@
2年前 提问
1个回答

威胁情报的常见使用误区有哪些

上官雨宝
2年前

威胁情报的常见使用误区有:

  • 用上威胁情报以后,产生的告警越多越好:这里要纠正一下,基于威胁情报的一些场景,它产生的告警其实并不是越多越好,而应该是越精准越好。一味追求大量的威胁告警,缓解企业对于安全的焦虑,好比一个人太渴想要喝水,却打开了消防水带的开关解渴。后果就是,安全分析师根本看不过来,也没法确定告警的优先级,或者去调查所有警报,只是浪费时间而已。

  • 威胁情报数量越多越好:目前国内外对于“正确”的威胁情报数量还没有一个权威的定义,所以号称“几亿”“几十亿”情报数量,听着很多,但不见得是对的。事实上,威胁情报并不是做得越多越好,应该是帮助越大越好,情报的价值在于帮助企业做更准确的检出。企业只需将所有的产品放到真实的环境进行测试,就能看出哪个产品的检出效果最好。

  • 威胁情报要明文数据:威胁情报只存在一种用途,那就是解决企业的安全问题。所以,企业在利用威胁情报的过程中,企业本身只需关注威胁情报的能力即可,将威胁情报的管理、收录、更新等等直接交给威胁情报供应商,无所谓明文或密文。只要情报精准,就可以体现情报的价值。