信息來(lái)源:E安全
網(wǎng)絡(luò)威脅情報(bào)(Cyber threat
intelligence簡(jiǎn)稱CTI)以及作為其立足根基的安全運(yùn)營(yíng)正在更為廣泛的業(yè)務(wù)體系中快速增長(zhǎng)����。最近的一項(xiàng)研究發(fā)現(xiàn)�����,93%的受訪者表示他們至少在一定程度上意識(shí)到了網(wǎng)絡(luò)威脅情報(bào)帶來(lái)的助益�。然而,只有41%的受訪者開(kāi)始將網(wǎng)絡(luò)威脅情報(bào)整合至現(xiàn)有安全規(guī)劃當(dāng)中�����,而只有27%完成了全面整合���。盡管這些數(shù)字確實(shí)凸顯出情報(bào)驅(qū)動(dòng)型安全規(guī)程已經(jīng)獲得良好的發(fā)展趨勢(shì)��,并被廣泛視為最佳實(shí)踐��,但對(duì)大多數(shù)企業(yè)而言仍有很長(zhǎng)的摸索道路要走�。
優(yōu)秀的網(wǎng)絡(luò)威脅情報(bào)能夠幫助企業(yè)預(yù)見(jiàn)�、應(yīng)對(duì)并解決威脅因素。雖然優(yōu)秀的情報(bào)當(dāng)中必然包含大量?jī)?nèi)容���,但企業(yè)絕不能單純依靠?jī)?nèi)容來(lái)驅(qū)動(dòng)整個(gè)運(yùn)營(yíng)體系中的價(jià)值實(shí)現(xiàn)方式���。企業(yè)管理者需要著眼于團(tuán)隊(duì)定位,并借此取得成功���。豐富的上下文情報(bào)需要配合充分準(zhǔn)備及基礎(chǔ)性能力方可最大程度發(fā)揮價(jià)值�?����?偠灾W(wǎng)絡(luò)威脅情報(bào)并非那種即插即用型產(chǎn)品�。
企業(yè)應(yīng)該能夠回答以下問(wèn)題,并以此為起點(diǎn)規(guī)劃網(wǎng)絡(luò)威脅情報(bào)功能的構(gòu)建基礎(chǔ):
1. 相關(guān)團(tuán)隊(duì)的任務(wù)是什么���?
明確的任務(wù)描述能夠準(zhǔn)確定位網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)的職能角色�,有助于溝通團(tuán)隊(duì)目標(biāo)��,以適當(dāng)理由為該團(tuán)隊(duì)提供支持與資源��,同時(shí)提出希望該團(tuán)隊(duì)達(dá)成的期望性效果��。
2. 網(wǎng)絡(luò)威脅情報(bào)應(yīng)服務(wù)于誰(shuí)���?
關(guān)鍵性利益相關(guān)者及其在企業(yè)���、業(yè)務(wù)目標(biāo)以及網(wǎng)絡(luò)威脅層面的特定角色應(yīng)該得到明確定義。這一定義將成為理解數(shù)據(jù)內(nèi)容的驅(qū)動(dòng)因素����,同時(shí)亦可據(jù)此收集意見(jiàn)、分析優(yōu)先次序并將由此產(chǎn)生的情報(bào)交付至利益相關(guān)者����。從內(nèi)容角度來(lái)看,我們應(yīng)當(dāng)了解如何將信息準(zhǔn)確提供給利益相關(guān)者�����。CISO的關(guān)注重點(diǎn)與SOC分析師顯然不盡相同——雖然后者的工作會(huì)對(duì)被交付給前者的具體內(nèi)容產(chǎn)生影響��。
3.相關(guān)團(tuán)隊(duì)的威脅現(xiàn)狀如何����?
