過去幾年里，利用威脅情報的公司在保護他們的關(guān)鍵基礎(chǔ)設(shè)施方面占有明顯優(yōu)勢的事實已經(jīng)十分明了了。公司企業(yè)正盡其所能地收集、分析和評估盡可能多的數(shù)據(jù)，不僅僅是他們目前面對的威脅數(shù)據(jù)，首席安全官和安全團隊已被大量威脅數(shù)據(jù)吞沒。

威脅情報可以包括各種各樣的東西，諸如：入侵檢測系統(tǒng)、入侵防御系統(tǒng)、安全托管服務(wù)和泄露指示器。

而公司通常使用來自這些方面的威脅情報：付費解決方案;可信合作伙伴;正規(guī)工業(yè)公司;政府和司法機構(gòu);開源及他們自身的分析和檢測過程。

根據(jù)國際數(shù)據(jù)公司(IDC)的研究，2014年到2018年，全球威脅情報服務(wù)消費預(yù)期可從9.055億美元增長到14億美元。 公司企業(yè)正越來越多地將威脅情報反饋以一種標準化的方式(XML等)整合進他們的安全架構(gòu)和安全信息與事件管理(SIEM)系統(tǒng)中。

威脅情報實現(xiàn)有多有用，又有多現(xiàn)實?

企業(yè)戰(zhàn)略集團(ESG)的一份報告揭示，一些企業(yè)已經(jīng)實施了安全情報項目，43%的受訪者將他們的項目評級為“非常成熟”。然而，這些項目中有很多缺點，讓僅僅部署威脅情報就能解決安全威脅的期待顯得很不現(xiàn)實。

其中一些缺點如下所示：

1. IT并沒有將威脅情報項目集成到企業(yè)合作、溝通和其他IT業(yè)務(wù)流中。因此，他們并沒有使自己能夠從供應(yīng)鏈和垂直社區(qū)的知識中獲益，或者能夠知曉后端正在發(fā)生的事情以識別出跟他們的環(huán)境和上下文相關(guān)的數(shù)據(jù)。

2. 更多的關(guān)注點被投放到了消費而不是共享上。由于壞人們關(guān)注后者，公司企業(yè)需要促進威脅情報的共享以有效保護企業(yè)用戶和基礎(chǔ)設(shè)施。共享所有風(fēng)險類型的威脅情報可以幫助減少漏洞并扼阻更大的威脅。

3. 在大多數(shù)企業(yè)里，威脅情報項目被人工流程拖了后腿。這些公司里的安全專業(yè)人士要花大量時間收集、處理和粘貼數(shù)據(jù)，還要將之轉(zhuǎn)換成不同的格式——自動化了IT領(lǐng)域其他部分的工具在這里不怎么被信任。

4. 公司企業(yè)的威脅情報項目還缺乏可操作的意圖。IT團隊忽視了提供已引起注意的威脅指標的額外上下文，無論是來自另一個用戶的還是來自情報反饋的。這一情況意味著信息沒有得到擴展;因此，公司可能會錯過做出更快和可選擇的決策。想使威脅情報具有可操作性，公司企業(yè)應(yīng)該實時接收它并將之與安全意識結(jié)合在一起。

5. 最后，安全團隊看的都是原始的、未經(jīng)過濾的信息形成的數(shù)據(jù)反饋。想形成可稱之為情報的東西，他們需要讓專業(yè)情報分析師分揀評估這些信息，以便能產(chǎn)生關(guān)于一個已存在或正在形成的威脅的可行性建議。過去的、現(xiàn)在的和未來的指標，經(jīng)過人工分析，可以產(chǎn)生豐富的上下文信息。

由此，威脅情報目前多少有幾分不成熟，公司企業(yè)考慮潛在利益時沒有認識到能使項目起效的基本原則的力量。這種態(tài)勢下，過濾掉不相干的數(shù)據(jù)而獲得對真實威脅的準確預(yù)測性洞察可能是一件耗時耗力的事。

有效的威脅情報要求分析師能根據(jù)他們各自組織運營的具體環(huán)境準確識別出真實威脅。將威脅與所處環(huán)境聯(lián)系起來將定義出整個威脅景象，然后分析師就能評估數(shù)據(jù)反饋和來源(內(nèi)部還是外部)以確定哪些指標值得關(guān)注。

而且，首席安全官和IT部門需要修改現(xiàn)有解決方案，或者部署新的解決方案，以從收集到的來源中洞悉威脅動向并開展后續(xù)威脅攻擊方式的調(diào)查。雖然內(nèi)部情報管理通常是可行的，還是可以引入第三方來加速數(shù)據(jù)清洗和夯實解決方案，這樣企業(yè)就能專注于防止攻擊而不是花時間在鑒別與他們的威脅態(tài)勢相關(guān)的數(shù)據(jù)和指標上了。

有效威脅情報的另一個重要方面是共享。大多數(shù)公司企業(yè)只是淺嘗輒止地跟風(fēng)共享——立即分享一些情報而不是持續(xù)分享部分情報，這就限制了他們最小化潛在破壞影響的潛力。舉例來說，放到IT經(jīng)理案頭而不傳送到專管時間敏感的網(wǎng)絡(luò)安全決策制定者那里的情報就是無效的。

