Kate Li (Taiwan)的部落格

首頁

解惑|威脅情報指南

作者 sebastiani 時間 2020-04-05
all

解惑|威脅情報指南

星期二,九月20,2016

雖然網路世界裏有些人覺得威脅情報是新晋流行詞,其實情報在我們身邊已經很久了。政府早已利用情報在外交上、戰場上、對抗恐怖主義上佔據優勢。公司為獲得競爭優勢,攫取市場、銷售和財務商業資訊,也紛紛應用情報戰術。情報的概念行之有效,久經考驗。

網絡威脅情報(CTI)也是同樣的概念——理解行為人、威脅、態勢、風險,以及所有這些元素之間的相互聯系,只不過,限定在網路世界而已。對收到、執行或計畫執行的威脅情報設立適宜的期待,有助於抽取威脅情報的完全價值,避免掉進常見陷阱。在威脅情報是什麼,不是什麼,以及為誰服務上,有幾條指南謹供參考。

資訊不是情報

資訊當然是情報過程的一部分,但情報和資訊是完全不同的。“資訊”的例子可見攻擊名額(IOC),但IOC本身並不是情報。它可能給情報添加一些細節,但IOC必須被研究、分析,放到上下文環境和公司場景中。威脅情報遠不止一條或一組威脅名額,它需要對惡意分子的意圖、機會和能力資訊進行評估和分析的間諜情報科技。想從資訊陞級到情報,你必須:計畫、收集、處理、產生和擴散經分析的資訊。這些資訊必須特定針對公司以確保其價值和重要性。

情報包含假設和推斷,但千萬別假定你的設想是完全的。威脅情報不是一門確定的科學,它很黏糊。好的情報能極大促進安全成果,壞的情報則能把你帶進溝裏。所以,儘管通常涉及一定程度的假設,也是要可靠的資訊、經驗和智慧才能做出良好的判斷。情報分析通常是基於不完美/不完整的數据集做出的。置信度評估(比如:高、中、低)是添加上下文的良好管道,支持這些評估的額外研究則可新增分量。

情報給你的,應不止是故事。你的網絡故事當然是重要一環,但好的情報應該提供結論。故事結局如何?基於對威脅的分析、環境、風險層級、影響等等,有哪些推薦的緩解措施供公司改善局面?哪些資產面臨的風險更大?網絡防禦工作重心在哪兒?達成結論的分析中,證據和邏輯必須是重要部分。而且要記住:有時候故事也在發展。資訊總在更新,所以,當有新東西出現時,保持緊跟風潮,確定這些東西是否會改變或擴充故事,就顯得特別重要了。

沒有實时威脅情報這種東西

實时威脅情報不過就是些數據。威脅情報需要研究和分析。但是,速度確實非常重要,而自動化也在全面情報收集和處理過程中扮演著重要角色,但分析始終需要人類的專門知識。而這,需要一定的時間。任何實时的東西,不過是更多的數據,而不是情報。

情報不是平臺、工具或迴響,它是種能力

平臺、工具或迴響,是交付情報的管道,但創建情報需要人、過程和科技這三駕馬車的緊密結合。情報交付當然很重要,因為不同的用戶有著不同的消費需求,但情報是人(研究、解釋、分析、交付和消費最終情報的分析師、風險官和部門運維人員),過程(情報是怎麼被收集、處理、分析、交付和消費的),以及科技(用來收集數據、自動化分類和一定程度的分析、視覺化數據趨勢等等)的組合。

情報應該有深度,但又簡明。就算達成結論的過程數據豐富證據充實,一份情報報告也不應該讓讀者翻了一頁又一頁還是陷在背景知識裏出不來。報告不應該是在顯示你懂得多少,而應該更多地關注情報消費者需要知道的東西,幫助他們採取合適的動作,最終將安全態勢變得更好。簡單說,情報應能被及時使用,又能提供所需的支持和深度。

情報應包含公司特徵、內部數據和對公司外部事件的理解。只利用內部或外部威脅情報,也就只能照亮威脅迷宮的一個角落而已。要有能力對比/關聯內部和外部情報,為公司描繪出準確的風險視圖。

威脅情報為誰服務?

最後需要考慮的,是情報消費問題。不僅僅是實際的防禦人員需要威脅情報。不同類型的情報都具有價值,支持不同的用例。傳統上,出於非常策略性的原因,威脅情報只在安全運維中心(SOC)內部使用。但是,從更廣泛的風險管理角度,情報也有助於連接公司各節點。

再強調一遍,網絡威脅情報不僅僅是公司的另一套工具或防護層。它是一種能力,可以驅動更有效網路安全決策和更多投資,能幫助公司多個領域减小風險。