安全威胁情报产品和服务市场指南之厂商介绍
首页
阅读:
admin
2019-12-02 21:39

  网络钓鱼仍然是取得组织访问权的普遍而有效的方式。 TI可以帮助确定网络钓鱼攻击,以加快检测/响应行动,并帮助采取主动措施,如预防/预测。

  示例1.用户启动:在此示例中,用户怀疑电子邮件,并将其发送到公司的监控/共享电子邮件地址,如。诸如TIP这样平台,可以接收该电子邮件,并对其内容执行丰富化和自动调查。可以调查诸如域名、电子邮件标题,URL和附件等,TI增强了此响应。

  这涉及到捕获和维护一个“数据湖”,“数据湖”包含了社会媒体服务的相当大的部分,然后监控最终用户组织感兴趣的和网络威胁有关的活动和内容。这包括很多应用,从寻找一个新的漏洞讨论,寻找假的/恶意的LinkedIn个人profile、发布到您的社交媒体的恶意链接、舆情分析和知识产权损失/盗窃。

  当组织了解他们的品牌在哪里被提及,知道他们被钓鱼的时间、执行伪装、识别社交媒体放大和活动计划、以及识别域名欺诈,往往会受益。

  事件响应是一个关键的过程,Gartner一直主张采取一种更为平衡的方法,将其从基于预防的,转向到重视预防、检测和响应。 TI可以帮助增加/改进此用例并加快结果。

  具有按需访问能够提交文件或对象,并搜索完整/部分攻击指标(文件散列,域名,地址等),有助于支持数据外泄、事件响应、欺诈和其他一般安全流程。

  在某种程度上,威胁追踪可以被视为主动事件响应,TI可以帮助实现此功能。 SIEM、TIP,工作流和自动化、EDR以及用户和实体行为分析(UEBA)都可以利用机读情报来提高检测和应对威胁的能力。

  威胁情报分析人员这对大多数安全机构来说都是一个相对较新的专门角色,这些人在就业市场上也严重短缺。一些情报提供商通过量身定制的服务,有效地让您“分租”他们的威胁分析师。他们可以负责具体的TI相关任务。

  一些ISAC(如FSISAC)在建立共享网络方面取得了成功,从而大大提高了当前威胁的可见性,从而为预防和检测威胁提供了机会。另外,几个政府(例如,美国和澳大利亚)正在倡导向政府和商业机构分享威胁数据。 Gartner建议,无论行业垂直如何,所有在TI安全计划中使用TI的组织都会调查参与此类功能的选项。通常建议使用技术,如TIP来帮助这种能力。

  交通灯协议(TLP)是一种基于标准的方法,可进一步促进信息共享。 TLP定义了标记和分类信息的方法,以便适合各种受众。

  虽然确定犯罪者的实际身份仍然是一个重大的挑战,但他们确实留下了可追踪的数字证据。他们的TTP,留下了各种可追溯元素。一旦建立了TTP并使之相互关联,攻击方的行为就会重复出现。这也是 TI是积极主动防御体现。