最后更新于2023年10月30日星期一20:30:34 GMT
数据泛滥
把这两个词结合起来做成“泛滥”真是太酷了,,但这对搜索引擎优化来说是灾难性的. 这一切都是为了开启一场关于安全组织在威胁情报方面的状态的对话. 在明确威胁情报行动和实现可操作数据的道路上,有几个关键挑战需要克服.
这是基于的博客系列的第二篇 Rapid7威胁命令对数字风险保护和威胁情报的总经济影响™. 让我们深入了解组织在威胁情报方面面临的三个挑战.
缺乏可见性和可操作的数据
对于委托研究, Forrester对四个Rapid7客户进行了采访,并将他们的回答整理成一个具有代表性的组织及其在实施Rapid7威胁情报解决方案后的经验, Threat Command. 受访者注意到,在使用威胁命令之前, 遗留系统缺乏可见性和不可操作的数据阻碍了威胁检测的创新. 该研究指出:
受访者指出,他们之前的解决方案和系统需要检查大量数据. 这导致对受访者的组织及其客户的潜在安全威胁的可见性有限. 遗留解决方案提供的数据难以导航. 没有单一的资产核算或解决方案来提供精心策划的可定制信息.”
该发现的一个关键部分是,有限的可见性可能会变成组织客户的潜在责任 SonicWall的攻击 几年前. 这些类型的事件可以在其下游客户的组织中立即引起混乱.
在同样的情况下,缺乏可见性对供应链来说也是灾难性的. 而不是影响一个产品的最终用户,现在有一个完整的网络供应商和 their 最终用户可能会因为缺乏对来自一个组织的威胁情报的可见性而受到不利影响. With 更大的数据可见性通过一个单一的玻璃面板 并将信息整合到一个集中的资产列表中, 安全团队可以开始减轻可见性问题.
耗时的调查和分析过程
接受调查的Rapid7客户还认为,他们的传统威胁情报解决方案迫使团队“花费数小时手动搜索不同的平台”, 例如基于web的Git存储库或 dark web,调查所有潜在的威胁警报,其中许多是不相关的.”
因为这些低效率, 在后端创建了额外的和不可预见的工作, 我们可以假设,还有许多过度紧张的分析师. 那么,组织如何才能重新获得并创造新的效率呢? 首先,警报上下文是必须的. 使用威胁命令,安全组织可以:
- 接收可操作的警报 按严重性、类型(网络钓鱼、数据泄露)和来源(社交媒体、黑市)分类.
- 实现警报自动化规则 根据您的具体标准,让您可以精确地定制和微调警报管理.
- 加快预警分流,缩短调查时间 通过利用威胁命令扩展™(浏览器扩展)以及Rapid7专家分析师的24x7x365可用性.
通过利用这些特性, 该研究的复合组织能够提供更多可操作的警报,并看到更快的补救过程. 它在三年内节省了30.2万美元,因为它避免了额外雇佣一名安全分析师的成本.
远离对网络事件的持续反应性方法
当涉及到安全问题时,没有人会采取事后处理的方法. 但有时SOC可能会意识到这是它已经处于相当一段时间的位置. 这样做对企业或安全团队的任何人都没有好处. 事实上,研究中的受访者支持这一观点:
“遗留系统和内部流程导致了他们的威胁情报调查和安全响应的被动方法. 安全团队成员将从具有有限上下文的系统或其他团队获得警报, 导致分流效率低下或更大的问题. 结果,团队为了速度牺牲了质量.”
该研究指出,受访者所在的组织是如何被激励去寻找一种解决方案,该解决方案具有改进的跨地点搜索功能,如社交媒体和互联网 dark web. 实施威胁命令后, 这些组织有可能收到潜在攻击的早期预警,以及针对其网络和客户的漏洞的自动智能.
通过创建以早期预警方法和更主动的安全方法为中心的流程, 复合组织能够在三年内将泄露的可能性降低高达70%.
安全是解决方案
a中的挑战 SOC 这并不意味着要停止一切,并准备对所有流程和解决方案进行长达数年的审计. 像威胁命令这样的解决方案可以相对快速地克服挑战,在加速的入职过程后可以立即显示出价值. 面对日益增多的全球威胁,我们有可能极大地改善安全态势.
为了更深入地了解 Rapid7威胁命令对数字风险保护和威胁情报的总经济影响™, 现在下载研究报告. 您还可以阅读本系列的上一篇博客文章 here.
