借助上下文應對威脅情報可行性挑戰

近些年來，威脅情報的重要性逐漸為人所知。但隨著數字化轉型的加速和向混合工作模式的轉變擴大了攻擊面，以及地緣政治事件加劇了保護關鍵基礎設施和敏感數據的難度，威脅情報已經占據了網絡安全工作的中心位置。政府領導認為威脅情報共享和最佳實踐是幫助強化網絡安全和緩解網絡戰影響的關鍵部分。  

最近的調查研究證實了組織對威脅情報的重視，但也揭示了在威脅情報可行性方面遇到的挑戰。基于對1350名業務主管和IT負責人的調查訪問，網絡安全公司Mandiant發布了《威脅情報全球展望》報告。報告指出，盡管幾乎所有（96%）受訪者都對其威脅情報的質量感到滿意，但47%的受訪者難以在整個安全部門中應用威脅情報，70%的受訪者表示至少大部分時間里是在未洞悉對手的情況下做出決策。

自動化有助于實現威脅情報可行性。想要威脅情報具有可行性，單靠自動化還不夠，還需要情景化和優先級排序，這樣你才能在合適的時機對正確的數自動執行操作。為更好地理解這一點，我們不妨深入分析該CRA研究的受訪者提到的威脅情報首要用例：漏洞管理。

2022年，通用漏洞與暴露（CVE）的數量攀升到了25227個之多。然而，可利用漏洞，或者說攻擊者積極利用的漏洞只占其中一小部分。具體到某個特定組織身上，這些可利用漏洞中又只有一小部分會被可能針對該組織的攻擊者和攻擊活動利用。于是，你如何知道所屬組織應該重視哪些漏洞呢？

我們不妨用韋恩圖來示意一下：漏洞管理是一個圓，源自內部和外部上下文的情報是第二個圓。兩圓相交的區域就是你的風險區域，你可以根據此上下文對漏洞進行優先級排序。順理成章地，你也可以用上下文來確定緩解的優先級，從而優化漏洞管理流程，為所屬組織取得最佳安全效果。

這種情況下，上下文來自于以下信息：易受攻擊資產的數量及其對組織的重要性、這些資產是否受到保護、漏洞是否遭到大肆利用、攻擊者是否盯上你所處的特定行業或地區，以及你的環境中是否出現了入侵指標（IoC）。這些因素有助于你了解自身環境中漏洞遭到利用的概率。外部的CVE數據、指標、對手及其所用方法，可以幫助你了解漏洞可能造成的后果。而聚合并關聯內部上下文與外部威脅情報，你就可以根據所設的參數自動確定漏洞優先級，組織也就能在合適的時機采取恰當的操作了。

例如，你可能會決定立即處理某個漏洞，因為你在環境中看到了IoC，且已知針對你特定行業或地區的攻擊者正積極利用這個漏洞。或者，你可能會發現這個漏洞與你所處行業無關，因而優先級沒那么高，但你仍可能根據自身風險情況決定修復這個漏洞。又或者，你可能會發現根本沒什么攻擊者在利用這個漏洞，因而立即修復或啟動補償性控制措施毫無意義，盡管你可能會持續監視這個漏洞。

如果缺失了上下文，你修復的漏洞就可能是沒人利用的、優先級低的，或者比這種做無用功的情況更糟：修復甚至會對運營產生負面影響。只有在運用了上下文和自動化的情況下威脅情報才具備可行性。綜合使用方能將威脅情報應用于為組織取得最佳安全效果上。組織也才能盡快減少脆弱資產數量，加快塑造更強大的安全態勢。