新年新氣象,有新策略要實(shí)現(xiàn),新預(yù)算要平衡,新威脅要防止。過(guò)去1年中,更多公司對(duì)威脅情報(bào)的理解更加深入,逐漸轉(zhuǎn)向開(kāi)始從優(yōu)良情報(bào)獲益的計(jì)劃和實(shí)現(xiàn)過(guò)程。
計(jì)劃往公司安全和風(fēng)險(xiǎn)項(xiàng)目中添加威脅情報(bào)的第一步,真心應(yīng)該緊緊圍繞以下幾個(gè)關(guān)鍵問(wèn)題展開(kāi):
我們想要的情報(bào)目標(biāo)是什么?情報(bào)應(yīng)服務(wù)的主要利益相關(guān)者是誰(shuí)?我們最想要保護(hù)的資產(chǎn)和信息是什么?情報(bào)應(yīng)該影響的決策和結(jié)果是什么?結(jié)果該怎樣衡量?我們已經(jīng)在收集內(nèi)部情報(bào)了嗎?是外包情報(bào)運(yùn)營(yíng),還是內(nèi)部運(yùn)營(yíng),或者來(lái)個(gè)混搭?無(wú)論你的網(wǎng)絡(luò)威脅情報(bào)計(jì)劃和過(guò)程是什么,它都應(yīng)該驅(qū)動(dòng)更快更智能的決策來(lái)最小化風(fēng)險(xiǎn)暴露。如果沒(méi)能對(duì)此目標(biāo)有所幫助,那不如叫停項(xiàng)目,好好想想需要做哪些改變,來(lái)讓情報(bào)更好地保護(hù)你的公司。
大公司有安全運(yùn)營(yíng)中心(SOC),分析師們24小時(shí)三班倒工作。網(wǎng)絡(luò)成熟度欠佳的小公司沒(méi)有這些員工和工具,需要通過(guò)外包的形式來(lái)獲得網(wǎng)絡(luò)風(fēng)險(xiǎn)指導(dǎo)。使用威脅情報(bào)且有小型情報(bào)運(yùn)維的公司,還想用混合/共同管理的方法來(lái)獲得“力量倍增”。
無(wú)論是聘用了威脅情報(bào)分析師,與廠商合作,還是二者兼而有之,你都需要確保有合適的人(以及工具)來(lái)做這件事。復(fù)雜的地方在于,就像不是每一個(gè)威脅情報(bào)都相同一樣,每一個(gè)威脅情報(bào)分析師也是不盡相同的。情報(bào)分析師可能具備不同領(lǐng)域的專(zhuān)業(yè)知識(shí),比如,有些更偏技術(shù),有些更關(guān)注風(fēng)險(xiǎn),有些對(duì)特定工具更加熟練等等。在將視線投向?qū)で髲S商合作或聘用內(nèi)部網(wǎng)絡(luò)威脅情報(bào)分析師之前,你得首先確定自己的最終目標(biāo),確保二者完美匹配。
在情報(bào)分析師身上,確實(shí)存在某些核心特質(zhì)和能力,是招聘時(shí)可以用作考量的基準(zhǔn)。
就整體角色而言,情報(bào)分析師應(yīng)該具備從各種源規(guī)劃和收集情報(bào)的能力,要能追蹤威脅,識(shí)別和跟蹤惡意資產(chǎn)和基礎(chǔ)設(shè)施,還要能綜合分析多種威脅及事件數(shù)據(jù)以產(chǎn)出具支持證據(jù)的最終情報(bào)。由于利益相關(guān)者會(huì)提出請(qǐng)求和問(wèn)題,分析師自己也可能需要向不同人群展示或解釋情報(bào),所以良好的人際溝通技巧也是需具備的一個(gè)重要特質(zhì)。對(duì)細(xì)節(jié)的關(guān)注同樣重要,因?yàn)榧?xì)節(jié)與分析及結(jié)論的寬度和廣度相關(guān)。
分析師身上“需要”和“希望具備”的其他技術(shù)還包括:
需要
熟知情報(bào)分析或有強(qiáng)烈的學(xué)習(xí)欲望,包括諜報(bào)分析,以及表現(xiàn)出批判性思維技能;熟悉當(dāng)前黑客技術(shù)、對(duì)手方法學(xué)、漏洞分析、事件和數(shù)據(jù)泄露分析、網(wǎng)絡(luò)防御技術(shù);處理敏感信息時(shí)表現(xiàn)出優(yōu)秀的品格和判斷力;在最小監(jiān)管下對(duì)情報(bào)目標(biāo)進(jìn)行獨(dú)立研究的能力,既對(duì)細(xì)節(jié)絕對(duì)關(guān)注,又有理解事件整體視圖的渴望;設(shè)計(jì)、起草、發(fā)表高品質(zhì)技術(shù)和商業(yè)級(jí)情報(bào)報(bào)告、研究、白皮書(shū)和博客的切實(shí)能力。希望具備的技術(shù)
有主流操作系統(tǒng)技術(shù)工作經(jīng)歷和對(duì)數(shù)據(jù)庫(kù)技術(shù)的理解;堅(jiān)實(shí)的網(wǎng)絡(luò)專(zhuān)業(yè)知識(shí)和對(duì)路由協(xié)議的理解;對(duì)安全監(jiān)視方法學(xué)有所浸淫,比如抓包、流數(shù)據(jù)、模式、觀察列表、黑名單、日志解析、關(guān)聯(lián)、分類(lèi)、事件產(chǎn)生、過(guò)濾。正如前文提到的,情報(bào)分析師的類(lèi)型很多,有些本質(zhì)上更偏技術(shù),另一些則更像是有分析和諜報(bào)背景。“完美”的分析師應(yīng)該是什么樣子,這個(gè)問(wèn)題并沒(méi)有一個(gè)標(biāo)準(zhǔn)的答案。根本原因在于:你先得弄清自己要解決的問(wèn)題是什么,然后在此基礎(chǔ)上招募人手。
新聞報(bào)道總在說(shuō)安全預(yù)算又漲了多少多少,然而出于某些原因,情況似乎并沒(méi)有什么改善。原因何在?因?yàn)槲覀儧](méi)有把合適的資源用來(lái)標(biāo)定最大的問(wèn)題領(lǐng)域。情報(bào)工作的首要目標(biāo),應(yīng)該專(zhuān)注在回答這個(gè)問(wèn)題上。