观点:我们为什么需要威胁情报?

最近被谈论的异常火热的一个术语就是威胁情报,那么威胁情报到底是什么意思,它是一种什么概念或者机制呢?本文中我们就来亲密接触一下威胁情报,并了解它所具有的功能,然后给出几个威胁情报的最佳实践示例,最后分析威胁情报有助于SIEM解决什么问题。

观点:我们为什么需要威胁情报?

什么是威胁情报?

最近,威胁情报受到广泛的关注。它有很多种不同的定义,下面列出了一些经常被引用的定义:

威胁情报是基于证据的知识,包括上下文、机制、指标、隐含和可操作的建议,针对一个现存的或新兴的威胁,可用于做出相应决定的知识。—Gartner

针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标,所收集的用于评估和应用的数据集。—SANS研究院

简单地说,威胁情报就是能帮助你识别安全威胁并做出明智决定的知识。威胁情报可以帮助你解决以下问题:

1、针对大量的安全威胁信息,包括网络威胁者、威胁方式、漏洞、目标等等,如何跟上时代的步伐?

2、如何主动获取关于未来安全威胁的信息?

3、如何通知领导关于特定安全威胁的危险和所带来的后果?

为何每个人都在谈论它?

2015年Verizon的DBIR报告估计,从7亿份危害纪录中,安全威胁造成了4亿美元的经济损失,而这些损失则是由79790起安全事件所导致的。只要安全威胁和破坏发生,每个企业都将寻找方法来保护他们的数据。随着我们对IT系统的依赖,威胁的场景总是处于不断变化之中,所以企业的经济损失风险正在不断增大。

威胁同时来自内部和外部,同时管理威胁的组织都承受着巨大的压力。尽管信息的原始数据是可用的,但获取有意义的信息是非常困难且费时的,但是可以通过前期措施来做到这一点。这自然地就把越来越多的用户吸引到威胁情报这一概念,因为这有助于他们在海量数据、警报和攻击中对它们进行主次排序,并能够提供可实施性的信息。

下表给出了威胁情报能够识别的威胁的几种常见指标:

观点:我们为什么需要威胁情报?

威胁情报的功能

攻击可以大致归类为基于用户的、基于应用程序的和基于基础设施的威胁。一些最常见的威胁是SQL注入、DDoS、Web应用程序攻击和网络钓鱼。

拥有一个IT安全解决方案是非常重要的,因为它能够提供威胁情报的能力,并通过主动式和响应式地来管理这些攻击。攻击者在不断改变他们的方法来挑战安全系统。因此,企业机构就不可避免地从各种源头获取到威胁情报。

有效应对威胁行之有效的一种方法是,使用SIEM(Security Information & Event Management system,安全信息&事件管理系统)来检测并应对威胁。SIEM可以用来跟踪你的环境中发生的一切,并识别异常的活动。单独的事件可能看起来并不相关,但通过事件关联和威胁情报,你就能看到在你的环境中到底发生了什么。

如今,IT安全专家必须在假定的心理缺口下操作。对威胁情报中已知恶意攻击者的流量进行监控,这将有助于识别恶意活动。然而,这可能需要人工手动操作,并且可能很耗时间。将基于威胁情报的指示器集成到SEIM安全解决方案中,这将有助于识别受危害系统,甚至可能阻止一些攻击。

观点:我们为什么需要威胁情报?

最佳实践

针对不断变化的威胁场景,整合威胁情报和应对攻击还不足以对抗它。你需要分析形势,并确定你可能面临的威胁,在此基础上提出预防措施。这里有几个最佳实践的例子:

1、制定一个应用程序白名单和黑名单。这有助于防止恶意或未经允许的程序执行操作,包括.DLL文件、脚本和安装器。

2、仔细检查你的日志,看看试图的攻击是否是一个独立的事件,或者某个漏洞是否之前被利用过。

3、确定在试图的攻击中改变了什么。

4、审计日志并确定为什么发生了这个事件—其原因可能包括从系统漏洞到一个过时的驱动程序中的任何一个。

威胁情报有助于SIEM解决什么问题

一个SIEM,就像SolarWinds 日志和事件管理器,从监控的流量中收集和规范日志数据,并自动标记可疑事件。

随着威胁情报机制和内建规则的集成,可以将监控的事件与已知的且不断更新的威胁者对比。从实时的日志数据中你可以快速搜索并监控安全威胁者,并识别常见的危害指标。此外,你也可以自动采取措施,例如禁掉已知的恶意IP地址,以防恶意攻击的发生。


