什么是威胁管理?
威胁管理是网络安全专业人员防止网络攻击、检测网络威胁和响应安全事件的过程。
从事威胁管理的网络安全人员
为什么威胁管理很重要?

大多数安全团队都面临着信息碎片化的问题,这可能会导致安全运营出现盲点。无论它们存储于何处,盲点都会削弱团队识别、防御和迅速响应安全威胁的能力。 

当今的危险包括变异的恶意软件、高级持续威胁 (APT)、内部威胁和围绕云计算服务的漏洞,这些都是杀毒软件无法处理的。随着受保护的 IT 基础架构边界的逐渐消失和远程工作人员的持续增加,企业面临着前所未有的复杂风险和安全威胁。在这种不断变化的威胁环境和向云转移的背景下,安全专业人员采取了一种新的思维方式——假设入侵已经发生,并且将会再次发生。

网络威胁管理系统通过自动化和 AI 得以增强,可以帮助应对当今网络犯罪分子的高级攻击。它为安全团队提供了成功所需的可视化管理。通过统一安全数据,安全团队可以从容自信地巡查,并在数千个终端和云之间的网络上识别伴有风险的数据和漏洞。

在网络安全领域,来自组织内部的威胁尤其危险。对企业来说,内部攻击比外部威胁产生的代价更高。了解什么是内部威胁以及如何减轻这些威胁


威胁管理的工作原理

许多现代威胁管理系统都采用美国国家标准技术学会 (NIST) 建立的网络安全框架。NIST 为私营部门组织提供全面的指南,以改善信息安全和网络安全风险管理。NIST 网络安全框架 (NIST CF) 是指南之一,它由标准和最佳实践组成,其核心结构是五大功能:识别、保护、检测、响应和恢复。

识别

网络安全团队需要对组织最重要的资产和资源具备深入透彻的了解。 识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等。

保护

保护功能涵盖了开发和实施适当的保障措施及保护关键基础结构的许多技术和物理安全控制。这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术等。 

检测

检测功能实施的措施是提醒组织注意网络攻击。检测类别包括异常和事件、持续的安全监控和早期检测过程等。

响应

响应功能确保对网络攻击和其他网络安全事件作出适当的响应。类别包括响应计划、沟通、分析、缓解和改进等。

恢复

一旦发生网络攻击、安全漏洞或其他网络安全事件,就会执行恢复活动,实施网络弹性计划,确保业务连续性。恢复功能包括恢复计划的改进和通讯。


威胁管理技术

如今的企业组织安装了配备 AI 等现代技术的安保运营中心 (SOC),以有效地检测、管理和响应威胁。通过实施 AI 赋能的技术和开放、模块化的威胁管理解决方案和服务,组织可以花费更少的时间和资源,顺利整合并操作碎片化的工具和数据源。该技术可以建立高效、互联的数据交换、分析和响应流程,转换并增强安全运营能力。供应商可以交付威胁管理解决方案,如软件、软件即服务 (SaaS) 或基于客户需求的托管式服务。解决方案提供商还可以自定义设计、构建、管理或提供交付威胁管理生命周期所有方面的工具。他们使用 AI 赋能的相同威胁检测和调查工具,以及威胁管理解决方案和服务来支持 SOC 团队,从现有资源和投资资产中获取最大价值。


IBM 解决方案

安全信息与事件管理 (SIEM)

出现安全漏洞时,您应当如何应对?借助 IBM Security QRadar®,您可以获得全面的洞察分析,快速检测、调查和响应潜在威胁。


威胁管理服务

这是一种采取集成方式打击网络犯罪的新方法,同时也积极发挥了AI 支持和统筹编排的专业知识作用。 借助此 IBM 威胁管理服务平台,您可以识别、确定与您最相关的高级威胁的优先级别并采取相应的行动。


面向混合多云世界的互联安全性

IBM Cloud Pak® for Security 是一个连接至现有数据源的开放安全平台。它可以生成更深入的洞察成果,让您依托自动化流程更快速采取行动。无论您的数据是驻留在 IBM 还是第三方工具、本地还是多云环境中,该平台都能帮助您定位威胁和风险并做出响应,同时数据仍保留在原地。


安全编排、自动化和响应 (SOAR)

威胁检测只完成了安全保护的一半。您还需要对持续增长的警报、多种工具和人员短缺等问题做出明智的事件响应。通过自动化、流程标准化以及集成 IBM 的现有安全工具,尽力加快事件响应的速度。


威胁情报服务

情报质量差、缺乏信任以及与其他数据源和组织的集成不足,使得企业难以收集切实可行的洞察成果来防范网络攻击。充分运用 IBM 威胁情报服务,让设计、构建、交付和运营自动化网络威胁平台的专家帮助您简化情报管理。


防范内部威胁

内部威胁占网络攻击的 60%,而且通常难以察觉。大多数案件在数月或数年内都不会被发现。建立可视化管理,就能掌握那些可能预示存在活跃内部威胁的异常行为情形。发现和控制整个企业中所有类型的特权帐户。


数据弹性

借助 IBM FlashSystem® 保护措施快速响应和恢复,确保企业可恢复不可篡改的隔离副本,最大限度减少网络攻击产生的影响。


移动威胁管理

检测和修复受损设备上的恶意软件。借助统一终端管理 (UEM) 解决方案,您几乎可以监控和控制所有移动设备、应用和内容。运行 AI 驱动的安全分析并维护所有平台的安全性。