為目標(biāo)團(tuán)隊(duì)的自身取向設(shè)定理解基準(zhǔn),并借此掌握其能力以及所能支持的行動(dòng)�����。理解動(dòng)機(jī)與意圖有助于削減風(fēng)險(xiǎn)����,同時(shí)支撐一些關(guān)鍵性對(duì)話,例如預(yù)測(cè)威脅活動(dòng)與戰(zhàn)略規(guī)劃��,從而保護(hù)�����、識(shí)別并應(yīng)對(duì)相關(guān)活動(dòng)。
這些問(wèn)題的答案將幫助大家建立起網(wǎng)絡(luò)威脅情報(bào)中極為重要的各項(xiàng)基本元素��,具體包括情報(bào)要求定義�、威脅導(dǎo)向型溝通以及確定情報(bào)來(lái)源。要在組織之內(nèi)實(shí)現(xiàn)強(qiáng)大的安全運(yùn)營(yíng)與價(jià)值交付能力����,我們首先需要基于對(duì)現(xiàn)狀的透徹理解。沒(méi)有這些核心元素�,即使專(zhuān)業(yè)知識(shí)、規(guī)程設(shè)計(jì)以及先進(jìn)技術(shù)全部落實(shí)到位����,情報(bào)項(xiàng)目仍然無(wú)法順利達(dá)成使命。
生命周期
在建立起堅(jiān)實(shí)的基礎(chǔ)之后����,企業(yè)必須把重點(diǎn)放在項(xiàng)目的維護(hù)與調(diào)整身上——旨在確保計(jì)劃能夠落實(shí)到位、不斷接受評(píng)估并在必要時(shí)進(jìn)行更新�。情報(bào)項(xiàng)目絕不是那種“一次設(shè)置,終身無(wú)憂”的方案�。我們需要認(rèn)真考慮以下兩項(xiàng)因素:
1.威脅態(tài)勢(shì)變化……
企業(yè)所面臨的威脅環(huán)境會(huì)隨著動(dòng)機(jī)、意圖����、能力以及行動(dòng)而不斷發(fā)生變化���。這一切都會(huì)對(duì)企業(yè)的風(fēng)險(xiǎn)態(tài)勢(shì)造成影響,進(jìn)而左右具體戰(zhàn)術(shù)���、業(yè)務(wù)與戰(zhàn)略思路。部分顯著變化甚至可能給情報(bào)項(xiàng)目的任務(wù)與目標(biāo)造成影響�����。
2.企業(yè)自身亦在不斷變化……
企業(yè)自身的狀態(tài)亦在不斷變化��,特別是表現(xiàn)在人員與技術(shù)層面�。技能與技術(shù)會(huì)過(guò)時(shí),然而在應(yīng)對(duì)危機(jī)狀況時(shí)積累的威脅知識(shí)與處理能力則將永遠(yuǎn)具有指導(dǎo)意義����。
因此,我們確立了以下宏觀周期�,企業(yè)可以據(jù)此幫助自身維護(hù)并推進(jìn)網(wǎng)絡(luò)威脅情報(bào)能力。
? 評(píng)估
定期更新您的當(dāng)前威脅態(tài)勢(shì)�����,同時(shí)評(píng)估現(xiàn)有情報(bào)能力��,這將幫助大家更為明確地了解項(xiàng)目變化因素及其影響水平。舉例來(lái)說(shuō)�,更換威脅因素定位方法與工具可能會(huì)變更響應(yīng)優(yōu)先級(jí)設(shè)置,譬如優(yōu)先處理曾經(jīng)對(duì)您的部門(mén)或者特定組織造成過(guò)影響的原有惡意軟件家族���。
? 發(fā)布與培訓(xùn)
面向與攻擊戰(zhàn)術(shù)����、技術(shù)與規(guī)程相關(guān)的人員發(fā)布組織性資源����,從而幫助其了解與自身特定角色相關(guān)的威脅知識(shí)。更為先進(jìn)的實(shí)踐活動(dòng)則可測(cè)試流程與跨團(tuán)隊(duì)間協(xié)調(diào)能力����,特別是威脅情報(bào)人員能力,從而更加高效地建立起調(diào)查或者響應(yīng)團(tuán)隊(duì)——這反過(guò)來(lái)亦有助于發(fā)現(xiàn)現(xiàn)有差距�。
? 整合
我們應(yīng)當(dāng)結(jié)合上述兩項(xiàng)工作的結(jié)果,綜合評(píng)估目前整體情報(bào)項(xiàng)目的戰(zhàn)略路線圖����,并在必要時(shí)加以修改。這一路線圖負(fù)責(zé)指導(dǎo)戰(zhàn)術(shù)性舉措����、建立并更新具體流程�,包括實(shí)施方式���、技術(shù)以及相關(guān)資源等�����。
這一周期應(yīng)固定下來(lái)�,其具體頻度則取決于您所在組織及其當(dāng)前狀態(tài)�。
