雖然網(wǎng)絡(luò)世界里有些人覺得威脅情報(bào)是新晉流行詞，其實(shí)情報(bào)在我們身邊已經(jīng)很久了。政府早已利用情報(bào)在外交上、戰(zhàn)場(chǎng)上、對(duì)抗恐怖主義上占據(jù)優(yōu)勢(shì)。公司為獲得競(jìng)爭(zhēng)優(yōu)勢(shì)，攫取市場(chǎng)、銷售和財(cái)務(wù)商業(yè)信息，也紛紛應(yīng)用情報(bào)戰(zhàn)術(shù)。情報(bào)的概念行之有效，久經(jīng)考驗(yàn)。

[[173538]]

網(wǎng)絡(luò)威脅情報(bào)(CTI)也是同樣的概念——理解行為人、威脅、態(tài)勢(shì)、風(fēng)險(xiǎn)，以及所有這些元素之間的相互聯(lián)系，只不過，限定在網(wǎng)絡(luò)世界而已。對(duì)收到、執(zhí)行或計(jì)劃執(zhí)行的威脅情報(bào)設(shè)立適宜的期待，有助于抽取威脅情報(bào)的完全價(jià)值，避免掉進(jìn)常見陷阱。在威脅情報(bào)是什么，不是什么，以及為誰服務(wù)上，有幾條指南謹(jǐn)供參考。

信息不是情報(bào)

信息當(dāng)然是情報(bào)過程的一部分，但情報(bào)和信息是完全不同的。“信息”的例子可見攻擊指標(biāo)(IOC)，但I(xiàn)OC本身并不是情報(bào)。它可能給情報(bào)添加一些細(xì)節(jié)，但I(xiàn)OC必須被研究、分析，放到上下文環(huán)境和公司場(chǎng)景中。威脅情報(bào)遠(yuǎn)不止一條或一組威脅指標(biāo)，它需要對(duì)惡意分子的意圖、機(jī)會(huì)和能力信息進(jìn)行評(píng)估和分析的間諜情報(bào)技術(shù)。想從信息升級(jí)到情報(bào)，你必須：計(jì)劃、收集、處理、產(chǎn)生和擴(kuò)散經(jīng)分析的信息。這些信息必須特定針對(duì)公司以確保其價(jià)值和重要性。

情報(bào)包含假設(shè)和推斷，但千萬別假定你的設(shè)想是完全的。威脅情報(bào)不是一門確定的科學(xué)，它很黏糊。好的情報(bào)能極大促進(jìn)安全成果，壞的情報(bào)則能把你帶進(jìn)溝里。所以，盡管通常涉及一定程度的假設(shè)，也是要可靠的信息、經(jīng)驗(yàn)和智慧才能做出良好的判斷。情報(bào)分析通常是基于不完美/不完整的數(shù)據(jù)集做出的。置信度評(píng)估(比如：高、中、低)是添加上下文的良好方式，支持這些評(píng)估的額外研究則可增加分量。

情報(bào)給你的，應(yīng)不止是故事。你的網(wǎng)絡(luò)故事當(dāng)然是重要一環(huán)，但好的情報(bào)應(yīng)該提供結(jié)論。故事結(jié)局如何?基于對(duì)威脅的分析、環(huán)境、風(fēng)險(xiǎn)層級(jí)、影響等等，有哪些推薦的緩解措施供公司改善局面?哪些資產(chǎn)面臨的風(fēng)險(xiǎn)更大?網(wǎng)絡(luò)防御工作重心在哪兒?達(dá)成結(jié)論的分析中，證據(jù)和邏輯必須是重要部分。而且要記?。河袝r(shí)候故事也在發(fā)展。信息總在更新，所以，當(dāng)有新東西出現(xiàn)時(shí)，保持緊跟風(fēng)潮，確定這些東西是否會(huì)改變或擴(kuò)充故事，就顯得特別重要了。

沒有實(shí)時(shí)威脅情報(bào)這種東西

實(shí)時(shí)威脅情報(bào)不過就是些數(shù)據(jù)。威脅情報(bào)需要研究和分析。但是，速度確實(shí)非常重要，而自動(dòng)化也在全面情報(bào)收集和處理過程中扮演著重要角色，但分析始終需要人類的專門知識(shí)。而這，需要一定的時(shí)間。任何實(shí)時(shí)的東西，不過是更多的數(shù)據(jù)，而不是情報(bào)。

