我们应该如何减轻不断进入我们的安全监测系统的威胁？

Question

我们有持续的网络安全威胁，每天从不同的来源向我们的SOC提供所有新的CVEs，新的恶意软件变体等等。我们只是不知道如何以正确的方式处理这些警报，不仅如此，我们无法选择对这些威胁采取什么行动。如果我们可以假设没有重大的金融限制，那么银行对这些威胁采取后续行动的好程序是什么？

Answer 1

威胁情报在今天有一个共同的问题，那就是大量的数据产生&进入消费企业，IT建立&威胁情报包有三种不同的用途。

• 使用威胁情报数据阻止风险&将不必要的连接连接到您与企业设置的通信。
• 使用威胁情报数据在安全生成和威胁监视解决方案(包括SIEM )中创建新规则。
• 使用威胁情报指示您的企业中是否存在现有的隐藏威胁。
• 使用威胁情报数据分析和可视化适用于您的公司的威胁情况

这四种用法中的每一种都有自己的一套需要采取的行动。对于诸如银行、威胁情报数据这样的组织，如果适当地将其上下文化，则可以保存零日类型的威胁。

威胁情报数据的语境化是威胁情报消费的下一个阶段，需要新的过程、新的技术和组织的合作才能发挥作用。