安全是有分量的

防御cc攻击asp代码-分享爱_将ThreatConnect用作ISAC、ISAO及其成员的威

2020-07-31 17:28栏目:安全

分享爱:将ThreatConnect用作ISAC、ISAO及其成员的威胁情报共享平台

ISAC、ISAO及其成员如何有效地使用ThreatConnect的威胁情报共享平台共享威胁信息对于那些读到"分享爱"并希望这是一个关于雷鬼音乐的帖子,以及它和平、爱和团结的韵律信息,我深表歉意。这篇文章实际上是关于网络安全信息共享的顺畅的声音和力量——国际安全援助组织和国际安全组织及其成员如何共享威胁信息。我们可以从这个主题中找到相似之处——通过合作实现社会赋权和运动——所以请想象一下鲍勃·马利给你唱的小夜曲。与任何范式的转变一样,网络安全中的"分享爱"(威胁情报的协作和信息共享)是复杂和多方面的。这需要大量的时间、资源和实验。然而,这是我们的对手已经接受的。2015年Verizon DBIR报告称,ddos防御360,超过40%的攻击在一小时内攻击第二个组织,2016年发现,在大多数行业中,四分之三的事件和违规行为实际上以三种模式发生。这表明我们的对手"分享爱",也说明了这些威胁参与者正在利用类似的战术、技术和程序(TTP)来利用同一行业的组织。我们做了些什么来对抗这种情况?1998年,总统第63号决定指令(PDD-63)建立了关键基础设施、部门特定组织,通过信息共享和分析中心(ISAC)共享有关威胁和脆弱性的信息。国际安全援助中心收集、分析并向其成员传播可采取行动的威胁信息,以提高整个部门的态势意识。ISACs与国土安全部的网络信息共享与协作计划(CISCP)密切合作,该计划由国家网络安全和通信集成中心(NCCIC)推出。与国际安全援助委员会一样,信息共享和分析组织(ISAO)的目的是收集、分析和传播网络威胁信息,但与ISAC不同,ISAO与部门无关。然后在2015年,奥巴马政府发布了13691号行政命令——促进私营部门的网络安全信息共享——要求发展ISAO,以促进私营部门和政府之间更好地共享网络安全信息,并加强私营部门之间的协作和信息共享部门(国土安全部,2016年) 这种共享威胁信息是一种意识形态的改变,因此,给许多组织和行业带来了错综复杂的挑战。国际安全援助组织和国际安全援助组织不仅要为其成员搜寻和培养相关的威胁情报,还必须建立门户网站和传播数据的手段;安全地分享数据的方法;教育成员如何有效地使用数据;激励成员将这些数据分享给社区。然而,并非所有国际会计准则委员会和国际会计准则组织的行业成员都是相同的。每个成员都有不同的利益相关者、实践、流程、商业模式,并专注于网络安全。虽然同一行业中的成员可能共享相似的漏洞、威胁、战役和对手,但每个成员的威胁情报成熟度不同。许多成员(如果不是大多数成员)还没有资源或能力在威胁数据上进行协作,或者主动生成威胁情报,以便共享给社区。对大多数人来说,内部管理网络安全的复杂性已经够困难的了,因此跨部门更大规模地考虑网络安全问题更是令人望而生畏。一句话:在威胁信息共享(即分享爱)中接受雷鬼哲学一直进展缓慢,当然不是每个人目前的现实。但为什么呢?原因很简单,ISAC和ISAO成员国的成熟度水平各不相同。那是什么意思?根据ThreatConnect的威胁情报成熟度模型,在为任何组织、ISAC或ISAO开发威胁情报程序时,有五个成熟度级别。威胁情报成熟度模型提供了组织在每个级别以及在进入下一个里程碑时所预期的能力、风险和暴露的方向。为了简单起见,考虑美国职业棒球大联盟(MLB)中的农场系统(小联盟或发展联盟)。MLB的球员和教练的多样性与ISAC/ISAO成员的多样性相同,从经验不足和"行业"知识到不同的技能水平和球员发展,这些都决定了对农场系统的需求。就这样:我们打球吧单A(或0级)让我们把单一的A(或0级)归类为"学习",有一个小型或没有威胁的情报小组;没有流程,在ISAC之外接触威胁情报的机会最小。