新年新氣象，有新策略要實現(xiàn)，新預(yù)算要平衡，新威脅要防止。過去1年中，更多公司對威脅情報的理解更加深入，逐漸轉(zhuǎn)向開始從優(yōu)良情報獲益的計劃和實現(xiàn)過程。

[[179543]]

計劃往公司安全和風(fēng)險項目中添加威脅情報的***步，真心應(yīng)該緊緊圍繞以下幾個關(guān)鍵問題展開：

• 我們想要的情報目標(biāo)是什么?
• 情報應(yīng)服務(wù)的主要利益相關(guān)者是誰?
• 我們最想要保護(hù)的資產(chǎn)和信息是什么?
• 情報應(yīng)該影響的決策和結(jié)果是什么?
• 結(jié)果該怎樣衡量?
• 我們已經(jīng)在收集內(nèi)部情報了嗎?
• 是外包情報運營，還是內(nèi)部運營，或者來個混搭?

無論你的網(wǎng)絡(luò)威脅情報計劃和過程是什么，它都應(yīng)該驅(qū)動更快更智能的決策來最小化風(fēng)險暴露。如果沒能對此目標(biāo)有所幫助，那不如叫停項目，好好想想需要做哪些改變，來讓情報更好地保護(hù)你的公司。

大公司有安全運營中心(SOC)，分析師們24小時三班倒工作。網(wǎng)絡(luò)成熟度欠佳的小公司沒有這些員工和工具，需要通過外包的形式來獲得網(wǎng)絡(luò)風(fēng)險指導(dǎo)。使用威脅情報且有小型情報運維的公司，還想用混合/共同管理的方法來獲得“力量倍增”。

無論是聘用了威脅情報分析師，與廠商合作，還是二者兼而有之，你都需要確保有合適的人(以及工具)來做這件事。復(fù)雜的地方在于，就像不是每一個威脅情報都相同一樣，每一個威脅情報分析師也是不盡相同的。情報分析師可能具備不同領(lǐng)域的專業(yè)知識，比如，有些更偏技術(shù)，有些更關(guān)注風(fēng)險，有些對特定工具更加熟練等等。在將視線投向?qū)で髲S商合作或聘用內(nèi)部網(wǎng)絡(luò)威脅情報分析師之前，你得首先確定自己的最終目標(biāo)，確保二者***匹配。

在情報分析師身上，確實存在某些核心特質(zhì)和能力，是招聘時可以用作考量的基準(zhǔn)。

就整體角色而言，情報分析師應(yīng)該具備從各種源規(guī)劃和收集情報的能力，要能追蹤威脅，識別和跟蹤惡意資產(chǎn)和基礎(chǔ)設(shè)施，還要能綜合分析多種威脅及事件數(shù)據(jù)以產(chǎn)出具支持證據(jù)的最終情報。由于利益相關(guān)者會提出請求和問題，分析師自己也可能需要向不同人群展示或解釋情報，所以良好的人際溝通技巧也是需具備的一個重要特質(zhì)。對細(xì)節(jié)的關(guān)注同樣重要，因為細(xì)節(jié)與分析及結(jié)論的寬度和廣度相關(guān)。

分析師身上“需要”和“希望具備”的其他技術(shù)還包括：

需要

• 熟知情報分析或有強烈的學(xué)習(xí)欲望，包括諜報分析，以及表現(xiàn)出批判性思維技能;
• 熟悉當(dāng)前黑客技術(shù)、對手方法學(xué)、漏洞分析、事件和數(shù)據(jù)泄露分析、網(wǎng)絡(luò)防御技術(shù);
• 處理敏感信息時表現(xiàn)出優(yōu)秀的品格和判斷力;
• 在最小監(jiān)管下對情報目標(biāo)進(jìn)行獨立研究的能力，既對細(xì)節(jié)絕對關(guān)注，又有理解事件整體視圖的渴望;
• 設(shè)計、起草、發(fā)表高品質(zhì)技術(shù)和商業(yè)級情報報告、研究、白皮書和博客的切實能力。

希望具備的技術(shù)

• 有主流操作系統(tǒng)技術(shù)工作經(jīng)歷和對數(shù)據(jù)庫技術(shù)的理解;
• 堅實的網(wǎng)絡(luò)專業(yè)知識和對路由協(xié)議的理解;
• 對安全監(jiān)視方法學(xué)有所浸淫，比如抓包、流數(shù)據(jù)、模式、觀察列表、黑名單、日志解析、關(guān)聯(lián)、分類、事件產(chǎn)生、過濾。

正如前文提到的，情報分析師的類型很多，有些本質(zhì)上更偏技術(shù)，另一些則更像是有分析和諜報背景。“***”的分析師應(yīng)該是什么樣子，這個問題并沒有一個標(biāo)準(zhǔn)的答案。根本原因在于：你先得弄清自己要解決的問題是什么，然后在此基礎(chǔ)上招募人手。

新聞報道總在說安全預(yù)算又漲了多少多少，然而出于某些原因，情況似乎并沒有什么改善。原因何在?因為我們沒有把合適的資源用來標(biāo)定***的問題領(lǐng)域。情報工作的首要目標(biāo)，應(yīng)該專注在回答這個問題上。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】

戳這里，看該作者更多好文