威脅情報(bào)是評(píng)估一家企業(yè)當(dāng)前風(fēng)險(xiǎn)狀況的重要手段。一位資深安全大佬將向我們揭示建立一項(xiàng)成功威脅情報(bào)項(xiàng)目的四大必要前提。

[[162542]]

無論處于何等規(guī)模，企業(yè)正紛紛轉(zhuǎn)變戰(zhàn)術(shù)以應(yīng)對(duì)信息安全領(lǐng)域出現(xiàn)的諸多挑戰(zhàn)。與其將辛苦賺來的利潤投入到試圖涵蓋所有基礎(chǔ)設(shè)施這項(xiàng)幾乎不可能實(shí)現(xiàn)的安全保護(hù)任務(wù)當(dāng)中，企業(yè)管理者開始根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)論了解更為確切的信息安全狀況，并就此建立更具針對(duì)性的防御政策。

這種趨勢早在2012年開始就已經(jīng)出現(xiàn)，當(dāng)時(shí)美國國家標(biāo)準(zhǔn)與技術(shù)研究院(簡稱NIST)發(fā)布了一份現(xiàn)行風(fēng)險(xiǎn)評(píng)估指南(PDF格式，在E安全微信公眾號(hào)回復(fù) SP800 即可下載)。這份論文開篇第一句話就是“風(fēng)險(xiǎn)評(píng)估是有效風(fēng)險(xiǎn)管理工作中的關(guān)鍵性組成部分，而風(fēng)險(xiǎn)管理結(jié)構(gòu)中的三大決策制定依據(jù)層分別為組織層、任務(wù)/業(yè)務(wù)流程層以及信息系統(tǒng)層。”

根據(jù)這份指南的觀點(diǎn)，風(fēng)險(xiǎn)評(píng)估的目標(biāo)在于幫助決策制定者了解當(dāng)前狀況，同時(shí)支持他們針對(duì)以下情況做出反應(yīng)：

與組織相關(guān)之安全威脅;

安全漏洞，包括來自內(nèi)部與外部之漏洞;

發(fā)生安全事故之可能性;

成功攻擊活動(dòng)給組織帶來之影響。

安全威脅無處不在

NIST發(fā)布的這份指南中超過600次提到“威脅”這個(gè)詞匯。文章作者對(duì)此的重視可謂顯而易見，而相信大家也都能明白為什么威脅有必要獲得如此關(guān)注。威脅這種東西絕對(duì)不是NIST或者企業(yè)數(shù)字資產(chǎn)管理者們所能一手掌握或者控制的。Recorded Future公司威脅情報(bào)副總裁Levi Gundert對(duì)此有著極為深刻的理解。

在他撰寫的論文《著眼于小處，失誤于小處：建立一套世界級(jí)威脅情報(bào)體系》(PDF格式，在E安全微信公眾號(hào)回復(fù) ASMS 即可下載)當(dāng)中，Gundert提到“威脅情報(bào)作為一項(xiàng)實(shí)踐手段，目前對(duì)于大多數(shù)企業(yè)而言仍是個(gè)難以捉摸的概念。成功的威脅情報(bào)項(xiàng)目能夠識(shí)別并量化實(shí)際商業(yè)目標(biāo)，包括降低運(yùn)營風(fēng)險(xiǎn)并通過市場差異鞏固自身競爭優(yōu)勢。”

換句話來說，了解威脅在哪里、是什么、何時(shí)出現(xiàn)以及如何生效已經(jīng)成為一項(xiàng)極為重要的任務(wù)。

著眼于小處，失誤于小處

作為前美國特勤局特工，Gundert被分配到洛杉磯電子犯罪特遣部隊(duì)后前往靶場進(jìn)行射擊練習(xí)，而他的射擊成績低于其他成員的平均水平。指導(dǎo)員提醒Gundert把靶子翻個(gè)面，將沒有繪制圖案的一面朝向自己，重新嘗試一輪射擊。Gundert依樣照做，對(duì)著面前飄過的一張張白紙扣動(dòng)了扳機(jī)

“我根本不相信自己能打中靶子，帶著這樣的心情我翻過了靶面，結(jié)果讓我驚訝得張大了嘴巴，”Gundert寫道。“子彈幾乎全部穿過了靶心位置……我看著指導(dǎo)員，難以相信自己看到的這一切。”

指導(dǎo)員回應(yīng)稱，“這就是所謂’著眼于小處，失誤于小處’。”

