過(guò)去幾年里，利用威脅情報(bào)的公司在保護(hù)他們的關(guān)鍵基礎(chǔ)設(shè)施方面占有明顯優(yōu)勢(shì)的事實(shí)已經(jīng)十分明了了。公司企業(yè)正盡其所能地收集、分析和評(píng)估盡可能多的數(shù)據(jù)，不僅僅是他們目前面對(duì)的威脅數(shù)據(jù)，首席安全官和安全團(tuán)隊(duì)已被大量威脅數(shù)據(jù)吞沒(méi)。

威脅情報(bào)可以包括各種各樣的東西，諸如：入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、安全托管服務(wù)和泄露指示器。

而公司通常使用來(lái)自這些方面的威脅情報(bào)：付費(fèi)解決方案；可信合作伙伴；正規(guī)工業(yè)公司；政府和司法機(jī)構(gòu)；開(kāi)源及他們自身的分析和檢測(cè)過(guò)程。

根據(jù)國(guó)際數(shù)據(jù)公司（IDC）的研究，2014年到2018年，全球威脅情報(bào)服務(wù)消費(fèi)預(yù)期可從9.055億美元增長(zhǎng)到14億美元。 公司企業(yè)正越來(lái)越多地將威脅情報(bào)反饋以一種標(biāo)準(zhǔn)化的方式（XML等）整合進(jìn)他們的安全架構(gòu)和安全信息與事件管理（SIEM）系統(tǒng)中。

威脅情報(bào)實(shí)現(xiàn)有多有用，又有多現(xiàn)實(shí)？

企業(yè)戰(zhàn)略集團(tuán)（ESG）的一份報(bào)告揭示，一些企業(yè)已經(jīng)實(shí)施了安全情報(bào)項(xiàng)目，43%的受訪者將他們的項(xiàng)目評(píng)級(jí)為“非常成熟”。然而，這些項(xiàng)目中有很多缺點(diǎn)，讓僅僅部署威脅情報(bào)就能解決安全威脅的期待顯得很不現(xiàn)實(shí)。

其中一些缺點(diǎn)如下所示：

1. IT并沒(méi)有將威脅情報(bào)項(xiàng)目集成到企業(yè)合作、溝通和其他IT業(yè)務(wù)流中。因此，他們并沒(méi)有使自己能夠從供應(yīng)鏈和垂直社區(qū)的知識(shí)中獲益，或者能夠知曉后端正在發(fā)生的事情以識(shí)別出跟他們的環(huán)境和上下文相關(guān)的數(shù)據(jù)。

2. 更多的關(guān)注點(diǎn)被投放到了消費(fèi)而不是共享上。由于壞人們關(guān)注后者，公司企業(yè)需要促進(jìn)威脅情報(bào)的共享以有效保護(hù)企業(yè)用戶和基礎(chǔ)設(shè)施。共享所有風(fēng)險(xiǎn)類型的威脅情報(bào)可以幫助減少漏洞并扼阻更大的威脅。

3. 在大多數(shù)企業(yè)里，威脅情報(bào)項(xiàng)目被人工流程拖了后腿。這些公司里的安全專業(yè)人士要花大量時(shí)間收集、處理和粘貼數(shù)據(jù)，還要將之轉(zhuǎn)換成不同的格式——自動(dòng)化了IT領(lǐng)域其他部分的工具在這里不怎么被信任。

4. 公司企業(yè)的威脅情報(bào)項(xiàng)目還缺乏可操作的意圖。IT團(tuán)隊(duì)忽視了提供已引起注意的威脅指標(biāo)的額外上下文，無(wú)論是來(lái)自另一個(gè)用戶的還是來(lái)自情報(bào)反饋的。這一情況意味著信息沒(méi)有得到擴(kuò)展；因此，公司可能會(huì)錯(cuò)過(guò)做出更快和可選擇的決策。想使威脅情報(bào)具有可操作性，公司企業(yè)應(yīng)該實(shí)時(shí)接收它并將之與安全意識(shí)結(jié)合在一起。

