改進威脅情報策略的九種方式

本文講的是改進威脅情報策略的九種方式,每位首席資訊保安官的夢想都是擁有一艘沒有任何漏洞的船，高階持續性威脅和黑客活動分子永遠無法攻破它。這的確是一種夢想，但我們應當將其變成現實。問題在於，當人們越來越靠近優化威脅情報策略的理念時，他們往往會忽略大局。

宣傳和使用威脅情報只有乙個真正的目標：減少行動風險，以保持或提公升盈利能力。隨著攻擊方製造資料破壞的新趨勢，受到長期損害的可能性也變得更高。那麼，首席安全官應當如何行動？

通過將情報資源集中於高度特定化的商業目標（保持或提公升盈利能力），過大的目標可以被縮小到一小點高度有價值的情報。要做到這一點，應當建立更加有效的威脅情報策略。

保持對大局的關注，減少行動威脅，保持盈利能力應當是企業威脅情報策略的基礎。

情報收集，更進一步

收集網路威脅情報有三個主要方法：

通過擷取和分析通訊過程等使用的訊號，獲得訊號情報（signals intelligence，sigint）；

**於公開資訊的開源情報（open-source intelligence，osint）；在我們討論的這個情景下，它們是使用搜尋引擎或專門的爬蟲軟體蒐集的網際網路情報；

人工情報（humint），使用威脅源社群中的線人。

當然，應該根據企業的實際情況排布三者的優先順序。

建設與否：忍受痛苦並選擇

威脅情報有乙個特點：獲取多少也不嫌多。

大多數企業開始進**報收集時入口很小，他們查詢得越多，得到的就越多。一段時間之後，這變成了過於繁重，但又必須完成的任務。這時候就又遇到那個老生常談的問題了：建設還是購買？在單獨進行選擇之前，應當先諮詢與你的用例有關的專家。

獲得更好的上下文

這樣做十分誘人：專注於最新的威脅，與此同時凝視上週獲取的訊號，甄別最微小的趨勢。但如果你在細節上迷失，將有可能漏掉更危險的獵物和更持久的威脅。基本上，你的威脅情報必須包括巨集觀和微觀的時間段，最大限度地減少遭受嚴重資料洩露的風險。

知道多少並不重要，方法才重要

威脅情報中最為常見的問題並不是收集或處理資料，而是在企業不同部門之間溝通獲取的資訊。如果獲得高質量的威脅情報，應急小組、安全行動中心、事件響應、漏洞管理等領域都能夠大幅度進步。如果你在看完這篇文章之後做的唯一一件事就是調查如何在企業內分配情報，你的時間不會白費。

打破知識隔閡

眾所周知，對於威脅情報而言，存在很大的知識隔閡。這個隔閡的大小大約與 c 級高管的規模與能力相當。但這必須改變。

不論如何，你必須清楚知識隔閡並不一定是 c 級**的問題，而是無法將這些真實存在的網路威脅轉換成高管能夠理解並據其響應的安全專家的失誤。因此不論是通過面談還是渠道，都應當牢記多與高管進行溝通。詢問他們的需求，以及他們希望如何實現。他們需要一種可以方便理解並消化的資訊格式。

行動 vs 策略

有用的威脅情報專案能夠自動處理來自各種源頭的外部攻擊資料（也被稱為入侵指標）。

事件識別只是第一步。第二步是自動化防禦控制，阻止未來的事件發生。這一威脅情報的關鍵功能之所以有效，是因為它圍繞計算資源展開。基於行動能力建立的世界級威脅情報方案包括圍繞人才的資源和策略性分析。分析師確定當前和未來針對企業戰略資產的資訊保安威脅。

確定趨勢

趨勢的確定可能包括巨集觀專案，比如確定企業明年面臨的頂級網路威脅。巨集觀趨勢一般都是從季度或年度視角上作出的。包括確定有可能被對手利用的新工具發布時間的微觀趨勢基本上是以天或周的時間跨度確定的。

內部狩獵

檢測惡意內部人員以及未檢測到的外部攻擊是威脅情報應當定期執行的另乙個策略性功能。了解網路拓部結構和可用的觀測源是先決條件之一。但偉大的獵人應當具有創造性，他們能夠基於規律和來自單個或組合資料集的異常識別發明新的狩獵方法。

不斷地問你自己這個問題

說到底，你想要它有多複雜，威脅情報就能多複雜。永遠有更多需要測試的東西、更多需要檢查的日誌檔案和更多需要閱讀的研究報告。但在做這些事情的同時，你需要不斷問自己同乙個問題：這對幫助企業保持盈利有好處嗎？只要問題的答案是否定的，你就應當將它放下，並選擇新的目標，畢竟總還有更多需要觀測的資料。