隨著網(wǎng)絡(luò)威脅的日益復(fù)雜化，網(wǎng)絡(luò)安全威脅情報(bào)(CTI)成為了企業(yè)抵御風(fēng)險(xiǎn)、優(yōu)化安全投資的關(guān)鍵利器。然而，如何確保在這一領(lǐng)域的投入能夠真正轉(zhuǎn)化為高效的防御能力和可觀(guān)的投資回報(bào)率(ROI)，卻是一個(gè)亟待解決的難題。本文將深入剖析CISO們?cè)诰W(wǎng)絡(luò)安全情報(bào)應(yīng)用中常見(jiàn)的五大誤區(qū)，并提供相應(yīng)的策略建議，助力企業(yè)實(shí)現(xiàn)CTI價(jià)值的最大化。

一、缺乏風(fēng)險(xiǎn)管理框架

要從全面的CTI項(xiàng)目中獲取價(jià)值，CISO們首先需要構(gòu)建堅(jiān)實(shí)的風(fēng)險(xiǎn)管理框架，并配備相應(yīng)的基礎(chǔ)設(shè)施，以便對(duì)所攝入的情報(bào)源進(jìn)行恰當(dāng)?shù)姆治龊颓榫郴幚?。正如Qualys威脅研究部門(mén)的網(wǎng)絡(luò)威脅主管Ken Dunham所言：“CTI應(yīng)該歸屬于你的風(fēng)險(xiǎn)管理范疇，若你尚未建立風(fēng)險(xiǎn)管理程序，那么識(shí)別這一優(yōu)先事項(xiàng)至關(guān)重要。核心問(wèn)題在于：你試圖保護(hù)的關(guān)鍵要素是什么?你的‘王冠寶石’或高價(jià)值資產(chǎn)位于何處?”缺乏風(fēng)險(xiǎn)管理來(lái)設(shè)定優(yōu)先級(jí)，企業(yè)將無(wú)法合理設(shè)定情報(bào)收集要求，從而無(wú)法收集到與最寶貴資產(chǎn)相關(guān)的相關(guān)情報(bào)源。

此外，CTI在用于情境化組織內(nèi)部基礎(chǔ)設(shè)施活動(dòng)的安全分析時(shí)最具價(jià)值。這意味著組織需要梳理好自身的分析程序以及數(shù)據(jù)科學(xué)和數(shù)據(jù)管理，才能真正從引入的外部情報(bào)中挖掘出價(jià)值。Ontinue的威脅響應(yīng)主管Balazs Greksza指出：“從戰(zhàn)略層面來(lái)看，平衡降低總體擁有成本(TCO)與安全價(jià)值及價(jià)值實(shí)現(xiàn)時(shí)間，同時(shí)整合所有重要的內(nèi)部數(shù)據(jù)源和工具，是一個(gè)復(fù)雜的難題。安全并非大數(shù)據(jù)問(wèn)題，而是在正確的時(shí)間獲取正確的信息和情報(bào)，以得出正確的結(jié)論?！币虼?，CISO們需要仔細(xì)思考內(nèi)部數(shù)據(jù)與外部情報(bào)將在何處相互情境化。Greksza強(qiáng)調(diào)，安全數(shù)據(jù)湖與XDR、SIEM或合規(guī)監(jiān)控解決方案的用例大相徑庭，這就意味著要明確界定所有情報(bào)和分析數(shù)據(jù)如何推動(dòng)更好的決策制定。CISO們或許可以先從引入數(shù)據(jù)平臺(tái)工程師著手，為SOC及更廣泛的領(lǐng)域打造全面的數(shù)據(jù)戰(zhàn)略。

二、依賴(lài)低質(zhì)量情報(bào)

低質(zhì)量的情報(bào)往往比沒(méi)有情報(bào)更糟糕，它會(huì)導(dǎo)致分析師耗費(fèi)大量時(shí)間去驗(yàn)證和情境化這些質(zhì)量欠佳的情報(bào)源。更嚴(yán)重的是，如果這項(xiàng)工作沒(méi)有妥善完成，低質(zhì)量數(shù)據(jù)甚至可能在運(yùn)營(yíng)或戰(zhàn)略層面引發(fā)錯(cuò)誤的決策。安全領(lǐng)導(dǎo)者應(yīng)要求其情報(bào)團(tuán)隊(duì)定期根據(jù)幾個(gè)關(guān)鍵屬性來(lái)評(píng)估情報(bào)源的實(shí)用性，情報(bào)專(zhuān)業(yè)人員通常會(huì)用CART這一縮寫(xiě)來(lái)概括這些屬性，即完整性、準(zhǔn)確性、相關(guān)性和及時(shí)性。

