数据目标情报如何将挑战转化为机遇?
来源:CPDA数据分析师网 / 时间:2021-03-17
信息共享可以为您提供通用的网络威胁情报,但是要获得针对您的行业和组织的真正针对性的威胁情报,就需要实时服务,这意味着您必须找到将威胁情报转化为切实可行的缓解步骤,克服预算限制并解决内部技能短缺的方法,但是针对性威胁情报的发展道路上的障碍已经超越了这些常见问题,您将以下挑战转化为机遇的能力对成功至关重要。
1.利用人类的专业知识来解释威胁数据
拥有正确的“人际交往能力”至关重要-那些了解威胁背后的背景并可以执行正确的流程以使威胁情报适用于您的需求的人,指出这一点很重要–因为通常需要组合使用多种方法,例如暗网监视,开源,机器可读和人类智能,才能全面了解针对您组织的威胁,使用自动化可以极大地帮助您及时向发出警报,但是终您需要能够对它们进行优先级排序,将它们与整个资产中的数据进行匹配,以便可以查看您是否已成为目标,将这些归因于攻击者生命周期中的步骤,并采取适当的措施来减轻威胁。
许多企业已经在其现有安全控制中包含了自动威胁情报扩充功能
但是由于该阶段的关键性,威胁情报流程的处理部分(例如逆向工程)通常是手动或半自动的,配备人员来解释信息和提要是很重要的,这样他们就可以以用户可以使用的方式传播信息和提要,并允许他们采取适当的措施来保护自己,例如:
识别公司存在的任何漏洞,这些漏洞被野蛮利用
使用数据主动寻找攻击者破坏网络的证据
进行网站下架以保护品牌声誉
将与特定威胁参与者相关联的攻击者TTP聚类,以优先考虑针对企业的威胁参与者组
根据可能的威胁进行有针对性的攻击模拟演习
优先考虑相关的安全和事件响应控制v
2.评估威胁情报的价值
随着威胁情报成为主流,存在一个共同的挑战,那就是阻止团队限度地发挥其潜力,这是了解如何利用收集到的信息,为了跟上安全趋势而实施威胁情报可能会导致团队误导预算和资源,有效地利用有针对性的威胁情报需要深刻理解这些见解带给组织的价值,无论您是要尝试更有效地识别内部威胁,制止社会工程学攻击,在攻击发生之前消除其威胁,还是消除供应链风险,知道您的目标都会使有针对性的威胁情报更加有效。
这一切都始于预先定义需求和KPI
拥有记录的度量方法将使跟踪进度并向关键业务利益相关者证明价值变得更加容易,一些潜在的威胁情报KPI包括:
直接归因于情报的已识别威胁的百分比
由于威胁情报而需要对项目进行优先级调整的实例
实施情报前后威胁的响应时间
威胁情报服务生成的警报数量
威胁情报源的功效,包括何时添加新数据以及何时过期
3.从正确的来源收集信息
当您拥有正确的自动化流程和AI驱动的系统时,似乎没有太多的信息,但是针对性威胁情报的关键就是针对性,确保您从高质量的相关来源收集数据,这些数据将提供改善整体网络安全所必需的见解,知道您正在使用哪种数据源很重要,您要提取原始数据吗?数据是公开的还是私有的?您是否从黑暗的网络中收集了信息?当您能够收集专门满足您的需求的数据源并程度地减少冗余时,您将能够维持有针对性的威胁情报。
从正确的来源收集信息终归结为以下四个注意事项:
数据收集差距: 如果您的来源之间存在差距,威胁情报数据的质量将无关紧要。上下文对于有针对性的威胁情报至关重要,因此,您需要确保源重叠,以程度地减少冗余并程度地覆盖范围。
源可靠性: 垃圾进,垃圾出原理在威胁情报中起作用。您需要能够信任威胁情报程序生成的见解。否则,您将永远无法确定响应计划的优先级。
第三方策略: 如果您与托管服务提供商合作,您知道他们的数据收集策略是什么样的吗?不要盲目与提供者合作。提出问题,并确保他们的数据收集将带来高质量的见解而没有差距。
风险剖析: 风险概况在实现目标威胁情报中起着至关重要的作用。当您了解组织内部的风险时,可以确定网络安全投资的优先级。而且,当威胁概况得到威胁情报见解的支持时,您就会知道您正在采用有效的业务保护方法。
有效的威胁情报有很多可动的部分
但是仅仅因为存在挑战并不意味着您就必须对通用见解保持满意,有了合适的策略和受 管理的威胁情报合作伙伴,您可以将这些挑战转化为机遇,并为您的企业发掘宝贵的见解。
商业联合会数据分析专业委员会