Thứ Ba, Tháng Một 31, 2023
27 C
Ho Chi Minh City
spot_img

Vận hành thông tin về mối đe dọa ở quy mô lớn trong SOC

Must read

Openlivenft
Openlivenfthttps://openlivenft.info/
Trang tổng hợp thông tin nhanh - mới nhất về NFT, COIN, Metaverse, tài chính, crypto của OpenliveNFT
Vận hành Thông tin về Đe dọa ở Quy mô trong SOC
Các nền tảng mã nguồn mở như Nền tảng san sẻ thông tin ứng dụng ô nhiễm có vị trí tốt để thôi thúc chiêu thức san sẻ thông tin tình báo dựa trên hội đồng .
Các TT hoạt động giải trí bảo mật an ninh ( SOC ) ngày này đang gặp khó khăn vất vả. Các mối rình rập đe dọa mạng đang ngày càng ngày càng tăng và tăng trưởng hàng ngày với mức độ phức tạp. Khối lượng lớn tài liệu được tạo ra mỗi giây dẫn đến những lỗ hổng mới và những vectơ tiến công. Làm thế nào để những SOC bắt kịp những mối rình rập đe dọa đang xảy ra trên toàn cảnh và hiểu rõ hơn về chúng để tăng cường thế trận bảo mật an ninh cho tổ chức triển khai của họ ?
Một cuộc khảo sát của Viện Ponemon, “ Nâng cao hiệu suất cao của Trung tâm Điều hành An ninh, ” Nhận thấy rằng 53 % người được hỏi tin rằng SOC của họ không hiệu suất cao trong việc tích lũy vật chứng, tìm hiểu và tìm ra nguồn gốc của những mối rình rập đe dọa. Để có hiệu suất cao, những SOC phải có quyền truy vấn vào đúng tài liệu với toàn cảnh tương thích vào đúng thời gian để hoàn thành xong thiên chức của họ là xác lập và ứng phó với những mối rình rập đe dọa .

Tình báo về mối đe dọa mạng (CTI) đã trở thành một công cụ chính cho các SOC trong sứ mệnh này. Theo Cuộc khảo sát “Sự phát triển của trí thông minh về mối đe dọa trên mạng” năm 2019 của SANS, 70% khách hàng coi CTI là điều cần thiết cho các hoạt động bảo mật. Tuy nhiên, nhiều tổ chức vẫn đấu tranh để vận hành các nguồn khác nhau của các mối đe dọa hoặc thiết lập một văn hóa chia sẻ hiệu quả để kết hợp các lực lượng chống lại kẻ thù.

Tận dụng Các loại dữ liệu về mối đe dọa khác nhau
Nguồn cấp dữ liệu thông minh CTI đến từ nhiều nguồn và có hai danh mục chính. Đầu tiên là nguồn mở / nguồn cấp dữ liệu cộng đồng, chẳng hạn như Khung trí tuệ tập thể (CIF) và các Trung tâm phân tích và chia sẻ thông tin dựa trên ngành (ISAC); thứ hai là các dịch vụ tình báo về mối đe dọa dành riêng cho nhà cung cấp và trả phí (iDefense, Cisco, Team Cymru, Greynoise.io, McAfee, Symantec, ATLAS, Farsight và Reversing Labs, để kể tên một số). Các nhóm hoạt động bảo mật cũng tạo ra thông tin tình báo độc quyền cần được chia sẻ trong nội bộ.

Tuy nhiên, có 1 số ít thử thách để tận dụng tối đa tài liệu về mối rình rập đe dọa này :

• Mở rộng quy mô Kim tự tháp của Nỗi đau: Dữ liệu về mối đe dọa càng hữu ích thì việc lấy và tích hợp vào quy trình công việc càng khó khăn (hoặc khó khăn hơn). Hãy tưởng tượng một kim tự tháp được hình thành bởi các giá trị dữ liệu về mối đe dọa so với mức độ khó tích hợp:

o Chiến thuật, kỹ thuật và quá trình ( TTP ) : Khó ( Đỉnh của kim tự tháp )
o Công cụ : Thử thách
o Tạo tác mạng / sever : Khó chịu
o Tên miền : Đơn giản
o Địa chỉ IP : Dễ dàng
o Giá trị băm : Trivial ( cơ sở của kim tự tháp )
Trên đỉnh của kim tự tháp là thông tin tình báo về những công cụ của tác nhân rình rập đe dọa và TTP. Đây là những chỉ số khó khăn vất vả nhất để phát hiện và xác định nhưng cũng hữu dụng nhất để biết toàn cảnh về những tác nhân rình rập đe dọa, dự tính của họ và giải pháp của họ để hiểu mối rình rập đe dọa đủ tốt để ứng phó .

• Thời gian, độ phức tạp, phân loại và định dạng: Khoảng thời gian mà dữ liệu về mối đe dọa có hiệu lực bị giới hạn. Các tổ chức cần thông tin hiện tại về các lỗ hổng và phần mềm độc hại được sử dụng trong các cuộc tấn công trước khi chúng được nhắm mục tiêu. Nguồn cấp dữ liệu thông minh sẽ có mức độ khẩn cấp thay đổi và việc đơn giản hóa quy trình ưu tiên là một nhiệm vụ phức tạp.

Trước đây, các chuyên gia bảo mật đã chia sẻ các tài liệu Word, PDF hoặc các định dạng tệp đơn giản như bảng CSV và Bảng tính Excel về các chỉ báo về sự xâm nhập. Các chỉ số này rất khó hoạt động do sự khác biệt về phân loại và định dạng, thiếu tích hợp và tính chất nhạy cảm về thời gian của dữ liệu. Ngoài ra, rất khó để mô tả và chia sẻ một chỉ báo hành vi phức tạp hơn, chẳng hạn như chiến thuật của tác nhân đe dọa trong một định dạng chuẩn hóa.

