目前,soc給我的感覺就是投入與產出嚴重不成正比,投入的資金多、裝置多、人員多、時間多,相應的造成功能多、告警多、爭議多、運維多,最後使用者獲取到有意義的內容少、價值少、保障少、積累少。
我相信,soc的未來一定是屬於威脅情報的,龐大的安全運維中心,甚至是更龐大的it運維中心也會讓位於威脅情報中心,理由如下:
運維難度低,相對於soc龐大的安全組織管理體系,威脅情報只需要使用者將注意力關注在告警上,而不需要為如何產生告警而費盡心思。
運維成本低,相對於隨時待命而且龐大的安全運維團隊,威脅情報能大幅減少對運維人員的要求,數量可能只需要當前團隊的一半甚至更少。
威脅情報能精準地解決某方面的安全問題,例如apt、ddos,所以使用者完全可以按需購買並只關注自己感興趣的內容,減少了不必要的費用。
威脅情報能夠加速與完善企業安全知識的積累,相對目前soc幾乎是推到重建的方式,威脅情報能充分保留上一代系統的精華。
威脅情報能加強企業間的聯絡,通過威脅情報分享與傳播,企業間的威脅情報可以達到最高效的發揮,並且交換得越多的情報越具有高可信度。
威脅情報涉及多資料探勘、機器學習、網路安全、自然語言、統計學等多學科知識,並且門檻較低,可以吸引更多的參業人員,並能創造出獨特的內容產業鏈。
威脅情報的幾個關鍵概念
當前,網路空間的廣度和深度不斷拓展 安全對抗日趨激烈,傳統的安全思維模式和安全技術已經無法有效滿足政企客戶安全防護的需要,新的安全理念 新的安全技術不斷湧現,當前的網路安全正處在乙個轉型公升級的上公升期。目前,資訊保安業界普遍認同的乙個理念是 僅僅防禦是不夠的,更加需要持續地檢測與響應。而要做到更有...
威脅情報的定義及理解
根據gartner對威脅情報的定義,威脅情報是某種基於證據的知識,包括上下文 機制 標示 含義和能夠執行的建議,這些知識與資產所面臨已有的或醞釀中的威脅或危害相關,可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。業內大多數所說的威脅情報可以認為是狹義的威脅情報,其主要內容為用於識別和檢測...
攻擊鏈簡述 二 威脅情報的作用
apt持續破壞的能力與慾望積極地推動我們從傳統的威脅響應方式快速遷移至網路空間安全解決方案。在網路被入侵後進行響應,代價一般會非常昂貴,無論是在消除不良影響方面,還是在清除攻擊者遺留的據點方面 如木馬 為了在防禦中掌握主動權,防禦者需要通過阻止攻擊者的高階手段來改變遊戲的規則,最好是在攻擊鏈的左側就...