威胁情报面对几大难题
发布时间:2022-08-02 11:04:56 所属栏目:安全 来源:互联网
导读:过去十年中,网络威胁情报(CTI)取得了飞速发展,其目的是通过结合计算机科学和情报学科来对抗网络威胁。 Ossthoek认为,虽然今天威胁情报界已经拥有丰富的工具和技术知识,但最初的创新脚步已停滞不前,缺乏标准化和方法论,产品或服务缺乏流程,是威胁情报
|
过去十年中,网络威胁情报(CTI)取得了飞速发展,其目的是通过结合计算机科学和情报学科来对抗网络威胁。 Ossthoek认为,虽然今天威胁情报界已经拥有丰富的工具和技术知识,但最初的创新脚步已停滞不前,缺乏标准化和方法论,产品或服务缺乏流程,是威胁情报融入网络安全防御体系的最大挑战。 以下,是Oosthoek在论文中指出的威胁情报面临的六大难题,概括整理如下: 1. CTI缺乏方法论 Sherman Kent的《分析学》,Richards Heuer的《情报分析心理学》和《结构化分析技术》。许多网络安全会议的演讲者都会提及这些著作和术语来让威胁情报看上有着严谨的理论基础和科学严谨性。但事实上威胁情报大多数内容都是建立在松散的概念之上,并不具备严格的分析能力。如今,大多数威胁情报分析都是由警报和传入的原始数据而不是预先确定的假设进行输入驱动的。缺乏方法论导致企业难以分析每天大量产生的IoC数据点与特定威胁环境的相关性。另一方面,缺少(基于方法论的)流程会导致威胁情报分析瘫痪,尤其是在较小的团队中。尽管计算机科学领域已经提供了几种支持数据预处理的机器学习算法,但将隐性知识转换为算法可能在未来几年仍将是一个尚未解决的挑战。解决之道在于引入流程,而不是更多的技术。 2. 威胁情报是共享的,但只是口头上的 珍珠港事件和911事件都是IC情报共享的最佳反面教材。由于交通灯协议(TLP)的限制,CTI的共享更加复杂。TLP使用交通信号灯颜色指示是否可以跨信任边界(组织、信息共享和分析中心[ISAC])共享信息。红色限制只向直接参与者分发,而绿色限制向社区公开。白色表示共享不受限制。但是灰色区域(Amber)则模棱两可:只能在您的组织内共享,而特定约束可以由源机构指定。此外,TLP仅适用于人与人之间的共享,不适用于基于计算机的威胁数据共享,后者依赖机器与机器共享的正式标准,例如结构化威胁信息表达。但是,大多数威胁情报数据仍以非结构化方式共享。 (编辑:开发网_开封站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330459号