自成立以來,Facebook一直是網絡攻擊的目標。他們積極抵禦惡意軟體和防止欺詐,並且他們在這方面的努力經常見諸報端。然而,可以很公平地說,Facebook面臨的實際威脅更加嚴峻。
當面對威脅時,知識就是力量。很多企業都認識到威脅分析和安全分析的重要性,它們不僅可以幫助阻止當前威脅,還可以提高事件響應。最近,Facebook宣布通過其ThreatData框架進軍大數據安全分析領域。
在本文中,我們將討論什麼是ThreatData框架,它是如何工作的以及為什麼企業應該知道它的存在,還有信息安全專業人員可以從中學到什麼來更好地管理企業面臨的威脅。
ThreatData框架內部
對於ThreatData,Facebook聲稱它能夠快速收集、處理和分析大量數據,以及時對出現的威脅作出反應。
這個大數據安全分析框架包括三個主要部分:
數據收集:這是從Facebook內部和外部的各種來源收集的各種格式的數據(被稱為ThreatDatum),這些來源包括VirusTotal、Web瀏覽器擴展和專門從事這種數據收集的安全供應商。
數據存儲:這些是存儲數據和提取威脅情報的庫,被稱為「Hive」或者「Scuba」。
實時響應:這是Facebook對威脅的響應,其中包括URL阻止和安全信息及事件管理(SIEM)集成。
從本質上講,ThreatData對網際網路正在發生的惡意活動提供了更全面和更大的可視性。這些發現和檢測功能正是大多數企業的信息安全計劃中缺乏的功能。與SIEM的優勢類似,這種詳細程度允許信息安全專業人員能夠看到更大的視圖,而不是更為典型的對產品或功能孤島的安全管理。
ThreatData框架對一般企業意味著什麼
那麼,為什麼這會有用呢,特別是對於與Facebook不怎麼相關的企業?
ThreatData框架是創新框架類型的模型,高風險企業正在部署這種框架來解決已知和新出現的安全威脅,並且,這可能為一般企業提供很多經驗教訓。
雖然大多數企業沒有Facebook那樣的安全資源,但該框架的很多威脅情報「功能」並不需要大量資源,企業可以利用最新釣魚網站上的信息、網際網路中的惡意軟體以及應對這些威脅的相關趨勢。
另外,企業可以外包部分(如果不是全部)這些功能到很多第三方供應商(例如Dell SecureWorks和Alert Logic),包括對企圖攻擊、已知網絡惡意軟體感染以及需要注意的行為和籤名發出警報,包括實時修復Web應用防火牆等技術。
在很多企業,特別是中小企業,負責安全的人員通常不知道在特定時間事物所處的位置。即使企業選擇外包這些服務,他們通常沒有足夠的人力或者利基安全專業技術來及時合理地管理這些威脅,更不用說響應威脅。但是,企業仍然有機會來獲得對企業環境的控制權