威胁情报概览

任何安全团队面临的最大挑战是以最小的业务流程中断来识别并阻止威胁。 攻击者的创新范围和速度让普通企业处于防御状态。 IT 团队通常缺乏阻止威胁所需的技能和工具。 即使拥有这些原材料，企业也只能看到整体威胁环境的一小部分。

威胁情报服务声称可以弥补这一空白，提供检测和阻止威胁所需的信息。 TI 源由 IoC 列表组成，例如潜在恶意的 IP地址、网址和域名。 许多也会包括威胁的严重程度和频率。

迄今为止，市场上有数百个收费和免费 TI 源。 如果不了解完整的威胁环境范围，很难判断源的质量。 准确性对于确保最低误报尤其重要。 过多的误报会导致不必要的警报淹没安全团队，妨碍他们发现合法威胁。 误报还会干扰业务，阻止用户访问合法资源。

安全分析师尝试通过观察多个源中常见的 IoC 来阻止误报。 具有更多共享 IoC 的源被认为更具权威性。 然而，使用这种方法分析 30 个 TI 源，Cato 的安全团队仍发现，被认为准确的 78% 的源仍然包含许多误报。

图 1。 在这个矩阵中，我们展示了 TI 源之间 IoC 重叠的程度。 较浅的颜色表示更多重叠和更高的源准确性。 总体而言，75% 的 TI 源显示了显著的重叠程度。

为了进一步优化安全源，我们发现通过网络流量数据增强安全数据可以显著提高源的准确性。 过去，对于许多组织来说，利用网络流量数据是不切实际的。 需要进行大量投资以从安全和网络设备中提取事件数据、规范化数据、存储数据，然后具备必要的查询工具来查询该数据存储。

然而，向 Secure Access Service Edge (SASE) 解决方案的转变将网络设备和安全性结合在一起。 安全分析师现在能够利用之前不可用的网络设备事件数据来丰富他们的安全分析。 特别有用的是某个给定 IoC 在实际用户中受欢迎的程度。

根据我们的经验，合法流量大多终止于用户经常访问的域名或IP地址。 我们对此有直观的理解。 用户经常访问的站点通常已经运作了一段时间。 （除非您处理的是研究环境，研究环境中经常会启动新的服务器。） 相比之下，攻击者常常启动新的服务器和域名以避免被 URL 过滤器分类为恶意并被阻止。

因此，通过确定实际用户访问 IoC 目标的频率——我们称之为受欢迎程度评分——安全分析师可以识别出可能是误报的 IoC 目标。 对于 IoC 目标的用户流量越少，则受欢迎程度评分越低，目标可能是恶意的概率越高。

在 Cato，我们通过在数据仓库中运行机器学习算法来得出受欢迎程度评分，该数据仓库由来自我们所有客户用户的每个流的元数据构建。 您可以通过从您的网络中各种日志和设备中提取网络信息来做类似的事情。

为了隔离在 TI 源中发现的误报，我们用两种方式对源进行评分：“重叠评分”，显示源之间的 IoC 重叠数量，以及“受欢迎程度评分”。 理想情况下，我们希望 TI 源具有较高的重叠评分和较低的受欢迎程度评分。 真正的恶意 IoC 往往会被多种威胁情报服务识别，并且，如所述，是真实用户很少访问的。

然而，我们发现的结果恰好相反。 许多 TI 源（30%） 的 IoC 具有低重叠评分和高受欢迎程度评分。 阻止这些 TI 源中的 IoC 会导致不必要的安全警报并让用户感到沮丧。

图 2。 通过考虑网络设备信息，我们可以消除通常在威胁情报源中发现的误报。 在这个示例中，我们看到 30 个威胁情报源的平均分数（名称已删除）。 曲线上的数据被认为是准确的。 该分数是源的受欢迎程度与其他 TI 源之间重叠次数的比例。 总体而言，30% 的源被发现包含误报。

使用网络设备信息，我们可以消除多数误报，这对组织来说已经是一个好处。 不过，通过将这一洞见反馈到安全流程中，结果会进一步改进。 一旦资产被确定为已妥协，外部威胁情报可以与主机创建的每次通信自动关联，生成新的情报。 感染主机联系的域名和 IP地址，以及下载的文件，可以自动标记为恶意，并被添加到进入安全设备的 IoC，用于更高的保护。

Cato 无缝地扩展客户的内部威胁检测功能，以持续监控网络中的被攻击和恶意软件感染的端点。 因为网络流量通过 Cato 流动，我们可以在不安装代理或设备的情况下提供持续威胁的零足迹检测，从而获得流量可见性。

Cato 提供托管威胁检测与响应 (MDR) 服务，以帮助检测、调查和保护您的网络和已连接设备。 Cato MDR 使用机器学习算法与人类验证检测到的异常活动相结合，从网络流量中寻找安全威胁的指示器。 然后，Cato 专家指导客户如何修复被攻击的端点。

有关 MDR 服务的更多信息，点击此处。