你應(yīng)該已經(jīng)注意到，現(xiàn)在越來越多的供應(yīng)商、研究人員、顧問和其他一些人都發(fā)布報(bào)告稱他們可以詳細(xì)描述信息安全威脅，并聲稱對最新的攻擊、漏洞和利用有獨(dú)特的見解。其實(shí)這些信息中有很多都很有價(jià)值，但是卻很難管理和利用。更重要的是，這些信息也未必適用于你的公司環(huán)境。

[[111457]]

信息安全管理可能更多的是管理時(shí)間和資源，而不是技術(shù)，當(dāng)遇到網(wǎng)絡(luò)安全威脅報(bào)告時(shí)就是這種情況。本文中，我們講探討如何充分利用海量的威脅報(bào)告數(shù)據(jù)，而不被它淹沒。

威脅越多，威脅報(bào)告就越多

越來越多的供應(yīng)商贊助威脅報(bào)告的制作，因?yàn)檫@些報(bào)告能給他們的作者提供兩方面的好處：不僅能夠展示網(wǎng)絡(luò)安全界的相關(guān)威脅，還能為它們的贊助公司提供重要的營銷作用。作為營銷資料，這些報(bào)告的形式一般都很容易理解，也很能吸引人，通常是以執(zhí)行摘要開始，然后是充分的書面分析，然后是充足的圖表和圖形，甚至還有原始數(shù)據(jù)。

這些報(bào)告中的信息有時(shí)也可能會很夸張，因?yàn)樗鼈儺吘故菭I銷資料。例如，一個(gè)防病毒公司想賣出更多的防病毒軟件，他會利用這個(gè)報(bào)告來強(qiáng)調(diào)目前惡意軟件感染的數(shù)量和負(fù)面影響。但這并不意味著這些數(shù)據(jù)無效或者這個(gè)報(bào)告沒有用，他只是想利用這個(gè)數(shù)據(jù)呈現(xiàn)出來的事實(shí)作為背景。所以，非常重要的是，要通過數(shù)據(jù)樣本的大小以及參與創(chuàng)建它的研究人員的經(jīng)驗(yàn)來評估這些威脅報(bào)告。

其實(shí)，這些報(bào)告有一個(gè)經(jīng)常被忽視的特點(diǎn)，就是它們對于終端用戶或執(zhí)行安全教育非常有用。正如上面提到的，它們最初是作為營銷資料而創(chuàng)建的，所以大多數(shù)報(bào)告都是固定模式，有著明確的信息。例如，在討論惡意軟件發(fā)展趨勢時(shí)，我通常會引用賽門鐵克年度“互聯(lián)網(wǎng)安全報(bào)告”，而在談到如何修補(bǔ)漏洞以及如何運(yùn)行Web應(yīng)用程序漏洞測試可以降低數(shù)據(jù)泄露的情況時(shí)，我通常會引用Verizon公司的年度“數(shù)據(jù)泄露調(diào)查報(bào)告”。

如何最好地利用互聯(lián)網(wǎng)安全威脅報(bào)告

管理威脅報(bào)告的第一步是要找到一種方法，使它們更可行。我更傾向于從多個(gè)來源收集安全威脅信息，并把它們整合成類似Google Reader或Feedly之類的RSS新聞閱讀器。生產(chǎn)這些威脅報(bào)告的供應(yīng)商和顧問通常會給新聞網(wǎng)站發(fā)布報(bào)告事件，或者通過他們自己的RSS feed來發(fā)布。我可以迅速梳理這些信息點(diǎn)，并確定整個(gè)報(bào)告是否值得深入研究。這就極大降低了我閱讀無關(guān)信息的時(shí)間，我會在方便的時(shí)候閱讀我關(guān)心的問題，例如，當(dāng)我在排隊(duì)買東西的時(shí)候可以在我的手機(jī)或平板電腦上閱讀它們。

要讓這些信息更可行，第二步是要了解這些威脅如何適用于企業(yè)必須要保護(hù)的技術(shù)平臺。每個(gè)安全管理人員都應(yīng)該清楚地知道他們的企業(yè)的關(guān)鍵信息資產(chǎn)的位置，以及他們正在使用哪種技術(shù)平臺。使用這些信息來關(guān)注針對你的企業(yè)的最重要的信息資產(chǎn)的威脅報(bào)告。例如，如果你的組織購買了微軟的產(chǎn)品，那就肯定會優(yōu)先瀏覽微軟的威脅報(bào)告。其它不是關(guān)鍵業(yè)務(wù)的技術(shù)報(bào)告可以隨后在你的RSS閱讀器中建立。

像Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)這種大型、通用的安全研究一般不包含信息安全管理人員需要的及時(shí)性的策略建議，但是它們還是非常有用的。可以利用它們來了解過去的威脅環(huán)境，并驗(yàn)證以前的信息安全策略。舉個(gè)例子來說，前幾年，我通常會根據(jù)Verizon的DBIR來改變我的防御策略。

如果遵循這些簡單的指導(dǎo)意見，你會發(fā)現(xiàn)，威脅報(bào)告對于安全管理人員來說是非常有價(jià)值的信息來源。通過一些方法對它們進(jìn)行分類并確定優(yōu)先級，可以使這些信息更可行。在選擇威脅報(bào)告時(shí)，不是一定要選擇最好的，而是要選擇最適合你的技術(shù)環(huán)境的報(bào)告，這對于你的企業(yè)來說可能更有用。也可以利用通用的威脅報(bào)告來驗(yàn)證和建立策略，但同時(shí)不要忘了它們可以作為培訓(xùn)資料。這些指導(dǎo)建議應(yīng)該可以幫助你更有效地找到并利用這些威脅報(bào)告中的信息。