自成立以来,Facebook一直是网络攻击的目标。他们积极抵御恶意软件和防止欺诈,并且他们在这方面的努力经常见诸报端。然而,可以很公平地说,Facebook面临的实际威胁更加严峻。
当面对威胁时,知识就是力量。很多企业都认识到威胁分析和安全分析的重要性,它们不仅可以帮助阻止当前威胁,还可以提高事件响应。最近,Facebook宣布通过其ThreatData框架进军大数据安全分析领域。
在本文中,我们将讨论什么是ThreatData框架,它是如何工作的以及为什么企业应该知道它的存在,还有信息安全专业人员可以从中学到什么来更好地管理企业面临的威胁。
ThreatData框架内部
对于ThreatData,Facebook声称它能够快速收集、处理和分析大量数据,以及时对出现的威胁作出反应。
这个大数据安全分析框架包括三个主要部分:
• 数据收集:这是从Facebook内部和外部的各种来源收集的各种格式的数据(被称为ThreatDatum),这些来源包括VirusTotal、Web浏览器扩展和专门从事这种数据收集的安全供应商。
• 数据存储:这些是存储数据和提取威胁情报的库,被称为“Hive”或者“Scuba”。
• 实时响应:这是Facebook对威胁的响应,其中包括URL阻止和安全信息及事件管理(SIEM)集成。
从本质上讲,ThreatData对互联网正在发生的恶意活动提供了更全面和更大的可视性。这些发现和检测功能正是大多数企业的信息安全计划中缺乏的功能。与SIEM的优势类似,这种详细程度允许信息安全专业人员能够看到更大的视图,而不是更为典型的对产品或功能孤岛的安全管理。
ThreatData框架对一般企业意味着什么
那么,为什么这会有用呢,特别是对于与Facebook不怎么相关的企业?
ThreatData框架是创新框架类型的模型,高风险企业正在部署这种框架来解决已知和新出现的安全威胁,并且,这可能为一般企业提供很多经验教训。
虽然大多数企业没有Facebook那样的安全资源,但该框架的很多威胁情报“功能”并不需要大量资源,企业可以利用最新钓鱼网站上的信息、互联网中的恶意软件以及应对这些威胁的相关趋势。
另外,企业可以外包部分(如果不是全部)这些功能到很多第三方供应商(例如Dell SecureWorks和Alert Logic),包括对企图攻击、已知网络恶意软件感染以及需要注意的行为和签名发出警报,包括实时修复Web应用防火墙等技术。
在很多企业,特别是中小企业,负责安全的人员通常不知道在特定时间事物所处的位置。即使企业选择外包这些服务,他们通常没有足够的人力或者利基安全专业技术来及时合理地管理这些威胁,更不用说响应威胁。但是,企业仍然有机会来获得对企业环境的控制权。