《云安全联盟:为实现成功的网络安全威胁情报交换构建坚实基础(22页).pdf》由会员分享,可在线阅读,更多相关《云安全联盟:为实现成功的网络安全威胁情报交换构建坚实基础(22页).pdf(22页珍藏版)》请在三个皮匠报告上搜索。
1、接收对新威胁的预警是有益的。但是,当威胁情报交换允许团队在管理已识别和潜在的威胁时与他人实时协作,那么它即构成事件响应过程战略的一部分。如果社区中的某个人已经找到了修复方案,那么应该迅速散播出去,这样进行情报交换的任何成员都不必重新造轮子。这种协作可以让组织利用他人的专业知识来捕获威胁,并在发生攻击时缓解攻击。这对中小型公司尤其有利,他们有时候很难聘用和留住威胁情报领域的顶尖人才。交换计划通过其选择的平台,可提供一些特别的工具,主要包括:匿名或署名聊天/消息的能力;共享SIEM脚本或其他可能有助于共同社区的方法;与在相同源头中事件数据传播的成员共享或附加的备注; 对于每日、每周或每月的交换活动
2、的标准摘要报告。可控、安全和经过批准的分组允许行业同行成员彼此分享信息并在向更广泛的受众发布数据之前解决问题。分组内的组织往往通过保密协议(NDA)获得批准。在本文中,我们将这些小组称为小团体(enclaves)。包含小团体(enclaves)将允许一个拥有共同利益的较小团体参与单独的交换,以在彼此之间共享数据。 例如,在向航空业以外的更大受众发布与给定威胁有关的信息和数据之前,航空公司的独立团体可以解决彼此问题。在独立团体内共享的信息仍然是专有的,直到该小组决定将其发布给更广泛的相关组织的交流社区。鉴于威胁情报交换的先进能力,特别是在自动化和协作领域,成功参与网络事件分享并不需要限于具有高度成熟的情报和响应能力的组织。 任何公司,哪怕只有一人致力于威胁情报,都应该考虑参与情报共享计划,以增强自己的数据。威胁情报交换可以成为威胁情报管理和事件响应功能的宝贵资产。我们越来越多地看到这两种功能集中于SOC。在SOC中,分析人员管理多种工具,产品和工作流程,包括SIEM,工单和编排平台,威胁数据来源,漏洞扫描和端点检测产品。无论公司具备一名还是三十名分析师,为SOC添加另一种工具的想法可能令人望而生畏。但如果使用得当,威胁情报可以成为加速并简化调查工作的有力工具,从而为安全团队节省宝贵的时间。为实现这一目标,组织应采取一些措施来帮助确保将威胁情报交换成功整合到其SOC工作流程中。