理解企业安全运营中的威胁交换
我们先理解对于情报驱动安全的体系中,整体的过程为:数据——信息——情报——策略。从中我们可以看到,我们要实施的威胁交换是在情报阶段及之前进行的。现阶段我的理解,主要是从时间维度(纵向)和参与角色(横向)来看。
从纵向来看
从威胁检测的纵向(即按时间纬度)去考虑威胁交换的话,我们的工作主要集中于:“数据——信息——情报” 这个发展的过程。在这个纵向的过程中,我们要进行威胁交换,就是要做到以下几点:
- 数据的交换
- 信息的交换
- 情报的交换
再细致地来讲,可以细分为:
-
数据的交换
- 数据在采集前的交换:关于安全基线的配置、管理问题
- 数据在采集后的交换:安全基线检查后进行的多源异构数据的整合
-
信息的交换
- 网络行为/告警 的交换
- 系统行为/告警 的交换
- 未知信息的交换
- 未知MD5
- 未知IP
- ...
- 情报的交换
- IOC/IOA的交换
- 根据STIX标准的转换、整合
- TTP的交换
- 根据Kill Chain分析进行交换
从横向来看
那么,我们从威胁检测的横向去看,主要要考虑威胁交换的参与者,主要有以下的几个维度:
-
企业内部
- 安全部门
- 威胁情报部门
- 应急响应部门
- 安全运营(SOC)部门
- 风控安全部门
- ...
- 业务部门
- ...
- 安全部门
-
企业外部
-
领域内
- 行业标准
- 行业联盟
- ...
-
大行业内
- 全行业内
-