威胁情报分享是SOC的“回春药”

安全牛 安全牛

点击蓝字存眷我们 [本文来自:www.tt44.com]


[好文分享:www.tt44.com]


平安牛点评

在本月初举办的 “奇智威胁谍报峰会” 上,包罗华泰证券、国度电网、扶植银行、国度互联网应急中心的威胁谍报负责人指出了平安运营的一个配合痛点:威胁谍报分享难!威胁/常识联盟的企业,往往出于常识产权或许竞争原因,不肯意分享内部谍报,导致联盟陷入 “三人不抬树” 的纳什平衡怪圈。


若何冲破威胁谍报分享的博弈逆境,增加企业/行业/国度级威胁信息共享和联动批示,是当下 SOC 平安运维的头号难题。


除了尺度化、立异激励机制(例如积分制)和联盟架构设计以外,国度互联网应急中心运行部工程师周昊强调了平台型双边市场(谍报集市)的主要性,而开源谍报平台,作为一种新兴的分享模式,已经引起了威胁谍报业界的极大乐趣。以下我们将连系具体的开源平台 MISP(恶意软件信息共享平台),谈谈 SOC 大规模开展威胁谍报工作的需要性、痛点、瓶颈,以及基于开源平台的社区型谍报共享方式的长处。



SOC正在失能!


凭据 Gartner 展望,因为平安团队无法治理数字风险,到 2020 年 60% 的数字买卖将蒙受重大办事故障。与此同时,企业平安运营 SOC 也正面临数字化转型的严重挑战。


平安牛在《平安运营SOC进入更年期》一文曾引用 ESG 的申报概念,指出目前的平安运营中心 (SOC) 已经陷入逆境,面临的问题包罗数据治理成本、人才欠缺以及威胁快速增进等。现在收集威胁日益复杂,而且天天都在快速增进。每秒钟建立的海量买卖数据也在制造新的破绽和冲击序言。


Ponemon Institute 的一项查询 “提高平安运营中心的效率” 发现,有 53% 的受访者认为他们的 SOC 在收集证据,查询和发现威胁的起原方面无效。为了有效,SOC 必需在准确的时间,准确的上下文中接见准确的数据,以完成其识别和响应威胁的义务。



威胁谍报是“激活”SOC的特效药


威胁谍报是激活 SOC 的要害,然则威胁谍报与 SOC 对象的集成写意度,以及威胁谍报自身依然面临数据方面挑战。


凭据 Marsh&McLennan 对 1,500 位高管的查询,现在,约有 62% 的全球高管将收集冲击和威胁视为其组织 2020 年最高的风险治理优先事项之一。总体而言,收集平安在数字化转型中的感化点正在 “左移”,从设计过程的早期阶段,以及平安防御的 “预防、展望” 阶段已经提高了平安意识和介入度。


然则威胁谍报要真正与 SOC 融合,就需要在检测、警报分类和事件响应环节施展感化,而不是 “飘在皮相” 的黑客攻防小分队。对于习惯于依靠静态防御的平安团队来说,行使威胁谍报意味着引入必然水平的迅速性,但平日来说因为要将就静态防御,威胁谍报的迅速性往往被虚耗了。


事实上,作为提拔 SOC 效能的主要增补,收集威胁谍报 (CTI) 已成为 SOC 的要害对象。凭据 2019 年 SANS 的 “收集威胁谍报演变” 查询,有多达 70% 的客户认为威胁谍报是平安运营的需要前提。然而,很多组织仍在起劲整合各类威胁谍报起原,或竖立一种有效的共享文化,以结合力量匹敌仇敌。


然则在 SOC 中集成威胁谍报的进展并不顺利,凭据 SAN 2019 年威胁谍报办事写意度查询,威胁谍报与检测响应系统的集成写意度偏低(下图红线)





威胁谍报的副感化与痛点



疼痛金字塔的痛感升级


威胁数据越有效,获取并集成到工作流中就越难题(或疼痛)。想象一下由威胁数据值与集成难度级别形成的金字塔:




金字塔顶端是威胁源使用的对象和 TTP 谍报。这些是威胁检测和验证最难题最疼痛的指标,但对于认识威胁行为者的配景,其意图以及充裕懂得威胁以进行响应的方式也最有效。



时间、复杂性、分类和花样


威胁数据是有时效性的。在确定方针之前,组织需要有关冲击中正在使用的破绽和恶意软件的最新信息。谍报源的紧迫性会发生转变,简化优先级排序过程是一项复杂的义务。


曩昔,平安从业人员共享Word文档,PDF或CSV表和Excel表格之类的简洁文件花样记录失陷指标,分类和花样存在差别,并且因时效性和缺乏集成而难以把持。并且,很难以尺度化花样描述和共享更复杂的行为指标,例如威胁行为者战术。

 


数据过多的懊恼


凭据 SAN 2019 威胁谍报近况查询申报,受访的企业平安人士对 CTI 方案最不写意的处所之一就是 “过时IoC数据的识别与消灭(47.6%不写意),仅次于机械进修(55.9%)。



共享和消费


威胁谍报社区试图竖立一种有效的共享文化,但大多失败了。固然业界已经建立了威胁谍报数据分类法和尺度,但没有一个被大规模采用,从而使威胁谍报数据的可接见性变得支离破碎。是以,大多数共享都不会超出域局限。即使跨行业的平安剖析师具有配合的方针,组织平日也不会如许看,共享和协尴尬治理是隐藏的。


主动化剖析和即时共享威胁谍报是解锁威胁谍报 (CTI) 能力的要害!



