每位首席信息安全官的夢(mèng)想都是擁有一艘沒(méi)有任何漏洞的船，高級(jí)持續(xù)性威脅和黑客活動(dòng)分子永遠(yuǎn)無(wú)法攻破它。這的確是一種夢(mèng)想，但我們應(yīng)當(dāng)將其變成現(xiàn)實(shí)。問(wèn)題在于，當(dāng)人們?cè)絹?lái)越靠近優(yōu)化威脅情報(bào)策略的理念時(shí)，他們往往會(huì)忽略大局。

[[173842]]

宣傳和使用威脅情報(bào)只有一個(gè)真正的目標(biāo)：減少行動(dòng)風(fēng)險(xiǎn)，以保持或提升盈利能力。隨著攻擊方制造數(shù)據(jù)破壞的新趨勢(shì)，受到長(zhǎng)期損害的可能性也變得更高。那么，首席安全官應(yīng)當(dāng)如何行動(dòng)?

通過(guò)將情報(bào)資源集中于高度特定化的商業(yè)目標(biāo)(保持或提升盈利能力)，過(guò)大的目標(biāo)可以被縮小到一小點(diǎn)高度有價(jià)值的情報(bào)。要做到這一點(diǎn)，應(yīng)當(dāng)建立更加有效的威脅情報(bào)策略。

保持對(duì)大局的關(guān)注，減少行動(dòng)威脅，保持盈利能力應(yīng)當(dāng)是企業(yè)威脅情報(bào)策略的基礎(chǔ)。

01. 情報(bào)收集，更進(jìn)一步

收集網(wǎng)絡(luò)威脅情報(bào)有三個(gè)主要方法：

1. 通過(guò)截取和分析通訊過(guò)程等使用的信號(hào)，獲得信號(hào)情報(bào)(Signals Intelligence，SIGINT);

2. 來(lái)源于公開(kāi)信息的開(kāi)源情報(bào)(Open-source Intelligence，OSINT);在我們討論的這個(gè)情景下，它們是使用搜索引擎或?qū)ｉT的爬蟲(chóng)軟件搜集的互聯(lián)網(wǎng)情報(bào);

3. 人工情報(bào)(HUMINT)，使用威脅源社區(qū)中的線人。

當(dāng)然，應(yīng)該根據(jù)企業(yè)的實(shí)際情況排布三者的優(yōu)先級(jí)。

02. 建設(shè)與否：忍受痛苦并選擇

威脅情報(bào)有一個(gè)特點(diǎn)：獲取多少也不嫌多。

大多數(shù)企業(yè)開(kāi)始進(jìn)行情報(bào)收集時(shí)入口很小，他們查找得越多，得到的就越多。一段時(shí)間之后，這變成了過(guò)于繁重，但又必須完成的任務(wù)。這時(shí)候就又遇到那個(gè)老生常談的問(wèn)題了：建設(shè)還是購(gòu)買?在單獨(dú)進(jìn)行選擇之前，應(yīng)當(dāng)先咨詢與你的用例有關(guān)的專家。

03. 獲得更好的上下文

這樣做十分誘人：專注于最新的威脅，與此同時(shí)凝視上周獲取的信號(hào)，甄別最微小的趨勢(shì)。但如果你在細(xì)節(jié)上迷失，將有可能漏掉更危險(xiǎn)的獵物和更持久的威脅?；旧希愕耐{情報(bào)必須包括宏觀和微觀的時(shí)間段，最大限度地減少遭受嚴(yán)重?cái)?shù)據(jù)泄露的風(fēng)險(xiǎn)。

04. 知道多少并不重要，方法才重要

威脅情報(bào)中最為常見(jiàn)的問(wèn)題并不是收集或處理數(shù)據(jù)，而是在企業(yè)不同部門之間溝通獲取的信息。如果獲得高質(zhì)量的威脅情報(bào)，應(yīng)急小組、安全行動(dòng)中心、事件響應(yīng)、漏洞管理等領(lǐng)域都能夠大幅度進(jìn)步。如果你在看完這篇文章之后做的唯一一件事就是調(diào)查如何在企業(yè)內(nèi)分配情報(bào)，你的時(shí)間不會(huì)白費(fèi)。

05. 打破知識(shí)隔閡

眾所周知，對(duì)于威脅情報(bào)而言，存在很大的知識(shí)隔閡。這個(gè)隔閡的大小大約與 C 級(jí)高管的規(guī)模與能力相當(dāng)。但這必須改變。

不論如何，你必須清楚知識(shí)隔閡并不一定是 C 級(jí)高官的問(wèn)題，而是無(wú)法將這些真實(shí)存在的網(wǎng)絡(luò)威脅轉(zhuǎn)換成高管能夠理解并據(jù)其響應(yīng)的安全專家的失誤。因此不論是通過(guò)面談還是渠道，都應(yīng)當(dāng)牢記多與高管進(jìn)行溝通。詢問(wèn)他們的需求，以及他們希望如何實(shí)現(xiàn)。他們需要一種可以方便理解并消化的信息格式。

06. 行動(dòng) vs 策略

有用的威脅情報(bào)項(xiàng)目能夠自動(dòng)處理來(lái)自各種源頭的外部攻擊數(shù)據(jù)(也被稱為入侵指標(biāo))。

事件識(shí)別只是第一步。第二步是自動(dòng)化防御控制，阻止未來(lái)的事件發(fā)生。這一威脅情報(bào)的關(guān)鍵功能之所以有效，是因?yàn)樗鼑@計(jì)算資源展開(kāi)?；谛袆?dòng)能力建立的世界級(jí)威脅情報(bào)方案包括圍繞人才的資源和策略性分析。分析師確定當(dāng)前和未來(lái)針對(duì)企業(yè)戰(zhàn)略資產(chǎn)的信息安全威脅。

07. 確定趨勢(shì)

趨勢(shì)的確定可能包括宏觀項(xiàng)目，比如確定企業(yè)明年面臨的頂級(jí)網(wǎng)絡(luò)威脅。宏觀趨勢(shì)一般都是從季度或年度視角上作出的。包括確定有可能被對(duì)手利用的新工具發(fā)布時(shí)間的微觀趨勢(shì)基本上是以天或周的時(shí)間跨度確定的。

08. 內(nèi)部狩獵

檢測(cè)惡意內(nèi)部人員以及未檢測(cè)到的外部攻擊是威脅情報(bào)應(yīng)當(dāng)定期執(zhí)行的另一個(gè)策略性功能。了解網(wǎng)絡(luò)拓部結(jié)構(gòu)和可用的觀測(cè)源是先決條件之一。但偉大的獵人應(yīng)當(dāng)具有創(chuàng)造性，他們能夠基于規(guī)律和來(lái)自單個(gè)或組合數(shù)據(jù)集的異常識(shí)別發(fā)明新的狩獵方法。

09. 不斷地問(wèn)你自己這個(gè)問(wèn)題

說(shuō)到底，你想要它有多復(fù)雜，威脅情報(bào)就能多復(fù)雜。永遠(yuǎn)有更多需要測(cè)試的東西、更多需要檢查的日志文件和更多需要閱讀的研究報(bào)告。但在做這些事情的同時(shí)，你需要不斷問(wèn)自己同一個(gè)問(wèn)題：這對(duì)幫助企業(yè)保持盈利有好處嗎?只要問(wèn)題的答案是否定的，你就應(yīng)當(dāng)將它放下，并選擇新的目標(biāo)，畢竟總還有更多需要觀測(cè)的數(shù)據(jù)。