實(shí)用網(wǎng)絡(luò)威脅情報(bào)應(yīng)受到重視。數(shù)據(jù)那么多,市場那么亂,情報(bào)的實(shí)用性難道不是更加重要嗎?
讓威脅情報(bào)實(shí)用化的重要方面之一,是確保情報(bào)受到評(píng)估。什么意思呢?對(duì)威脅情報(bào)的錯(cuò)誤理解,有很多都落在了自動(dòng)化和速度上。提供數(shù)據(jù)或威脅指示器(IOC)的威脅情報(bào)反饋或平臺(tái),邁出的是通向情報(bào)的第一步,但其實(shí)用性卻是成問題的。比如說,如果數(shù)據(jù)是“實(shí)時(shí)”出現(xiàn)的,那絕對(duì)不能稱之為“情報(bào)”,僅僅未經(jīng)評(píng)估的已發(fā)生事件的數(shù)據(jù)/信息。
什么是經(jīng)評(píng)估的威脅情報(bào)?
經(jīng)評(píng)估的威脅情報(bào),就是所有威脅數(shù)據(jù)都經(jīng)過審查和確認(rèn),被標(biāo)準(zhǔn)化和組織化,以一種易于使用的方式供分析師在一定基礎(chǔ)上開展工作,而不用一切從零開始。
如果數(shù)據(jù)實(shí)時(shí)投遞,沒有經(jīng)過驗(yàn)證,或者融在對(duì)公司有用的上下文中,就需要分配公司自己的分析師來進(jìn)行情報(bào)整編工作。這是關(guān)于誰該負(fù)有情報(bào)抽取責(zé)任的問題。即便數(shù)據(jù)或IOC已知為真,是否與自家公司和技術(shù)環(huán)境相關(guān)呢?“可執(zhí)行”,是業(yè)內(nèi)流傳甚廣的一個(gè)術(shù)語,但如果數(shù)據(jù)未經(jīng)評(píng)估且不與公司相關(guān),最終只會(huì)產(chǎn)生大量供你執(zhí)行的動(dòng)作,可能會(huì)是金錢、資源和時(shí)間的明智分配,也可能不是。這又落回到前面提過的,交給你的“情報(bào)”實(shí)用不實(shí)用的問題上。
作為情報(bào)團(tuán)隊(duì)負(fù)責(zé)人,手邊有經(jīng)評(píng)估的情報(bào)可用而不僅僅是原始數(shù)據(jù),就可以立即開展更多工作,不用再在一大堆誤報(bào)中艱難淘寶;可以構(gòu)建真正重要的東西,將精力放在讓結(jié)果更加精準(zhǔn)上。
每家公司的網(wǎng)絡(luò)威脅情報(bào)成熟度都不一樣,但大多缺乏有經(jīng)驗(yàn)的員工和相應(yīng)的資源。但他們?nèi)韵胱屒閳?bào)輔助驅(qū)動(dòng)公司前行。雖然引入威脅數(shù)據(jù)反饋在理論上聽起來很棒,若缺乏負(fù)責(zé)處理的人員,那你得到的只會(huì)是無盡的失望。經(jīng)評(píng)估的情報(bào)會(huì)有所助力的另一個(gè)例子正在于此。
實(shí)用且可用的完善情報(bào)
讓情報(bào)有實(shí)用性的另一個(gè)重點(diǎn),是完善的情報(bào)。情報(bào)得是有用的、相關(guān)的、及時(shí)的,達(dá)成此一目標(biāo)的唯一方法,就是經(jīng)過評(píng)估過程。情形是什么?有多少威脅是活躍的?威脅會(huì)怎么影響我的公司?最后,最重要的,我可以對(duì)此做些什么?
完善的情報(bào),要求有對(duì)惡意攻擊者的能力、機(jī)會(huì)和意圖的評(píng)估和分析。這可不單單是一個(gè)乃至一組威脅指示器(IOC或許能增加細(xì)節(jié),但仍需要被研究、分析,并投入上下文中)。情報(bào)不是平臺(tái)、數(shù)據(jù)反饋或工具,而是一種能力,需要人力分析,且應(yīng)包括給定置信度的有據(jù)假設(shè),以及證據(jù)和理論的支持。它必須特定于公司,確保其價(jià)值和重要性。緩解建議也應(yīng)包含在內(nèi),比如,“這種情況我該怎么辦?”沒人喜歡被告知問題卻不附帶可能的解決方案。
完善的情報(bào)可以多種輸出形式投遞,由終端用戶來確定哪種輸出是最受歡迎的:
任意或全部級(jí)別的情報(bào)——從戰(zhàn)術(shù)性到操作性到戰(zhàn)略性通過非正式對(duì)話或正式的網(wǎng)絡(luò)風(fēng)險(xiǎn)簡報(bào)通過正式的電子郵件警告或深度報(bào)告通過互動(dòng)儀表盤無論完善情報(bào)的投遞形式如何,只要不能告訴你風(fēng)險(xiǎn)是什么,以及該如何緩解,那就不是真正完全有用或?qū)嵱玫那閳?bào)。
“直說就好”,“問題到底是什么?”,或者“說重點(diǎn)”,是主管常用語句。決策者總是想要快速抓住重點(diǎn)。完善的情報(bào)所處環(huán)境與之類似。它需要直擊核心,讓終端用戶不用自己費(fèi)力找尋答案,或者花費(fèi)大量時(shí)間抽絲剝繭。
威脅情報(bào)模型
快速抓住重點(diǎn),可使用上圖所示的“通路”方法學(xué)。這個(gè)模型展示了行業(yè)目標(biāo)、技術(shù)目標(biāo)、投遞方法、所用漏洞、侵入范圍和所造成的效果/傷害。該方法可用于展示任意所需級(jí)別(戰(zhàn)略性、操作性、戰(zhàn)術(shù)性)的完善情報(bào),因而能為企業(yè)內(nèi)不同部門所用。知道對(duì)手會(huì)怎么攻擊你(基于別的同類公司身上發(fā)生過的事——經(jīng)評(píng)估的情報(bào),真實(shí)可信的),有助于識(shí)別風(fēng)險(xiǎn)領(lǐng)域,為提出威脅應(yīng)對(duì)建議創(chuàng)造條件。
總之,實(shí)用性威脅情報(bào)遠(yuǎn)不止IOC、數(shù)據(jù)流和信息共享。它簡明扼要地讓你了解情況,得出結(jié)論。為獲得實(shí)用性威脅情報(bào),不妨要求自身情報(bào)團(tuán)隊(duì)和外部廠商都不僅僅告訴你那些你已經(jīng)知道的重點(diǎn),而是以一種經(jīng)評(píng)估的、高效的、易于采用的方式,告訴你最終驅(qū)散風(fēng)險(xiǎn)應(yīng)采取的措施。