第一章
检查威胁情报生命周期的各个阶段审查威胁情报的来源查看威胁情报工具和分析师
威胁情报是建立在政府和军事机构几十年来不断磨练的分析技术之上的。传统情报关注六个不同的阶段,弥补所谓的“智能周期”:
1.方向生命周期的方向阶段是为威胁情报计划设定目标。这包括理解和阐明:
(1)需要保护的信息资产和业务流程
(2)失去这些资产或中断这些过程的潜在影响
(3)安全组织保护资产和应对威胁所需的威胁情报类型
(4)优先保护什么
2.收集收集是收集信息以满足最重要情报需求的过程。
信息收集可以通过多种方式有机地进行,包括:
(1)从内部网络中提取元数据和日志
(2)订阅来自行业组织和网络安全供应商的威胁数据源
(3)与知识渊博的人士进行对话和有针对性的访谈
(4)扫描开源新闻和博客
(5)抓取和收集网站和论坛
(6)渗透黑网络论坛等封闭资源
技术来源(例如,威胁源)
大量提供,通常是免费的。技术来源很容易与现有的安全技术集成,但往往包含高比例的误报和过时的结果。媒体(例如,安全网站、供应商研究)
这些来源经常提供关于新出现的威胁的有用信息,但很难与技术指标联系起来以衡量风险。社会化媒体
社会渠道提供了大量有价值的数据,但这是有代价的。错误的观点和错误的信息是错误的,所以要确定那些可用性引用。威胁行为体论坛
专门为举办相关讨论而设计的论坛提供了一些最有用的见解。不过,分析和交叉引用对于确定什么才是真正有价值的至关重要。黑暗的网(包括市场和论坛) 虽然通常是极有价值的情报的发源地,但黑暗的网络来源可能极难获得,特别是那些充当严重犯罪社区东道主的来源
重点::自动化!分析师应该花费尽可能少的时间选择数据,并尽可能多地评估和传达威胁信息。
3.加工处理是将收集的信息转换为组织可用的格式。几乎所有收集到的原始数据都需要以某种方式进行处理
4.分析报告内容要求: 简明扼要(一页备忘录或几张幻灯片)避免混淆和过度使用技术术语以及行话用业务术语阐明问题(例如直接和间接费用及其对声誉的影响) 包括推荐的措施5.传播6.反馈
第二章
威胁情报的安全运营
目的:了解“警报疲劳”如何可能破坏安全运营中心(SOC)的良好工作了解上下文对改进分类的价值了解威胁情报如何减少SOC团队浪费的时间和更好的决策
独立的数据很难分析,确定警报是否相关且紧急需要收集各种各样的相关信息(上下文)内部系统日志,网络设备和安全工具
改进“拒绝时间”对于SOC分析人员来说,更快速、更准确地收集真实威胁信息同样重要,但有一种观点认为,快速排除虚假警报的能力更为重要。威胁情报部门为SOC工作人员提供了必要的额外信息和背景信息,以便迅速、轻松地分类警报。它可以防止分析员浪费时间根据以下原因寻求警报。
第3章威胁情报事件响应目的:了解威胁情报如何最大程度地减少反应性查看使威胁情报解决方案有效应对事件响应挑战的特征探索将威胁情报用于事件的用例响应
一个典型的事件响应过程:1. 事件检测 -接收来自警报的警报SIEM,EDR或类似产品。2. 发现并确定发生了什么以及如何发生回复。3. 分类和收容 -立即采取减轻威胁并最大程度减少损害的措施。4. 补救措施 -修复损坏并清除感染。5. 推送至BAU-将事件传递给“最后的”小组采取最后行动。
最小化事故响应中的反应性为了减少响应时间,事件响应团队必须减少反应。两个方面的高级准备可以特别有助于识别可能的威胁和优先次序。
识别可能的威胁 如果事件响应团队能够提前识别最常见的威胁,那么他们就可以制定强有力的、一致的流程来应对这些威胁。这种准备工作极大地减少了团队需要控制个别意外事件的时间,防止了错误,并让分析人员在出现新的和意外的威胁时能够自由应对。
优先顺序 并非所有的威胁都是平等的。如果事件响应团队能够了解哪些威胁向量对其组织构成最大程度的风险,则他们可以相应地分配其时间和资源。
利用威胁情报加强事件应对
从我们目前的讨论中应该可以清楚地看到,安全技术本身并不能减少对人类分析师的压力。威胁情报可以最大限度地减轻事件反应小组的压力,并通过以下方式解决我们审查的许多问题:
自动识别和剔除假的活动态警报在开放和黑暗的网络中使用实时上下文丰富警报收集和比较来自内部和外部数据源的信息以识别真正的威胁根据有组织的具体需求和基础设施 换言之,威胁情报为事件响应小组提供了他们所需的可操作的洞察力,以便做出更快、更好的决策,同时阻止了通常使他们的工作变得如此困难的不可靠警报的浪潮。
事件响应威胁情报的基本特征全面的 为了对事件响应团队有价值,威胁情报必须从开放源、技术源和黑暗网络中尽可能广泛的位置自动捕获。否则,分析师将被迫进行自己的手工研究,以确保没有遗漏任何重要内容。相关的 在识别和控制事故时,不可能避免所有误报。但是,威胁情报应该有助于事件响应团队快速识别和清除由安全技术(如SIEM和EDR产品)产生的误报。有两类误报需要考虑:1、与组织相关但不准确或无用的警报2、准确和/或有趣但不是与组织相关这两种类型都有可能浪费大量事件响应分析人员的时间。先进的威胁情报产品现在正在采用机器学习技术,自动识别和排除误报,并提请分析人员注意最重要(即最相关)的情报。 文字化 并非所有的威胁都是平等的。即使在相关的威胁警报中,有些警报也不可避免地比其他警报更加紧急和重要。单一来源的警报可能是准确的和相关的,但优先级仍然不是特别高。
扫一扫
984
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
