正如有些有見地的員工所指出，“威脅情報(bào)”是還沒有明確定義的令人困惑的概念。如果你到處問問“什么是威脅情報(bào)?”，你會(huì)得到各種對(duì)解決方案和服務(wù)的描述，從惡意軟件數(shù)據(jù)庫到簽名檢測工具和IDS/IPS系統(tǒng)，再到現(xiàn)場咨詢服務(wù)等。

[[122142]]

然而，在乍看之下，這兩個(gè)詞一起看似乎立刻有了意義。“情報(bào)”即收集關(guān)于某物的詳細(xì)信息，而“威脅”就是你收集關(guān)于什么的信息。當(dāng)你在谷歌搜索“情報(bào)搜集”，定義很明確：

在最廣泛的形式中，情報(bào)收集網(wǎng)絡(luò)是指這樣一個(gè)系統(tǒng)，即通過這個(gè)系統(tǒng)收集的關(guān)于特定實(shí)體的信息通過使用一個(gè)以上相互關(guān)聯(lián)的來源而讓另一個(gè)人受益。

從網(wǎng)絡(luò)的角度來看，對(duì)可能威脅你的業(yè)務(wù)、網(wǎng)絡(luò)、軟件、web服務(wù)器等的信息的收集是很有價(jià)值的。那么，為什么網(wǎng)絡(luò)威脅情報(bào)這么難以獲取?對(duì)于初學(xué)者來說，是不是幾乎所有安全工具或網(wǎng)絡(luò)防御活動(dòng)都是威脅情報(bào)機(jī)制?同時(shí)，如果是這樣的話，企業(yè)如何利用來自四面八方的數(shù)據(jù)來采取任何形式的行動(dòng)?答案是“是”以及“不是那么容易”。事實(shí)上，現(xiàn)在大多數(shù)企業(yè)很難從威脅情報(bào)中獲取真正的價(jià)值。

網(wǎng)絡(luò)安全領(lǐng)域的大多數(shù)解決方案會(huì)測量、追蹤、日志記錄或報(bào)告事件。所有這些工具和流程會(huì)產(chǎn)生數(shù)據(jù)，這些數(shù)據(jù)可以進(jìn)行分析而產(chǎn)生“威脅情報(bào)”。這些工具會(huì)產(chǎn)生大量數(shù)據(jù)，而且是很低水平的數(shù)據(jù)，換句話說，關(guān)于任何實(shí)體的信息都是非常冗長、復(fù)雜，且很少相互關(guān)聯(lián)。

更重要的是，很少有企業(yè)部署了強(qiáng)大的描述性-預(yù)測性-指令性分析功能來整理這些數(shù)據(jù)，以及支持***業(yè)務(wù)層面的決策過程。這些威脅數(shù)據(jù)并沒有標(biāo)準(zhǔn)模式或者聯(lián)系網(wǎng)絡(luò)活動(dòng)到資產(chǎn)或業(yè)務(wù)操作。因此，并沒有決策支持系統(tǒng)可以支持?jǐn)?shù)據(jù)挖掘活動(dòng)來回答典型的描述性問題，例如“在過去六個(gè)月是什么對(duì)企業(yè)造成***的傷害?”或者更成熟的問題，“我們的哪個(gè)技術(shù)投資具有***的投資回報(bào)率，以及哪些技術(shù)投資帶來負(fù)面影響，哪些可能會(huì)構(gòu)成威脅?”

信息太多

企業(yè)如何清除這些噪音而獲取真正的價(jià)值呢?通過遵循一個(gè)簡單的公式即可。還記得我們?cè)趯W(xué)校學(xué)過的勾股定理嗎?a2 + b2 = c2?這是幾何的基本定理。還有麥克斯韋方程?熱力學(xué)第二定律?傅立葉變換?或者其中最有名的，愛因斯坦的相對(duì)論，E=mc2?這些公司幫助我們制造了太多信息，太多數(shù)據(jù)。這些公式同樣帶領(lǐng)我們到了現(xiàn)在的時(shí)代，雷達(dá)、電視、噴氣式客機(jī)、電子郵件、互聯(lián)網(wǎng)以及社交媒體。

輸入一個(gè)簡單的公式可以幫助獲取有效的網(wǎng)絡(luò)威脅情報(bào)而不只是收集威脅數(shù)據(jù)：

Risk Intelligence = (High-Level Threat Intelligence + Context) * Continuous Data Collection/Intuitive KPIs

威脅情報(bào)=(高級(jí)別威脅情報(bào)+背景知識(shí)內(nèi)容)*連續(xù)數(shù)據(jù)采集/直觀的KPI

誠然，這并不是“真正的”公式。但它確實(shí)提供了同樣強(qiáng)大的功能。換句話說，它可以幫助企業(yè)消除數(shù)據(jù)噪音，讓看似無關(guān)的數(shù)據(jù)帶來真正價(jià)值，帶來切實(shí)可行的解決方案。

在上面的公式中，我們可以將通過從各種來源收集和轉(zhuǎn)譯的低水平的威脅數(shù)據(jù)，轉(zhuǎn)變?yōu)榈椒治鰩熆梢岳斫獾母咚秸Z言。通過存儲(chǔ)這些數(shù)據(jù)并賦予其與你的企業(yè)、行業(yè)、技術(shù)相關(guān)的特定背景知識(shí)，以及威脅會(huì)如何影響你的企業(yè)，數(shù)據(jù)就可以進(jìn)行分析。

從這個(gè)公式來看，簡單的分析通常就能夠產(chǎn)生需要的結(jié)果。使用傳統(tǒng)的關(guān)鍵績效指標(biāo)(KPI)業(yè)務(wù)智能結(jié)構(gòu)，企業(yè)可以使用這個(gè)公式創(chuàng)建簡單而強(qiáng)大的分析。例如，在金融領(lǐng)域，典型的KPI包括利用率、利潤對(duì)收益率、現(xiàn)金流、凈乘法器和積壓量。當(dāng)隨著時(shí)間的推移，這個(gè)過程會(huì)為業(yè)務(wù)領(lǐng)導(dǎo)產(chǎn)生重要的決策信息。

這種kPI的概念還可以用于網(wǎng)絡(luò)數(shù)據(jù)。***，它們也可以產(chǎn)生重要的價(jià)值信息，例如，特定安全投資的投資回報(bào)率或者企業(yè)是否有足夠的安全人員來實(shí)現(xiàn)特定的安全目標(biāo)。應(yīng)用簡單的威脅情報(bào)公式來處理原始威脅情報(bào)可以產(chǎn)生有用和有價(jià)值的結(jié)果。