寻找特效成分:最值得分享的威胁谍报数据


威胁谍报起原好多,首要分为两大类:外部谍报和内部谍报。外部谍报分为开源/社区和贸易两大类。首先是开源/社区,例如集体谍报框架 (CIF) 和基于部门的信息共享和剖析中心 (ISAC);第二种是威胁谍报厂商供应的付费贸易威胁谍报办事(今朝市场上对照常见的国际厂商包罗 iDefense、Cisco、Team Cymru、Greynoise.io、McAfee、Symantec、Symantec、ATLAS、Farsight 和 Reversing Labs,国内厂商包罗奇安信、安恒信息、安天、亚信平安等)。


除了外部开源和贸易威胁谍报,企业平安运营团队还发生需要在内部共享的内部专有谍报。就威胁谍报分享而言,恰恰就是这些企业内部威胁谍报最具分享价格,但也最难以打破谍报分享的 “阶下囚逆境”。


【牛调研】


据华泰证券威胁谍报中心主任周正虎介绍,因为冲击者很少会对厂商安置的外网蜜罐进行定向冲击,是以在要害攻防中(例如护网)传统 IOC 根基失效。比拟之下企业的自有(内部)谍报,有更也许率捕捉定向冲击,其分享价格更高。



值得存眷的威胁数据开源分享社区模式:MISP


作为解决威胁谍报消费和共享难题的实用天真的方式,MISP(一种开源威胁谍报分享平台,偏重恶意软件信息共享)受到业界越来越多的存眷。MISP 是一个与供给商无关的开放源代码尺度,具有一个由欧盟配合帮助的络续成长的社区。MISP 是一个根蒂构造,可凭据用户的喜欢在受信任的圈子中或与公家一路使用,收集和共享恶意软件的指标。MISP 具有很多长处:


1. MISP许可用户推送和查询由全球平安从业人员社区收集和共享的已知风险指标。

 

2. MISP天真,因为它不执行共享威胁谍报的单一方式,而且以多种花样输出信息。

 

3. MISP经由在CERT,组织,当局和平安供给商之间共享信息,削减了谍报界的双重工作。

 

4. MISP供应必然水平的掌握,以确保准确地共享和使用准确的数据。



为了在不增加平安团队肩负的情形下大规模运行威胁谍报,从业人员应考虑将 MISP 与他们现有的平安信息和事件治理 (SIEM) 解决方案集成。MISP 旨在实现天真的摄取和提取、快速剖析、主动化和共享。SIEM 与 MISP 的集成将威胁数据的使用和共享直接整合到剖析人员工作流程中。经由将社区谍报与其他多个数据源与 SIEM 相关系,剖析人员能比以前更快地发现和共享威胁。


SANS 的查询发现,仅有 33.7% 的企业同时生产和使用威胁谍报 (Prosumer),而多达 60.5% 的企业仅仅是威胁谍报的 “消费者”。这外观固然大多数组织都熟悉到威胁谍报的价格,但因为分歧的原因拒绝介入共享。


诸如 MISP 之类的开源平台与主动集成到 SIEM 中的连系,能够很好地鞭策基于社区的谍报共享方式。这将使 SOC 可以经由协作剖析结合起来,从而将整个行业的平安感知和防御能力推向一个新的高度,冲破传统威胁谍报分享的闭环。


相关阅读

平安运营SOC进入更年期:五大挑战和五点建议

行使好SOC与威胁谍报 提高平安投入回报率


安全牛微信号:aqniu-wx扫描二维码关注公众号
爱八卦,爱爆料。
小编推荐
  1. NO.1 辟谣来了!这7个预防肺炎的方法不靠谱!

    多 个城市陆续传递新型冠状病毒的肺炎病例,以及如流感等秋冬呼吸道疾病的风行,使得人人对各类预防方式越来越存眷。 然则, 好多不准确的预

  2. NO.2 新型肺炎存在人传人现象,钟南山强调要警惕这些!

    钟南山透露,如今已经存在人传人,同时医务人员也有传染,要提高小心了。 近一个月以来,湖北省武汉市等多地发生新型冠状病毒传染的肺炎疫情

  3. NO.3 最新!新增死亡病例1例,15名医务人员感染!国家卫健委发布

    点击“ 直播海南 ”存眷 公家号 获取最新信息 国度卫健委发布1号通知,将新型冠状病毒传染的肺炎纳入《中华人民共和国流行症防治法》划定的乙

  4. NO.4 新型肺炎病毒蔓延,什么人容易成为“超级传播者”?

    不想错过小九的健康常识? 点击 右上角··· 菜单,选择 「设为星标」 咱们就能不见不散啦~ 从2019年12月下旬发现第一例新型冠状病毒传染性肺炎 (

  5. NO.5 死亡增至4例,被国家卫健委列入甲类管理!关于武汉肺炎,这

    此前,我们曾写过一篇关于本次武汉肺炎对应的新型冠状病毒的相关根基常识。 彼时,疫情只限于直接在武汉待过的人发病,呈现小规模披发; 此时

  6. NO.6 纠正贫血前 先查明病因

    点击 蓝字 ,存眷我们! 神色苍白、胸闷气短……或者是贫血了。 贫血是常见的健康问题,但又被好多人认为是小问题。 然而, 同济大学从属第十

  7. NO.7 武汉新型冠状病毒,这篇科普全讲明白了

    出品: 科普中国 建造: turboyouyou 监制: 中国科学院较量机收集信息中心 截止1月20日18时,中国境内累计申报新型冠状病毒传染的肺炎病例224例,个

  8. NO.8 研究揭示武汉新型冠状病毒进化来源和传染人分子作用通路

    2020年1月21日,中国科学院上海巴斯德研究所 郝沛研究员 、军事医学研究院国度应急防控药物工程手艺研究中心 钟武研究员 和中科院分子植物卓越中

Copyright2018.天天资讯网资讯站,让大家及时掌握各行各业第一手资讯新闻!