跳转至

理解企业安全运营中的威胁交换

我们先理解对于情报驱动安全的体系中,整体的过程为:数据——信息——情报——策略。从中我们可以看到,我们要实施的威胁交换是在情报阶段及之前进行的。现阶段我的理解,主要是从时间维度(纵向)和参与角色(横向)来看。

从纵向来看

从威胁检测的纵向(即按时间纬度)去考虑威胁交换的话,我们的工作主要集中于:“数据——信息——情报” 这个发展的过程。在这个纵向的过程中,我们要进行威胁交换,就是要做到以下几点:

  • 数据的交换
  • 信息的交换
  • 情报的交换

再细致地来讲,可以细分为:

  • 数据的交换

    • 数据在采集前的交换:关于安全基线的配置、管理问题
    • 数据在采集后的交换:安全基线检查后进行的多源异构数据的整合
  • 信息的交换

    • 网络行为/告警 的交换
    • 系统行为/告警 的交换
    • 未知信息的交换
      • 未知MD5
      • 未知IP
      • ...
  • 情报的交换
    • IOC/IOA的交换
    • 根据STIX标准的转换、整合
    • TTP的交换
    • 根据Kill Chain分析进行交换

从横向来看

那么,我们从威胁检测的横向去看,主要要考虑威胁交换的参与者,主要有以下的几个维度:

  • 企业内部

    • 安全部门
      • 威胁情报部门
      • 应急响应部门
      • 安全运营(SOC)部门
      • 风控安全部门
      • ...
    • 业务部门
      • ...
  • 企业外部

    • 领域内

      • 行业标准
      • 行业联盟
      • ...
    • 大行业内

    • 全行业内