投稿指南
一、来稿必须是作者独立取得的原创性学术研究成果,来稿的文字复制比(相似度或重复率)必须低于用稿标准,引用部分文字的要在参考文献中注明;署名和作者单位无误,未曾以任何形式用任何文种在国内外公开发表过;未一稿多投。 二、来稿除文中特别加以标注和致谢之外,不侵犯任何版权或损害第三方的任何其他权利。如果20天后未收到本刊的录用通知,可自行处理(双方另有约定的除外)。 三、来稿经审阅通过,编辑部会将修改意见反馈给您,您应在收到通知7天内提交修改稿。作者享有引用和复制该文的权利及著作权法的其它权利。 四、一般来说,4500字(电脑WORD统计,图表另计)以下的文章,不能说清问题,很难保证学术质量,本刊恕不受理。 五、论文格式及要素:标题、作者、工作单位全称(院系处室)、摘要、关键词、正文、注释、参考文献(遵从国家标准:GB\T7714-2005,点击查看参考文献格式示例)、作者简介(100字内)、联系方式(通信地址、邮编、电话、电子信箱)。 六、处理流程:(1) 通过电子邮件将稿件发到我刊唯一投稿信箱(2)我刊初审周期为2-3个工作日,请在投稿3天后查看您的邮箱,收阅我们的审稿回复或用稿通知;若30天内没有收到我们的回复,稿件可自行处理。(3)按用稿通知上的要求办理相关手续后,稿件将进入出版程序。(4) 杂志出刊后,我们会按照您提供的地址免费奉寄样刊。 七、凡向文教资料杂志社投稿者均被视为接受如下声明:(1)稿件必须是作者本人独立完成的,属原创作品(包括翻译),杜绝抄袭行为,严禁学术腐败现象,严格学术不端检测,如发现系抄袭作品并由此引起的一切责任均由作者本人承担,本刊不承担任何民事连带责任。(2)本刊发表的所有文章,除另有说明外,只代表作者本人的观点,不代表本刊观点。由此引发的任何纠纷和争议本刊不受任何牵连。(3)本刊拥有自主编辑权,但仅限于不违背作者原意的技术性调整。如必须进行重大改动的,编辑部有义务告知作者,或由作者授权编辑修改,或提出意见由作者自己修改。(4)作品在《文教资料》发表后,作者同意其电子版同时发布在文教资料杂志社官方网上。(5)作者同意将其拥有的对其论文的汇编权、翻译权、印刷版和电子版的复制权、网络传播权、发行权等权利在世界范围内无限期转让给《文教资料》杂志社。本刊在与国内外文献数据库或检索系统进行交流合作时,不再征询作者意见,并且不再支付稿酬。 九、特别欢迎用电子文档投稿,或邮寄编辑部,勿邮寄私人,以免延误稿件处理时间。

将威胁情报投入实践后能够解决5种常见安全操作

来源:情报探索 【在线投稿】 栏目:期刊导读 时间:2021-02-05
作者:网站采编
关键词:
摘要:“如果没有将知识付诸实践,那么它将毫无价值”,这句话如今用在威胁情报身上也是再合适不过了。 在SANS最近进行的一项调查中显示,超过80%的受访者表示“威胁情报正在为他们提

“如果没有将知识付诸实践,那么它将毫无价值”,这句话如今用在威胁情报身上也是再合适不过了。

在SANS最近进行的一项调查中显示,超过80%的受访者表示“威胁情报正在为他们提供价值”。大多数企业正在通过将大量全球威胁数据集成到共享中央存储库中来挖掘其价值。但这只是发现了威胁情报的“表面价值”。事实上,威胁情报还可以加速安全操作,这才是其价值的真正体现。

以下是将威胁情报投入实践后能够解决的5种常见安全操作挑战:

1.警报过载

多项研究指出,安全专业人员正在被警报所淹没。最近,《思科2018安全能力基准研究》报告发现,由于种种限制,组织仅可调查其在一天当中收到的安全警报中的56%。而在受到调查且被视为有效的警报中,有近一半(49%)的警报没有得到补救。通常而言,安全运营中心的安全操作人员会率先感受到这种警报过载带来的窒息感,因为他们需要承担手动关联日志和事件,以进行调查和其他活动的繁重任务。

