什么是威胁情报?它如何帮助识别网络安全威胁
相关标签: # 服务器# 恶意软件# 监控# 攻击# 信息
- 我如何及时了解有关网络安全威胁的大量信息?包括不良行为者、方法、漏洞、目标等。
- 我如何更主动地应对未来的安全威胁?
- 我如何告知我的领导人特定安全威胁的危险和影响?
威胁情报是什么?
威胁情报最近受到了很多关注。虽然有许多不同的定义,但以下是一些经常被引用的定义:威胁情报是以证据为基础的知识,包括背景、机制、指标、影响和可采取行动的建议,这些知识涉及对资产的现有或正在出现的威胁或危害,可用于告知有关主体对该威胁或危害的反应的决定。 – 高德纳
收集、评估和应用的有关安全威胁、威胁因素、漏洞、恶意软件、漏洞和危害指标的一组数据– 无研究所
为什么每个人都在谈论它?
Verizon的2015 DBIR估计,7亿条泄露记录造成了4亿美元的财务损失,这是由79790起安全事件造成的!
只要出现安全威胁和漏洞,每个企业都会寻找保护其数据的方法。由于我们对IT系统的依赖,威胁形势一直在变化,业务风险也在增加。
威胁来自内部和外部。底线是,组织在管理威胁方面面临巨大压力。虽然以原始数据形式提供的信息非常丰富,但要获得有意义的信息,并据此制定积极的措施,既困难又耗时。
这自然会吸引越来越多的用户使用威胁情报,因为它有助于在海量数据、警报和攻击中优先考虑威胁,并提供可采取行动的信息。
下表列出了可通过威胁情报源识别的几种常见危害指标:
| 类别 | 妥协指标 | 例子 |
| 网络 |
|
针对与已知不良行为者通信的内部主机的恶意软件感染 |
| 电子邮件 |
|
网络钓鱼是指内部主机点击一封毫无防备的电子邮件,并向恶意命令和控制服务器“打电话回家”的行为 |
| 基于主机的 |
|
来自主机的外部攻击,这些主机可能自身受到感染,或者已知存在恶意活动 |
威胁情报能力
攻击可大致分为基于用户、基于应用程序和基于基础设施的威胁。最常见的威胁包括SQL注入、DDoS、web应用程序攻击和网络钓鱼。
重要的是要有一个It安全解决方案,该解决方案提供威胁情报能力,通过主动和响应来管理这些攻击。
攻击者不断改变他们的方法来挑战安全系统。因此,组织不可避免地从各种来源获取威胁情报。
控制攻击的一种行之有效的方法是使用SIEM(安全信息和事件管理系统)检测和响应威胁。
SIEM可用于跟踪环境中发生的一切,并识别异常活动。孤立事件可能看起来不相关,但通过事件关联和威胁情报,您可以看到您的环境中实际发生了什么。
如今,IT安全专业人员必须在假定的违规心态下操作。将监控的流量与来自威胁情报的已知不良行为者进行比较,将有助于识别恶意活动。
然而,这可能是手动的,而且很耗时。将基于指示器的威胁情报集成到SEIM安全解决方案将有助于识别受损系统,甚至可能防止一些攻击。
最佳实践
整合威胁情报和应对攻击不足以应对不断变化的威胁形势。你需要分析形势,确定可能面临的威胁,并据此提出预防措施。
以下是几个最佳实践的列表:
- 有一个应用程序白名单和黑名单。这有助于防止执行恶意或未经批准的程序,包括。DLL文件、脚本和安装程序。
- 仔细检查日志,查看尝试的攻击是否为孤立事件,或者该漏洞是否以前被利用过。
- 确定尝试的攻击中发生了什么变化。
- 审核日志并确定事件发生的原因–;原因可能从系统漏洞到过时的驱动程序。
基于威胁情报的SIEM将解决什么问题
一个SIEM,比如SolarWinds Log&;事件管理器,从监控的流量中收集日志数据并进行规范化,并自动标记可疑事件。
通过集成的威胁情报机制和内置规则,可以将监测到的事件与不断更新的已知不良行为者名单进行比较。
您可以快速搜索,根据日志数据实时监控不良参与者的点击,并确定常见的危害指标。
如果出现恶意攻击企图,您可以自动响应,例如阻止已知的坏IP地址。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