5. 最后，安全團(tuán)隊(duì)看的都是原始的、未經(jīng)過(guò)濾的信息形成的數(shù)據(jù)反饋。想形成可稱之為情報(bào)的東西，他們需要讓專業(yè)情報(bào)分析師分揀評(píng)估這些信息，以便能產(chǎn)生關(guān)于一個(gè)已存在或正在形成的威脅的可行性建議。過(guò)去的、現(xiàn)在的和未來(lái)的指標(biāo)，經(jīng)過(guò)人工分析，可以產(chǎn)生豐富的上下文信息。

由此，威脅情報(bào)目前多少有幾分不成熟，公司企業(yè)考慮潛在利益時(shí)沒(méi)有認(rèn)識(shí)到能使項(xiàng)目起效的基本原則的力量。這種態(tài)勢(shì)下，過(guò)濾掉不相干的數(shù)據(jù)而獲得對(duì)真實(shí)威脅的準(zhǔn)確預(yù)測(cè)性洞察可能是一件耗時(shí)耗力的事。

有效的威脅情報(bào)要求分析師能根據(jù)他們各自組織運(yùn)營(yíng)的具體環(huán)境準(zhǔn)確識(shí)別出真實(shí)威脅。將威脅與所處環(huán)境聯(lián)系起來(lái)將定義出整個(gè)威脅景象，然后分析師就能評(píng)估數(shù)據(jù)反饋和來(lái)源（內(nèi)部還是外部）以確定哪些指標(biāo)值得關(guān)注。

而且，首席安全官和IT部門(mén)需要修改現(xiàn)有解決方案，或者部署新的解決方案，以從收集到的來(lái)源中洞悉威脅動(dòng)向并開(kāi)展后續(xù)威脅攻擊方式的調(diào)查。雖然內(nèi)部情報(bào)管理通常是可行的，還是可以引入第三方來(lái)加速數(shù)據(jù)清洗和夯實(shí)解決方案，這樣企業(yè)就能專注于防止攻擊而不是花時(shí)間在鑒別與他們的威脅態(tài)勢(shì)相關(guān)的數(shù)據(jù)和指標(biāo)上了。

有效威脅情報(bào)的另一個(gè)重要方面是共享。大多數(shù)公司企業(yè)只是淺嘗輒止地跟風(fēng)共享——立即分享一些情報(bào)而不是持續(xù)分享部分情報(bào)，這就限制了他們最小化潛在破壞影響的潛力。舉例來(lái)說(shuō)，放到IT經(jīng)理案頭而不傳送到專管時(shí)間敏感的網(wǎng)絡(luò)安全決策制定者那里的情報(bào)就是無(wú)效的。

共享的目標(biāo)應(yīng)該是在各種機(jī)構(gòu)部門(mén)間接收和傳播信息。公司企業(yè)可以利用產(chǎn)業(yè)聯(lián)盟驗(yàn)證威脅發(fā)現(xiàn)，利用自動(dòng)化過(guò)程觸發(fā)企業(yè)內(nèi)部和企業(yè)與政府和司法機(jī)構(gòu)間的即時(shí)互動(dòng)。

能為反饋增加洞察力的來(lái)源越多，威脅情報(bào)就越有用。擁抱各種先進(jìn)理念也不失為一個(gè)好主意，比如開(kāi)放安全聯(lián)盟，以及與威脅情報(bào)共享門(mén)戶網(wǎng)站/初創(chuàng)公司合作精簡(jiǎn)管理流程。除了以上談到的這些，像是《網(wǎng)絡(luò)可觀察對(duì)象表達(dá)規(guī)范》（CybOX）和《可信自動(dòng)化指標(biāo)信息交換標(biāo)準(zhǔn)》之類的工業(yè)標(biāo)準(zhǔn)也應(yīng)該納入考慮范圍。

一個(gè)好的威脅情報(bào)實(shí)現(xiàn)應(yīng)該是怎樣的？

為了打破樊籬讓威脅情報(bào)在整個(gè)公司企業(yè)內(nèi)運(yùn)轉(zhuǎn)流暢，IT部門(mén)需要采用健壯的方法來(lái)收集、分析、處理情報(bào)，并將之轉(zhuǎn)換成通用語(yǔ)言以便共享。模式可以各種各樣，以下幾個(gè)組件則是在部署威脅情報(bào)項(xiàng)目發(fā)展情報(bào)能力中普遍適用的。

