DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn防护_cc高防_免费测试

04-28 WEB安全

cdn防护_cc高防_免费测试

"威胁情报"是最新的安全概念,经过激烈的网络热词化(这是一个真正的词)。这在信息安全行业很常见,并且遵循一个非常可预测的周期:发现一个真正且有价值的概念开始深入人心,家用电脑怎么防御ddos,高功能的安全团队利用这个概念取得了巨大成功。社会化出于对改进安全游戏的真正兴趣,这个想法在安全社区内进行了大量的社会化和讨论。其他高绩效团队开始采用它,并建立对这个概念的兴趣。市场化供应商闻到了收入的味道,每一家公司都突然有了一个提供这种概念的产品。很多人会说,"我们已经做了很多年这个概念,但它被称为ProprietaryTerm™!" 在主要的安全会议上,4层cc防御,超过90%的展台横幅都有这个概念。错误的执行执行官们,通常不知道概念的用例,会上钩,上钩,下钩。如果幸运的话,执行人员会询问安全团队他们是如何实现这一概念的,或者何时将其用于环境中。如果你运气不太好,执行官会购买一些声称提供这一概念的服务或产品,并告诉安全团队这是一笔交易。失败安全团队试图实现这一概念,但供应商的方法过于笼统,不是为组织策略而设计的,和/或在其他方面不能适应团队和组织的实际需求。改进安全团队开始寻找新的方法对他们的运营产生有意义的影响。转到步骤1鉴于这是一个现实,我们将研究威胁情报的时髦说法,cc防御多少ip每小时,试图从炒作中辨别真相。威胁情报的真正定义:威胁情报:(名词)收集、分类和利用有关对手的知识,通常目的是将情报转化为可采取行动的步骤,以发现、限制、阻止和/或将攻击者从受害者的环境中清除。作为一个核心概念,威胁情报是更广泛的信息安全计划的重要组成部分。威胁情报的认知定义:不幸的是,威胁情报这一深奥而复杂的主题已经被淡化为本应简单、交钥匙的解决方案,而这些解决方案往往对使用它的组织没有实际的影响。当被问到他们是否在使用威胁情报时,许多安全人员很快就会回答"哦,是的,我们买了一个feed服务"或类似的东西。这种行为基本上反映了20世纪90年代后期最初的IDS热潮(不幸的是,对于某些组织来说,今天仍然如此),在这种情况下,ddos5g的防御,"IDS程序"包括打开所有可用的签名,并尝试每天遍历数千个警报。新接触这一概念的组织所忽略的威胁情报的另一个方面是用于对每个来源进行分类的不同级别。威胁情报可以是战略情报、作战情报或战术情报。这些不同的层次通常暗示了受众、用例和每一个层次的寿命。三级威胁情报包括:1: 战略威胁情报战略威胁情报极为广泛,而且往往不适用于技术指标。例如,一个执行银行职能的组织可能会使用这样的语句:"我们的行业通常受到有组织犯罪行为人的攻击,而我们的客户往往是机会主义的低级犯罪分子的攻击。"虽然没有IP地址、恶意软件哈希值或与此情报相关的其他细节,它仍然广泛地描述了组织的风险状况及其最有可能面临的参与者类型。战略情报的有效期通常比其他级别长。2: 作战威胁情报作战威胁情报将有助于该组织区分不同的敌对行动。使用上述两个相同的银行业例子,也许社区观察到诸如"一个与‘敌对狐猴’组织一致的威胁行为体似乎在直接攻击我们的基础设施"或"有一个通过‘谷仓海狸’僵尸网络发出的非常大的网络钓鱼,声称是我们银行的电子邮件,"寻求获得客户证书"将是特定操作情报数据点的基础。3: 战术威胁情报战术威胁情报是这三种情报中最具时效性的,包括与特定攻击或相关恶意活动相关的具体细节。使用与上面相同的例子,与攻击向量或C2标注相关联的特定IP地址,或恶意软件特定变体的散列将属于这一级别的情报。在许多情况下,这种战术情报可能只与一个特定的受害者有关,这突出了它在事件应对行动中的临时和集中价值。建立有效的威胁情报计划一个正确实施的威胁情报计划是专门针对它所服务的组织而建立的。以下是安全团队在实施计划时应考虑的五条准则。1: 考虑组织的威胁情况和对手。调整选定的情报来源,使之与预期的威胁参与者相匹配。评估各种各样的英特尔资源并没有坏处,但在激活之前,应该根据组织的需要仔细评估这些资源。例如,一个金融组织对于那些主要窃取医疗记录的威胁集团的情报就没有多大用处。2: 集成到环境中的仪表。这可能包括与SIEM的技术集成,或只是确保团队可以搜索与此点相关的特定类型智能指示器(IP地址、主机名、流量签名等)的可用证据,考虑威胁情报项目的寿命,以及组织的数据保留策略是否与预期的用例匹配。3: 持续评估有效性。某个特定的intel指示器是否产生过多的假阳性事件?这可能需要重新评估指标或整个情报来源。指示器可能需要微调或修改,以最适合其预期用途。4: 当对操作过程不再有用时删除。如果指标不再有用,则应将其删除。对几年前的战术情报发出警报几乎没有价值。这与上面的重新评估点密切相关,但许多组织未能实施清理过程。这样做可以将误报的可能性降到最低,但也可以确保实时检测平台只查找最有价值的事件。5: 作为DFIR的内部智能生成结果。仅仅消耗威胁情报不足以创建一个可行的威胁情报计划。最有效的程序背后的操作团队包括来自DFIR进程的输入,通过DFIR进程消耗本地生成的威胁情报。随着DFIR团队了解更多有关攻击者或活动的信息,将添加上下文并将这些指示器变为智能。通过建立一个安全操作的反馈回路,intel可以快速而具体地检测到威胁。主要收获以上几点仍然仅仅触及了将威胁情报组件集成到现有信息安全计划中所需的表面。然而,很明显,简单地"购买英特尔订阅源"是一种严重不足的方法。事实上,这可能比推迟情报威胁更糟糕。如果实施不力,它可能会导致无数的误报(浪费人员的时间去追逐不存在的威胁),或者给组织一种虚假的安全感,ddos防御只能烧钱,尽管订阅费很高。所有这些都表明,威胁情报是整个信息安全计划的一个复杂方面。正如在这个行业的短暂历史中无数次看到的那样,对于由专注和足智多谋的人类攻击者所带来的复杂问题,没有简单的解决方案。威胁情报通常是许多组织最后实施的项目之一,因为它需要一个健全的运作和调查基础,才能建立它。威胁情报计划是一个持续的过程,需要人力和技术投资才能成功。阅读"常见安全错误"系列中的其他帖子:常见安全错误#1:缺乏可见性常见的安全错误#2:关注周边

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /web/67277.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8919309访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X