威脅情報是評估一家企業(yè)當前風(fēng)險狀況的重要手段。一位資深安全大佬將向我們揭示建立一項成功威脅情報項目的四大必要前提。

[[162542]]

無論處于何等規(guī)模，企業(yè)正紛紛轉(zhuǎn)變戰(zhàn)術(shù)以應(yīng)對信息安全領(lǐng)域出現(xiàn)的諸多挑戰(zhàn)。與其將辛苦賺來的利潤投入到試圖涵蓋所有基礎(chǔ)設(shè)施這項幾乎不可能實現(xiàn)的安全保護任務(wù)當中，企業(yè)管理者開始根據(jù)風(fēng)險評估結(jié)論了解更為確切的信息安全狀況，并就此建立更具針對性的防御政策。

這種趨勢早在2012年開始就已經(jīng)出現(xiàn)，當時美國國家標準與技術(shù)研究院(簡稱NIST)發(fā)布了一份現(xiàn)行風(fēng)險評估指南(PDF格式，在E安全微信公眾號回復(fù) SP800 即可下載)。這份論文開篇第一句話就是“風(fēng)險評估是有效風(fēng)險管理工作中的關(guān)鍵性組成部分，而風(fēng)險管理結(jié)構(gòu)中的三大決策制定依據(jù)層分別為組織層、任務(wù)/業(yè)務(wù)流程層以及信息系統(tǒng)層。”

根據(jù)這份指南的觀點，風(fēng)險評估的目標在于幫助決策制定者了解當前狀況，同時支持他們針對以下情況做出反應(yīng)：

與組織相關(guān)之安全威脅;

安全漏洞，包括來自內(nèi)部與外部之漏洞;

發(fā)生安全事故之可能性;

成功攻擊活動給組織帶來之影響。

安全威脅無處不在

NIST發(fā)布的這份指南中超過600次提到“威脅”這個詞匯。文章作者對此的重視可謂顯而易見，而相信大家也都能明白為什么威脅有必要獲得如此關(guān)注。威脅這種東西絕對不是NIST或者企業(yè)數(shù)字資產(chǎn)管理者們所能一手掌握或者控制的。Recorded Future公司威脅情報副總裁Levi Gundert對此有著極為深刻的理解。

在他撰寫的論文《著眼于小處，失誤于小處：建立一套世界級威脅情報體系》(PDF格式，在E安全微信公眾號回復(fù) ASMS 即可下載)當中，Gundert提到“威脅情報作為一項實踐手段，目前對于大多數(shù)企業(yè)而言仍是個難以捉摸的概念。成功的威脅情報項目能夠識別并量化實際商業(yè)目標，包括降低運營風(fēng)險并通過市場差異鞏固自身競爭優(yōu)勢。”

換句話來說，了解威脅在哪里、是什么、何時出現(xiàn)以及如何生效已經(jīng)成為一項極為重要的任務(wù)。

著眼于小處，失誤于小處

作為前美國特勤局特工，Gundert被分配到洛杉磯電子犯罪特遣部隊后前往靶場進行射擊練習(xí)，而他的射擊成績低于其他成員的平均水平。指導(dǎo)員提醒Gundert把靶子翻個面，將沒有繪制圖案的一面朝向自己，重新嘗試一輪射擊。Gundert依樣照做，對著面前飄過的一張張白紙扣動了扳機

“我根本不相信自己能打中靶子，帶著這樣的心情我翻過了靶面，結(jié)果讓我驚訝得張大了嘴巴，”Gundert寫道。“子彈幾乎全部穿過了靶心位置……我看著指導(dǎo)員，難以相信自己看到的這一切。”

指導(dǎo)員回應(yīng)稱，“這就是所謂’著眼于小處，失誤于小處’。”

“著眼于小處，就會失誤于小處”，Gundert將同樣的理論引入到威脅情報這項需要處理數(shù)量龐大之數(shù)據(jù)對象的工作當中。他解釋稱，“真正成功的威脅情報方案絕不能單純追求特定業(yè)務(wù)目標，這會令我們錯失更為可觀的工作訴求，轉(zhuǎn)而單純追求某項極具挑戰(zhàn)性的細節(jié)目標。”

成功威脅情報項目中的必要組成部分

Gundert認為，一個成功的威脅情報項目需要同時包含運營與戰(zhàn)略兩類組成部分。其中運營組成部分應(yīng)該包括以下幾項：

事故鑒定:這一組成部分主要針對來自各類可靠來源的外部攻擊數(shù)據(jù)的處理工作。GUNDERT提到，將自動化機制引入這一流程能夠確保外部攻擊與內(nèi)部事故能夠被第一時間得到處理并總結(jié)為參考信息。

防御控制:這一組成部分能夠有效預(yù)防或者緩解攻擊影響。GUNDERT同時補充稱，這類組成部分必須能夠隨時反映最新數(shù)據(jù)。

接下來，Gundert還介紹了各戰(zhàn)略組成部分，其中涉及如何對將給企業(yè)及其資產(chǎn)帶來當前與未來威脅的專業(yè)分析結(jié)論。戰(zhàn)略組成部分應(yīng)該包括以下幾項：

建立關(guān)系:與信息、共享與分析中心(簡稱ISAC)等可信社區(qū)進行攻擊信息交換，這將為我們引入積極因素，幫助企業(yè)通過其它組織機構(gòu)的安全經(jīng)歷當中受益。

專有信息來源:除了使用其它來源提供的威脅情報，內(nèi)部數(shù)據(jù)收集與整理能力是另一項極為重要的企業(yè)數(shù)據(jù)儲備來源，同時也能夠?qū)?yīng)商提供的數(shù)據(jù)進行驗證。GUNDERT補充稱，“舉例來說，建立一套WEB流程以分析前5000個日報型網(wǎng)頁內(nèi)容中的代碼，這能夠幫助我們盡早掌握各類攻擊行為的動向。”

惡意活動歸屬:了解攻擊活動背后的動機所在，并通過具體方法考量其具體原因，這一點不僅對于當前正在發(fā)生的攻擊非常重要，同時也能夠幫助高層管理人員從中整理出詳盡的背景信息。

超級識別:追蹤攻擊傾向以幫助安全人員洞察未來威脅，并以此為基礎(chǔ)促進防御規(guī)劃。

安全意識:針對員工的培訓(xùn)工作至關(guān)重要。GUNDERT提到，“教育是一項耗費時間但極具戰(zhàn)略意義的工作，一旦被融入體系流程，其將發(fā)揮巨大的直接價值。”

內(nèi)部監(jiān)管：企業(yè)需要對內(nèi)部人員的行為加以監(jiān)控，同時著眼于那些尚未被檢測到、但卻切實徘徊在企業(yè)邊界的攻擊活動。

攻擊者工具與架構(gòu)建議:識別與攻擊活動相關(guān)的工具、技術(shù)與程序(簡稱TTP)，GUNDERT將此稱為對手的“瓶頸“所在，這將使得IT部門以主動方式建立起有針對性的解決方案。

總結(jié)

Gundert針對建立世界級威脅情報項目的給出了以下四項基本原則：

了解企業(yè)及其戰(zhàn)略資產(chǎn);

識別相關(guān)敵人及其TTP(即工具、技術(shù)與程序);

與各大型安全組織建立合作關(guān)系;

建立相關(guān)防御安全控制機制，從而提高知名度、降低風(fēng)險并提升運營收益。

除了以上幾條之外，Gundert還建議稱，“威脅情報項目的成功是否與業(yè)務(wù)目標、建設(shè)進程以及相關(guān)人員對業(yè)務(wù)目標的理解程度息息相關(guān)。”