威脅情報信息源可以幫助企業(yè)從內(nèi)部系統(tǒng)的信號中找出未知威脅，而安全情報則更進了一步。

[[118372]]

多年來，很多企業(yè)大量投資于安全信息和事件管理以及日志管理技術(shù)來收集、管理和分析日志。大規(guī)模數(shù)據(jù)分析領(lǐng)域的進步讓企業(yè)使用程序來從數(shù)據(jù)中發(fā)現(xiàn)異常活動和分析攻擊。然而，企業(yè)很容易被從這些數(shù)據(jù)中獲得的指標和警告所淹沒。

這正是安全情報派上用場的時候。我們不是盲目地尋找“新的”和“異常”事件，我們現(xiàn)在可以搜索特定IP地址、URL或者有效載荷模式。這特別重要，因為攻擊活動可能很長時間不會被發(fā)現(xiàn);大多數(shù)公司是由外部實體通知，而不是內(nèi)部傳感器—盡管數(shù)據(jù)收集和事件監(jiān)控方面已經(jīng)取得進步。

現(xiàn)在，威脅情報信息源的數(shù)量正在不斷增加，從大型網(wǎng)絡(luò)安全社區(qū)提供的免費開源數(shù)據(jù);到經(jīng)審核和聚合的商業(yè)產(chǎn)品;到封閉式信息共享社區(qū)—專門針對特定行業(yè)或重點領(lǐng)域。當(dāng)你部署和使用這些威脅情報信息源時，你需要當(dāng)心你不要再次淹沒在數(shù)據(jù)中。安全情報能夠幫助你更容易地在日志數(shù)據(jù)海洋中找出信號，而不是在持續(xù)的日志分析中增加噪音和分析負擔(dān)。

在根據(jù)企業(yè)風(fēng)險和優(yōu)先級挑選最佳安全情報信息源之前，企業(yè)需要考慮以下三個因素：

• 企業(yè)威脅情況。企業(yè)面臨什么類型的威脅?哪些威脅無法被內(nèi)部部署的安全情報產(chǎn)品發(fā)現(xiàn)?

• 傳感器功能。你能夠收集什么數(shù)據(jù)，你已經(jīng)部署或計劃部署什么傳感器?

• 情報差距分析。如果你有特定的情報信息源，你的企業(yè)可以更有效地緩解哪些當(dāng)前威脅?

金融服務(wù)機構(gòu)不僅需要緩解針對其自身基礎(chǔ)設(shè)施的威脅，而且還要應(yīng)對影響其客戶的威脅，例如銀行惡意軟件。關(guān)于這個惡意軟件使用的命令控制服務(wù)器的威脅情報信息可能比不上HTTP請求中假冒設(shè)備的情報。因為企業(yè)不可能監(jiān)控連接到該命令控制服務(wù)器的客戶設(shè)備，但受感染機器的IP地址的信息將很有用，可以幫助發(fā)現(xiàn)這些系統(tǒng)的傳輸記錄，并通知被感染客戶。

威脅情報不應(yīng)該被限制為簡單的基于網(wǎng)絡(luò)和主機簽名，例如IP地址和惡意軟件的哈希值。為了讓安全情報可以幫助解決業(yè)務(wù)問題，企業(yè)應(yīng)該考慮交易量或與交易及其他風(fēng)險相關(guān)的特定行業(yè)性能指標。對于擔(dān)心外國競爭者訪問其知識產(chǎn)權(quán)或商業(yè)機密的跨國企業(yè)，他們需要考慮這些潛在競爭對手的能力、其地理位置以及過去采用的方法。

為了發(fā)揮威脅情報的真正潛力，以及幫助企業(yè)充分了解內(nèi)部收集到的數(shù)據(jù)，企業(yè)應(yīng)該分享威脅情報。來自其他企業(yè)的信息很有用，特別是類似行業(yè)的企業(yè)，因為他們面臨著類似的威脅。但分享你的威脅信息也很有幫助，這能夠提供你內(nèi)部收集的數(shù)據(jù)的其他方面的信息。例如，不能完全攻擊你網(wǎng)絡(luò)的攻擊可能可以有效攻擊其他企業(yè)的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)安全團隊現(xiàn)在可能會分享更多關(guān)于攻擊者的意圖和功能的詳細信息，讓你的團隊可以回到你的系統(tǒng)，搜索更多他們可能錯過的指標。

最后，只有安全情報程序提供相關(guān)的可部署的簽名來幫助企業(yè)更有效地緩解威脅，安全情報程序才會成功。