实用网络威胁情报应受到重视。数据那么多,市场那么乱,情报的实用性难道不是更加重要吗?
让威胁情报实用化的重要方面之一,是确保情报受到评估。什么意思呢?对威胁情报的错误理解,有很多都落在了自动化和速度上。提供数据或威胁指示器(IOC)的威胁情报反馈或平台,迈出的是通向情报的第一步,但其实用性却是成问题的。比如说,如果数据是“实时”出现的,那绝对不能称之为“情报”,仅仅未经评估的已发生事件的数据/信息。
什么是经评估的威胁情报?
经评估的威胁情报,就是所有威胁数据都经过审查和确认,被标准化和组织化,以一种易于使用的方式供分析师在一定基础上开展工作,而不用一切从零开始。
如果数据实时投递,没有经过验证,或者融在对公司有用的上下文中,就需要分配公司自己的分析师来进行情报整编工作。这是关于谁该负有情报抽取责任的问题。即便数据或IOC已知为真,是否与自家公司和技术环境相关呢?“可执行”,是业内流传甚广的一个术语,但如果数据未经评估且不与公司相关,最终只会产生大量供你执行的动作,可能会是金钱、资源和时间的明智分配,也可能不是。这又落回到前面提过的,交给你的“情报”实用不实用的问题上。
作为情报团队负责人,手边有经评估的情报可用而不仅仅是原始数据,就可以立即开展更多工作,不用再在一大堆误报中艰难淘宝;可以构建真正重要的东西,将精力放在让结果更加精准上。
每家公司的网络威胁情报成熟度都不一样,但大多缺乏有经验的员工和相应的资源。但他们仍想让情报辅助驱动公司前行。虽然引入威胁数据反馈在理论上听起来很棒,若缺乏负责处理的人员,那你得到的只会是无尽的失望。经评估的情报会有所助力的另一个例子正在于此。
实用且可用的完善情报
让情报有实用性的另一个重点,是完善的情报。情报得是有用的、相关的、及时的,达成此一目标的唯一方法,就是经过评估过程。情形是什么?有多少威胁是活跃的?威胁会怎么影响我的公司?最后,最重要的,我可以对此做些什么?
完善的情报,要求有对恶意攻击者的能力、机会和意图的评估和分析。这可不单单是一个乃至一组威胁指示器(IOC或许能增加细节,但仍需要被研究、分析,并投入上下文中)。情报不是平台、数据反馈或工具,而是一种能力,需要人力分析,且应包括给定置信度的有据假设,以及证据和理论的支持。它必须特定于公司,确保其价值和重要性。缓解建议也应包含在内,比如,“这种情况我该怎么办?”没人喜欢被告知问题却不附带可能的解决方案。
完善的情报可以多种输出形式投递,由终端用户来确定哪种输出是最受欢迎的:
- 任意或全部级别的情报——从战术性到操作性到战略性
- 通过非正式对话或正式的网络风险简报
- 通过正式的电子邮件警告或深度报告
- 通过互动仪表盘
无论完善情报的投递形式如何,只要不能告诉你风险是什么,以及该如何缓解,那就不是真正完全有用或实用的情报。
“直说就好”,“问题到底是什么?”,或者“说重点”,是主管常用语句。决策者总是想要快速抓住重点。完善的情报所处环境与之类似。它需要直击核心,让终端用户不用自己费力找寻答案,或者花费大量时间抽丝剥茧。
威胁情报模型
快速抓住重点,可使用上图所示的“通路”方法学。这个模型展示了行业目标、技术目标、投递方法、所用漏洞、侵入范围和所造成的效果/伤害。该方法可用于展示任意所需级别(战略性、操作性、战术性)的完善情报,因而能为企业内不同部门所用。知道对手会怎么攻击你(基于别的同类公司身上发生过的事——经评估的情报,真实可信的),有助于识别风险领域,为提出威胁应对建议创造条件。
总之,实用性威胁情报远不止IOC、数据流和信息共享。它简明扼要地让你了解情况,得出结论。为获得实用性威胁情报,不妨要求自身情报团队和外部厂商都不仅仅告诉你那些你已经知道的重点,而是以一种经评估的、高效的、易于采用的方式,告诉你最终驱散风险应采取的措施。