若對成功抱有不切實(shí)際的期待，安全工作將很難正確開展。安全團(tuán)隊需澄清“威脅預(yù)測”的概念，去除有關(guān)威脅預(yù)測的3個常見誤解，將公司對預(yù)測性安全的理解從科幻小說拉回到現(xiàn)實(shí)中來。

[[239761]]

在重定義威脅預(yù)測的問題上，人們將“預(yù)測”作為安全工具的一部分來討論的時候，常會錯誤理解了“預(yù)測”的含義;而安全分析師有3種方法可以搞定這些莫名其妙的誤解。安全團(tuán)隊其實(shí)可以將對安全預(yù)測的正確理解映射到可自適應(yīng)企業(yè)需求的實(shí)用框架中。不過，首先得鞏固一下何謂“預(yù)測”：

看到未來

不妨先做個思維小訓(xùn)練：某業(yè)務(wù)開放的關(guān)鍵Web服務(wù)器有個已知高危漏洞，接下來的一天內(nèi)會發(fā)生什么?一周內(nèi)呢?

對該問題的回答根植于回答者的經(jīng)驗(yàn)、知識和業(yè)務(wù)目標(biāo)。只要給你一點(diǎn)點(diǎn)信息，你可能就會在腦海中想出各種問題和答案。你預(yù)期了很多事：電子郵件、電話、大大小小的決策、會議……

測試似乎有點(diǎn)傻氣，但重點(diǎn)是，只要我們的預(yù)期貼合實(shí)際，我們就能看到未來。其正確性部分來自于兩個基本但超級簡單的原則：(對風(fēng)險或回報的)預(yù)期和(基于上下文的)決策。

我們暫且放下“預(yù)測”這個術(shù)語。預(yù)期是怎么回事，相信大家都知道，我們不妨在此基礎(chǔ)上進(jìn)一步介紹一些實(shí)際的應(yīng)用程序。

預(yù)期：可見性與上下文

怎么預(yù)期上述Web服務(wù)器出現(xiàn)關(guān)鍵漏洞后的場景?幾個關(guān)鍵的知識點(diǎn)不可少：首先，存在關(guān)鍵漏洞;其次，該服務(wù)器是面向互聯(lián)網(wǎng)的。有關(guān)這兩個知識點(diǎn)的爭論我們不再贅述，畢竟我們的目的不是為了打造安全潮詞分類表。在此，我們僅將這兩個知識點(diǎn)統(tǒng)稱為可見性——對資產(chǎn)配置的可見性。

可見性是用來驅(qū)動決策的，無論該決策是由判定警報優(yōu)先級的安全操作員做出，還是由判斷是否需要通知司法機(jī)構(gòu)或律師團(tuán)隊的安全主管做出。我們只需要知道一點(diǎn)：好的決策部分來自于人的判斷，部分出自上下文環(huán)境。上文所述開放Web服務(wù)器出現(xiàn)高危漏洞的場景中，上下文指的就是有一臺業(yè)務(wù)關(guān)鍵的Web服務(wù)器?；蛘撸部梢灾傅氖怯泄_報道稱該漏洞正被黑客加以利用。上下文掌握得越多，決策的置信度就越高。為安全團(tuán)隊成員和其他業(yè)務(wù)主管提供的上下文越相關(guān)，他們相信并遵從安全決策的可能性就越高。

可見性和上下文不僅限于威脅預(yù)測，事件響應(yīng)場景中也很重要。綜合運(yùn)用可見性和上下文，能夠使安全團(tuán)隊具備預(yù)期威脅在公司網(wǎng)絡(luò)中所做動作的能力，也可使安全操作員能夠做出修改配置、保留證據(jù)或開展額外分析之類決策。有些人用“戰(zhàn)術(shù)手冊”這樣的術(shù)語來描述分析師或安全主管針對特定事件可能采取的動作。但可見性與上下文的缺乏會讓完成這些動作更加耗時。

建立實(shí)用預(yù)測

我們可以將預(yù)期、可見性和上下文的概念映射成一些具體的要求，以便公司能以預(yù)測性的方式執(zhí)行安全運(yùn)營。

預(yù)期

設(shè)立預(yù)期目標(biāo)，記得該預(yù)期根植于想要的結(jié)果。另外，弄清業(yè)務(wù)重點(diǎn)。不妨給團(tuán)隊一些壓力來讓他們理清自己的工作重點(diǎn)。像“沒有數(shù)據(jù)泄露”，或是“別讓我被文件埋了”這種不算預(yù)期目標(biāo)，不過是些希望、愿望之類的。設(shè)立預(yù)期目標(biāo)指的是要有類似“30分鐘之內(nèi)檢測并響應(yīng)任務(wù)關(guān)鍵問題”這種有意義的目標(biāo)。

可見性

有了明確的預(yù)期，就可以著手確定達(dá)成該目標(biāo)需要哪些方面的可見性了。比如上文提到的Web服務(wù)器的例子中，你將需要對網(wǎng)絡(luò)和對該Web服務(wù)器自身的可見性，還有可能需要對Web應(yīng)用或身份驗(yàn)證服務(wù)的可見性。知道該Web服務(wù)器可以訪問哪些資產(chǎn)，有益于更好地了解都有哪些東西暴露在公網(wǎng)，可以預(yù)期會遭到何種攻擊。

上下文

記住：上下文是決策驅(qū)動器。與人類感知類似，上下文也來自于整合不同系統(tǒng)獲取的信息。想要發(fā)展上下文，就得集成多個系統(tǒng)，比如業(yè)務(wù)應(yīng)用或第三方安全資源。不妨捫心自問，拿到一個IP地址，你的安全團(tuán)隊要花多長時間才可以確認(rèn)該IP是不是一個任務(wù)關(guān)鍵資產(chǎn)?或者，這IP屬于誰?再或者，如果這個IP掉線，有多少人或多少利潤會受到影響?

說回本文開頭提出的Web服務(wù)器的場景。你能說出兩到三個缺失的可見性或上下文嗎?隨著安全繼續(xù)推進(jìn)到全球公司企業(yè)聚焦的中心，分析師和安全團(tuán)隊也有了重構(gòu)公司預(yù)測與安全態(tài)勢的機(jī)會。確保每個團(tuán)隊都對風(fēng)險管理中漏洞方法的優(yōu)勢、缺點(diǎn)和定義有個準(zhǔn)確的認(rèn)知，可以將對安全團(tuán)隊業(yè)績表現(xiàn)的預(yù)期從科幻電影拉回到現(xiàn)實(shí)中來。因?yàn)樵诂F(xiàn)實(shí)世界，對手不會翻墻而入，他們與用戶共享同一片地形。安全團(tuán)隊的工作就是要查清這片地形，并用對地形的了解有效布置其風(fēng)險緩解資源，重點(diǎn)保護(hù)最有價值或最脆弱的區(qū)域。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文