开源威胁情报平台路在何处
发布时间:2022-06-04 09:25:16 所属栏目:安全 来源:互联网
导读:企业对威胁情报分享以及威胁情报在各个网络安全领域融合应用的热情,源自威胁情报日益凸显的价值,以下是IDC对威胁情报给企业安全运营带来的价值分析: 随着企业对威胁情报在漏洞管理、安全运营SOC、事件检测与响应、风险分析、防欺诈、供应链风险等等领域应
|
企业对威胁情报分享以及威胁情报在各个网络安全领域融合应用的热情,源自威胁情报日益凸显的价值,以下是IDC对威胁情报给企业安全运营带来的价值分析: 随着企业对威胁情报在漏洞管理、安全运营SOC、事件检测与响应、风险分析、防欺诈、供应链风险等等领域应用的关注度不断上升,开源威胁情报平台成为企业安全界的热门话题。开源威胁情报与商业威胁情报有何区别?开源威胁情报的优点是什么?未来的路怎么走? 带着上述问题,我们整理了开源威胁情报平台Bandura Cyber的首席战略官Todd Weller在RSAC2020大会上主持的研讨会录音内容(部分),供大家参考: 开源威胁情报的第二特征是灵活,威胁情报可以轻松更改。您可以按需获取所需威胁情报。最后,我认为开源威胁情报的第三个特征是可移植性。这种威胁情报很容易移动,很容易将其集成到您选择的任何环境中。 这是与传统威胁情报平台的一个非常有趣的区别。由此引出的下一个问题是,为什么(开源)威胁情报很难集成到现有的安全控制中? 这里有两个关键因素。正如我所提到的,首先,开源威胁情报与传统安全解决方案的基本出发点就有分歧。传统安全解决方案提供的价值在于它们检测和阻止威胁的能力,他们通过自己专有的威胁情报来做到这一点,从而增强了其核心价值主张。因此,他们确实没有动力去分享或公开(威胁情报),也没有动力真正将其他人的威胁情报整合到自己的解决方案中。这是第一个因素。 我要说的第二个因素是技术限制。同样,传统安全解决方案旨在执行特定操作。我们倾向于在网络安全方面发挥作用或获得更大的曝光度。例如,下一代防火墙,如今所做的不仅仅是防火墙,而是整合了入侵防御。他们正在进行深度数据包检查和URL相关检测工作;他们正在做沙箱。此外,在这个基础上加密流量也在不断增加。下一代防火墙变得越来越肥,做了很多工作,资源负担也越来越重。 因此,这种方式存在很大的局限性。许多下一代防火墙直接限制了你可以整合第三方威胁情报的空间。我们已经看到的另一种因素,即使您消除了容量限制,在很多情况下,下一代防火墙的策略管理也很麻烦。这属于另一种限制。 回到开源威胁情报领域,您如何看待行业正在掀起开源威胁情报运动的说法? 我看到了两点。首先,几年前一些供应商组团成立了网络威胁联盟(CTA)。我认为Palo Alto Networks是一个关键创始会员,还有Symantec 等其他厂商,他们的目标是业界能够共享威胁指标。 但我认为CTA不算特别成功,坦白说,我们对网络威胁联盟知之甚少,甚至不清楚这个组织是否还存在?总之,正如刚才提到的,CTA的企业会员提供的都是专有网络安全方案,配套的威胁情报服务也是各自专有的,你让这些厂商慷慨无私地分享威胁情报,这事听上去很有情怀,但是缺少激励机制。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