本节书摘来自华章计算机《防患未然:实施情报先导的信息安全方法与实践》一书中的第1章,第1.5节,作者:[美] 艾伦利斯卡(Allan Liska) 更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1.5 小结
到目前为止,威胁情报还没有成为讨论的重要部分。但是情报是安全性的推动力,它使时间和预算有限的安全团队能够成功地对抗现行和未来威胁的攻击。
当然,仅有威胁情报是不够的。有数十个组织兜售威胁情报。在某些情况下,威胁情报可能使网络安全问题恶化。错误地在威胁情报上投资可能使已经陷入苦斗的安全团队更加不知所措,产生比真正的安全事件更多的“误报”。
这就是仅仅在安全组织中引入情报还不够的理由。为了成功地保护网络,安全团队必须知道如何从保守的事件驱动团队转换为主动的情报驱动团队。
这并不是一件轻松的任务。由于恶意软件和攻击的数量持续增长,攻击面也在扩大,试图应对网络中的所有事件和理解网络之外的威胁都是令人畏惧的任务。大部分组织正在削减安全预算,往往还会削减部门的规模,这使问题更加突出。
本书的其他部分将深入介绍情报的概念和组织构建情报模型,以及用于高效、持续保护其网络的方法。