在本文中，專家Ed Tittel探討了評(píng)估威脅情報(bào)服務(wù)的關(guān)鍵標(biāo)準(zhǔn)，以幫助企業(yè)選擇滿足其需求的最佳服務(wù)。

在企業(yè)確定威脅情報(bào)服務(wù)候選產(chǎn)品名單后，下一步工作是選擇最滿足其需求的服務(wù)。由于威脅情報(bào)服務(wù)市場仍然相對(duì)較新，詳細(xì)對(duì)比服務(wù)細(xì)節(jié)來了解服務(wù)提供的內(nèi)容是一個(gè)挑戰(zhàn)。

[[130510]]

例如，有些服務(wù)可能有三種水平的標(biāo)準(zhǔn)文件格式數(shù)據(jù)源，可用于不同制造商的各種安全設(shè)備,而另一種威脅情報(bào)服務(wù)則提供構(gòu)建在其他服務(wù)之上不同層次的服務(wù)—基礎(chǔ)服務(wù)是數(shù)據(jù)服務(wù)訂閱，也需要使用專有安全設(shè)備。同時(shí)，還有一種類型的服務(wù)提供標(biāo)準(zhǔn)格式的數(shù)據(jù)，并有機(jī)會(huì)加入可信的威脅情報(bào)客戶社區(qū)，在那里分享情報(bào)、經(jīng)驗(yàn)和見解，而沒有公開泄露安全漏洞或損害其在現(xiàn)有或潛在客戶間聲譽(yù)的風(fēng)險(xiǎn)。

同時(shí)，無論服務(wù)提供商方面在何種程度提供分析、過濾和一般清理服務(wù)，企業(yè)還是需要自己花時(shí)間和一定的技能來處理威脅情報(bào)。大多數(shù)威脅情報(bào)服務(wù)都是基于這樣的假設(shè)，即客戶至少有一名安全人員負(fù)責(zé)規(guī)劃和部署主動(dòng)安全措施。事實(shí)上，很多企業(yè)客戶有安全運(yùn)營中心。這種技能要求阻礙著大多數(shù)小型企業(yè)和很多中型企業(yè)的部署，因?yàn)樗麄儧]有這樣的人力資源投入到這樣的工作。

但是，高知名度的小型企業(yè)(可能因其政治或社會(huì)觀點(diǎn)而受到關(guān)注)可能需要尋求預(yù)算來購買威脅情報(bào)服務(wù)?，F(xiàn)在，攻擊的數(shù)量和復(fù)雜度仍在不斷上升，并且，與較大型企業(yè)相比，小型企業(yè)更容易受到攻擊，因?yàn)閹缀跛泄径加形缸锷鐓^(qū)的寶貴信息。

威脅情報(bào)服務(wù)的評(píng)估標(biāo)準(zhǔn)

Forrester首席分析師Rick Holland建議，在評(píng)估服務(wù)之前，企業(yè)應(yīng)完全明白自己的使命和業(yè)務(wù)要求，以及情報(bào)要求。然后，在評(píng)估潛在供應(yīng)商時(shí)，確定每個(gè)供應(yīng)商的情報(bào)要求是否符合企業(yè)的要求。

下面是研究和對(duì)比威脅情報(bào)服務(wù)時(shí)需要考慮的關(guān)鍵評(píng)估因素：

數(shù)據(jù)流

因?yàn)閿?shù)據(jù)流是服務(wù)提供商提供的主要產(chǎn)品，企業(yè)應(yīng)盡可能多地了解每個(gè)供應(yīng)商的數(shù)據(jù)流特征和數(shù)據(jù)來源：

• 多少數(shù)據(jù)流是可用的，以及它們的側(cè)重點(diǎn)是什么?數(shù)據(jù)流可能涵蓋IP/域URL、聲譽(yù)、安全風(fēng)險(xiǎn)、漏洞等。

• 服務(wù)提供商使用什么平臺(tái)來處理數(shù)據(jù)?

• 數(shù)據(jù)流的文件格式是什么?格式通常是CSV、XML和類似標(biāo)準(zhǔn)格式。有些服務(wù)提供商提供應(yīng)用編程接口，讓客戶可以通過網(wǎng)絡(luò)服務(wù)拉取數(shù)據(jù)服務(wù)。

• 企業(yè)可以從多少不同的數(shù)據(jù)源獲取數(shù)據(jù)?

• 哪些數(shù)據(jù)源?在客戶要求下，大多數(shù)供應(yīng)商愿意披露他們的威脅情報(bào)數(shù)據(jù)來源，有些供應(yīng)商不能或者不會(huì)這樣做，因?yàn)檫@是機(jī)密信息。

設(shè)備

哪些設(shè)備可以接收這些數(shù)據(jù)流?例如，很多企業(yè)已經(jīng)投資于安全和信息事件管理和/或入侵防御系統(tǒng)設(shè)備。企業(yè)應(yīng)確定這些數(shù)據(jù)流是否可用于現(xiàn)有設(shè)備--這可以幫助降低成本，或者服務(wù)提供商的服務(wù)是否綁定到其自己的設(shè)備。

警報(bào)和報(bào)告

服務(wù)提供商是否提供實(shí)時(shí)警報(bào)作為基礎(chǔ)服務(wù)或最低水平訂閱服務(wù)的部分，或者該功能需要更高價(jià)格的訂閱?報(bào)告或總結(jié)發(fā)布的頻率如何?是否是針對(duì)專門行業(yè)?

