新年新气象,有新策略要实现,新预算要平衡,新威胁要防止。过去1年中,更多公司对威胁情报的理解更加深入,逐渐转向开始从优良情报获益的计划和实现过程。
计划往公司安全和风险项目中添加威胁情报的第一步,真心应该紧紧围绕以下几个关键问题展开:
- 我们想要的情报目标是什么?
- 情报应服务的主要利益相关者是谁?
- 我们最想要保护的资产和信息是什么?
- 情报应该影响的决策和结果是什么?
- 结果该怎样衡量?
- 我们已经在收集内部情报了吗?
- 是外包情报运营,还是内部运营,或者来个混搭?
无论你的网络威胁情报计划和过程是什么,它都应该驱动更快更智能的决策来最小化风险暴露。如果没能对此目标有所帮助,那不如叫停项目,好好想想需要做哪些改变,来让情报更好地保护你的公司。
大公司有安全运营中心(SOC),分析师们24小时三班倒工作。网络成熟度欠佳的小公司没有这些员工和工具,需要通过外包的形式来获得网络风险指导。使用威胁情报且有小型情报运维的公司,还想用混合/共同管理的方法来获得“力量倍增”。
无论是聘用了威胁情报分析师,与厂商合作,还是二者兼而有之,你都需要确保有合适的人(以及工具)来做这件事。复杂的地方在于,就像不是每一个威胁情报都相同一样,每一个威胁情报分析师也是不尽相同的。情报分析师可能具备不同领域的专业知识,比如,有些更偏技术,有些更关注风险,有些对特定工具更加熟练等等。在将视线投向寻求厂商合作或聘用内部网络威胁情报分析师之前,你得首先确定自己的最终目标,确保二者完美匹配。
在情报分析师身上,确实存在某些核心特质和能力,是招聘时可以用作考量的基准。
就整体角色而言,情报分析师应该具备从各种源规划和收集情报的能力,要能追踪威胁,识别和跟踪恶意资产和基础设施,还要能综合分析多种威胁及事件数据以产出具支持证据的最终情报。由于利益相关者会提出请求和问题,分析师自己也可能需要向不同人群展示或解释情报,所以良好的人际沟通技巧也是需具备的一个重要特质。对细节的关注同样重要,因为细节与分析及结论的宽度和广度相关。
分析师身上“需要”和“希望具备”的其他技术还包括:
需要
- 熟知情报分析或有强烈的学习欲望,包括谍报分析,以及表现出批判性思维技能;
- 熟悉当前黑客技术、对手方法学、漏洞分析、事件和数据泄露分析、网络防御技术;
- 处理敏感信息时表现出优秀的品格和判断力;
- 在最小监管下对情报目标进行独立研究的能力,既对细节绝对关注,又有理解事件整体视图的渴望;
- 设计、起草、发表高品质技术和商业级情报报告、研究、白皮书和博客的切实能力。
希望具备的技术
- 有主流操作系统技术工作经历和对数据库技术的理解;
- 坚实的网络专业知识和对路由协议的理解;
- 对安全监视方法学有所浸淫,比如抓包、流数据、模式、观察列表、黑名单、日志解析、关联、分类、事件产生、过滤。
正如前文提到的,情报分析师的类型很多,有些本质上更偏技术,另一些则更像是有分析和谍报背景。“完美”的分析师应该是什么样子,这个问题并没有一个标准的答案。根本原因在于:你先得弄清自己要解决的问题是什么,然后在此基础上招募人手。
新闻报道总在说安全预算又涨了多少多少,然而出于某些原因,情况似乎并没有什么改善。原因何在?因为我们没有把合适的资源用来标定最大的问题领域。情报工作的首要目标,应该专注在回答这个问题上。
怎样让威胁情报真正为企业服务
威胁情报指南
首席信息安全官:威胁情报到底能干什么?
我们需要什么样的威胁情报分析师?
企业如何从威胁情报中受益
改进威胁情报策略的九种方式
360网神新一代威胁情报产品发布
怎样说服董事会支持威胁情报
想上威胁情报?先搞明白这五个问题吧