安全威脅的本質(zhì)，就是過于動態(tài)而無法一勞永逸。那么，這里有一些方法可調(diào)優(yōu)威脅情報模型以助您擺脫自滿的表象。

　　威脅情報的事實真相

請經(jīng)常詢問您的威脅情報服務(wù)提供商，有關(guān)任何或是所有您所想到的問題。

“他們每個人都應(yīng)該告訴您，他們是如何收集和校對數(shù)據(jù)的，” Webroot公司的安全結(jié)構(gòu)高級總監(jiān)Dave Dufour表示，“他們有歷史記錄嗎?那他們是如何編譯的?他們能把威脅從‘窗簾’后揪出來嗎?這些都是您應(yīng)該問的。”他補充道。含有惡意IP地址的黑名單被每天更新一次，可能對于大多數(shù)組織是足夠的。但如果您覺得不夠的話，完全可以要求他們做得更為頻繁些。

譯者總結(jié)：簡言之，就是要注意考量威脅情報服務(wù)提供商們是如何收集、分析和生成情報的，以及情報的整個生命周期。

當(dāng)心那些偏差和營銷伎倆所粉飾了的數(shù)據(jù)，咨詢公司的IP架構(gòu)總裁John Pironti警告說：“有時候只會看到一個由于偏差所致的原因或假設(shè)。”Pironti補充說，作為供應(yīng)商和研究人員都會設(shè)法尋找對他們某個特定的觀點或是“預(yù)先定義目的”的支持。所以您從一開始就要準(zhǔn)備好詢問出各種問題，并完全可以迫使提供商們?nèi)プC明其數(shù)據(jù)和結(jié)論。

譯者總結(jié)：不要被服務(wù)提供商所宣稱技巧所迷惑，如果不能產(chǎn)生跟您的組織或者威脅模型有關(guān)系的威脅情報，那將都是浮云。

　　購買還是激活

組織和信息安全工作人員有時能會驚訝地發(fā)現(xiàn)，他們所面對的是某種根本沒有被激活的威脅情報的數(shù)據(jù)源或服務(wù)。所以說他們不是要把錢投入一個新的解決方案，而是要購買已經(jīng)放在那兒的，而且已經(jīng)啟動了的設(shè)備的許可證，才能更具經(jīng)濟(jì)效益。Webroot的Dufour如此建議道。

“很多情況下，那些可能需要組織花精力去搭建起來的，卻正是他們已經(jīng)擁有的威脅可見性，”他補充道。用戶可能并沒有包含其他安全信息的威脅數(shù)據(jù)源的集合，而可能只能看到那些被阻止或已攻擊的部分。CISO(首席信息安全官)并不總是知道每一種之間的轉(zhuǎn)換關(guān)系，但信息安全專業(yè)人員們卻能知道其設(shè)備里正在發(fā)生著什么。

譯者總結(jié)：“售后服務(wù)”也很重要。提供商應(yīng)該為您投入持續(xù)的時間，和你一道討論情報的輸入與輸出，以產(chǎn)生滿足您目前和未來的需求的有價值的數(shù)據(jù)。

　　質(zhì)量控制

您的威脅防御系統(tǒng)的智能水平取決于它所派生出來的數(shù)據(jù)。安全專業(yè)人員應(yīng)該持續(xù)監(jiān)測威脅情報數(shù)據(jù)的靜態(tài)性，判定它們是否來自白名單或黑名單，以及它們的頻率更新，Webroot的Dufour如是說。

在威脅的全局上，客戶也應(yīng)該對于那些正在被用來收集數(shù)據(jù)的輸入感知器的可見性。從而給他們一種方式，來判斷供應(yīng)商或服務(wù)提供者，為其特定環(huán)境場景所提供的數(shù)據(jù)的適用性和有效性。威脅情報供應(yīng)商應(yīng)該對特定的威脅產(chǎn)生一個聲譽評分，其置信區(qū)間，是用一個區(qū)間的各種數(shù)值來提供指定的概率。如果他們不是已經(jīng)提供了的話，這將是他們用來回應(yīng)需求的一個不錯的增值服務(wù)。

Webroot說，另一個值得注意的問題是來自威脅情報數(shù)據(jù)的假陽性數(shù)量。這些阻斷和警報不但浪費了時間、減緩了業(yè)務(wù)、還騷擾了終端用戶。

　　保持精度

數(shù)據(jù)，特別是那些威脅情報數(shù)據(jù)，有時只能成為一種“鈍器”而非“利器”。比如說為一個組織而進(jìn)行的正確數(shù)據(jù)組合，卻可能對另一個組織是極其錯誤或不適合的。對威脅情報而言，一種固定的模式是不能適合所有的。IP架構(gòu)師John Pironti如是說。

他鼓勵用戶留意威脅情報提供商或服務(wù)供應(yīng)商對業(yè)務(wù)知識的缺失。Pironti警告說：“情報供應(yīng)商一般不會將客戶情報類業(yè)務(wù)知識納入到他們的分析和報告之中。“此外，他們所被分配到的風(fēng)險通常是基于安全專業(yè)人員角度的，而不是從更廣泛的組織本身的視覺出發(fā)的，因此這使得情況更為復(fù)雜和微妙。他補充道：一般所要關(guān)注的水平應(yīng)該基于組織，包括其領(lǐng)導(dǎo)層或業(yè)務(wù)模型。