“著眼于小處，就會(huì)失誤于小處”，Gundert將同樣的理論引入到威脅情報(bào)這項(xiàng)需要處理數(shù)量龐大之?dāng)?shù)據(jù)對(duì)象的工作當(dāng)中。他解釋稱，“真正成功的威脅情報(bào)方案絕不能單純追求特定業(yè)務(wù)目標(biāo)，這會(huì)令我們錯(cuò)失更為可觀的工作訴求，轉(zhuǎn)而單純追求某項(xiàng)極具挑戰(zhàn)性的細(xì)節(jié)目標(biāo)。”

成功威脅情報(bào)項(xiàng)目中的必要組成部分

Gundert認(rèn)為，一個(gè)成功的威脅情報(bào)項(xiàng)目需要同時(shí)包含運(yùn)營與戰(zhàn)略兩類組成部分。其中運(yùn)營組成部分應(yīng)該包括以下幾項(xiàng)：

事故鑒定:這一組成部分主要針對(duì)來自各類可靠來源的外部攻擊數(shù)據(jù)的處理工作。GUNDERT提到，將自動(dòng)化機(jī)制引入這一流程能夠確保外部攻擊與內(nèi)部事故能夠被第一時(shí)間得到處理并總結(jié)為參考信息。

防御控制:這一組成部分能夠有效預(yù)防或者緩解攻擊影響。GUNDERT同時(shí)補(bǔ)充稱，這類組成部分必須能夠隨時(shí)反映最新數(shù)據(jù)。

接下來，Gundert還介紹了各戰(zhàn)略組成部分，其中涉及如何對(duì)將給企業(yè)及其資產(chǎn)帶來當(dāng)前與未來威脅的專業(yè)分析結(jié)論。戰(zhàn)略組成部分應(yīng)該包括以下幾項(xiàng)：

建立關(guān)系:與信息、共享與分析中心(簡稱ISAC)等可信社區(qū)進(jìn)行攻擊信息交換，這將為我們引入積極因素，幫助企業(yè)通過其它組織機(jī)構(gòu)的安全經(jīng)歷當(dāng)中受益。

專有信息來源:除了使用其它來源提供的威脅情報(bào)，內(nèi)部數(shù)據(jù)收集與整理能力是另一項(xiàng)極為重要的企業(yè)數(shù)據(jù)儲(chǔ)備來源，同時(shí)也能夠?qū)?yīng)商提供的數(shù)據(jù)進(jìn)行驗(yàn)證。GUNDERT補(bǔ)充稱，“舉例來說，建立一套WEB流程以分析前5000個(gè)日?qǐng)?bào)型網(wǎng)頁內(nèi)容中的代碼，這能夠幫助我們盡早掌握各類攻擊行為的動(dòng)向。”

惡意活動(dòng)歸屬:了解攻擊活動(dòng)背后的動(dòng)機(jī)所在，并通過具體方法考量其具體原因，這一點(diǎn)不僅對(duì)于當(dāng)前正在發(fā)生的攻擊非常重要，同時(shí)也能夠幫助高層管理人員從中整理出詳盡的背景信息。

超級(jí)識(shí)別:追蹤攻擊傾向以幫助安全人員洞察未來威脅，并以此為基礎(chǔ)促進(jìn)防御規(guī)劃。

安全意識(shí):針對(duì)員工的培訓(xùn)工作至關(guān)重要。GUNDERT提到，“教育是一項(xiàng)耗費(fèi)時(shí)間但極具戰(zhàn)略意義的工作，一旦被融入體系流程，其將發(fā)揮巨大的直接價(jià)值。”

內(nèi)部監(jiān)管：企業(yè)需要對(duì)內(nèi)部人員的行為加以監(jiān)控，同時(shí)著眼于那些尚未被檢測到、但卻切實(shí)徘徊在企業(yè)邊界的攻擊活動(dòng)。

攻擊者工具與架構(gòu)建議:識(shí)別與攻擊活動(dòng)相關(guān)的工具、技術(shù)與程序(簡稱TTP)，GUNDERT將此稱為對(duì)手的“瓶頸“所在，這將使得IT部門以主動(dòng)方式建立起有針對(duì)性的解決方案。

總結(jié)

Gundert針對(duì)建立世界級(jí)威脅情報(bào)項(xiàng)目的給出了以下四項(xiàng)基本原則：

了解企業(yè)及其戰(zhàn)略資產(chǎn);

識(shí)別相關(guān)敵人及其TTP(即工具、技術(shù)與程序);

與各大型安全組織建立合作關(guān)系;

建立相關(guān)防御安全控制機(jī)制，從而提高知名度、降低風(fēng)險(xiǎn)并提升運(yùn)營收益。

除了以上幾條之外，Gundert還建議稱，“威脅情報(bào)項(xiàng)目的成功是否與業(yè)務(wù)目標(biāo)、建設(shè)進(jìn)程以及相關(guān)人員對(duì)業(yè)務(wù)目標(biāo)的理解程度息息相關(guān)。”