通过环境内部的事件和相关指标来自动增加和丰富外部数据,使你有能力洞悉事件发生的细节,例如:何人于何时、何地、攻击了什么,为什么以及如何进行的攻击等信息。你可以使用威胁评分来进一步缩小数据集规模,然而,仅仅依靠情报提供商给出的“通用、全局性”分数实际上可能会产生误报和无效警报,因为分数并不是根据你特定环境的上下文给出的。对此,你可以根据自己设置的参数(例如周围指标来源、类型、属性和上下文以及对手属性等)使用定制的威胁评分,从而允许制定威胁情报优先级,从根据轻重缓急做出相应的决策,避免因为不必要的警报浪费时间,也不至于忽略重点而错过最佳防御时机。

2.误报

浪费时间和资源来追逐虚假情报可能会造成非常昂贵的代价。事实上,Ponemon的研究将误报列为终端保护的头号“隐藏”成本。定制的威胁分数可以让您专注于与您的组织相关的内容,并优先考虑威胁情报,以减少误报,但你可能还是会偏离重点。这时候,你可以利用现有的案例管理工具或安全信息和事件管理来自动共享相关的优先级威胁情报,这些系统可以更高效地执行优先级事项,并减少误报。

3.防御缺口

尽管组织已经部署了多点产品作为其深度防御战略的一部分,但是妥协和违规的数量和速度仍在持续增加。原因在于,这些保护层在很大程度上是未整合的,都在“孤岛”中运行,难以管理,同时也为防御方面造成空白。

威胁情报可以作为整合这些不同技术的耦合剂,在正确的时间与正确的工具分享正确的情报。你可以将整合的威胁情报直接导出到你的传感器网络(防火墙、防病毒软件、IPS/IDS、网络和电子邮件安全、端点检测和响应以及NetFlow等),允许这些工具生成并应用更新的策略以降低风险。此外,你也可以采取积极主动的预防性方法来进行防御,以更有效地防止未来可能发生的攻击。

4.知识协同

除了安全工具外,安全团队通常也是在“孤岛”中运行,这使得他们无法共享情报并协同工作。但是,如果团队成员可以在单一环境中工作,共享同一组威胁数据和证据,则可以协作进行调查。通过观察他人的工作并分享见解,他们可以更快地发现威胁,甚至可以利用这些知识来枢轴转动并加速并行的调查,因为这些调查通常是相互隔离但又密切相关的。此外,他们还可以存储关于对手及其战术、技术和程序(TTP)的调查记录,这些记录可以作为集中记忆以便于未来的调查。

5.混乱的环境

当需要采取行动的时候,大多数安全行动或调查都是在混乱中进行的,因为各个团队都是独立行事并且效率低下。一个单一的共享环境,所有安全团队的管理人员都可以看到分析结果的展开,使得他们能够在团队之间协调任务并监控时间表和结果。威胁情报分析人员、安全操作中心(SOC)和事件响应人员可以协同工作,更快地采取正确行动,缩短响应和补救的时间。

“威胁情报能够提供价值”的观点早已得到安全行业的广泛认同。现在我们真正需要分享的是“如何将威胁情报投入实践以解决我们最棘手的安全操作挑战”的共识。答案在于,利用威胁情报能够在整个威胁分析和事件响应过程中为我们提供更多关注点,以帮助我们更好地制定决策并协作工作。

