分析威脅數(shù)據(jù)的時候把相關性考慮進去吧!

[[223661]]

又到了高中生及其家長們焦躁不安的時節(jié)了。高考一過，各種招生函件紛紛涌來，做出決定是如此之難。眾所周知，各種證書是很多職業(yè)的敲門磚，但哪所學校最適合自家孩子?自家孩子能從大學經(jīng)歷中盡可能得到最寶貴的經(jīng)驗嗎?

每個學生的大學經(jīng)歷和收獲都各不相同。有人就是在感覺舒服的環(huán)境里學習并成長，有的是求得學位以便在想從事的領域工作，還有為了進入某種職業(yè)領域而進入大學，又或者，是各種因素的綜合體。

與之類似，我們都知道威脅情報中蘊含著巨大的價值，能否抽取這一價值，能抽出多少價值，則同樣是由多種因素決定的。

SANS最近發(fā)布了《2018網(wǎng)絡威脅情報調(diào)查》報告，發(fā)現(xiàn)81%的網(wǎng)絡安全人員確認威脅情報正幫助他們更好地完成工作。數(shù)百萬以威脅為中心的數(shù)據(jù)點，公司訂閱的全球多個威脅數(shù)據(jù)源，還有來自企業(yè)多層防御和SIEM的內(nèi)部威脅及事件數(shù)據(jù)，都提供了大量的威脅情報。但是，我們真的盡可能地捕捉到了威脅情報中蘊含的價值，真正強化了我們的防御，加快了檢測與響應嗎?

人們越來越認識到，不是所有的威脅情報都是同樣重要的。對企業(yè)A至關重要的威脅情報，可能對企業(yè)B毫無意義。那么，怎樣從威脅情報中捕獲真正重要的價值呢?落腳點在相關性上。情報價值由你所處行業(yè)/地區(qū)、你的環(huán)境和你擁有的技術/能力決定。

1. 行業(yè)/地區(qū)

特定于公司所處行業(yè)及地區(qū)的威脅數(shù)據(jù)，就比包含其他領域威脅的通用數(shù)據(jù)更相關，更重要得多。來自國家/政府計算機應急響應小組(CERT)和信息共享與分析中心的按行業(yè)歸類的外部威脅饋送，就非常有用。以這些威脅數(shù)據(jù)饋送源補充公司中央數(shù)據(jù)存儲庫，有助于降低噪音，讓公司安全團隊更專注在本地本行業(yè)中發(fā)生的威脅上。

2. 環(huán)境

根據(jù)公司環(huán)境或基礎設施的不同，某些威脅指標要比其他指標更相關一些。比如說，如果公司員工分布較廣且終端防護是關鍵，那你就得關注文件散列值，因為這能使你檢測出設備上的惡意文件。而在網(wǎng)絡上，域名和IP就是更重要的指標，可以用來追蹤可疑流量。為從威脅情報中抽取出最重要的東西，我們需要能在中央存儲庫中聚合指標并加以上下文豐富的工具，以便篩選排序出那些對公司而言真正重要的東西。

3. 技術/能力

公司的網(wǎng)絡安全人才儲備也是很重要的一方面。人手充裕的大公司就有資源以2到3個分隔度(比如下游IP地址、域名注冊商等等)來追蹤威脅數(shù)據(jù)。而沒有這么充裕的資源的公司，就必須更加精挑細選，只調(diào)查針對本行業(yè)的活躍威脅數(shù)據(jù)或與已知對手相關的那些威脅數(shù)據(jù)。這種情況下，自動化和托管安全服務提供商(MSSP)可以作為現(xiàn)有員工和技術集的補充。

自動化可以將數(shù)百萬以威脅為中心的數(shù)據(jù)點聚合進中央存儲庫，并將之轉(zhuǎn)譯成統(tǒng)一的格式;還能通過關聯(lián)外部和內(nèi)部威脅數(shù)據(jù)來添加上下文。應用自動化還可以來幫助過濾掉一些噪音。比如說，基于預設的參數(shù)自動排序數(shù)據(jù)。MSSP提供的選擇很多，從充當你的整個安全團隊，到管理你威脅情報項目的特定功能，再到提供類似威脅追捕或事件響應之類高價值定制化服務都可以。

每個家長都希望自家孩子從教育中收獲良多，而教育結(jié)果的影響因素是很多的。同樣地，很多因素決定著公司企業(yè)可以從威脅情報中獲得什么樣的價值。在創(chuàng)建公司威脅情報項目的時候，一定記得將相關性納入考慮，分析威脅數(shù)據(jù)時考慮了相關性，你就會很好地捕捉到威脅情報的全部價值。