1. 設(shè)置情報(bào)規(guī)程

無(wú)論你的威脅情報(bào)目標(biāo)是什么，這一點(diǎn)都是最基礎(chǔ)的。威脅的復(fù)雜本質(zhì)要求公司企業(yè)在事件發(fā)生之前就設(shè)置好規(guī)程以便在壓力狀態(tài)下能夠指導(dǎo)運(yùn)作。

統(tǒng)一的、開(kāi)源的、優(yōu)質(zhì)的反饋應(yīng)該依據(jù)公司的目標(biāo)進(jìn)行衡量以評(píng)估它們的投資回報(bào)率。成熟的公司企業(yè)還需要過(guò)濾數(shù)據(jù)以抽取相關(guān)指標(biāo)再在多個(gè)系統(tǒng)中交叉參照。

2. 在分析框架之上勾勒威脅輪廓

對(duì)手的作案手法是什么？鑒于你公司所處的行業(yè)和安全架構(gòu)，你將發(fā)展出能被用于識(shí)別出惡意模式和考慮對(duì)手思路的框架。一份威脅概要可以從下面幾個(gè)方面呈現(xiàn)：

威脅概要將推動(dòng)處理效率并讓IT部門(mén)能夠?qū)崟r(shí)將情報(bào)反饋導(dǎo)引至多個(gè)部門(mén)。

3. 選擇合適的技術(shù)

既然威脅概要已被確定為最適合你公司需要的東西，你便可以推進(jìn)到下一步——選擇合適的技術(shù)以在你的數(shù)據(jù)和網(wǎng)絡(luò)環(huán)境中利用威脅情報(bào)上來(lái)了。

可用的解決方案很多，有些有他們自己內(nèi)置的服務(wù)、反饋和數(shù)據(jù)庫(kù)。最終選擇應(yīng)該結(jié)合你的安全基礎(chǔ)設(shè)施和安全信息與事件管理（SIEM）系統(tǒng)來(lái)做出，無(wú)論關(guān)注重點(diǎn)是放在保護(hù)云、大數(shù)據(jù)，還是移動(dòng)系統(tǒng)上。

4. 將威脅情報(bào)的使用集成到你的核心流程中

一個(gè)好的實(shí)現(xiàn)要求威脅情報(bào)能夠在無(wú)干擾的情況下告知核心業(yè)務(wù)決策。然而，企業(yè)往往不遵循這一方式，也就是說(shuō)，他們可能對(duì)會(huì)影響到關(guān)鍵業(yè)務(wù)決策的威脅沒(méi)有一個(gè)全景的視野。

他們需要做的，是將威脅情報(bào)技術(shù)與常規(guī)決策結(jié)合起來(lái)，促進(jìn)動(dòng)態(tài)資源決策。對(duì)更大的轉(zhuǎn)型業(yè)務(wù)案例而言，高級(jí)和執(zhí)法監(jiān)管也是十分重要的。

5. 自動(dòng)化威脅情報(bào)共享

威脅共享如果離了能自動(dòng)化這一過(guò)程的技術(shù)將毫無(wú)有效性可言。有幾個(gè)威脅情報(bào)交換平臺(tái)促進(jìn)自動(dòng)化，企業(yè)自身應(yīng)將精力放在發(fā)展與這些威脅情報(bào)交換相關(guān)聯(lián)的流程上以更為全面地了解威脅態(tài)勢(shì)。

然而，你也需要一些規(guī)則來(lái)標(biāo)準(zhǔn)化威脅情報(bào)共享的傳輸和表達(dá)。擁有這些規(guī)則可以使共享過(guò)程毫無(wú)障礙地自動(dòng)化，即使依賴的是不同工具的時(shí)候也是如此。

結(jié)論：

有效實(shí)現(xiàn)威脅情報(bào)需要大范圍評(píng)估你的安全立場(chǎng)。因?yàn)樗髮?duì)網(wǎng)絡(luò)和設(shè)備數(shù)據(jù)流的無(wú)縫訪問(wèn)，公司企業(yè)需要打破他們的反應(yīng)墻以創(chuàng)建外部和內(nèi)部的效率，并充分利用好這一資源。