智能驱动的网络威胁方法

在大数据时代,很容易想到只有机器才能在噪声中检测到信号。大数据工具确实可以发现可能并不明显的信号,但它们也可以创建自己的噪声,从而可能丢失真实信号(真实威胁)。

这是过去几年中使用传统安全监控系统的任何人都已经意识到的问题。威胁检测系统已经非常擅长检测任何看起来异常的事物,但是,随着检测到的异常现象的数量不断增加,实际威胁的数量仍然只是这些威胁的一小部分。研究表明,只有不到1%的报告异常代表实际威胁,并弄清哪些检测到的威胁构成了那些极少令人疲惫且引起焦虑的危险。

对人类情境化情报的需求

遭受预警疲劳的安全专业人员需要的是 威胁情报 人类已经对其进行了审查和情境化。大数据和AI工具提供了大量数据,它们可以识别出所关注的事件和活动,但是企业中的大多数安全专业人员都没有培训,也没有时间来理解原始信息。他们需要已经过筛查,分析和背景分析的威胁情报,这是对他们的组织“可行”的“最终情报”。

那是人类情报专业人员和 威胁搜寻 团队发挥作用。这些专业人员发现的威胁与大数据和AI工具发现的威胁不同。如果机器工具擅长检测单个树木,那么人类智能专家会擅长了解森林的特征。

他们可以在机器可能无法检测到的黑暗网络对话中检测代码短语和双重含义(直到他们经过培训才能这样做)。他们可以考虑威胁行为者的动机以及与他们绑定的联系。他们可以检查这些角色的动作,甚至表面上看似良性的动作,并在机器可以检测到由这些动作导致的漏洞利用之前,偶尔在这些活动中检测计划。

增强智能以使响应更加集中

我并不是在建议人类智能专家和威胁搜寻小组来代替监视和检测系统。相反,它们可以增强和增强这些强大的机床所捕获的原始情报。人类智能团队可以为机器无法提供的原始智能解释提供深刻见解。他们可以将线索与经验和上下文理解的胶水联系起来,这是机器还没有的。

对增强智能采取行动的挑战

获得这种增强智能存在一个问题:很少有组织能够有效使用它。大多数组织的防御基础设施仍然杂乱无章,无法阻止较旧的威胁,而调整这些防御的工作仍然是一个严峻的挑战。

组织内的安全人员需要对硬件,软件和服务有更深入的了解,从而为组织的基础架构提供信息。最终的情报将提供更集中的信息,有关哪些组织处于风险之中,在哪些漏洞处以及出于何种原因。例如,一种新的威胁可能会利用某类IoT设备上固件的漏洞,但是安全团队只有在知道自己的IoT设备中拥有这些设备以及其发行版本处于何种级别时,才可以对这些信息采取行动。固件是。

企业安全专业人员需要的是一种用于操作此最终威胁情报的方法。他们需要能够深入了解硬件,软件和流程的工具,以通知企业的运营生态系统,包括其端点,网络,云,物联网设备,供应链等。此外,他们需要能够使他们以简化和​​精心设计的方式更改该生态系统中任何元素的工具。

更好的威胁情报为企业提供了进行主动网络防御的机会,但是如果没有能力运行该威胁情报,企业可能无法在即将来临的攻击之前有效地启动防御。借助可用于运行此威胁信息的工具,组织可以快速有效地做出响应,以保护其人员,数据和流程,甚至其品牌和声誉,免受任何新出现的网络威胁的侵害。

向前进

以情报驱动的方式应对网络威胁,需要同时在两个方面开展行动。

我们需要继续积极收集和分析威胁数据。由人类智能专家和威胁搜寻小组审查并确定情境的最终情报可以传递给组织内的安全专业人员。然后,后者可以主动实施适当的预防措施,以保护企业免受环境中的实际威胁。

分享这个