情報(bào)不是平臺(tái)、工具或反饋，它是種能力

平臺(tái)、工具或反饋，是交付情報(bào)的方式，但創(chuàng)建情報(bào)需要人、過程和技術(shù)這三駕馬車的緊密結(jié)合。情報(bào)交付當(dāng)然很重要，因?yàn)椴煌挠脩粲兄煌南M(fèi)需求，但情報(bào)是人(研究、解釋、分析、交付和消費(fèi)最終情報(bào)的分析師、風(fēng)險(xiǎn)官和部門運(yùn)維人員)，過程(情報(bào)是怎么被收集、處理、分析、交付和消費(fèi)的)，以及技術(shù)(用來收集數(shù)據(jù)、自動(dòng)化分類和一定程度的分析、可視化數(shù)據(jù)趨勢(shì)等等)的組合。

情報(bào)應(yīng)該有深度，但又簡(jiǎn)明。就算達(dá)成結(jié)論的過程數(shù)據(jù)豐富證據(jù)充實(shí)，一份情報(bào)報(bào)告也不應(yīng)該讓讀者翻了一頁(yè)又一頁(yè)還是陷在背景知識(shí)里出不來。報(bào)告不應(yīng)該是在顯示你懂得多少，而應(yīng)該更多地關(guān)注情報(bào)消費(fèi)者需要知道的東西，幫助他們采取合適的動(dòng)作，最終將安全態(tài)勢(shì)變得更好。簡(jiǎn)單說，情報(bào)應(yīng)能被及時(shí)使用，又能提供所需的支持和深度。

情報(bào)應(yīng)包含公司特征、內(nèi)部數(shù)據(jù)和對(duì)公司外部事件的理解。只利用內(nèi)部或外部威脅情報(bào)，也就只能照亮威脅迷宮的一個(gè)角落而已。要有能力對(duì)比/關(guān)聯(lián)內(nèi)部和外部情報(bào)，為公司描繪出準(zhǔn)確的風(fēng)險(xiǎn)視圖。

威脅情報(bào)為誰服務(wù)?

最后需要考慮的，是情報(bào)消費(fèi)問題。不僅僅是實(shí)際的防御人員需要威脅情報(bào)。不同類型的情報(bào)都具有價(jià)值，支持不同的用例。傳統(tǒng)上，出于非常策略性的原因，威脅情報(bào)只在安全運(yùn)維中心(SOC)內(nèi)部使用。但是，從更廣泛的風(fēng)險(xiǎn)管理角度，情報(bào)也有助于連接公司各節(jié)點(diǎn)。

• 對(duì)網(wǎng)絡(luò)安全人員——戰(zhàn)術(shù)威脅情報(bào)(低級(jí)技術(shù)指標(biāo))用于印證進(jìn)入SOC的事件。防御者可使用低級(jí)CTI阻止惡意活動(dòng)襲擊網(wǎng)絡(luò)，或者支持檢測(cè)和響應(yīng)任務(wù)。
• 對(duì)威脅情報(bào)分析師——作戰(zhàn)情報(bào)更關(guān)注對(duì)手。分析師審查并分析收集來的對(duì)手及其技術(shù)、戰(zhàn)術(shù)和規(guī)程(TTP)信息，將其行動(dòng)、能力、機(jī)會(huì)和意圖與公司操作環(huán)境聯(lián)系在一起。
• 對(duì)公司管理者——戰(zhàn)略威脅情報(bào)是綜合關(guān)聯(lián)分析網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)風(fēng)險(xiǎn)和商業(yè)風(fēng)險(xiǎn)的落腳點(diǎn)，可幫助高管和董事會(huì)看清可能對(duì)公司造成金融、運(yùn)營(yíng)和信譽(yù)影響的網(wǎng)絡(luò)風(fēng)險(xiǎn)。這一層級(jí)的情報(bào)可用于驅(qū)動(dòng)更睿智的安全投資，得出更具風(fēng)險(xiǎn)前瞻的決策。

再?gòu)?qiáng)調(diào)一遍，網(wǎng)絡(luò)威脅情報(bào)不僅僅是公司的另一套工具或防護(hù)層。它是一種能力，可以驅(qū)動(dòng)更有效網(wǎng)絡(luò)安全決策和更多投資，能幫助公司多個(gè)領(lǐng)域減小風(fēng)險(xiǎn)。