你應該已經(jīng)注意到，現(xiàn)在越來越多的供應商、研究人員、顧問和其他一些人都發(fā)布報告稱他們可以詳細描述信息安全威脅，并聲稱對最新的攻擊、漏洞和利用有獨特的見解。其實這些信息中有很多都很有價值，但是卻很難管理和利用。更重要的是，這些信息也未必適用于你的公司環(huán)境。

[[111457]]

信息安全管理可能更多的是管理時間和資源，而不是技術，當遇到網(wǎng)絡安全威脅報告時就是這種情況。本文中，我們講探討如何充分利用海量的威脅報告數(shù)據(jù)，而不被它淹沒。

威脅越多，威脅報告就越多

越來越多的供應商贊助威脅報告的制作，因為這些報告能給他們的作者提供兩方面的好處：不僅能夠展示網(wǎng)絡安全界的相關威脅，還能為它們的贊助公司提供重要的營銷作用。作為營銷資料，這些報告的形式一般都很容易理解，也很能吸引人，通常是以執(zhí)行摘要開始，然后是充分的書面分析，然后是充足的圖表和圖形，甚至還有原始數(shù)據(jù)。

這些報告中的信息有時也可能會很夸張，因為它們畢竟是營銷資料。例如，一個防病毒公司想賣出更多的防病毒軟件，他會利用這個報告來強調目前惡意軟件感染的數(shù)量和負面影響。但這并不意味著這些數(shù)據(jù)無效或者這個報告沒有用，他只是想利用這個數(shù)據(jù)呈現(xiàn)出來的事實作為背景。所以，非常重要的是，要通過數(shù)據(jù)樣本的大小以及參與創(chuàng)建它的研究人員的經(jīng)驗來評估這些威脅報告。

其實，這些報告有一個經(jīng)常被忽視的特點，就是它們對于終端用戶或執(zhí)行安全教育非常有用。正如上面提到的，它們最初是作為營銷資料而創(chuàng)建的，所以大多數(shù)報告都是固定模式，有著明確的信息。例如，在討論惡意軟件發(fā)展趨勢時，我通常會引用賽門鐵克年度“互聯(lián)網(wǎng)安全報告”，而在談到如何修補漏洞以及如何運行Web應用程序漏洞測試可以降低數(shù)據(jù)泄露的情況時，我通常會引用Verizon公司的年度“數(shù)據(jù)泄露調查報告”。

如何最好地利用互聯(lián)網(wǎng)安全威脅報告

管理威脅報告的第一步是要找到一種方法，使它們更可行。我更傾向于從多個來源收集安全威脅信息，并把它們整合成類似Google Reader或Feedly之類的RSS新聞閱讀器。生產(chǎn)這些威脅報告的供應商和顧問通常會給新聞網(wǎng)站發(fā)布報告事件，或者通過他們自己的RSS feed來發(fā)布。我可以迅速梳理這些信息點，并確定整個報告是否值得深入研究。這就極大降低了我閱讀無關信息的時間，我會在方便的時候閱讀我關心的問題，例如，當我在排隊買東西的時候可以在我的手機或平板電腦上閱讀它們。

要讓這些信息更可行，第二步是要了解這些威脅如何適用于企業(yè)必須要保護的技術平臺。每個安全管理人員都應該清楚地知道他們的企業(yè)的關鍵信息資產(chǎn)的位置，以及他們正在使用哪種技術平臺。使用這些信息來關注針對你的企業(yè)的最重要的信息資產(chǎn)的威脅報告。例如，如果你的組織購買了微軟的產(chǎn)品，那就肯定會優(yōu)先瀏覽微軟的威脅報告。其它不是關鍵業(yè)務的技術報告可以隨后在你的RSS閱讀器中建立。

像Verizon的數(shù)據(jù)泄露調查報告(DBIR)這種大型、通用的安全研究一般不包含信息安全管理人員需要的及時性的策略建議，但是它們還是非常有用的?？梢岳盟鼈儊砹私膺^去的威脅環(huán)境，并驗證以前的信息安全策略。舉個例子來說，前幾年，我通常會根據(jù)Verizon的DBIR來改變我的防御策略。

如果遵循這些簡單的指導意見，你會發(fā)現(xiàn)，威脅報告對于安全管理人員來說是非常有價值的信息來源。通過一些方法對它們進行分類并確定優(yōu)先級，可以使這些信息更可行。在選擇威脅報告時，不是一定要選擇最好的，而是要選擇最適合你的技術環(huán)境的報告，這對于你的企業(yè)來說可能更有用。也可以利用通用的威脅報告來驗證和建立策略，但同時不要忘了它們可以作為培訓資料。這些指導建議應該可以幫助你更有效地找到并利用這些威脅報告中的信息。