確保組織的安全基礎(chǔ)設(shè)施覆蓋所有可能的威脅入口是一回事，而確保主動(dòng)保護(hù)是另一回事。

在不斷增長(zhǎng)的在線威脅和復(fù)雜的網(wǎng)絡(luò)威脅中，組織需要通過積累威脅情報(bào)不斷增強(qiáng)其網(wǎng)絡(luò)防御能力，以跟上發(fā)展的步伐。但是，責(zé)任并不僅限于此，他們需要理解收集到的數(shù)據(jù)，并把這些點(diǎn)聯(lián)系起來(lái)，以保持一個(gè)沒有威脅的環(huán)境。

[[278293]]

有效的威脅關(guān)聯(lián)是主動(dòng)防護(hù)的關(guān)鍵要素，不僅可以防御已知威脅，而且還可以防御未知威脅。這就是組織通常在IT安全解決方案和系統(tǒng)中尋找的東西。也就是說(shuō)，如果他們依靠外包商來(lái)滿足他們的安全需求，那這也是他們對(duì)各自提供商的期望。

有效威脅關(guān)聯(lián)的要素

保證客戶網(wǎng)絡(luò)的安全需要安全服務(wù)提供商減少誤報(bào)和漏報(bào)，并驗(yàn)證傳感器的性能和可用性。這些挑戰(zhàn)可以通過有效的威脅關(guān)聯(lián)來(lái)解決。

通過適當(dāng)?shù)耐{關(guān)聯(lián)，安全響應(yīng)團(tuán)隊(duì)可以專注于他們的最優(yōu)先級(jí)。這提高了他們的效率，同時(shí)降低了由于更嚴(yán)格的隱私保護(hù)指南和法律帶來(lái)的潛在風(fēng)險(xiǎn)和公司責(zé)任。但怎樣才能建立有效的威脅關(guān)聯(lián)呢?

為了有效地連接構(gòu)成當(dāng)今混合威脅的各個(gè)部分，安全提供商需要高質(zhì)量的數(shù)據(jù)。添加到客戶的解決方案和系統(tǒng)中的信息必須及時(shí)且相關(guān)。

理想的相關(guān)過程是使用接近實(shí)時(shí)的信息。安全提供商越早發(fā)現(xiàn)主動(dòng)入侵，就能越快處理它。識(shí)別和監(jiān)控潛在的威脅源也比事后處理攻擊的效果更劃算。一旦發(fā)現(xiàn)數(shù)據(jù)泄露，受害者必須向擁有受影響數(shù)據(jù)的人支付經(jīng)濟(jì)補(bǔ)償。

安全外包也將使用相關(guān)信息。他們需要在正確的時(shí)間將正確的信息傳遞給正確的人。例如，如果由于網(wǎng)絡(luò)故障而無(wú)法連接到客戶端的防火墻，應(yīng)該通知網(wǎng)絡(luò)運(yùn)營(yíng)中心(NOC)，而不是安全團(tuán)隊(duì)。除此之外，他們還需要過濾掉不相關(guān)的噪聲，以免誤報(bào)。他們需要檢測(cè)手動(dòng)日志調(diào)查或僅查看單個(gè)設(shè)備的工具可能會(huì)忽略的高風(fēng)險(xiǎn)威脅。網(wǎng)絡(luò)中的每個(gè)設(shè)備都需要以無(wú)縫方式與所有其他設(shè)備一起使用。

安全提供商需要確保他們的基礎(chǔ)設(shè)施能夠滿足客戶的威脅情報(bào)收集、整合和關(guān)聯(lián)需求。

有效的威脅關(guān)聯(lián)架構(gòu)的三要素

一個(gè)有效的威脅關(guān)聯(lián)架構(gòu)至少包含三個(gè)基本步驟:收集、整合和關(guān)聯(lián)。

1. 收集

一些安全解決方案只是從公司網(wǎng)絡(luò)中提取傳感器日志文件，然后將其上傳到中央存儲(chǔ)庫(kù)，可以采用壓縮來(lái)減少網(wǎng)絡(luò)帶寬需求。其他的通常在單個(gè)設(shè)備上執(zhí)行收集和初始分析以分配收集過程，從根本上減少了帶寬需求。無(wú)論如何分配和完成工作，此步驟都只是收集所有需要標(biāo)準(zhǔn)化或聚合的可用威脅情報(bào)和數(shù)據(jù)源。

2. 整合

這個(gè)階段也稱為“標(biāo)準(zhǔn)化”或“聚合”，它涉及過濾無(wú)關(guān)數(shù)據(jù)，將重點(diǎn)放在安全解決方案及其用戶通常定義的重要內(nèi)容上。在這一步中，許多誤報(bào)被消除。

整合會(huì)去除重復(fù)的數(shù)據(jù)，并確保每個(gè)數(shù)據(jù)都是標(biāo)準(zhǔn)格式的。通過這種方式，在關(guān)聯(lián)時(shí)，可以輕松地將信息與其他所有信息進(jìn)行比較。即使數(shù)據(jù)來(lái)自不同的來(lái)源(具有不同配置的系統(tǒng)，來(lái)自不同供應(yīng)商的解決方案等)，仍然可以形成相互關(guān)系。

3. 關(guān)聯(lián)

最終目標(biāo)是從多個(gè)安全平臺(tái)獲取數(shù)據(jù)，并將其關(guān)聯(lián)起來(lái)，為威脅響應(yīng)團(tuán)隊(duì)提供及時(shí)、相關(guān)和準(zhǔn)確的情報(bào)。

對(duì)于使用集中式數(shù)據(jù)庫(kù)的解決方案，分析人員只需運(yùn)行適當(dāng)?shù)牟樵兙涂梢缘玫巾憫?yīng)。但是，這可能會(huì)受到可伸縮性和性能問題的限制。為了分析大量的數(shù)據(jù)，組織需要能夠處理大量處理需求以及時(shí)間的系統(tǒng)，考慮到威脅滲透網(wǎng)絡(luò)的快速速度，這些時(shí)間可能是有限的。

每個(gè)組織都需要一個(gè)有效的威脅關(guān)聯(lián)架構(gòu)，如果他們要承受不斷增長(zhǎng)的數(shù)量和復(fù)雜性的威脅所帶來(lái)的風(fēng)險(xiǎn)。不管他們的安全需求是依賴內(nèi)部的還是第三方的，他們都有一個(gè)共同點(diǎn)。他們需要及時(shí)、相關(guān)、準(zhǔn)確的數(shù)據(jù)——幸運(yùn)的是，這些數(shù)據(jù)并非遙不可及。