威脅管理框架通常用于評估和管理您為了檢測和響應(yīng)網(wǎng)絡(luò)威脅所采取的一切措施。該框架涵蓋人員、流程和技術(shù)，而若要實現(xiàn)高效的威脅管理，所有這三者應(yīng)達到無縫協(xié)作。

當然，這一點說起來容易做起來難。如果僅從威脅管理的技術(shù)層面來看，顯然會發(fā)現(xiàn)很多東西。這反映了網(wǎng)絡(luò)安全的總體情況：組織平均使用多達 10 個不同提供商的 25 至 49 種不同的工具。這種情況帶來了額外的復(fù)雜性，而且導(dǎo)致一些組織已采取工具合理化措施，以便更好地了解他們從每種工具中實現(xiàn)的優(yōu)勢、工具之間可能存在的重疊之處以及可能存在的差距。不過，即使執(zhí)行了這類操練，采取更少或更多不同的單點解決方案也并非最佳之選。

高效威脅管理的挑戰(zhàn)

太多不可執(zhí)行的威脅情報

威脅情報本身與令威脅情報在組織范圍內(nèi)可執(zhí)行的因素之間存在脫節(jié)。在當今威脅訂閱源非常豐富的情況下，收集威脅情報并不是問題所在，不過威脅的數(shù)量卻令安全分析人員難以確定需要優(yōu)先處理的關(guān)注事項。我最近與某位安全主管的對話很好地總結(jié)了這一挑戰(zhàn)。他說，他們組織采取的一項重大舉措是實施“托管威脅情報”，具體來說就是向團隊提供經(jīng)過優(yōu)先排序的威脅情報，而不是提供所有可用的威脅情報。

在去中心化的分布式數(shù)據(jù)中尋找洞察力

Forrester Consulting 于 2019 年受 IBM 委托進行的調(diào)研結(jié)果顯示：隨著安全和 IT 工具數(shù)量的增加，數(shù)據(jù)量及其位置的數(shù)量也隨之增加。大多數(shù)組織已經(jīng)開始使用內(nèi)部解決方案和多云部署，即使他們可能尚未意識到這一點。此外，數(shù)據(jù)本身要么不統(tǒng)一，要么不可預(yù)測。因此，如果分析人員或威脅捕獲人員需要在組織環(huán)境中查找某種類型的威脅指示器，就會難以跨孤立的數(shù)據(jù)源進行搜索，而且這個過程非常耗時。此外，隨著每個新數(shù)據(jù)源的添加，只會增加集成成本和復(fù)雜性。過去，組織一直希望通過集中式數(shù)據(jù)湖來解決這一問題，但是隨著數(shù)據(jù)量、成本和準確性要求的不斷提高，尤其是在多云和端點平臺之中，這種方法所能實現(xiàn)的成功變得非常有限。

缺乏熟練的資源來管理威脅數(shù)量

如今，缺乏熟練的網(wǎng)絡(luò)安全分析人員已經(jīng)不再是什么秘密了，而且每個企業(yè)都在從同一個人才庫中挖掘人才。此外，從分析人員到首席信息安全官 (CISO)，即便所有安全專業(yè)人員承受著巨大壓力，也無濟于事。負責(zé)威脅管理及優(yōu)先排序的人員數(shù)量與事件響應(yīng)人員數(shù)量之間的脫節(jié)，導(dǎo)致組織無法達到他們對自身威脅計劃的預(yù)期。

本質(zhì)上，這些挑戰(zhàn)中的每一個都與某種脫節(jié)有關(guān)：威脅情報與組織脫節(jié)，數(shù)據(jù)分散在不同的工具和孤島之中，并且工作所需資源的供需不匹配。

轉(zhuǎn)變?yōu)榛ヂ?lián)式威脅管理方法

我們需要一種不同的威脅管理方法，而不是在沒有人員能夠高效使用威脅訂閱源或工具的情況下，繼續(xù)添加更多威脅訂閱源或其他工具。轉(zhuǎn)換為更具互聯(lián)性的方法的方式之一是著重于一對多集成，而不是增減單個工具。使用能夠最大限度利用現(xiàn)有安全解決方案和數(shù)據(jù)源的功能，有助于組織以多種方式推進其威脅管理計劃。

通過量身定制的威脅情報提升識別效率

如果威脅情報源與您組織的相關(guān)信息（例如所屬行業(yè)、地理位置）相關(guān)聯(lián)，則可以根據(jù)它們與業(yè)務(wù)的相關(guān)性自動對其進行優(yōu)先排序。如此便可減少分析人員需要評估的情報數(shù)量。此外，通過與現(xiàn)有環(huán)境的關(guān)聯(lián)，您可以更快、更輕松地查看組織中是否確實存在某個相關(guān)威脅，以及是否需要進行更多調(diào)查或立即做出響應(yīng)。

通過合并的搜過功能來改善可視性、縮短響應(yīng)時間

如果搜索功能可以位于所有安全工具和數(shù)據(jù)源之上并與之連接，則安全運營中心 (SOC) 的分析人員便無需深度探索每個工具和數(shù)據(jù)源來尋找感染指標 (IoC)。互聯(lián)在這里很關(guān)鍵，因為將所有數(shù)據(jù)遷移到單個位置會帶來成本和復(fù)雜性。通過連接數(shù)據(jù)而不必移動數(shù)據(jù)，安全分析人員便可在調(diào)查威脅時節(jié)省時間、獲得可視性并提高效率。

通過嵌入式自動化釋放分析人員的精力，使其投入到更高價值的任務(wù)

如果將自動化功能嵌入到您的安全功能中，則可以幫助安全分析人員免于執(zhí)行手動、重復(fù)任務(wù)，進而使其可以專注于更高價值的責(zé)任，例如主動威脅捕獲。此外，借助既與其他安全工具相連又與更廣泛的 IT 工具相連的自動化，可以幫助企業(yè)改善和加快事件響應(yīng)流程并編排整個企業(yè)的行動。

互聯(lián)式威脅管理方法可以幫助組織實施更有效的計劃。借助 IBM Cloud Pak for Security，我們可以實現(xiàn)數(shù)據(jù)和工作流的互聯(lián)，更輕松地實現(xiàn)互聯(lián)式威脅管理。

點擊了解更多IBM安全觀