網(wǎng)絡(luò)安全人員網(wǎng)絡(luò)難以獲得威脅情報(bào)的益處。幸運(yùn)的是，克服這些難題的方法并非不存在。

[[249928]]

進(jìn)攻就是最好的防御。想要獲得最佳防御，我們必須采取主動(dòng)。只要感知到，必然有所準(zhǔn)備。無論你的網(wǎng)絡(luò)安全團(tuán)隊(duì)信奉哪種策略，對(duì)抗網(wǎng)絡(luò)犯罪都需要偵聽對(duì)手的動(dòng)靜以預(yù)測威脅。

這就是威脅情報(bào)存在的意義，難道不是嗎?在被黑客惡意利用之前識(shí)別并修復(fù)企業(yè)IT基礎(chǔ)設(shè)施中的弱點(diǎn)。至少理論上是這么說的沒錯(cuò)吧?而且很多公司企業(yè)也確實(shí)在買入各種威脅情報(bào)，威脅情報(bào)服務(wù)全球總支出從2014年的9.055億美元上升到2018年預(yù)期將超過的14億美元就是明證。

問題在于，CSO和網(wǎng)絡(luò)安全人員常常難以抽取威脅情報(bào)的好處。我們不妨分析一下其中的原因，找出解決問題的辦法。

1. 與特定網(wǎng)絡(luò)安全需求不相匹配

網(wǎng)絡(luò)安全團(tuán)隊(duì)有時(shí)候會(huì)將威脅情報(bào)視為能抵御黑客和騙子的快速解決方案。但這一期待實(shí)在是有些過高了。事實(shí)是，世上根本沒有一招通吃的萬能威脅情報(bào)。

相反，威脅情報(bào)解決方案應(yīng)根據(jù)每家企業(yè)、附屬公司，甚至各個(gè)部門自身的特定安全需求來實(shí)現(xiàn)，否則最后拿到的就只是一堆毫不相關(guān)的堆砌數(shù)據(jù)，只會(huì)給公司一種虛幻的安全感。

比如說，金融服務(wù)公司可能就只想密切注意旨在欺騙目標(biāo)人物交出信用卡和銀行賬號(hào)的假冒網(wǎng)站和惡意聯(lián)系表單。

同時(shí)，技術(shù)提供商關(guān)注的就是確保私有信息(比如商業(yè)秘密和研發(fā)進(jìn)度)不落入壞人手里，無論是通過電子郵件欺騙還是加密漏洞，或者是惡意軟件。

2. 沒資源來根據(jù)威脅情報(bào)采取行動(dòng)

即便拿到了威脅情報(bào)，你打算怎么使用該信息來響應(yīng)即將到來的威脅呢?現(xiàn)實(shí)是，多重原因作用下，44%的日常安全警報(bào)從未被調(diào)查，威脅情報(bào)數(shù)據(jù)也從未被利用。

有可能是公司里沒人知道怎么翻譯自己看到的情報(bào)，就更別提根據(jù)情報(bào)采取行動(dòng)了。或者是公司領(lǐng)導(dǎo)層就不重視這方面，也缺乏筑起防御所需響應(yīng)的預(yù)算。

無論如何，只知道有問題，但不理解安全漏洞到底在哪兒，或者沒有解決問題的途徑，是無法減少網(wǎng)絡(luò)攻擊的普遍性或烈度的。

想要彌補(bǔ)這一缺口，最好獲得來自高管層的支持，分配資源對(duì)相關(guān)員工進(jìn)行威脅情報(bào)工作實(shí)操和漏洞處理切實(shí)步驟的培訓(xùn)。

3. 將威脅情報(bào)等同于其他網(wǎng)絡(luò)安全工作

威脅情報(bào)與其他網(wǎng)絡(luò)安全工作之間有著不可否認(rèn)的聯(lián)系。威脅情報(bào)是為安全意識(shí)培訓(xùn)、服務(wù)器錯(cuò)誤配置發(fā)現(xiàn)、新興惡意軟件認(rèn)知等安全工作提供指導(dǎo)的。

遵照這個(gè)思路，很容易就會(huì)假定任何安全人員都具備處理威脅情報(bào)的素質(zhì)。然而，威脅情報(bào)與其他安全工作之間存在方向和方法論上的巨大差異。

首先，威脅情報(bào)是具備大局觀的分析師的工作，要為主動(dòng)威脅預(yù)防和攔截建立網(wǎng)絡(luò)安全路線圖。這與事件響應(yīng)專家在事件發(fā)生時(shí)逐一加以緩解的角色大為不同。

有必要承認(rèn)這種差異性，在網(wǎng)絡(luò)安全團(tuán)隊(duì)中重新分配職責(zé)，設(shè)立專門的人監(jiān)視現(xiàn)有和新近納入的在線資產(chǎn)上的新興威脅。

4. 沒能集成威脅情報(bào)

你怎么確定網(wǎng)絡(luò)安全人員使用了威脅情報(bào)洞見?產(chǎn)品引進(jìn)的最快途徑就是將創(chuàng)新鏈接進(jìn)用戶已經(jīng)接受了的事物中，威脅情報(bào)也不例外。

事實(shí)上，很有必要將威脅情報(bào)及其數(shù)據(jù)饋送連接上已經(jīng)部署了的常見軟件，比如安全信息與事件管理(SIEM)應(yīng)用。這么做可以加速威脅情報(bào)實(shí)現(xiàn)，讓威脅洞見作為整體網(wǎng)絡(luò)安全項(xiàng)目的一部分更容易被獲取到。

缺乏集成不僅會(huì)削弱威脅情報(bào)的效用，還會(huì)增加網(wǎng)絡(luò)安全團(tuán)隊(duì)的工作量，讓他們陷入手工收集和比較數(shù)據(jù)以評(píng)估基礎(chǔ)設(shè)施健康度的無盡麻煩中。

5. 忽視威脅情報(bào)術(shù)語

取決于你的交談對(duì)象，威脅情報(bào)意味著不同的東西，其相應(yīng)的語言也區(qū)別很大。如果忽略了這一點(diǎn)，公司各類利益相關(guān)者很快就會(huì)搞不清楚狀況，不理解你在說什么。

高級(jí)經(jīng)理談?wù)撏{情報(bào)的時(shí)候，重點(diǎn)可能在于高層決策。比如，這個(gè)財(cái)年的安全預(yù)算花在哪兒?哪家技術(shù)供應(yīng)商因?yàn)闆]遵守公司安全策略而需要被踢出去?

但如果是網(wǎng)絡(luò)安全分析師湊一堆，談話就完全是技術(shù)型的了。比如，我們的SSL證書到期沒?我們要不要連接那個(gè)惡意軟件數(shù)據(jù)庫探查勒索軟件攻擊?員工日常訪問的前100家網(wǎng)站都是啥?

通過內(nèi)部溝通與宣傳活動(dòng)，我們有必要確保相關(guān)各方意識(shí)到看待威脅情報(bào)的不同角度?？傮w上，威脅情報(bào)視角可分為兩個(gè)層面，一個(gè)考慮并購與長期合作伙伴關(guān)系之類戰(zhàn)略性事務(wù)，另一個(gè)注重操作層面的問題，比如網(wǎng)站、服務(wù)器和應(yīng)用的強(qiáng)化、修復(fù)及配置。

與其他新操作一樣，威脅情報(bào)自帶吸引CSO及其安全團(tuán)隊(duì)的各種美好前景。但上文中討論的幾種誤解，會(huì)持續(xù)阻礙威脅情報(bào)的全面部署和打擊網(wǎng)絡(luò)犯罪的潛力發(fā)揮。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文