• Chia sẻ và tiêu dùng: Cộng đồng mạng đã cố gắng – và thất bại – trong việc thiết lập một văn hóa chia sẻ hiệu quả. Các phân loại và tiêu chuẩn đã được tạo ra nhưng không có tiêu chuẩn nào bắt kịp trên quy mô lớn, khiến khả năng tiếp cận CTI bị phân mảnh. Do đó, hầu hết chia sẻ không vượt ra ngoài miền. Và ngay cả khi các nhà phân tích bảo mật giữa các ngành chia sẻ các mục tiêu chung, thì tổ chức thường không nhìn thấy điều đó theo cách đó và việc chia sẻ và cộng tác bị che giấu khỏi ban quản lý.

Phân tích tự động hóa và san sẻ tức thời thông tin về mối rình rập đe dọa là chìa khóa còn thiếu để mở khóa CTI đạt được giá trị tiềm năng của nó .

MISP là gì và tại sao nó lại quan trọng? 
MISP – Nền tảng chia sẻ thông tin phần mềm độc hại – đã đạt được sức hút như một cách tiếp cận thực dụng, linh hoạt đối với vấn đề chia sẻ và tiêu thụ thông tin tình báo về mối đe dọa. MISP là một tiêu chuẩn mã nguồn mở, bất khả tri của nhà cung cấp với một cộng đồng đang phát triển, được đồng tài trợ bởi Liên minh Châu Âu. Nó là một cơ sở hạ tầng để tiêu thụ, thu thập và chia sẻ các chỉ số của phần mềm độc hại trong một vòng kết nối đáng tin cậy hoặc với công chúng, tùy thuộc vào sở thích của người dùng. MISP cung cấp một số lợi ích:

• MISP được cho phép người dùng đẩy và truy vấn những chỉ số đã biết về sự xâm phạm được tích lũy và san sẻ bởi một hội đồng những nhà bảo mật thông tin trên toàn thế giới .
• MISP linh động vì nó không thực thi một phương pháp luận duy nhất để san sẻ thông tin tình báo về mối rình rập đe dọa và nó xuất ra thông tin ở nhiều định dạng .
• MISP giảm thiểu việc làm kép trong hội đồng tình báo bằng cách san sẻ thông tin giữa những CERT, những tổ chức triển khai, cơ quan chính phủ và những nhà sản xuất bảo mật thông tin .
• MISP cung ứng mức độ trấn áp để bảo vệ rằng tài liệu tương thích được san sẻ và sử dụng một cách bí hiểm .
Để quản lý và vận hành thông tin tình báo về mối rình rập đe dọa trên quy mô lớn mà không làm quá tải những nhóm bảo mật thông tin, những học viên nên xem xét tích hợp MISP với giải pháp quản trị sự kiện và thông tin bảo mật thông tin ( SIEM ) hiện có của họ. MISP được kiến thiết xây dựng để nhập và trích xuất linh động, nghiên cứu và phân tích nhanh, tự động hóa và san sẻ. Sự tích hợp của SIEM với MISP kiến thiết xây dựng mức tiêu thụ tài liệu về mối rình rập đe dọa và san sẻ mối rình rập đe dọa trực tiếp vào quy trình tiến độ thao tác của nhà nghiên cứu và phân tích. Điều này được cho phép những nhà nghiên cứu và phân tích tìm và san sẻ những mối rình rập đe dọa nhanh hơn nhiều so với trước đây bằng cách đối sánh tương quan thông tin tình báo của hội đồng với nhiều nguồn tài liệu khác trải qua SIEM của họ .
Cuộc khảo sát của SANS cho thấy 33.7 % tổ chức triển khai sản xuất và tiêu thụ thông tin tình báo về mối rình rập đe dọa, trong khi 60.5 % chỉ tiêu thụ nó. Điều này có nghĩa là phần đông những tổ chức triển khai nhận ra giá trị của CTI nhưng vì những nguyên do khác nhau nên hiện khước từ tham gia san sẻ những phát hiện của họ .
Các nền tảng mã nguồn mở như MISP, tích hợp với tích hợp tự động hóa vào SIEM, có vị trí tốt để thôi thúc cách tiếp cận dựa trên hội đồng để san sẻ thông tin tình báo. Điều này sẽ được cho phép những SOC sát cánh cùng nhau trải qua nghiên cứu và phân tích cộng tác, có năng lực thôi thúc ngành đến một điểm uốn để vượt ra ngoài san sẻ từ nguồn đến người ĐK sang san sẻ đối tác chiến lược với đối tác chiến lược .

Nội dung liên quan:

Sebastien Tricaud là Giám đốc Kỹ thuật An ninh tại Devo. Anh ấy đã thao tác trên nhiều dự án mã nguồn mở, ví dụ điển hình như Linux PAM, Prelude IDS, v.v. Anh ấy là nhà tăng trưởng chính của Faup, một Trình nghiên cứu và phân tích cú pháp URL được thông dụng thoáng rộng. Sebastien cũng là thành viên hội đồng quản trị của Honeynet … Xem Full Bio
tin tức chi tiết cụ thể
Được xuất bản lại từ https://www.darkreading.com/vulnerabilities—threats/operationalizing-threat-intelligence-at-scale-in-the-soc/a/d-id/1336702?_mc=rss_x_drr_edt_aud_dr_x_x-rss-simple

Source: https://openlivenft.info
Category: TIN NFT

Đánh giá bài post
- Advertisement -spot_img

More articles

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisement -spot_img

Latest article

Ethereum là gì? | OpenliveNFT