海量威脅數(shù)據(jù)令安全團(tuán)隊(duì)不堪重負(fù)。十年前，除了政府機(jī)構(gòu)還沒(méi)人談?wù)撏{情報(bào);現(xiàn)在，公司企業(yè)卻被威脅數(shù)據(jù)狂轟濫炸，不得不直面分辨真正威脅的挑戰(zhàn)。

聚合這些數(shù)據(jù)需要思想上的轉(zhuǎn)變和威脅情報(bào)的成熟以達(dá)到更好的風(fēng)險(xiǎn)規(guī)避效果。否則，僅為擁有數(shù)據(jù)而收集數(shù)據(jù)不僅沒(méi)有任何好處，還會(huì)在實(shí)際上削弱安全情報(bào)規(guī)劃的力量，畢竟分析那些大多數(shù)情況下只是噪音而非真正的威脅指示器(Indicator)的數(shù)據(jù)是需要耗用時(shí)間和人力的。

[[147775]]

威脅情報(bào) = 大數(shù)據(jù)

如果企業(yè)的長(zhǎng)期目標(biāo)是擁有成熟的威脅情報(bào)規(guī)劃，那它們需要進(jìn)行內(nèi)部風(fēng)險(xiǎn)評(píng)估和制訂行動(dòng)計(jì)劃。

首先，威脅情報(bào)是關(guān)乎獲取盡可能多的數(shù)據(jù)，而不僅僅是應(yīng)對(duì)當(dāng)前威脅的當(dāng)前數(shù)據(jù)。忽視歷史數(shù)據(jù)會(huì)遺漏能為安全工作帶來(lái)啟發(fā)并提高企業(yè)抵御能力的有價(jià)值的信息。解決辦法是弄清適合各自環(huán)境的不同平臺(tái)，而不是直接加大投入。

再者，大多數(shù)安全團(tuán)隊(duì)并沒(méi)有有效利用自身威脅數(shù)據(jù)，因?yàn)閿?shù)據(jù)實(shí)在是太多了?？咳肆Ψ治鲆愿蠑?shù)據(jù)產(chǎn)生的速度根本不可能。而且有很多新的方式可以擴(kuò)散威脅數(shù)據(jù)，由于人力無(wú)法以有意義的速度攝入數(shù)據(jù)，這就演變成了典型的大數(shù)據(jù)問(wèn)題。

威脅情報(bào)只在安全分析師可以利用數(shù)據(jù)的情況下才有價(jià)值，產(chǎn)生長(zhǎng)長(zhǎng)報(bào)告的程序?qū)ν七M(jìn)威脅情報(bào)毫無(wú)用處。從億萬(wàn)數(shù)據(jù)中淘出可用的幾千條需要大量的時(shí)間和人力，數(shù)據(jù)洪流通常會(huì)令安全分析員們痛苦萬(wàn)分，信息大爆炸，既是挑戰(zhàn)也是機(jī)會(huì)。

許多安全廠商一致認(rèn)為，威脅情報(bào)已成為大數(shù)據(jù)問(wèn)題。另外，威脅情報(bào)同時(shí)也是內(nèi)部威脅，不僅僅是“內(nèi)鬼”，操作失誤的員工也包含在內(nèi)，當(dāng)然也包括出問(wèn)題的機(jī)器和設(shè)備。因此，企業(yè)需要進(jìn)行內(nèi)部審計(jì)來(lái)認(rèn)清自身內(nèi)部和外部漏洞，因?yàn)椴恢酪婪妒裁匆簿蜔o(wú)從談起自我保護(hù)。

態(tài)勢(shì)感知

隨著網(wǎng)絡(luò)安全環(huán)境的發(fā)展和轉(zhuǎn)變，尤其是企業(yè)越來(lái)越依賴于云服務(wù)和需要適應(yīng)不斷變化的基礎(chǔ)設(shè)施，一些公司可能還沒(méi)準(zhǔn)備好將注意力放在風(fēng)險(xiǎn)評(píng)估上。公司企業(yè)持續(xù)遷移到云端，威脅指示器在不斷改變，那么，企業(yè)該怎樣促進(jìn)威脅情報(bào)的發(fā)展和規(guī)避風(fēng)險(xiǎn)呢?

