威脅情報(bào)信息源可以幫助企業(yè)從內(nèi)部系統(tǒng)的信號中找出未知威脅，而安全情報(bào)則更進(jìn)了一步。

[[118372]]

多年來，很多企業(yè)大量投資于安全信息和事件管理以及日志管理技術(shù)來收集、管理和分析日志。大規(guī)模數(shù)據(jù)分析領(lǐng)域的進(jìn)步讓企業(yè)使用程序來從數(shù)據(jù)中發(fā)現(xiàn)異常活動(dòng)和分析攻擊。然而，企業(yè)很容易被從這些數(shù)據(jù)中獲得的指標(biāo)和警告所淹沒。

這正是安全情報(bào)派上用場的時(shí)候。我們不是盲目地尋找“新的”和“異常”事件，我們現(xiàn)在可以搜索特定IP地址、URL或者有效載荷模式。這特別重要，因?yàn)楣艋顒?dòng)可能很長時(shí)間不會(huì)被發(fā)現(xiàn);大多數(shù)公司是由外部實(shí)體通知，而不是內(nèi)部傳感器—盡管數(shù)據(jù)收集和事件監(jiān)控方面已經(jīng)取得進(jìn)步。

現(xiàn)在，威脅情報(bào)信息源的數(shù)量正在不斷增加，從大型網(wǎng)絡(luò)安全社區(qū)提供的免費(fèi)開源數(shù)據(jù);到經(jīng)審核和聚合的商業(yè)產(chǎn)品;到封閉式信息共享社區(qū)—專門針對特定行業(yè)或重點(diǎn)領(lǐng)域。當(dāng)你部署和使用這些威脅情報(bào)信息源時(shí)，你需要當(dāng)心你不要再次淹沒在數(shù)據(jù)中。安全情報(bào)能夠幫助你更容易地在日志數(shù)據(jù)海洋中找出信號，而不是在持續(xù)的日志分析中增加噪音和分析負(fù)擔(dān)。

在根據(jù)企業(yè)風(fēng)險(xiǎn)和優(yōu)先級挑選最佳安全情報(bào)信息源之前，企業(yè)需要考慮以下三個(gè)因素：

• 企業(yè)威脅情況。企業(yè)面臨什么類型的威脅?哪些威脅無法被內(nèi)部部署的安全情報(bào)產(chǎn)品發(fā)現(xiàn)?

• 傳感器功能。你能夠收集什么數(shù)據(jù)，你已經(jīng)部署或計(jì)劃部署什么傳感器?

• 情報(bào)差距分析。如果你有特定的情報(bào)信息源，你的企業(yè)可以更有效地緩解哪些當(dāng)前威脅?

金融服務(wù)機(jī)構(gòu)不僅需要緩解針對其自身基礎(chǔ)設(shè)施的威脅，而且還要應(yīng)對影響其客戶的威脅，例如銀行惡意軟件。關(guān)于這個(gè)惡意軟件使用的命令控制服務(wù)器的威脅情報(bào)信息可能比不上HTTP請求中假冒設(shè)備的情報(bào)。因?yàn)槠髽I(yè)不可能監(jiān)控連接到該命令控制服務(wù)器的客戶設(shè)備，但受感染機(jī)器的IP地址的信息將很有用，可以幫助發(fā)現(xiàn)這些系統(tǒng)的傳輸記錄，并通知被感染客戶。

威脅情報(bào)不應(yīng)該被限制為簡單的基于網(wǎng)絡(luò)和主機(jī)簽名，例如IP地址和惡意軟件的哈希值。為了讓安全情報(bào)可以幫助解決業(yè)務(wù)問題，企業(yè)應(yīng)該考慮交易量或與交易及其他風(fēng)險(xiǎn)相關(guān)的特定行業(yè)性能指標(biāo)。對于擔(dān)心外國競爭者訪問其知識(shí)產(chǎn)權(quán)或商業(yè)機(jī)密的跨國企業(yè)，他們需要考慮這些潛在競爭對手的能力、其地理位置以及過去采用的方法。

為了發(fā)揮威脅情報(bào)的真正潛力，以及幫助企業(yè)充分了解內(nèi)部收集到的數(shù)據(jù)，企業(yè)應(yīng)該分享威脅情報(bào)。來自其他企業(yè)的信息很有用，特別是類似行業(yè)的企業(yè)，因?yàn)樗麄兠媾R著類似的威脅。但分享你的威脅信息也很有幫助，這能夠提供你內(nèi)部收集的數(shù)據(jù)的其他方面的信息。例如，不能完全攻擊你網(wǎng)絡(luò)的攻擊可能可以有效攻擊其他企業(yè)的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)安全團(tuán)隊(duì)現(xiàn)在可能會(huì)分享更多關(guān)于攻擊者的意圖和功能的詳細(xì)信息，讓你的團(tuán)隊(duì)可以回到你的系統(tǒng)，搜索更多他們可能錯(cuò)過的指標(biāo)。

最后，只有安全情報(bào)程序提供相關(guān)的可部署的簽名來幫助企業(yè)更有效地緩解威脅，安全情報(bào)程序才會(huì)成功。