它还需要可追溯,以便在一个智能周期与下一个智能周期之间具有连续性。 这样,学习就不会丢失。 

建议您使用与其他安全系统集成的票务系统来跟踪情报周期的每个步骤——每次收到新的情报请求时,不同团队的几个人都可以提交、编写、审查和填写票证.

6. 评论

最后阶段是情报周期完成时,使其与初始规划和指导阶段密切相关。 

在收到完成的情报产品后,最初的请求者会对其进行审查并确定他们的问题是否得到了回答。 这推动了下一个情报周期的目标和程序,使文件和连续性变得至关重要。

贵公司如何处理威胁情报的主题? 通过下载电子书深入了解这个概念 我们刚刚发布!

点击下载