每位首席信息安全官的夢想都是擁有一艘沒有任何漏洞的船，高級持續(xù)性威脅和黑客活動分子永遠(yuǎn)無法攻破它。這的確是一種夢想，但我們應(yīng)當(dāng)將其變成現(xiàn)實。問題在于，當(dāng)人們越來越靠近優(yōu)化威脅情報策略的理念時，他們往往會忽略大局。

[[173842]]

宣傳和使用威脅情報只有一個真正的目標(biāo)：減少行動風(fēng)險，以保持或提升盈利能力。隨著攻擊方制造數(shù)據(jù)破壞的新趨勢，受到長期損害的可能性也變得更高。那么，首席安全官應(yīng)當(dāng)如何行動?

通過將情報資源集中于高度特定化的商業(yè)目標(biāo)(保持或提升盈利能力)，過大的目標(biāo)可以被縮小到一小點高度有價值的情報。要做到這一點，應(yīng)當(dāng)建立更加有效的威脅情報策略。

保持對大局的關(guān)注，減少行動威脅，保持盈利能力應(yīng)當(dāng)是企業(yè)威脅情報策略的基礎(chǔ)。

01. 情報收集，更進(jìn)一步

收集網(wǎng)絡(luò)威脅情報有三個主要方法：

1. 通過截取和分析通訊過程等使用的信號，獲得信號情報(Signals Intelligence，SIGINT);

2. 來源于公開信息的開源情報(Open-source Intelligence，OSINT);在我們討論的這個情景下，它們是使用搜索引擎或?qū)ｉT的爬蟲軟件搜集的互聯(lián)網(wǎng)情報;

3. 人工情報(HUMINT)，使用威脅源社區(qū)中的線人。

當(dāng)然，應(yīng)該根據(jù)企業(yè)的實際情況排布三者的優(yōu)先級。

02. 建設(shè)與否：忍受痛苦并選擇

威脅情報有一個特點：獲取多少也不嫌多。

大多數(shù)企業(yè)開始進(jìn)行情報收集時入口很小，他們查找得越多，得到的就越多。一段時間之后，這變成了過于繁重，但又必須完成的任務(wù)。這時候就又遇到那個老生常談的問題了：建設(shè)還是購買?在單獨(dú)進(jìn)行選擇之前，應(yīng)當(dāng)先咨詢與你的用例有關(guān)的專家。

03. 獲得更好的上下文

這樣做十分誘人：專注于最新的威脅，與此同時凝視上周獲取的信號，甄別最微小的趨勢。但如果你在細(xì)節(jié)上迷失，將有可能漏掉更危險的獵物和更持久的威脅。基本上，你的威脅情報必須包括宏觀和微觀的時間段，最大限度地減少遭受嚴(yán)重數(shù)據(jù)泄露的風(fēng)險。

04. 知道多少并不重要，方法才重要

威脅情報中最為常見的問題并不是收集或處理數(shù)據(jù)，而是在企業(yè)不同部門之間溝通獲取的信息。如果獲得高質(zhì)量的威脅情報，應(yīng)急小組、安全行動中心、事件響應(yīng)、漏洞管理等領(lǐng)域都能夠大幅度進(jìn)步。如果你在看完這篇文章之后做的唯一一件事就是調(diào)查如何在企業(yè)內(nèi)分配情報，你的時間不會白費(fèi)。

05. 打破知識隔閡

眾所周知，對于威脅情報而言，存在很大的知識隔閡。這個隔閡的大小大約與 C 級高管的規(guī)模與能力相當(dāng)。但這必須改變。

不論如何，你必須清楚知識隔閡并不一定是 C 級高官的問題，而是無法將這些真實存在的網(wǎng)絡(luò)威脅轉(zhuǎn)換成高管能夠理解并據(jù)其響應(yīng)的安全專家的失誤。因此不論是通過面談還是渠道，都應(yīng)當(dāng)牢記多與高管進(jìn)行溝通。詢問他們的需求，以及他們希望如何實現(xiàn)。他們需要一種可以方便理解并消化的信息格式。

06. 行動 vs 策略

有用的威脅情報項目能夠自動處理來自各種源頭的外部攻擊數(shù)據(jù)(也被稱為入侵指標(biāo))。

事件識別只是第一步。第二步是自動化防御控制，阻止未來的事件發(fā)生。這一威脅情報的關(guān)鍵功能之所以有效，是因為它圍繞計算資源展開。基于行動能力建立的世界級威脅情報方案包括圍繞人才的資源和策略性分析。分析師確定當(dāng)前和未來針對企業(yè)戰(zhàn)略資產(chǎn)的信息安全威脅。

07. 確定趨勢

趨勢的確定可能包括宏觀項目，比如確定企業(yè)明年面臨的頂級網(wǎng)絡(luò)威脅。宏觀趨勢一般都是從季度或年度視角上作出的。包括確定有可能被對手利用的新工具發(fā)布時間的微觀趨勢基本上是以天或周的時間跨度確定的。

08. 內(nèi)部狩獵

檢測惡意內(nèi)部人員以及未檢測到的外部攻擊是威脅情報應(yīng)當(dāng)定期執(zhí)行的另一個策略性功能。了解網(wǎng)絡(luò)拓部結(jié)構(gòu)和可用的觀測源是先決條件之一。但偉大的獵人應(yīng)當(dāng)具有創(chuàng)造性，他們能夠基于規(guī)律和來自單個或組合數(shù)據(jù)集的異常識別發(fā)明新的狩獵方法。

09. 不斷地問你自己這個問題

說到底，你想要它有多復(fù)雜，威脅情報就能多復(fù)雜。永遠(yuǎn)有更多需要測試的東西、更多需要檢查的日志文件和更多需要閱讀的研究報告。但在做這些事情的同時，你需要不斷問自己同一個問題：這對幫助企業(yè)保持盈利有好處嗎?只要問題的答案是否定的，你就應(yīng)當(dāng)將它放下，并選擇新的目標(biāo)，畢竟總還有更多需要觀測的數(shù)據(jù)。