“如果没有将知识付诸实践,那么它将毫无价值”,这句话如今用在威胁情报身上也是再合适不过了。在SANS最近进行的一项调查中显示,超过80%的受访者表示“威胁情报正在为他们提供价值”。大多数企业正在通过将大量全球威胁数据集成到共享中央存储库中来挖掘其价值。但这只是发现了威胁情报的“表面价值”。事实上,威胁情报还可以加速安全操作,这才是其价值的真正体现。以下是将威胁情报投入实践后能够解决的5种常见安全操作挑战:1.警报过载多项研究指出,安全专业人员正在被警报所淹没。最近,《思科2018安全能力基准研究》报告发现,由于种种限制,组织仅可调查其在一天当中收到的安全警报中的56%。而在受到调查且被视为有效的警报中,有近一半(49%)的警报没有得到补救。通常而言,安全运营中心的安全操作人员会率先感受到这种警报过载带来的窒息感,因为他们需要承担手动关联日志和事件,以进行调查和其他活动的繁重任务。通过环境内部的事件和相关指标来自动增加和丰富外部数据,使你有能力洞悉事件发生的细节,例如:何人于何时、何地、攻击了什么,为什么以及如何进行的攻击等信息。你可以使用威胁评分来进一步缩小数据集规模,然而,仅仅依靠情报提供商给出的“通用、全局性”分数实际上可能会产生误报和无效警报,因为分数并不是根据你特定环境的上下文给出的。对此,你可以根据自己设置的参数(例如周围指标来源、类型、属性和上下文以及对手属性等)使用定制的威胁评分,从而允许制定威胁情报优先级,从根据轻重缓急做出相应的决策,避免因为不必要的警报浪费时间,也不至于忽略重点而错过最佳防御时机。2.误报浪费时间和资源来追逐虚假情报可能会造成非常昂贵的代价。事实上,Ponemon的研究将误报列为终端保护的头号“隐藏”成本。定制的威胁分数可以让您专注于与您的组织相关的内容,并优先考虑威胁情报,以减少误报,但你可能还是会偏离重点。这时候,你可以利用现有的案例管理工具或安全信息和事件管理来自动共享相关的优先级威胁情报,这些系统可以更高效地执行优先级事项,并减少误报。3.防御缺口尽管组织已经部署了多点产品作为其深度防御战略的一部分,但是妥协和违规的数量和速度仍在持续增加。原因在于,这些保护层在很大程度上是未整合的,都在“孤岛”中运行,难以管理,同时也为防御方面造成空白。威胁情报可以作为整合这些不同技术的耦合剂,在正确的时间与正确的工具分享正确的情报。你可以将整合的威胁情报直接导出到你的传感器网络(防火墙、防病毒软件、IPS/IDS、网络和电子邮件安全、端点检测和响应以及NetFlow等),允许这些工具生成并应用更新的策略以降低风险。此外,你也可以采取积极主动的预防性方法来进行防御,以更有效地防止未来可能发生的攻击。4.知识协同除了安全工具外,安全团队通常也是在“孤岛”中运行,这使得他们无法共享情报并协同工作。但是,如果团队成员可以在单一环境中工作,共享同一组威胁数据和证据,则可以协作进行调查。通过观察他人的工作并分享见解,他们可以更快地发现威胁,甚至可以利用这些知识来枢轴转动并加速并行的调查,因为这些调查通常是相互隔离但又密切相关的。此外,他们还可以存储关于对手及其战术、技术和程序(TTP)的调查记录,这些记录可以作为集中记忆以便于未来的调查。5.混乱的环境当需要采取行动的时候,大多数安全行动或调查都是在混乱中进行的,因为各个团队都是独立行事并且效率低下。一个单一的共享环境,所有安全团队的管理人员都可以看到分析结果的展开,使得他们能够在团队之间协调任务并监控时间表和结果。威胁情报分析人员、安全操作中心(SOC)和事件响应人员可以协同工作,更快地采取正确行动,缩短响应和补救的时间。“威胁情报能够提供价值”的观点早已得到安全行业的广泛认同。现在我们真正需要分享的是“如何将威胁情报投入实践以解决我们最棘手的安全操作挑战”的共识。答案在于,利用威胁情报能够在整个威胁分析和事件响应过程中为我们提供更多关注点,以帮助我们更好地制定决策并协作工作。

文章来源:《情报探索》 网址: http://www.qbtszz.cn/qikandaodu/2021/0205/646.html



上一篇:11月份美国粮油供需行情报
下一篇:美团员工涉传事件舆情报告

情报探索投稿 | 情报探索编辑部| 情报探索版面费 | 情报探索论文发表 | 情报探索最新目录
Copyright © 2018 《情报探索》杂志社 版权所有
投稿电话: 投稿邮箱: