如何從海量數(shù)據(jù)中挖掘威脅情報_數(shù)據(jù)分析師
正如有些有見地的員工所指出�����,“威脅情報”是還沒有明確定義的令人困惑的概念��。如果你到處問問“什么是威脅情報?”���,你會得到各種對解決方案和服務的描述����,從惡意軟件數(shù)據(jù)庫到簽名檢測工具和IDS/IPS系統(tǒng)�����,再到現(xiàn)場咨詢服務等�����。
然而�����,在乍看之下��,這兩個詞一起看似乎立刻有了意義���?���!扒閳蟆奔词占P于某物的詳細信息�����,而“威脅”就是你收集關于什么的信息����。當你在谷歌搜索“情報搜集”,定義很明確:
在最廣泛的形式中�����,情報收集網(wǎng)絡是指這樣一個系統(tǒng)����,即通過這個系統(tǒng)收集的關于特定實體的信息通過使用一個以上相互關聯(lián)的來源而讓另一個人受益。
從網(wǎng)絡的角度來看����,對可能威脅你的業(yè)務�����、網(wǎng)絡��、軟件��、web服務器等的信息的收集是很有價值的�����。那么����,為什么網(wǎng)絡威脅情報這么難以獲取?對于初學者來說,是不是幾乎所有安全工具或網(wǎng)絡防御活動都是威脅情報機制?同時,如果是這樣的話��,企業(yè)如何利用來自四面八方的數(shù)據(jù)來采取任何形式的行動?答案是“是”以及“不是那么容易”�����。事實上��,現(xiàn)在大多數(shù)企業(yè)很難從威脅情報中獲取真正的價值�。
網(wǎng)絡安全領域的大多數(shù)解決方案會測量����、追蹤���、日志記錄或報告事件��。所有這些工具和流程會產(chǎn)生數(shù)據(jù)�����,這些數(shù)據(jù)可以進行數(shù)據(jù)分析而產(chǎn)生“威脅情報”��。這些工具會產(chǎn)生大量數(shù)據(jù)����,而且是很低水平的數(shù)據(jù)�����,換句話說����,關于任何實體的信息都是非常冗長、復雜����,且很少相互關聯(lián)��。
更重要的是�,很少有企業(yè)部署了強大的描述性-預測性-指令性分析功能來整理這些數(shù)據(jù)�����,以及支持最高業(yè)務層面的決策過程����。這些威脅數(shù)據(jù)并沒有標準模式或者聯(lián)系網(wǎng)絡活動到資產(chǎn)或業(yè)務操作。因此�,并沒有決策支持系統(tǒng)可以支持數(shù)據(jù)挖掘活動來回答典型的描述性問題,例如“在過去六個月是什么對企業(yè)造成最大的傷害?”或者更成熟的問題�����,“我們的哪個技術投資具有最高的投資回報率�,以及哪些技術投資帶來負面影響,哪些可能會構成威脅?”
信息太多
企業(yè)如何清除這些噪音而獲取真正的價值呢?通過遵循一個簡單的公式即可����。還記得我們在學校學過的勾股定理嗎?a2 + b2 = c2?這是幾何的基本定理���。還有麥克斯韋方程?熱力學第二定律?傅立葉變換?或者其中最有名的�,愛因斯坦的相對論,E=mc2?這些公司幫助我們制造了太多信息�,太多數(shù)據(jù)。這些公式同樣帶領我們到了現(xiàn)在的時代�����,雷達�����、電視�、噴氣式客機、電子郵件�、互聯(lián)網(wǎng)以及社交媒體。
輸入一個簡單的公式可以幫助獲取有效的網(wǎng)絡威脅情報而不只是收集威脅數(shù)據(jù):
Risk Intelligence = (High-Level Threat Intelligence + Context) * Continuous Data Collection/Intuitive KPIs
威脅情報=(高級別威脅情報+背景知識內(nèi)容)*連續(xù)數(shù)據(jù)采集/直觀的KPI
誠然��,這并不是“真正的”公式��。但它確實提供了同樣強大的功能����。換句話說,它可以幫助企業(yè)消除數(shù)據(jù)噪音����,讓看似無關的數(shù)據(jù)帶來真正價值����,帶來切實可行的解決方案���。
在上面的公式中����,我們可以將通過從各種來源收集和轉譯的低水平的威脅數(shù)據(jù)�����,轉變?yōu)榈椒治鰩熆梢岳斫獾母咚秸Z言����。通過存儲這些數(shù)據(jù)并賦予其與你的企業(yè)、行業(yè)�����、技術相關的特定背景知識����,以及威脅會如何影響你的企業(yè),數(shù)據(jù)就可以進行分析����。
從這個公式來看,簡單的分析通常就能夠產(chǎn)生需要的結果��。使用傳統(tǒng)的關鍵績效指標(KPI)業(yè)務智能結構�����,企業(yè)可以使用這個公式創(chuàng)建簡單而強大的分析�。例如,在金融領域�,典型的KPI包括利用率、利潤對收益率�、現(xiàn)金流、凈乘法器和積壓量�����。當隨著時間的推移����,這個過程會為業(yè)務領導產(chǎn)生重要的決策信息。
這種kPI的概念還可以用于網(wǎng)絡數(shù)據(jù)。最后�����,它們也可以產(chǎn)生重要的價值信息�����,例如�����,特定安全投資的投資回報率或者企業(yè)是否有足夠的安全人員來實現(xiàn)特定的安全目標���。應用簡單的威脅情報公式來處理原始威脅情報可以產(chǎn)生有用和有價值的結果�����。CDA數(shù)據(jù)分析師培訓官網(wǎng)
CDA數(shù)據(jù)分析師考試相關入口一覽(建議收藏):
? 想報名CDA認證考試�,點擊>>>
“CDA報名”
了解CDA考試詳情���;
? 想學習CDA考試教材��,點擊>>> “CDA教材” 了解CDA考試詳情��;
? 想加入CDA考試題庫�����,點擊>>> “CDA題庫” 了解CDA考試詳情����;
? 想了解CDA考試含金量�����,點擊>>> “CDA含金量” 了解CDA考試詳情�����;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330