虽然网络世界里有些人觉得威胁情报是新晋流行词,其实情报在我们身边已经很久了。政府早已利用情报在外交上、战场上、对抗恐怖主义上占据优势。公司为获得竞争优势,攫取市场、销售和财务商业信息,也纷纷应用情报战术。情报的概念行之有效,久经考验。
网络威胁情报(CTI)也是同样的概念——理解行为人、威胁、态势、风险,以及所有这些元素之间的相互联系,只不过,限定在网络世界而已。对收到、执行或计划执行的威胁情报设立适宜的期待,有助于抽取威胁情报的完全价值,避免掉进常见陷阱。在威胁情报是什么,不是什么,以及为谁服务上,有几条指南谨供参考。
信息不是情报
信息当然是情报过程的一部分,但情报和信息是完全不同的。“信息”的例子可见攻击指标(IOC),但IOC本身并不是情报。它可能给情报添加一些细节,但IOC必须被研究、分析,放到上下文环境和公司场景中。威胁情报远不止一条或一组威胁指标,它需要对恶意分子的意图、机会和能力信息进行评估和分析的间谍情报技术。想从信息升级到情报,你必须:计划、收集、处理、产生和扩散经分析的信息。这些信息必须特定针对公司以确保其价值和重要性。
情报包含假设和推断,但千万别假定你的设想是完全的。威胁情报不是一门确定的科学,它很黏糊。好的情报能极大促进安全成果,坏的情报则能把你带进沟里。所以,尽管通常涉及一定程度的假设,也是要可靠的信息、经验和智慧才能做出良好的判断。情报分析通常是基于不完美/不完整的数据集做出的。置信度评估(比如:高、中、低)是添加上下文的良好方式,支持这些评估的额外研究则可增加分量。
情报给你的,应不止是故事。你的网络故事当然是重要一环,但好的情报应该提供结论。故事结局如何?基于对威胁的分析、环境、风险层级、影响等等,有哪些推荐的缓解措施供公司改善局面?哪些资产面临的风险更大?网络防御工作重心在哪儿?达成结论的分析中,证据和逻辑必须是重要部分。而且要记住:有时候故事也在发展。信息总在更新,所以,当有新东西出现时,保持紧跟风潮,确定这些东西是否会改变或扩充故事,就显得特别重要了。
没有实时威胁情报这种东西
实时威胁情报不过就是些数据。威胁情报需要研究和分析。但是,速度确实非常重要,而自动化也在全面情报收集和处理过程中扮演着重要角色,但分析始终需要人类的专门知识。而这,需要一定的时间。任何实时的东西,不过是更多的数据,而不是情报。
情报不是平台、工具或反馈,它是种能力
平台、工具或反馈,是交付情报的方式,但创建情报需要人、过程和技术这三驾马车的紧密结合。情报交付当然很重要,因为不同的用户有着不同的消费需求,但情报是人(研究、解释、分析、交付和消费最终情报的分析师、风险官和部门运维人员),过程(情报是怎么被收集、处理、分析、交付和消费的),以及技术(用来收集数据、自动化分类和一定程度的分析、可视化数据趋势等等)的组合。
情报应该有深度,但又简明。就算达成结论的过程数据丰富证据充实,一份情报报告也不应该让读者翻了一页又一页还是陷在背景知识里出不来。报告不应该是在显示你懂得多少,而应该更多地关注情报消费者需要知道的东西,帮助他们采取合适的动作,最终将安全态势变得更好。简单说,情报应能被及时使用,又能提供所需的支持和深度。
情报应包含公司特征、内部数据和对公司外部事件的理解。只利用内部或外部威胁情报,也就只能照亮威胁迷宫的一个角落而已。要有能力对比/关联内部和外部情报,为公司描绘出准确的风险视图。
威胁情报为谁服务?
最后需要考虑的,是情报消费问题。不仅仅是实际的防御人员需要威胁情报。不同类型的情报都具有价值,支持不同的用例。传统上,出于非常策略性的原因,威胁情报只在安全运维中心(SOC)内部使用。但是,从更广泛的风险管理角度,情报也有助于连接公司各节点。
对网络安全人员——战术威胁情报(低级技术指标)用于印证进入SOC的事件。防御者可使用低级CTI阻止恶意活动袭击网络,或者支持检测和响应任务。对威胁情报分析师——作战情报更关注对手。分析师审查并分析收集来的对手及其技术、战术和规程(TTP)信息,将其行动、能力、机会和意图与公司操作环境联系在一起。对公司管理者——战略威胁情报是综合关联分析网络威胁、网络风险和商业风险的落脚点,可帮助高管和董事会看清可能对公司造成金融、运营和信誉影响的网络风险。这一层级的情报可用于驱动更睿智的安全投资,得出更具风险前瞻的决策。
再强调一遍,网络威胁情报不仅仅是公司的另一套工具或防护层。它是一种能力,可以驱动更有效网络安全决策和更多投资,能帮助公司多个领域减小风险。
本文转自d1net(转载)