【51CTO.com快譯】安全威脅的本質，就是過于動態(tài)而無法一勞永逸。那么，這里有一些方法可調優(yōu)威脅情報模型以助您擺脫自滿的表象。

威脅情報的事實真相

請經常詢問您的威脅情報服務提供商，有關任何或是所有您所想到的問題。

“他們每個人都應該告訴您，他們是如何收集和校對數據的，” Webroot公司的安全結構高級總監(jiān)Dave Dufour表示，“他們有歷史記錄嗎?那他們是如何編譯的?他們能把威脅從‘窗簾’后揪出來嗎?這些都是您應該問的。”他補充道。含有惡意IP地址的黑名單被每天更新一次，可能對于大多數組織是足夠的。但如果您覺得不夠的話，完全可以要求他們做得更為頻繁些。

當心那些偏差和營銷伎倆所粉飾了的數據，咨詢公司的IP架構總裁John Pironti警告說：“有時候只會看到一個由于偏差所致的原因或假設。”Pironti補充說，作為供應商和研究人員都會設法尋找對他們某個特定的觀點或是“預先定義目的”的支持。所以您從一開始就要準備好詢問出各種問題，并完全可以迫使提供商們去證明其數據和結論。

[[182501]]

購買還是激活

組織和信息安全工作人員有時能會驚訝地發(fā)現(xiàn)，他們所面對的是某種根本沒有被激活的威脅情報的數據源或服務。所以說他們不是要把錢投入一個新的解決方案，而是要購買已經放在那兒的，而且已經啟動了的設備的許可證，才能更具經濟效益。Webroot的Dufour如此建議道。

“很多情況下，那些可能需要組織花精力去搭建起來的，卻正是他們已經擁有的威脅可見性，”他補充道。用戶可能并沒有包含其他安全信息的威脅數據源的集合，而可能只能看到那些被阻止或已攻擊的部分。CISO(首席信息安全官)并不總是知道每一種之間的轉換關系，但信息安全專業(yè)人員們卻能知道其設備里正在發(fā)生著什么。

[[182502]]

質量控制

您的威脅防御系統(tǒng)的智能水平取決于它所派生出來的數據。安全專業(yè)人員應該持續(xù)監(jiān)測威脅情報數據的靜態(tài)性，判定它們是否來自白名單或黑名單，以及它們的頻率更新，Webroot的Dufour如是說。

在威脅的全局上，客戶也應該對于那些正在被用來收集數據的輸入感知器的可見性。從而給他們一種方式，來判斷供應商或服務提供者，為其特定環(huán)境場景所提供的數據的適用性和有效性。威脅情報供應商應該對特定的威脅產生一個聲譽評分，其置信區(qū)間，是用一個區(qū)間的各種數值來提供指定的概率。如果他們不是已經提供了的話，這將是他們用來回應需求的一個不錯的增值服務。

Webroot說，另一個值得注意的問題是來自威脅情報數據的假陽性數量。這些阻斷和警報不但浪費了時間、減緩了業(yè)務、還騷擾了終端用戶。

[[182503]]

保持精度

數據，特別是那些威脅情報數據，有時只能成為一種“鈍器”而非“利器”。比如說為一個組織而進行的正確數據組合，卻可能對另一個組織是極其錯誤或不適合的。對威脅情報而言，一種固定的模式是不能適合所有的。IP架構師John Pironti如是說。

他鼓勵用戶留意威脅情報提供商或服務供應商對業(yè)務知識的缺失。Pironti警告說：“情報供應商一般不會將客戶情報類業(yè)務知識納入到他們的分析和報告之中。“此外，他們所被分配到的風險通常是基于安全專業(yè)人員角度的，而不是從更廣泛的組織本身的視覺出發(fā)的，因此這使得情況更為復雜和微妙。他補充道：一般所要關注的水平應該基于組織，包括其領導層或業(yè)務模型。

有時威脅情報服務提供商能提供出很少的或根本沒有深入了解到組織的特定風險。“風險評分是基于一般技術條件和規(guī)范的，而不是那些受到影響的組織的特有風險。”Pironti解釋道。組織需要清楚這些風險評分是如何計算出來的，并在必要時可以要求提供商們予以修改。

[[182504]]

找自身原因

涉及到如何處理威脅數據時，組織可能會發(fā)現(xiàn)他們也有一些來自內部的挑戰(zhàn)。根據Ponemon(安全研究中心)和安全報告提供商Anomali的報告顯示：在處理威脅響應數據時，超過三分之二的組織(69%)缺乏具有專業(yè)知識的技術人員。

阻礙組織如何應對威脅情報數據的另一個問題是缺乏掌控權(58%)，而另一些人則認為缺乏合適的技術(52.5%)。“組織在流程方面和報告技能方面的不足，為給威脅數據設定優(yōu)先級設置了額外的挑戰(zhàn)。”Anomali在一份報告的總結部分如是說。

超過一半的受訪者(52%)認為他們的組織需要一個合格的分析師，從威脅情報中得到最多價值;幾乎相同數量的受訪者(49%)表示，他們的信息安全團隊根本不接收或閱讀任何威脅情報報告。這表明那些工作量本就過載的IT部門，或許已用戶被質疑了他們能否真的勝任于管理太多的所謂“首要任務”。

[[182505]]

付諸行動

威脅情報數據可以成為一個偉大的工具，一個有助于指導安全專業(yè)人員和可能重置日常議程與優(yōu)先級的晴雨表。但任何流向IT部門的數據量級都是壓倒性的(真的有人去審查每條服務器日志嗎?)。然而那些威脅情報數據如果不被用來采取任何行動的話，它們將對任何人都沒有任何好處。

“您可能沒必要去使用那些威脅情報，除非您有能力對它們采取行動。” Anomali的副總裁Jason Trost在最近一次Dark Reading的虛擬事件里提到：“如果您不對它們采取行動的話，您可能都不值得去消費那些數據。”

組織必須探究數據及其內部發(fā)生了什么。Webroot的David Dufour表示，然后他們來決定如何(或如需)對數據的顯示內容進行應用。“如果您沒有可用的資源去使用它們，那么您很可能就是在浪費您的錢財。“他還補充說，不如把這筆錢花費到事件響應的方面。

[[182506]]

正確使用威脅情報數據

客戶通過自我教育，義不容辭的使得自己在采集和使用安全產品方面變得明智，而不僅僅局限于在威脅情報數據方面。但是作為安全提供商Leidos的Chris Coryea經理也指：值得注意的是信息不對稱的發(fā)生情況實在是太常見了。

”據IDC的報告，77%的公司調查將SIEM(安全信息與事件管理)與威脅情報相等同，另外35%將威脅情報與安全的社區(qū)所提供的共享信息相關聯(lián)。“Coryea在該公司的博客上寫道。”這兩點證明了許多組織的網絡安全成熟度還在一個淺的層次上。”

供應商可以通過提供相關性、上下文環(huán)境和威脅情報內容的態(tài)勢常識等來幫助企業(yè)培養(yǎng)更多威脅的應對能力。信息安全專業(yè)人員從而需要按需評估其組織的威脅情報相關性和威脅源的危害價值。

這可能對于信息安全專業(yè)人員來說，起初會是個是一個鎮(zhèn)痛的意見交換與沖撞的過程。但是如果能正確地和貫徹始終的做到的話，組織不但能更好地保護自己，還能筑起信息安全領域更為廣闊的防護“柵欄”。

原文標題：7 Ways To Fine-Tune Your Threat Intelligence Model，作者：Terry Sweeney

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】