在单A中,组织不清楚从哪里开始。大多数成为数据收集程序,集中于端点、SIEM或外部数据。因为没有正式的团队,所以流程很少甚至没有。这是一种反应性和消费性的状态。在棒球的任何水平上,重复都很重要;无论是在击球、投球还是在球场上的时间。但这在单A中是最关键的,当球队只有一个或几个"球员"在所有信息安全的每一个位置上发挥作用时,他们需要保持简单。他们没有足够的时间和资源。人少的时候,就得依靠这个过程。这就是ThreatConnect的作用所在。该平台自动收集和关联球会收到的威胁数据,并允许他们设置阈值,将数据发送到他们的防御工具,最重要的是,减少警惕疲劳。他们收到的警报具有更高的可靠性和更多的上下文,因此球手可以更快地做出决定,并有效地报告行动。由于单球队是消费者,威胁连接使他们很容易收集他们的ISAC数据,如果他们信任ISAC和成员正在传播的数据,他们可以将这些情报推到他们的终点。 双A(1级)和3A(2级)让我们把"双A"和"3A"划分为"成熟期",即小型团队开始构建一些流程,并对威胁情报进行扩展。他们仍处于消费的钟摆上,可能不会与社区分享,但希望参与讨论或提出一些问题。球员发展对所有农场系统都很重要,但对于"成熟"的球队来说也很重要,因为教练们努力扩大他们的能力。Double A(1级)是指组织对威胁情报进行预热;收集威胁数据,并开始将内部数据与ISAC或SIEM中的摄取数据关联起来,如何做cc防御策略,以创建警报。不过,对此负有责任的"球手"却不知所措,dubbo防御ddos,可能的警觉疲劳只会让情况变得更糟。三甲(2级)是球员发展的明显阶段,教练们正在扩大他们的团队和威胁情报能力。他们开始在一个小型安全操作中心(SOC)中提取数据中的上下文和关联,以生成一些可操作和可操作的威胁情报。ThreatConnect通过帮助这些球手创建可重复的过程来促进球员的发展,这些过程围绕着他们的威胁数据的检测、丰富和修复,使他们成为更高效的猎手。ThreatConnect的剧本通过围绕威胁的识别、分析和补救创建自动化和可配置的工作流和模板,帮助球手实现这一目标。由于每个剧本都会记录每次运行的时间,并提供每一个动作的列表,球队可以识别出缺陷和可重复的模式。有了ThreatConnect的分析功能,这些球手可以询问ThreatConnect它对指示器或威胁的了解。以及集体分析层(CAL™),(指标的匿名全球声誉)允许他们询问该指标是否以前见过;以及,ThreatConnect的空间允许玩家在一个特定的指示器上连接多个入口,以使他们更快并完善他们的技能。与单A一样,这些棒球队希望使用他们的ISAC数据,但ThreatConnect允许他们与其他情报来源、第三方浓缩服务和他们自己的分析相关联,这样他们就可以在社区中推到自己的端点或提出问题。 专业(3级)和全明星(4级)大联盟(3级)有一个威胁情报计划,对球迷来说,票价开始大幅上涨。有一些流程和工作流程,其中团队正在生成战术和战略威胁情报,并与利益相关者和社区共享威胁情报。全明星(4级)正在高速运转,有明确的威胁情报计划。他们拥有成熟的团队和流程,积极参与或领导社区,并生产和利用战术和战略威胁情报。这两个级别通常被归类为"推进",有明确的程序,cc防御脚本,产生可操作的威胁情报。在大联盟打球时,球员们希望保持高性能,并在所有气缸上操作。这些球类俱乐部希望协调流程,在团队和工具之间分配知识。重要的是要创建最佳实践和模板,定义什么是成功,并继续复制它。ThreatConnect行动手册允许这些团队做到这一点,并允许教练对其当前流程有一个鸟瞰图,以便他们能够识别缺陷(跟踪缺陷,并在必要时培训球员)并创建可重复的工作流程。ThreatConnect成为这些团队的一个工作台,webcc防御办法,在那里他们不仅可以定制自己在平台中的检测、分析和操作流程,还可以创建自定义指标类型、特定指标和组类型的应用程序,以及他们希望如何表示数据。  四舍五入加入isac和isao对于所有成熟度级别的成员都很重要