報(bào)告對(duì)安全人員非常有用，特別是當(dāng)它們針對(duì)企業(yè)的行業(yè)，并包含相關(guān)惡意軟件、新興威脅、威脅執(zhí)行者及其動(dòng)機(jī)等信息時(shí)。報(bào)告總結(jié)應(yīng)該包含在發(fā)送給高管的狀態(tài)更新中，以及安全意識(shí)培訓(xùn)中，讓每個(gè)人都獲取這些信息。

價(jià)格

通常情況下，客戶購買威脅情報(bào)來訂閱一個(gè)或多個(gè)數(shù)據(jù)流—一年、兩年和三年增量。服務(wù)提供商可能基于用戶數(shù)量提供分級(jí)定價(jià)，并隨著購買數(shù)量的增加提供優(yōu)惠折扣。

例如，服務(wù)提供商可能提供相同的數(shù)據(jù)流，而基于用戶數(shù)量提供不同定價(jià)，例如1到2500名用戶、2501到10000名用戶等。每個(gè)提供商的數(shù)據(jù)流訂閱價(jià)格各不相同，但都在每月1500到10000的范圍內(nèi)，這取決于訂閱的數(shù)據(jù)流數(shù)量。

有些服務(wù)需要客戶在訂閱威脅情報(bào)數(shù)據(jù)流時(shí)購買他們的安全設(shè)備，這可能給總成本增加數(shù)千美元。還有些威脅情報(bào)服務(wù)需要客戶訂閱兩種不同服務(wù)來獲取完整信息，這類似于企業(yè)運(yùn)行主要防病毒/反間諜軟件套件，偶爾使用第二個(gè)產(chǎn)品或服務(wù)掃描系統(tǒng)。

服務(wù)提供商的支持水平

在威脅情報(bào)行業(yè)服務(wù)提供商的支持很像人壽保險(xiǎn)，你永遠(yuǎn)不想使用它，但這非常重要。技術(shù)支持不僅可以解決如何整合數(shù)據(jù)流到安全設(shè)備以及各指標(biāo)的意思等問題，還應(yīng)該可以輔助事故響應(yīng)、打擊惡意網(wǎng)站等。

在比較威脅情報(bào)服務(wù)時(shí)，企業(yè)應(yīng)研究以下問題的答案：

• 提供商是否提供全年全天候電話聯(lián)系其支持工程師?

• 提供商聲稱其響應(yīng)電話呼叫的速度如何?30分鐘內(nèi)?還是更長時(shí)間?

• 升級(jí)支持成本多少，這可能包括更快的響應(yīng)時(shí)間或隨時(shí)聯(lián)系3級(jí)工程師?

• 如果客戶需要事故響應(yīng)援助，該服務(wù)的成本和條款是什么?

• 多少員工可以聯(lián)系技術(shù)支持獲得援助?有些供應(yīng)商提供支持計(jì)劃，其中多名員工可以聯(lián)系技術(shù)支持。

• 是否提供培訓(xùn)?這涵蓋在訂閱費(fèi)用中還是單獨(dú)收費(fèi)?

研究威脅情報(bào)服務(wù)的技巧

LinkedIn以及其他高科技和社交媒體公司都有威脅情報(bào)組或論壇來共享關(guān)于零日攻擊和其他高級(jí)攻擊的情報(bào)。這些討論通常會(huì)附有對(duì)具體服務(wù)提供商的簡要評(píng)論和看法，并且，“我的經(jīng)驗(yàn)分享”評(píng)論中往往包含有見解的心得，可幫助企業(yè)選擇正確的服務(wù)。

很多威脅情報(bào)服務(wù)(例如FireEye和LogRhythm)在其網(wǎng)站提供最新最好的信息。另一個(gè)很好的信息源是Gartner Blog Network，在那里很多作者會(huì)探討威脅情報(bào)以及一般安全問題。同時(shí)，企業(yè)還可以關(guān)注Cyber Threat Intelligence Integration Center(網(wǎng)絡(luò)威脅情報(bào)整合中心)，這個(gè)情報(bào)機(jī)構(gòu)還在構(gòu)建中，旨在提供“綜合所有來源的情報(bào)分析”。

總結(jié)

因?yàn)橥{情報(bào)服務(wù)是很大的開支，企業(yè)需要充分研究這些服務(wù)，例如通過瀏覽每個(gè)服務(wù)提供商網(wǎng)站的數(shù)據(jù)表以及咨詢銷售人員(他們通常擁有對(duì)其產(chǎn)品以及行業(yè)的豐富知識(shí))。在確定候選產(chǎn)品短名單后，IT決策者將能夠權(quán)衡每個(gè)威脅情報(bào)供應(yīng)商的幫助和關(guān)懷，這將是企業(yè)選擇最佳威脅情報(bào)提供商的另一個(gè)標(biāo)準(zhǔn)。