共享的目標應(yīng)該是在各種機構(gòu)部門間接收和傳播信息。公司企業(yè)可以利用產(chǎn)業(yè)聯(lián)盟驗證威脅發(fā)現(xiàn)，利用自動化過程觸發(fā)企業(yè)內(nèi)部和企業(yè)與政府和司法機構(gòu)間的即時互動。

能為反饋增加洞察力的來源越多，威脅情報就越有用。擁抱各種先進理念也不失為一個好主意，比如開放安全聯(lián)盟，以及與威脅情報共享門戶網(wǎng)站/初創(chuàng)公司合作精簡管理流程。除了以上談到的這些，像是《網(wǎng)絡(luò)可觀察對象表達規(guī)范》(CybOX)和《可信自動化指標信息交換標準》之類的工業(yè)標準也應(yīng)該納入考慮范圍。

一個好的威脅情報實現(xiàn)應(yīng)該是怎樣的?

為了打破樊籬讓威脅情報在整個公司企業(yè)內(nèi)運轉(zhuǎn)流暢，IT部門需要采用健壯的方法來收集、分析、處理情報，并將之轉(zhuǎn)換成通用語言以便共享。模式可以各種各樣，以下幾個組件則是在部署威脅情報項目發(fā)展情報能力中普遍適用的。

1. 設(shè)置情報規(guī)程

無論你的威脅情報目標是什么，這一點都是最基礎(chǔ)的。威脅的復(fù)雜本質(zhì)要求公司企業(yè)在事件發(fā)生之前就設(shè)置好規(guī)程以便在壓力狀態(tài)下能夠指導(dǎo)運作。

統(tǒng)一的、開源的、優(yōu)質(zhì)的反饋應(yīng)該依據(jù)公司的目標進行衡量以評估它們的投資回報率。成熟的公司企業(yè)還需要過濾數(shù)據(jù)以抽取相關(guān)指標再在多個系統(tǒng)中交叉參照。

2. 在分析框架之上勾勒威脅輪廓

對手的作案手法是什么?鑒于你公司所處的行業(yè)和安全架構(gòu)，你將發(fā)展出能被用于識別出惡意模式和考慮對手思路的框架。一份威脅概要可以從下面幾個方面呈現(xiàn)：

威脅執(zhí)行人：關(guān)于可以攻擊你公司的人，你了解多少?對這一問題的答案將驅(qū)動后續(xù)分析進程。

受害者：是什么讓你的企業(yè)成為數(shù)據(jù)泄露和黑客攻擊的潛在目標?你比你的同行企業(yè)更容易受到攻擊嗎?

· 數(shù)據(jù)重要性：你想防護的數(shù)據(jù)資產(chǎn)的感知風(fēng)險是什么?他們目前的防護狀況是怎樣的?

· 地點和時間：數(shù)據(jù)資產(chǎn)存儲在哪里?你是怎樣保護它們的?它們是只以虛擬形式還是同時以物理形式存儲的?這些資產(chǎn)在某些特定時段更容易被入侵嗎(比如周末)?

威脅概要將推動處理效率并讓IT部門能夠?qū)崟r將情報反饋導(dǎo)引至多個部門。

3. 選擇合適的技術(shù)

既然威脅概要已被確定為最適合你公司需要的東西，你便可以推進到下一步——選擇合適的技術(shù)以在你的數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境中利用威脅情報上來了。

可用的解決方案很多，有些有他們自己內(nèi)置的服務(wù)、反饋和數(shù)據(jù)庫。最終選擇應(yīng)該結(jié)合你的安全基礎(chǔ)設(shè)施和安全信息與事件管理(SIEM)系統(tǒng)來做出，無論關(guān)注重點是放在保護云、大數(shù)據(jù)，還是移動系統(tǒng)上。

4. 將威脅情報的使用集成到你的核心流程中

一個好的實現(xiàn)要求威脅情報能夠在無干擾的情況下告知核心業(yè)務(wù)決策。然而，企業(yè)往往不遵循這一方式，也就是說，他們可能對會影響到關(guān)鍵業(yè)務(wù)決策的威脅沒有一個全景的視野。

他們需要做的，是將威脅情報技術(shù)與常規(guī)決策結(jié)合起來，促進動態(tài)資源決策。對更大的轉(zhuǎn)型業(yè)務(wù)案例而言，高級和執(zhí)法監(jiān)管也是十分重要的。

5. 自動化威脅情報共享

威脅共享如果離了能自動化這一過程的技術(shù)將毫無有效性可言。有幾個威脅情報交換平臺促進自動化，企業(yè)自身應(yīng)將精力放在發(fā)展與這些威脅情報交換相關(guān)聯(lián)的流程上以更為全面地了解威脅態(tài)勢。

然而，你也需要一些規(guī)則來標準化威脅情報共享的傳輸和表達。擁有這些規(guī)則可以使共享過程毫無障礙地自動化，即使依賴的是不同工具的時候也是如此。

結(jié)論：

有效實現(xiàn)威脅情報需要大范圍評估你的安全立場。因為它要求對網(wǎng)絡(luò)和設(shè)備數(shù)據(jù)流的無縫訪問，公司企業(yè)需要打破他們的反應(yīng)墻以創(chuàng)建外部和內(nèi)部的效率，并充分利用好這一資源。