完整性意味著每條情報(bào)都能全面呈現(xiàn)威脅情況，涵蓋行為者、方法論以及受影響系統(tǒng)等要素，Critical Start的網(wǎng)絡(luò)威脅研究高級(jí)經(jīng)理Callie Guenther解釋道。準(zhǔn)確性或許是決定情報(bào)源價(jià)值的關(guān)鍵要素之一，“情報(bào)源的可信度和可靠性至關(guān)重要，不準(zhǔn)確的情報(bào)可能導(dǎo)致誤報(bào)、資源浪費(fèi)以及潛在的未解決威脅暴露風(fēng)險(xiǎn)?！毕嚓P(guān)性則表明情報(bào)與組織的行業(yè)、技術(shù)棧和地理位置密切相關(guān)。及時(shí)性關(guān)乎情報(bào)是否足夠新穎，以便能夠影響組織的行動(dòng)方式。顯然，情報(bào)源往往需要在及時(shí)性和準(zhǔn)確性之間尋求平衡，隨著威脅研究的不斷深入。

最終，Guenther還建議在CART中加入另一個(gè)“A”，形成CAART，即行動(dòng)性。“情報(bào)應(yīng)足夠詳細(xì)和具體，以推動(dòng)安全行動(dòng)，例如調(diào)整安全設(shè)備、更新政策或修補(bǔ)漏洞。”她說(shuō)道。

三、忽視需求收集

比評(píng)估潛在情報(bào)源質(zhì)量更為基礎(chǔ)的是，CISO們要確保團(tuán)隊(duì)選擇的情報(bào)源確實(shí)符合自身的安全項(xiàng)目和業(yè)務(wù)需求。安全團(tuán)隊(duì)在威脅情報(bào)項(xiàng)目中常犯的一個(gè)錯(cuò)誤就是跳過(guò)了確定誰(shuí)需要何種情報(bào)以做出明智安全決策這一過(guò)程。

“CTI的有效性取決于組織接收情報(bào)的能力。為了構(gòu)建有效的CTI項(xiàng)目，組織在各個(gè)層面都必須向情報(bào)團(tuán)隊(duì)提出要求，并樂(lè)于消費(fèi)情報(bào)以指導(dǎo)流程和決策。”Cybersixgill的安全研究主管Dov Lerner表示。需求收集階段是CTI生命周期的第一步，但卻常常被忽視，或者僅限于SOC分析師這類(lèi)有特定技術(shù)要求的人員。Guenther也同意Lerner的觀(guān)點(diǎn)，認(rèn)為情報(bào)團(tuán)隊(duì)?wèi)?yīng)從企業(yè)內(nèi)部各種不同類(lèi)型的情報(bào)消費(fèi)者那里收集需求。“組織可能未能定義清晰、可操作且優(yōu)先級(jí)明確的情報(bào)需求，從而導(dǎo)致數(shù)據(jù)無(wú)關(guān)緊要或數(shù)量過(guò)多。”為了真正發(fā)揮CTI投資的最大效益，CTI需要有足夠的資源和組織聯(lián)系，以便與安全領(lǐng)域內(nèi)外的各種利益相關(guān)者進(jìn)行互動(dòng)，Lerner如是說(shuō)。

一些組織或許還可以考慮創(chuàng)建一個(gè)供利益相關(guān)者請(qǐng)求新情報(bào)的項(xiàng)目。NCC集團(tuán)全球網(wǎng)絡(luò)威脅情報(bào)主管Matt Hull表示，他的公司通過(guò)這種方式使需求收集更具重復(fù)性和一致性。NCC有一套類(lèi)似情報(bào)請(qǐng)求工單的系統(tǒng)。“我們稱(chēng)之為RFI流程——即情報(bào)請(qǐng)求，這本質(zhì)上是向我的團(tuán)隊(duì)發(fā)出的一個(gè)機(jī)制，詢(xún)問(wèn)利益相關(guān)者‘你想回答什么問(wèn)題?’然后進(jìn)行分類(lèi)并傳遞給相關(guān)團(tuán)隊(duì)?！彼f(shuō)道。

四、過(guò)度聚焦戰(zhàn)術(shù)威脅情報(bào)

