为成功的网络威胁情报交换奠定基础-IDC帮帮忙

任何组织都不会免受网络攻击。恶意行动者以技巧和敏捷性协作,以极快的速度从目标移动到目标。随着新攻击在几天之内从几十家公司蔓延到几百家,过去威胁环境的可见性将不再削弱它。对即将到来的事物的可见性对于保持活力至关重要。

复杂的组织,特别是云提供商,知道轻微事件与大规模违规之间的区别在于他们能够快速检测,控制和缓解攻击。为了促进这一点,他们越来越多地参与威胁情报和网络事件交换,这些程序使云提供商能够与可能遇到相同问题或有相同类型攻击风险的其他人共享网络事件信息。

为了帮助组织在有时危险的威胁情报共享计划中进行导航,CSA的云网络事件共享中心(CloudCISC)工作组已经为成功的威胁情报交换构建了一个基础。这份免费报告是系列文章中的第一篇,该系列文章将提供一个框架,帮助那些寻求参与威胁情报交换计划的公司增强其事件数据和事件响应能力。

该文件解决了以下挑战:

确定要共享的事件数据。对于那些难以理解其内部事件数据的组织而言,这是必不可少的(和基础)信息
结合其他人通过电子邮件提供的威胁情报,这种格式本质上限制了将其集成到自己的格式中的能力。
通过一个供应链横向扩展到其他部门和垂直扩展。
理解共享的动机不一定能帮助他人,而是支持内部响应能力。
过去,现在,将来
之前的计划更侧重于在事后分享有关网络安全事件的信息,并且更多地将其作为公共服务提供给其他人,而不是作为支持快速事件响应的工具。这已经改变,今天的计算机安全事件响应小组已经成熟。

威胁情报,数据分析和安全事件管理中的新工具和技术为更快,更可行的威胁情报交换创造了新的机会。现在可以在团队,工具甚至公司之间快速共享和分析可疑事件数据,作为即时响应流程的一部分。

即便如此,除了简单地理解交换过程本身的基础知识之外,还有一些问题和顾虑:

如何在不影响组织敏感数据的情况下共享此信息?
如何选择最符合我公司需求的交易平台?
在构建价值驱动的威胁情报交换计划时,我应该考虑哪些功能和业务要求?
由于云行业已经在利用支持威胁情报交换的许多先进技术 - 并且在整个IT基础架构中具有如此独特且占地面积大的优势 - 我们相信我们有一个真正的机会来带头并制造威胁情报分享无处不在。

工作组的建议主要基于他们自己开发和运营CloudCISC所获得的经验教训,以及他们为公司管理这些计划的个人经验。