有時威脅情報服務(wù)提供商能提供出很少的或根本沒有深入了解到組織的特定風(fēng)險。“風(fēng)險評分是基于一般技術(shù)條件和規(guī)范的，而不是那些受到影響的組織的特有風(fēng)險。”Pironti解釋道。組織需要清楚這些風(fēng)險評分是如何計算出來的，并在必要時可以要求提供商們予以修改。

譯者總結(jié)：有了威脅情報提供商，獲取威脅數(shù)據(jù)源已經(jīng)不是困難的事情了。反而如何在這些數(shù)據(jù)產(chǎn)生的同時，能夠獲取適合組織自身的，而且能加以分析和利用的數(shù)據(jù)，才是組織和服務(wù)提供商需要做足功課的地方。

　　找自身原因

涉及到如何處理威脅數(shù)據(jù)時，組織可能會發(fā)現(xiàn)他們也有一些來自內(nèi)部的挑戰(zhàn)。根據(jù)Ponemon(安全研究中心)和安全報告提供商Anomali的報告顯示：在處理威脅響應(yīng)數(shù)據(jù)時，超過三分之二的組織(69%)缺乏具有專業(yè)知識的技術(shù)人員。

阻礙組織如何應(yīng)對威脅情報數(shù)據(jù)的另一個問題是缺乏掌控權(quán)(58%)，而另一些人則認(rèn)為缺乏合適的技術(shù)(52.5%)。“組織在流程方面和報告技能方面的不足，為給威脅數(shù)據(jù)設(shè)定優(yōu)先級設(shè)置了額外的挑戰(zhàn)。”Anomali在一份報告的總結(jié)部分如是說。

超過一半的受訪者(52%)認(rèn)為他們的組織需要一個合格的分析師，從威脅情報中得到最多價值;幾乎相同數(shù)量的受訪者(49%)表示，他們的信息安全團(tuán)隊根本不接收或閱讀任何威脅情報報告。這表明那些工作量本就過載的IT部門，或許已用戶被質(zhì)疑了他們能否真的勝任于管理太多的所謂“首要任務(wù)”。

　　付諸行動

威脅情報數(shù)據(jù)可以成為一個偉大的工具，一個有助于指導(dǎo)安全專業(yè)人員和可能重置日常議程與優(yōu)先級的晴雨表。但任何流向IT部門的數(shù)據(jù)量級都是壓倒性的(真的有人去審查每條服務(wù)器日志嗎?)。然而那些威脅情報數(shù)據(jù)如果不被用來采取任何行動的話，它們將對任何人都沒有任何好處。

“您可能沒必要去使用那些威脅情報，除非您有能力對它們采取行動。” Anomali的副總裁Jason Trost在最近一次Dark Reading的虛擬事件里提到：“如果您不對它們采取行動的話，您可能都不值得去消費那些數(shù)據(jù)。”

組織必須探究數(shù)據(jù)及其內(nèi)部發(fā)生了什么。Webroot的David Dufour表示，然后他們來決定如何(或如需)對數(shù)據(jù)的顯示內(nèi)容進(jìn)行應(yīng)用。“如果您沒有可用的資源去使用它們，那么您很可能就是在浪費您的錢財。“他還補充說，不如把這筆錢花費到事件響應(yīng)的方面。

譯者總結(jié)：要注意對情報的整合與應(yīng)用能力，如果所得的情報不能結(jié)合企業(yè)實際產(chǎn)生可實施的安全控制和操作的話，更別提和決策流程相結(jié)合了。

　　正確使用威脅情報數(shù)據(jù)

客戶通過自我教育，義不容辭的使得自己在采集和使用安全產(chǎn)品方面變得明智，而不僅僅局限于在威脅情報數(shù)據(jù)方面。但是作為安全提供商Leidos的Chris Coryea經(jīng)理也指：值得注意的是信息不對稱的發(fā)生情況實在是太常見了。

”據(jù)IDC的報告，77%的公司調(diào)查將SIEM(安全信息與事件管理)與威脅情報相等同，另外35%將威脅情報與安全的社區(qū)所提供的共享信息相關(guān)聯(lián)。“Coryea在該公司的博客上寫道。”這兩點證明了許多組織的網(wǎng)絡(luò)安全成熟度還在一個淺的層次上。”

譯者總結(jié)：除了與SIEM之外，企業(yè)還可以將威脅情報數(shù)據(jù)導(dǎo)入SO(安全運營)并形成聯(lián)動，從而從風(fēng)險評估管理的角度制定出適合本企業(yè)的解決方案與措施。

供應(yīng)商可以通過提供相關(guān)性、上下文環(huán)境和威脅情報內(nèi)容的態(tài)勢常識等來幫助企業(yè)培養(yǎng)更多威脅的應(yīng)對能力。信息安全專業(yè)人員從而需要按需評估其組織的威脅情報相關(guān)性和威脅源的危害價值。

這可能對于信息安全專業(yè)人員來說，起初會是個是一個鎮(zhèn)痛的意見交換與沖撞的過程。但是如果能正確地和貫徹始終的做到的話，組織不但能更好地保護(hù)自己，還能筑起信息安全領(lǐng)域更為廣闊的防護(hù)“柵欄”。

原文標(biāo)題：7 Ways To Fine-Tune Your Threat Intelligence Model，作者：Terry Sweeney