网络威胁情报口味众多,在企业内扮演不同的角色,解决不同的问题。然而,企业内有点儿网络安全相关能力问题的人,都会被问到一些“这玩意儿能干点儿什么?”之类的问题。诸如:这些情报意味着什么?威胁情报能帮我达到期望的结果吗?
作为首席信息安全官司(CISO),这些“什么”问题是用来在内部或外部谈话中决定是继续进行下去还是就此终止的阈值。向国防部高级官员做网络安全和预算问题简报的时候,可以深刻感受到这一试金石的存在——毕竟无论想要做什么总是需要理由的。跟高管们谈论这些话题的时候总会遇到要回答这些“什么”问题的情况——想要通过提案并获得投资?那你最好能拿出一个经充分研究后有理有据有分寸的答案。要是不幸没准备好回答这些“什么”问题,那必然很快就会失去继续进行下去的资格。
从内部判定的角度,可以列出如下“什么”问题的例子:
这项工作能减少什么企业风险或者能给我们更多哪类上下文环境?这能帮助自动化什么人工过程?这能减少什么开支?这需要什么程度的劳动力和材料才能搞定?
从外部的角度,这些问题略微有些不同,但路线都是相似的:
你们的解决方案部署到我们已有的之上后,我的团队需要做些什么新的工作呢?除了我已有的,你能给我的团队带来什么新的信息呢?这些新信息的代价是什么?这个功能能帮我解决什么问题?那又怎样?我为什么要在意这个?
放到更具体的威胁情报环境中,在为客户搭建网络风险概况时,通常会从以下几个驱动最终威胁情报更深层上下文和价值的“什么”问题开始:
企业在外部的“存在”级别是什么?我们的欺诈足迹是什么?对我们基础设施的威胁是什么?对我们员工的威胁是什么?对我们品牌和声誉的威胁是什么?对我们客户的威胁是什么?业内正在发生什么类型的威胁?什么威胁在随时间改变?什么威胁影响到我们的合作伙伴、供应商或竞争者?威胁执行人的能力、机会和意图是什么?什么控制缓解了威胁?我们把正确的资源应用到正确的控制上了吗?什么控制故障会影响到业务?什么威胁会直接影响到公司?
想想大多数公司是多么依赖数字世界啊!如此,网络风险已超出了传统IT基础设施的丁丁卯卯。要在今天的市场里做生意,公司企业必须以某种形式利用起网络基础设施。因此,公司企业最终会将自己的“存在”延伸进多个环境,而随着这种延伸,威胁也就扩展到了产品和所投递的服务上了。
下图可将业务、扩展的存在、威胁和控制联系到一起。
业务生态系统已经随着存在的不断延伸而变得加倍复杂。与客户的数字互动成为了标准操作。数据在合作伙伴和供应商之间数字共享,订单也是数字化填写的。公司社交媒体、品牌和声誉都必须数字化管理。你得以数字的方式追踪客户的每个动作、他们的想法、喜好和当前行为。你的员工和客户通过推特、Facebook、领英、Reddit和很多其他社交平台进行通联。
虎视眈眈的对手们也会花时间研究你生态系统的输入输出来找寻可供利用的漏洞。很多情况下,他们最终比你自己还了解你的生态系统。对手们正在做的动作包括:
抽丝剥茧探查你的网络弱点收集信息,了解你的所做所为、通信方式和所掌握的有价值信息学习你的公司文化学习如何利用你的基础设施攫取经济利益给服务台打电话要求重置凭证冒充合法用户用勒索软件对你的部门进行鱼叉式网络钓鱼在黑市上售卖盗取的公司凭证研究你的供应商,从他们那里探查漏洞以便侵入你的系统
这些类型的威胁全球每天都在上演,影响到品牌、声誉、客户、收益、支出和基础设施
你该怎样保持对当前情况和对自身企业存在范围的态势感知?你怎么知道哪些资源被应用到了最重要的问题领域?
战略性和操作性网络威胁情报提供了培养公司整体网络风险感知的指南。威胁情报对网络安全的意义,就像商业情报对销售、财务、市场营销的意义一样。想要快速有效地运转,掌握问题域的态势感知,理解自身在给定问题域里的“存在”级别,你必须以一种情报驱动的安全方式运营。如其他网络安全相关的工作一样,威胁情报也需要通过“什么”问题的考验。希望上述想法能助您成功过关。
本文转自d1net(转载)