企業(yè)需要了解，最重要的是數(shù)據(jù)以及保證數(shù)據(jù)的安全。要在最高優(yōu)先級(jí)的資產(chǎn)周?chē)渴鸢卜莱绦?，要確切的知道高危數(shù)據(jù)存在哪兒。更重要的是，企業(yè)要清楚，不是所有的數(shù)據(jù)都是有價(jià)值的。根據(jù)需要評(píng)估情報(bào)并合理投資，僅僅是將技術(shù)堆到問(wèn)題上不是有效率的做法。如果風(fēng)險(xiǎn)評(píng)估已經(jīng)完成，且有成形的一攬子計(jì)劃，安全廠商反應(yīng)的速度便可以快上很多。

許多人都知道，要防御某種威脅，一般至少要見(jiàn)過(guò)一次這種威脅(即黑名單)。共享大范圍攻擊簽名信息有助于最小化漏洞和剔除更大的威脅。如果企業(yè)能夠在它們的活躍領(lǐng)域找出入侵者，就有更大的機(jī)會(huì)在數(shù)據(jù)被盜前阻止罪犯。但在防御大范圍攻擊上最大的挑戰(zhàn)就是，一旦攻擊簽名被發(fā)現(xiàn)且被共享，攻擊者便會(huì)又制造出一款新的惡意軟件。

知曉自身環(huán)境可以發(fā)現(xiàn)行為上的異?，F(xiàn)象，而行為分析是威脅情報(bào)中極有價(jià)值的一環(huán)。“知識(shí)就是力量”可不是一句空話，感知越多，就越不容易淪為受害者。安全態(tài)勢(shì)感知通常更具性價(jià)比，且是安全情報(bào)的基石。

對(duì)所有企業(yè)而言最重要的，是清楚它們自身環(huán)境中真正重要的地方。共享威脅情報(bào)信息可以幫助識(shí)別已知風(fēng)險(xiǎn)，自我學(xué)習(xí)有關(guān)可用服務(wù)的知識(shí)，以及擁有根據(jù)自身環(huán)境特別定制的威脅情報(bào)程序，將有助于企業(yè)防范網(wǎng)絡(luò)攻擊。

隨著越來(lái)越多的產(chǎn)業(yè)甄別出更多的需要，威脅情報(bào)也將持續(xù)成長(zhǎng)和進(jìn)化來(lái)適應(yīng)企業(yè)的需要。企業(yè)需要信息來(lái)源，而一旦它們擁有信息來(lái)源，用來(lái)存儲(chǔ)和管理這些數(shù)據(jù)的平臺(tái)也就成為了必需。

如果企業(yè)正尋求購(gòu)入安全產(chǎn)品，打分機(jī)制將成為使平臺(tái)個(gè)性化的工具。這種機(jī)制應(yīng)該是以客戶為中心的視角給出的評(píng)分，而不是內(nèi)置的所謂的“智能”評(píng)分。

威脅情報(bào)“待辦事項(xiàng)”清單

篩選威脅數(shù)據(jù)以使企業(yè)了解自身面臨的風(fēng)險(xiǎn)狀況是一件勞心勞力的工作。下列5條可以幫助確定從何處入手：

1. 弄清自身內(nèi)部外部環(huán)境。盡管聽(tīng)起來(lái)有點(diǎn)像老調(diào)重彈，卻是規(guī)劃威脅情報(bào)通途中重要的第一步。

2. 保持清醒，別被噪音干擾。知道有價(jià)值威脅數(shù)據(jù)和噪音的區(qū)別可以幫助企業(yè)理解自身環(huán)境中正在發(fā)生的各種動(dòng)作。

3. 進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是通向降低風(fēng)險(xiǎn)的第一步。沒(méi)有風(fēng)險(xiǎn)評(píng)估將拉長(zhǎng)與第三方廠商合作的進(jìn)度。

4. 共享，充分共享。共享非泄密信息可以使安全團(tuán)隊(duì)對(duì)具體威脅了解更多，掌握大范圍攻擊的生命周期。

5. 研究可用的服務(wù)。有大量高品質(zhì)的高端服務(wù)可以提供自動(dòng)化工具和實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估。很多平臺(tái)都能夠聚合海量數(shù)據(jù)并確定哪些信息是做出響應(yīng)的。

原文地址：http://www.aqniu.com/neo-points/9953.html