Guenther指出，組織在啟動(dòng)CTI項(xiàng)目時(shí)最常見(jiàn)的威脅情報(bào)錯(cuò)誤之一就是過(guò)度強(qiáng)調(diào)戰(zhàn)術(shù)情報(bào)?！半m然戰(zhàn)術(shù)情報(bào)至關(guān)重要，但僅關(guān)注入侵指標(biāo)(IoCs)而缺乏戰(zhàn)略或運(yùn)營(yíng)背景，可能導(dǎo)致被動(dòng)而非主動(dòng)的安全態(tài)勢(shì)?！盚ull和Dunham都堅(jiān)信，最強(qiáng)大的CTI團(tuán)隊(duì)能夠在戰(zhàn)術(shù)、運(yùn)營(yíng)和戰(zhàn)略情報(bào)這三個(gè)主要方面進(jìn)行收集和運(yùn)營(yíng)。戰(zhàn)術(shù)情報(bào)遵循傳統(tǒng)的IoC模式，以及來(lái)自惡意軟件分析和其他監(jiān)控中非常具體的、能夠增強(qiáng)威脅檢測(cè)的技術(shù)信息片段。運(yùn)營(yíng)情報(bào)則上升到行為情報(bào)層面，圍繞戰(zhàn)術(shù)、技術(shù)、程序(TTPs)展開(kāi)。而戰(zhàn)略情報(bào)則是涵蓋地緣政治、行業(yè)和商業(yè)背景等更宏觀(guān)層面的信息。在NCC，Hull有三個(gè)不同的團(tuán)隊(duì)分別專(zhuān)注于這三個(gè)領(lǐng)域，以確保項(xiàng)目在每個(gè)方面都恰到好處。

戰(zhàn)略情報(bào)通常是組織最容易忽視的部分，而它往往能帶來(lái)最大的財(cái)務(wù)價(jià)值，因?yàn)閼?zhàn)略情報(bào)可以幫助根據(jù)威脅態(tài)勢(shì)的實(shí)際發(fā)展來(lái)優(yōu)先排序支出。此外，戰(zhàn)略情報(bào)還能助力CISO們從長(zhǎng)遠(yuǎn)角度證明自身行動(dòng)和投資回報(bào)率?！昂茈y理解CTI能力的投資回報(bào)率。將情報(bào)輸入風(fēng)險(xiǎn)管理流程非常有用，因?yàn)槟憧梢詫⑼{情報(bào)的一些輸入量化到風(fēng)險(xiǎn)管理工作中?！盚ull說(shuō)道，他認(rèn)為這可以引導(dǎo)CISO們邁向更復(fù)雜的網(wǎng)絡(luò)風(fēng)險(xiǎn)量化分析之路。

五、輕視情報(bào)傳播

即使CTI在收集利益相關(guān)者所需的確切優(yōu)質(zhì)情報(bào)方面表現(xiàn)出色，但如果這些情報(bào)沒(méi)有被恰當(dāng)?shù)貍鬟f給需要的人——并且是以對(duì)他們來(lái)說(shuō)有意義的格式呈現(xiàn)，那么所有這些工作都將付諸東流。

“情報(bào)傳播階段常常會(huì)遇到困難，這通常是CTI分析師處理和向利益相關(guān)者交付最終情報(bào)的時(shí)候?！盠erner說(shuō)道。他解釋說(shuō)，許多情報(bào)團(tuán)隊(duì)并不擅長(zhǎng)根據(jù)適當(dāng)受眾來(lái)定制信息。例如，如果為高管層準(zhǔn)備的戰(zhàn)略情報(bào)充斥著縮寫(xiě)和數(shù)據(jù)，那么它將無(wú)法提供太多價(jià)值;同樣，如果戰(zhàn)術(shù)情報(bào)以非結(jié)構(gòu)化報(bào)告的形式呈現(xiàn)，SOC分析師難以處理，那么它也是不可用的。

確保專(zhuān)注且有針對(duì)性地傳播情報(bào)的最佳方式是在需求階段敲定細(xì)節(jié)，Hull表示?！爱?dāng)你設(shè)定這些需求時(shí)，你就確定了傳播發(fā)生的頻率以及傳播機(jī)制?！彼忉屨f(shuō)，關(guān)鍵在于從一開(kāi)始就確定如何使其最容易被相關(guān)利益相關(guān)者獲取和共享。

顯而易見(jiàn)，最大化網(wǎng)絡(luò)安全項(xiàng)目中CTI價(jià)值并無(wú)捷徑可走，但CISO們?nèi)裟軐?zhuān)注于避開(kāi)上述五大誤區(qū)，便更有機(jī)會(huì)從情報(bào)中獲取最大收益，從而在網(wǎng)絡(luò)安全的復(fù)雜戰(zhàn)場(chǎng)上占據(jù)優(yōu)勢(shì)，守護(hù)企業(yè)的數(shù)字資產(chǎn)安全，實(shí)現(xiàn)安全投資的高效轉(zhuǎn)化與持續(xù)增值。

來(lái)源：GoUpSec