網(wǎng)絡(luò)威脅情報口味眾多，在企業(yè)內(nèi)扮演不同的角色，解決不同的問題。然而，企業(yè)內(nèi)有點兒網(wǎng)絡(luò)安全相關(guān)能力問題的人，都會被問到一些“這玩意兒能干點兒什么？”之類的問題。諸如：這些情報意味著什么？威脅情報能幫我達(dá)到期望的結(jié)果嗎？

作為首席信息安全官司(CISO)，這些“什么”問題是用來在內(nèi)部或外部談話中決定是繼續(xù)進(jìn)行下去還是就此終止的閾值。向國防部高級官員做網(wǎng)絡(luò)安全和預(yù)算問題簡報的時候，可以深刻感受到這一試金石的存在——畢竟無論想要做什么總是需要理由的。跟高管們談?wù)撨@些話題的時候總會遇到要回答這些“什么”問題的情況——想要通過提案并獲得投資？那你最好能拿出一個經(jīng)充分研究后有理有據(jù)有分寸的答案。要是不幸沒準(zhǔn)備好回答這些“什么”問題，那必然很快就會失去繼續(xù)進(jìn)行下去的資格。

從內(nèi)部判定的角度，可以列出如下“什么”問題的例子：

這項工作能減少什么企業(yè)風(fēng)險或者能給我們更多哪類上下文環(huán)境？這能幫助自動化什么人工過程？這能減少什么開支？這需要什么程度的勞動力和材料才能搞定？

從外部的角度，這些問題略微有些不同，但路線都是相似的：

你們的解決方案部署到我們已有的之上后，我的團(tuán)隊需要做些什么新的工作呢？除了我已有的，你能給我的團(tuán)隊帶來什么新的信息呢？這些新信息的代價是什么？這個功能能幫我解決什么問題？那又怎樣？我為什么要在意這個？

放到更具體的威脅情報環(huán)境中，在為客戶搭建網(wǎng)絡(luò)風(fēng)險概況時，通常會從以下幾個驅(qū)動最終威脅情報更深層上下文和價值的“什么”問題開始：

企業(yè)在外部的“存在”級別是什么？我們的欺詐足跡是什么？對我們基礎(chǔ)設(shè)施的威脅是什么？對我們員工的威脅是什么？對我們品牌和聲譽(yù)的威脅是什么？對我們客戶的威脅是什么？業(yè)內(nèi)正在發(fā)生什么類型的威脅？什么威脅在隨時間改變？什么威脅影響到我們的合作伙伴、供應(yīng)商或競爭者？威脅執(zhí)行人的能力、機(jī)會和意圖是什么？什么控制緩解了威脅？我們把正確的資源應(yīng)用到正確的控制上了嗎？什么控制故障會影響到業(yè)務(wù)？什么威脅會直接影響到公司？

想想大多數(shù)公司是多么依賴數(shù)字世界啊！如此，網(wǎng)絡(luò)風(fēng)險已超出了傳統(tǒng)IT基礎(chǔ)設(shè)施的丁丁卯卯。要在今天的市場里做生意，公司企業(yè)必須以某種形式利用起網(wǎng)絡(luò)基礎(chǔ)設(shè)施。因此，公司企業(yè)最終會將自己的“存在”延伸進(jìn)多個環(huán)境，而隨著這種延伸，威脅也就擴(kuò)展到了產(chǎn)品和所投遞的服務(wù)上了。

下圖可將業(yè)務(wù)、擴(kuò)展的存在、威脅和控制聯(lián)系到一起。

 

業(yè)務(wù)生態(tài)系統(tǒng)已經(jīng)隨著存在的不斷延伸而變得加倍復(fù)雜。與客戶的數(shù)字互動成為了標(biāo)準(zhǔn)操作。數(shù)據(jù)在合作伙伴和供應(yīng)商之間數(shù)字共享，訂單也是數(shù)字化填寫的。公司社交媒體、品牌和聲譽(yù)都必須數(shù)字化管理。你得以數(shù)字的方式追蹤客戶的每個動作、他們的想法、喜好和當(dāng)前行為。你的員工和客戶通過推特、Facebook、領(lǐng)英、Reddit和很多其他社交平臺進(jìn)行通聯(lián)。

虎視眈眈的對手們也會花時間研究你生態(tài)系統(tǒng)的輸入輸出來找尋可供利用的漏洞。很多情況下，他們最終比你自己還了解你的生態(tài)系統(tǒng)。對手們正在做的動作包括：

抽絲剝繭探查你的網(wǎng)絡(luò)弱點收集信息，了解你的所做所為、通信方式和所掌握的有價值信息學(xué)習(xí)你的公司文化學(xué)習(xí)如何利用你的基礎(chǔ)設(shè)施攫取經(jīng)濟(jì)利益給服務(wù)臺打電話要求重置憑證冒充合法用戶用勒索軟件對你的部門進(jìn)行魚叉式網(wǎng)絡(luò)釣魚在黑市上售賣盜取的公司憑證研究你的供應(yīng)商，從他們那里探查漏洞以便侵入你的系統(tǒng)

這些類型的威脅全球每天都在上演，影響到品牌、聲譽(yù)、客戶、收益、支出和基礎(chǔ)設(shè)施

你該怎樣保持對當(dāng)前情況和對自身企業(yè)存在范圍的態(tài)勢感知？你怎么知道哪些資源被應(yīng)用到了最重要的問題領(lǐng)域？

戰(zhàn)略性和操作性網(wǎng)絡(luò)威脅情報提供了培養(yǎng)公司整體網(wǎng)絡(luò)風(fēng)險感知的指南。威脅情報對網(wǎng)絡(luò)安全的意義，就像商業(yè)情報對銷售、財務(wù)、市場營銷的意義一樣。想要快速有效地運(yùn)轉(zhuǎn)，掌握問題域的態(tài)勢感知，理解自身在給定問題域里的“存在”級別，你必須以一種情報驅(qū)動的安全方式運(yùn)營。如其他網(wǎng)絡(luò)安全相關(guān)的工作一樣，威脅情報也需要通過“什么”問題的考驗。希望上述想法能助您成功過關(guān)。