此刻威胁和报复打击者正在敏捷演变,大年夜大都企业都没法赶上它们的法度。新的复杂的零日缝隙也在不竭出现,并被报复打击者操纵来进侵企业系统。与此同时,智慧的报复打击者可以隐躲在企业系统长达数月乃至数年,逐步盗取企业有价值的数据。
对试图摆设和治理安然节制来禁止高级报复打击的企业安然团队而言,威胁谍报可让他们事半功倍。添加威胁谍报到现有的信息安然打算可以加强威胁评估,并供给更多的关头数据来显示哪些安然节制可以摆设在企业环境中以禁止最新的报复打击。
在本文中,我们将切磋甚么是威胁谍报,并会商若何将威胁谍报整合到企业信息安然打算中。
威胁谍报的汗青和近况
企业或办事供给商对威胁谍报的定义各有不合。一些人将威胁谍报定义为当报复打击产生时发现报复打击,而其他人则将其定义为要劫持造者在报复打击中利用的手艺。一般来讲,威胁谍报是指企业从各类来历汇集和阐发关于最新威胁媒介的信息,然后操纵这些信息来抵抗报复打击。
信息安然范畴的良多专业人士在老派报复打击期间开端了他们的职业生活生计,那时电子邮件列表(例如Bugtraq)、电子杂志(例如Phrack)和互联网都在快速普及。阿谁时辰,人们利用这些相对简单的来历作为威胁谍报,但即便如斯,那时的人们仍然知道和体味良多不合范畴的报复打击和研究的最新状况。比拟之下,这在今天是不成能的工作,即便是最专业的安然专家也不成能知道不竭被发现的各类新威胁。
比来,企业测验测验操纵IT安然风险治理手艺来更好地优化安然节制,和调剂信息安然打算,但这些编制并没有足够完美,来有效地治理风险。添加新编制(例如威胁谍报)来帮忙优化安然节制可以帮忙企业更快地适应最新报复打击,出格是更快地辨认它们和进步事务响应速度。
那么,这些“谍报”从何而来?企业可以投资大年夜量资本来打造本身的研究人员和阐发师团队,从头开端成立一个威胁谍报打算,但大年夜大都企业没有足够的资金如许做。另外一种选择是订阅安然供给商供给的威胁谍报办事。每个供给商都有本身的特点,但良多供给商试图夸大年夜凸起其产品组合优势的威胁谍报,是以企业需要考虑采取同化和综合办事。第三种编制是加进信息共享和阐发中间(ISAC),这类编制正在逐步风行,这类编制是指大年夜家分享特定行业的威胁数据,然后整合到本地阐发和东西中。
整合威胁谍报
在选择威胁谍报来历后,企业必需想编制将威胁谍报整合到信息安然打算中。尺度化(凡是是XML)的威胁谍报资本和信息流可以被整合到各类安然设备中,例如,已知的歹意IP地址可以输进到防火墙并进行禁止,罢了知的歹意域名可以被DNS禁止,歹意下载的文件可以被收集监控东西辨认,或包含在系统治理东西中来辨认特定文件或东西。你还可以建设SIEM系统来整合威胁谍报资本以辨认受传染主机。后续查询拜访的额外威胁数据也能够用于进一步阐发不合的系统,和与其他企业共享的系统,使得信息可以或许投进利用。
威胁谍报的一大年夜卖点是企业可以操纵这些信息在报复打击启动之前就抵抗报复打击。经由过程监测威胁谍报中是不是存在针对特定软件、系统或行业的报复打击,企业可以肯定其是不是在利用易受报复打击的软件或系统,然后在报复打击产生前摆设减缓办法。例如,假定报复打击者对准了利用缝隙版本WordPress的Web办事器,试图将其作为报复打击内部收集的支点,企业可以查找易受报复打击的WordPress安装,并摆设减缓办法,乃至更新到最新版本来禁止这类报复打击。在大年夜型企业中,针对企业收集中某个区域的报复打击可以用于发现威胁数据,而这些威胁数据可以用于调查对全部收集的报复打击。
汇集和治理内部威胁谍报仿佛是合理的,但为了有效操纵良多其他企业的数据来履行这类工作,企业最好转向第三方办事供给商。办事供给商可以对进站智能信息进行验证和数据清算,如许,企业只需要简单地导进数据到内部东西,从而专注于禁止和检测报复打击。
总结
为了禁止纯熟的报复打击者,企业信息安然打算需要足够的矫捷性,并添加新编制来进步决定计划过程。添加威胁谍报到信息安然打算,不管是经由过程内部摆设仍是从办事供给商,都可以帮忙企业优化安然勾当,并专注于最有可能禁止报复打击的范畴。跟着威胁变得愈来愈复杂和有针对性,企业应当抓住一切可以操纵的机缘来更多地体味用来对它们的手艺,并应用这些常识来成立一个更有效的安然打算.