作者:JackFree/编译

来源:51CTO

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/257832.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vijos 1942 [AH 2005] 小岛

描述 西伯利亚北部的寒地,坐落着由 N 个小岛组成的岛屿群,我们把这些小岛依次编号为 1 到 N 。 起初,岛屿之间没有任何的航线。后来随着交通的发展,逐渐出现了一些连通两座小岛的航线。例如增加一条在 u 号小岛与 v 号小岛之间的航…

聊城大学计算机应用基础函授,聊城大学试题计算机应用基础试题

姓名 年级专业层次 教学单位密封线 第1页 共3页聊城大学《计算机应用基础》函授试题一、判断题(共10题,每题2分,共20分)1、信息按状态划分可以划分为动态信息和静态信息。( √ )2、操作系统不具有通用性。( )3、在Windows XP环境中,整个显示…

(七)SpringBoot+SpringCloud —— 集成断路器

2019独角兽企业重金招聘Python工程师标准>>> 断路器简介 在一个项目中,系统可能被拆分成多个服务,例如用户、订单和库存等。 这里存在这服务调用服务的情况,例如,客户端调用订单服务,订单服务又调用库存服务…

计算机学业水平考试及格,信息技术学业水平考试表格部分试题(带答案)

第三章表格信息的加工与表达复习学案【学习目标】1.熟练使用excel加工表格信息,理解用图表来表现信息的特点与意义,2.能根据表格数据关系选择合适的图表类型表达意图。【考点】1.表格中常用的函数及其求值方法;2.根据数据选择合适的图表类型&…

云计算:容器技术变革云计算,SaaS带动CaaS市场

报告摘要: 1、容器技术增速惊人,市场认可度提高 虚拟化是云计算的重要基础,Docker定义了一套容器从构建到执行的标准化体系,改变了传统的虚拟化技术,深度影响了云计算领域。 随着谷歌、亚马逊、微软等云计算厂商纷纷加…

三年级神奇电子计算机教案,人教版小学三年级下册信息技术教案

人教版小学三年级下册信息技术教案 人教版小学信息技术教案第一课 神奇的信息世界教学目的:通过学习使学生更充分地了解信息技术在生活中的应用。教学内容:观看“神奇的信息世界”光碟教学准备:1、调试每台计算机 2、打开计算机并由教师机控制…

spark 安装配置

最佳参考链接 https://opensourceteam.gitbooks.io/bigdata/content/spark/install/spark-160-bin-hadoop26an_zhuang.html Apache Spark1.1.0部署与开发环境搭建   Spark是Apache公司推出的一种基于Hadoop Distributed File System(HDFS)的并行计算架构。与MapReduce不同&am…

python基础知识-列表,元组,字典

列表(list) 赋值方法: l [11,45,67,34,89,23] l list() 列表的方法: 1 #!/usr/bin/env python2 3 class list(object):4 """5 list() -> new empty list6 list(iterable) -> new list initial…

如何解决机器学习中的数据不平衡问题?

在机器学习任务中,我们经常会遇到这种困扰:数据不平衡问题。 数据不平衡问题主要存在于有监督机器学习任务中。当遇到不平衡数据时,以总体分类准确率为学习目标的传统分类算法会过多地关注多数类,从而使得少数类样本的分类性能下降…

四大技巧轻松搞定云容器

云容器技术,作为传统虚拟化管理程序的一种替代品,正称霸着云市场。容器是轻量级的,并提供增强的便携性,允许应用在平台之间迁移,而不需要开发者重做或重新架构应用。但是,尽管其好处让开发人员感到惊叹&…

Android 图文混排 通过webview实现并实现点击图片

在一个开源项目看到是用的webview 实现的 1. 这是在asset中的一个模板html <html> <head> <title>News Detail</title> <meta name"viewport" content"widthdevice-width, minimum-scale0.5, initial-scale1.2, maximum-scale2.0…

计算机硬件选型报价,组装电脑硬件该怎么选择?这几个硬件要舍得花钱,千万别买错了!...

