防患未然:实施情报先导的信息安全方法和实践(Chapter07)

1494589031(1)

7.1 引言

作者Allan Liska在本章引言部分提到:

    “这是成为情报先导组织的最后一步,当数据来源融为一体,多个来源的指标很容易与敌对群体关联,构建FINTEL的分析师们能够访问有关输入数据质量的背景信息,做出有关数据使用方式的更好决策时,该情报组织就完全是以情报为先导的组织了”

7.2 安全意识培训

小编将本部分内容整理成了思维导图,如下:

1494589091(1)

7.3 知名的网络威胁情报框架
7.3.1 OpenIOC(Open Indicator of Compromise)

OpenIOC框架是MANDIANT公司一个情报规范框架开源后发展而成的,非常开放、灵活、方便,使用上遵循XML规范,企业可以跟公做个安全平台上的入侵指标(Indicator of Compromise),安全分析师可以利用在这一架构内完成关联运营和战术层面的数据分析。

URL:www.openioc.org

7.3.2 CyBOX(Cyber Observable eXpression)

CyBOX 规范,中文名称是网络可观测事件表达,是由Mitre开发的一个框架,该框架主要定义了一个表征计算机可观察对象与网络动态和实体的方法,定义了可测量或者状态型的事件,例如:文件(文件的增删、文件散列值的变化等),HTTP会话,X509证书,系统配置项(注册表或域名信息)等。
与OpenIOC有何不同:CyBOX为不同指标创建不同的对象,允许根据指标特性发生变化,不同事件的背景信息可以共享,比OpenIOC结构复杂,不过OpenIOC支持创建新的指标,可扩展性更强。
项目链接:http://cyboxproject.github.io

7.3.3 STIX(Structured Threat Information eXpression)和TAXII(Trusted Automated eXchange of Indicator Information)

STIX,结构化威胁信息表达,是一套用于沟通安全运营、战术和战略信息的标准化语言,Cybox框架可以原生导入,同时支持OpenIOC等扩展。
TAXII,可信自动化指标信息交换,是一种透明的使用XML在HTTP/HTTPS连接上交付情报消息的机制,同时也可以用于其它类型数据的分享,其核心服务包括:发现、数据供给管理、轮训和收件箱。

7.4 威胁情报管理平台

本书作者认为,SIEM存在固有的缺陷,需要与TIMP进行有效的融合,才能更好的发挥威胁识别的能力。

TIMP平台典型的优势在于:

(1)通过使用TIMP平台集中化管理外部网络威胁情报数据的收集,安全分析师重获控制权,通过筛选各种来源的数据,分析后进一步推送到合适的平台;

(2)将多种来源的网络威胁情报进行规范化的统一整理,加速了信息安全关联和安全情报处理的效率;

(3)TIMP不仅能将多个威胁情报解决方案的指标关联起来,还可以用于关联多个网络威胁情报提供者的攻击活动,为企业提供更完整的攻击视图。

……

然而,由于情报收集基础设施的构建和交付给客户的报告中涉及许多知识产权,所以,企业在实施威胁情报管理的过程中遇到很多现实的难题。

列举几家提供TIMP产品的公司,大家感兴趣的话,可以深入了解一下:

ThreatQuotient    : https://www.threatq.com
ThreatStream        : https://www.threatstream.com
CentripetalNetworks : https://www.centripetalnetworks.com
ThreatConnect     : https://www.threatconnect.com

7.5 大数据安全分析

使用大数据进行安全分析,需要重点解决数据收集和建模分析这两个关键结点。本书作者提到了市场上有名的几家提供大数据解决方案的安全供应商包括:HP的Vertica、IBM的Netezza、Palantir、Splunk等。

【资料来源】

《防患未然:实施情报先导的信息安全方法与实践》

本书一共分为九章,本文内容以第七章为主。

本书16年出版,文中部分内容根据实际情况作了响应的调整,不当之处还请读者指正。目前以威胁情报为主题的书籍不多,这本内容全面,不过较少涉及实现细节,可以作为学习威胁情报的入门书籍。

*转载请注明来自MottoIN

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/article/101906.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code