刘询

确保组织的安全基础设施覆盖所有可能的威胁入口是一回事，而确保主动保护是另一回事。

在不断增长的在线威胁和复杂的网络威胁中，组织需要通过积累威胁情报不断增强其网络防御能力，以跟上发展的步伐。但是，责任并不仅限于此，他们需要理解收集到的数据，并把这些联系起来，以保持一个没有威胁的环境。

有效的威胁关联是主动防护的关键要素，不仅可以防御已知威胁，还可以防御未知威胁，这就是组织通常在IT安全解决方案和系统中寻找的东西。如果他们依靠外包商来满足安全需求，这也是他们对各自提供商的期望。

有效威胁关联的要素

保证客户网络的安全，需要安全服务提供商减少误报和漏报，并验证传感器的性能和可用性。这些挑战可以通过有效的威胁关联来解决。

通过适当的威胁关联，安全响应团队可以专注于他们的最优先级。这提高了他们的效率，同时降低了由于更严格的隐私保护指南和法律带来的潜在风险和公司责任。但怎样才能建立有效的威胁关联呢？

为了有效地连接构成当今混合威胁的各个部分，安全提供商需要高质量的数据，添加到客户的解决方案和系统中的信息必须及时且相关。

理想的相关过程是使用接近实时的信息。安全提供商越早发现主动入侵，就能越快处理它。识别和监控潜在的威胁源也比事后处理攻击的效果更划算。一旦发现数据泄露，受害者必须向拥有受影响数据的人支付经济补偿。

安全外包也将使用相关信息。他们需要在正确的时间将正确的信息传递给正确的人。例如，由于网络故障而无法连接到客户端的防火墙，应该通知网络运营中心，而不是安全团队。除此之外，还需要过滤掉不相关的噪声，以免误报。他们需要检测手动日志调查或仅查看单个设备的工具可能会忽略的高风险威胁。网络中的每个设备都需要以无缝方式与所有其他设备一起使用。

安全提供商需要确保他们的基础设施能够满足客户的威胁情报收集、整合和关联需求。

威胁关联架构的三要素

一个有效的威胁关联架构至少包含3个基本步骤：收集、整合和关联。

收集

一些安全解决方案只是从公司网络中提取传感器日志文件，然后将其上传到中央存储库，采用压缩来减少网络带宽需求。其他的通常在单个设备上执行收集和初始分析以分配收集过程，从根本上减少了带宽需求。无论如何分配和完成工作，此步骤都只是收集所有需要标准化或聚合的可用威胁情报和数据源。

整合

这个阶段也稱为“标准化”或“聚合”，它涉及过滤无关数据，将重点放在安全解决方案及其用户通常定义的重要内容上。在这一步中，许多误报被消除。

整合会去除重复的数据，并确保每个数据都是标准格式。通过这种方式，在关联时，可轻松地将信息与其他所有信息进行比较。即使数据来自不同的来源（不同配置的系统或不同供应商的解决方案等），仍然可以形成相互关系。

关联

最终目标是从多个安全平台获取数据，并将其关联起来，为威胁响应团队提供及时、相关和准确的情报。

对于使用集中式数据库的解决方案，分析人员只需运行适当的查询就可以得到响应。但是，这可能会受到可伸缩性和性能问题的限制。为了分析大量的数据，组织需要大量能够满足处理需求以及时间的系统，考虑到威胁渗透网络的速度，这些时间可能是有限的。

每个组织都需要一个有效的威胁关联架构，他们要承受不断增长的数量和复杂性威胁所带来的风险。不管他们的安全需求是依赖内部的还是第三方的，都有一个共同点。他们需要及时、相关和准确的数据———幸运的是，这些数据并非遥不可及。