原标题&#xff1a;组装电脑硬件该怎么选择&#xff1f;这几个硬件要舍得花钱&#xff0c;千万别买错了&#xff01;组装电脑是多硬件组合的产物&#xff0c;每一个硬件对于电脑的性能都是有影响的&#xff0c;影响的大小与电脑的硬件有直接关系&#xff0c;有些硬件就要舍得花…

高级会计师计算机考试中级,会计师需要计算机等级考试吗

尘伴考证达人06-19TA获得超过671个赞[color#000][font宋体][size3][alignleft]广东省高级会计师评审职称外语&#xff0c;执行《关于调整完善我省职称外语政策的通知》(粤人发〔2018〕120号)[/align][alignleft]三、报考职称外语考试的等级要求[b][size3](一)申报高教、科研、卫…

一 手游开发工具cocos2d-x editor初识

可学习的demo&#xff1a; 7个实战项目 flappybird&#xff08;飞扬小鸟&#xff09;、popstar&#xff08;消灭星星&#xff09;、fruitninja&#xff08;水果忍者&#xff09;、2048&#xff08;数度消除&#xff09;。 moonwarriors&#xff08;月亮战神&#xff09;、frui…

Provisioning Services 7.6 入门到精通系列之七:创建虚拟磁盘

在上一章节完成了主目标设备的准备&#xff0c;今天将揭晓如何通过映像向导创建虚拟磁盘。1.1 点击开始菜单”映像向导”1.2 在映像向导点击”下一步“1.3 输入PVS服务器信息&#xff0c;下一步1.4 点击”新建虚拟磁盘”1.5 输入新虚拟磁盘的相关信息&#xff0c;下一步1.6 配置…

全国职业院校技能大赛软件测试题目,我校喜获2018全国职业院校技能大赛“软件测试”赛项一等奖...

九江职院新闻网讯(信息工程学院)5月31日&#xff0c;从2018全国职业院校技能大赛传来喜讯&#xff0c;由我校信息工程学院教师艾迪、朱虎平指导&#xff0c;学生郭星宏、赖闽、吴宗霖组成的竞赛团队&#xff0c;代表江西省在高职组“软件测试”赛项中荣获团体一等奖的佳绩。为积…

两个数组a[N],b[N],其中A[N]的各个元素值已知,现给b[i]赋值,b[i] = a[0]*a[1]*a[2]…*a[N-1]/a[i];...

转自&#xff1a;http://blog.csdn.net/shandianling/article/details/8785269 问题描述&#xff1a;两个数组a[N]&#xff0c;b[N]&#xff0c;其中A[N]的各个元素值已知&#xff0c;现给b[i]赋值&#xff0c;b[i] a[0]*a[1]*a[2]…*a[N-1]/a[i]&#xff1b; 要求&#xff1a…

利用VOIP电话通信服务,他骗得18亿美元

VoIP电话服务公司TelexFree的CEO詹姆斯梅里尔承认他的公司是一个不折不扣的&#xff0c;拥有18亿美元金字塔式的旁氏骗局公司。 没想到VOIP技术也能成为诈骗犯罪的“工具” 本周一&#xff0c;在美国马萨诸塞州的一个地方法院&#xff0c;詹姆斯梅里尔被认定有罪。并具有九项罪…

三相滤波器怎么接线_单相电机和三相电机怎么接线?为什么三相电机有3或6个接线柱?...

于电机接线柱的链接方法&#xff0c;下面整理了从单相和三相的接法及三个接线柱和六个接线柱的区别等知识&#xff0c;跟各位电工朋友分享&#xff0c;希望在实际操作中能帮到各位。单相电机一般是指用单相交流电源(AC220V)供电的小功率单相异步电动机。这种电机通常在定子上有…

Android源码编译全过程记录(基于最新安卓5.1.0)【转】

本文转载自&#xff1a;http://blog.csdn.net/drg1612/article/details/44802533 我的编译条件&#xff1a; 1 Ubuntu Kylin 14.04 长期支持版 下载地址 &#xff1a; http://www.ubuntu-china.cn/download 2 我的电脑是联想G470 i3处理器 内存4G&#xff0c;120g固体硬盘&…