威胁情报的价值

进行更好，更有效的调查

网络安全是成熟和资金充足的坏演员与必须捍卫公司网络免受其攻击的人之间的持续战斗。坏消息是后者通常没有获胜。最近的一项Osterman研究调查发现，尽管大多数组织自我报告对勒索软件，其他类型的恶意软件感染和挫败帐户收购的自我报告，但他们对其他每种类型的行为并不是很好威胁。这些包括保护攻击者寻求的数据，防止用户响应网络钓鱼消息，消除业务电子邮件妥协（BEC）攻击，在接触最终用户之前消除媒体钓鱼尝试，并防止对移动设备的感染。

对于大多数组织来说，这种缺失的组件是在其现有的安全防御中增加了强大而可行的威胁情报。良好威胁情报的使用可以使安全分析师，威胁研究人员和其他人能够通过为网络犯罪分子提供优势，通过为他们提供更好地了解当前和过去攻击所需的信息，并可以为他们提供所需的工具预测并阻止未来的攻击。此外，良好的威胁情报可以加强现有的安全防御能力，例如SIEM和防火墙，并使它们更有效地抵抗攻击。

本文的关键要点包括：

• 安全事件很常见：最近的一项Osterman研究调查发现，五分之一的组织报告说，在过去的12个月中发生了一次或多个严重的安全事件。
• 虽然平均停留时间 - 渗透和发现威胁之间的差距正在缩短，但它仍然很长，使坏演员能够充分窃取公司数据和金融资产。
• 现有的安全防御能力提供了一定的保护，以防止日益复杂的威胁，但是许多组织遇到的数据泄露和相关问题数量不足。
• 良好的威胁情报功能可以提供有关试图访问网络的域和IP地址的大量信息。它可以使威胁研究人员能够更好地了解当前和过去攻击的来源，并更好地处理未来的攻击。