在这篇哈巴尔网站上的推文中,我们将解释 TI 缩写背后的含义、为什么需要它、Positive Technologies 收集哪些网络威胁数据以及如何帮助企业预防网络威胁。我们将以四种情况为例,说明公司如何使用 PT Threat Intelligence Feeds 来发现恶意活动并预防攻击。
什么是 TI
当公司建立防御系统时,该系统就像一座堡垒。堡垒有保护它的围墙,有允许任何人进入的大门,也有将不速之客拒之门外的大门。瞭望塔是堡垒的重要组成部分。建造瞭望塔是为了在敌人靠近时发出预警。甚至在攻击开始之前,就可以从瞭望塔上预先知道敌方是谁,从哪儿来,计划用何类武器攻击。在信息安全系统中,这样的“瞭望塔”就是威胁情报 (threat intelligence) 的数据和利用这些数据的工具。
Threat intelligence (TI) 是描述现有或潜在网络威胁的信息。这类数据可以多种形式存在:从详细描述攻击者动机、基础设施、战术和技术的报告,到观察与网络威胁相关的特定 IP 地址、域、文件和其他人为产物。
网络威胁的形势不断变化——新的黑客组织不断涌现,新的漏洞定期被发现,攻击者正在从零开始编写或修改现有的恶意软件。跟踪这些变化,尤其是考虑到行业的特殊性,这是一项复杂的任务,需要安全运营中心 (SOC) 团队投入大量资源。
遗憾的是,尽管网络攻击(包括有针对性的攻击),的数量不断增加,但信息安全工具缺乏对当前信息安全威胁的了解,因此无法及时发现这些威胁。此外,公司本身也并非总能有效应对意外事件。
根据最新的《Devo SOC 性能报告》,26% 的公司表示,分析师要处理的警报太多,使安全运营中心 (SOC) 的工作变得苦不堪言。此外,29% 的受访企业表示无法招聘和留住技术熟练的专业人员,这一因素也致使企业难以快速发现和应对网络威胁。此外,我们的实践经验表明,专家需要花费大量时间来评估威胁的危险性并确定响应任务的优先级——即使成功发现网络隐患事件,他们也可能需要花费几分钟到几个小时的时间来查明威胁:谁攻击了公司、攻击的目的是什么以及攻击者可能采取的进一步措施。
利用 threat intelligence 数据,企业可以加快与事件风险评估和优先级安排有关的流程,并快速识别误报,及早发现攻击。
Positive Technologies 收集哪些网络威胁数据
很多公司尝试使用有关网络威胁的开放信息源,但面临此类数据质量低劣的问题。更糟糕的是,开放源码不定期更新数据、缺乏补充背景的信息,而且包含许多假阳性破坏指标,这只会使威胁管理过程更加复杂。结果显示,安全运营中心 (SOC) 团队非但没有减少工作量&#x
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
