新年新氣象，有新策略要實(shí)現(xiàn)，新預(yù)算要平衡，新威脅要防止。過去1年中，更多公司對威脅情報(bào)的理解更加深入，逐漸轉(zhuǎn)向開始從優(yōu)良情報(bào)獲益的計(jì)劃和實(shí)現(xiàn)過程。

[[179543]]

計(jì)劃往公司安全和風(fēng)險(xiǎn)項(xiàng)目中添加威脅情報(bào)的***步，真心應(yīng)該緊緊圍繞以下幾個(gè)關(guān)鍵問題展開：

• 我們想要的情報(bào)目標(biāo)是什么?
• 情報(bào)應(yīng)服務(wù)的主要利益相關(guān)者是誰?
• 我們最想要保護(hù)的資產(chǎn)和信息是什么?
• 情報(bào)應(yīng)該影響的決策和結(jié)果是什么?
• 結(jié)果該怎樣衡量?
• 我們已經(jīng)在收集內(nèi)部情報(bào)了嗎?
• 是外包情報(bào)運(yùn)營，還是內(nèi)部運(yùn)營，或者來個(gè)混搭?

無論你的網(wǎng)絡(luò)威脅情報(bào)計(jì)劃和過程是什么，它都應(yīng)該驅(qū)動(dòng)更快更智能的決策來最小化風(fēng)險(xiǎn)暴露。如果沒能對此目標(biāo)有所幫助，那不如叫停項(xiàng)目，好好想想需要做哪些改變，來讓情報(bào)更好地保護(hù)你的公司。

大公司有安全運(yùn)營中心(SOC)，分析師們24小時(shí)三班倒工作。網(wǎng)絡(luò)成熟度欠佳的小公司沒有這些員工和工具，需要通過外包的形式來獲得網(wǎng)絡(luò)風(fēng)險(xiǎn)指導(dǎo)。使用威脅情報(bào)且有小型情報(bào)運(yùn)維的公司，還想用混合/共同管理的方法來獲得“力量倍增”。

無論是聘用了威脅情報(bào)分析師，與廠商合作，還是二者兼而有之，你都需要確保有合適的人(以及工具)來做這件事。復(fù)雜的地方在于，就像不是每一個(gè)威脅情報(bào)都相同一樣，每一個(gè)威脅情報(bào)分析師也是不盡相同的。情報(bào)分析師可能具備不同領(lǐng)域的專業(yè)知識(shí)，比如，有些更偏技術(shù)，有些更關(guān)注風(fēng)險(xiǎn)，有些對特定工具更加熟練等等。在將視線投向?qū)で髲S商合作或聘用內(nèi)部網(wǎng)絡(luò)威脅情報(bào)分析師之前，你得首先確定自己的最終目標(biāo)，確保二者***匹配。

在情報(bào)分析師身上，確實(shí)存在某些核心特質(zhì)和能力，是招聘時(shí)可以用作考量的基準(zhǔn)。

就整體角色而言，情報(bào)分析師應(yīng)該具備從各種源規(guī)劃和收集情報(bào)的能力，要能追蹤威脅，識(shí)別和跟蹤惡意資產(chǎn)和基礎(chǔ)設(shè)施，還要能綜合分析多種威脅及事件數(shù)據(jù)以產(chǎn)出具支持證據(jù)的最終情報(bào)。由于利益相關(guān)者會(huì)提出請求和問題，分析師自己也可能需要向不同人群展示或解釋情報(bào)，所以良好的人際溝通技巧也是需具備的一個(gè)重要特質(zhì)。對細(xì)節(jié)的關(guān)注同樣重要，因?yàn)榧?xì)節(jié)與分析及結(jié)論的寬度和廣度相關(guān)。

分析師身上“需要”和“希望具備”的其他技術(shù)還包括：

需要

• 熟知情報(bào)分析或有強(qiáng)烈的學(xué)習(xí)欲望，包括諜報(bào)分析，以及表現(xiàn)出批判性思維技能;
• 熟悉當(dāng)前黑客技術(shù)、對手方法學(xué)、漏洞分析、事件和數(shù)據(jù)泄露分析、網(wǎng)絡(luò)防御技術(shù);
• 處理敏感信息時(shí)表現(xiàn)出優(yōu)秀的品格和判斷力;
• 在最小監(jiān)管下對情報(bào)目標(biāo)進(jìn)行獨(dú)立研究的能力，既對細(xì)節(jié)絕對關(guān)注，又有理解事件整體視圖的渴望;
• 設(shè)計(jì)、起草、發(fā)表高品質(zhì)技術(shù)和商業(yè)級情報(bào)報(bào)告、研究、白皮書和博客的切實(shí)能力。

希望具備的技術(shù)

• 有主流操作系統(tǒng)技術(shù)工作經(jīng)歷和對數(shù)據(jù)庫技術(shù)的理解;
• 堅(jiān)實(shí)的網(wǎng)絡(luò)專業(yè)知識(shí)和對路由協(xié)議的理解;
• 對安全監(jiān)視方法學(xué)有所浸淫，比如抓包、流數(shù)據(jù)、模式、觀察列表、黑名單、日志解析、關(guān)聯(lián)、分類、事件產(chǎn)生、過濾。

正如前文提到的，情報(bào)分析師的類型很多，有些本質(zhì)上更偏技術(shù)，另一些則更像是有分析和諜報(bào)背景。“***”的分析師應(yīng)該是什么樣子，這個(gè)問題并沒有一個(gè)標(biāo)準(zhǔn)的答案。根本原因在于：你先得弄清自己要解決的問題是什么，然后在此基礎(chǔ)上招募人手。

新聞報(bào)道總在說安全預(yù)算又漲了多少多少，然而出于某些原因，情況似乎并沒有什么改善。原因何在?因?yàn)槲覀儧]有把合適的資源用來標(biāo)定***的問題領(lǐng)域。情報(bào)工作的首要目標(biāo)，應(yīng)該專注在回答這個(gè)問題上。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】

戳這里，看該作者更多好文