成熟網絡威脅情報計劃的幾個特征

今年早些時候，企業戰略集團（ESG）發布了一份調研報告，呈現了企業在其整體網絡安全戰略中融入威脅情報的情況。該研究項目包含對380位企業網絡安全專業人員的調查（企業雇員規模超1000人）。

受訪人員被問及所屬企業網絡威脅情報（CTI）計劃的相關問題：CTI計劃的人員配備情況如何？何種技術是最重要的？面臨哪些挑戰？有何策略？支出計劃是什么樣的？此前也有幾篇文章詳細解讀該項研究：有給出企業威脅情報計劃概況的，有審視威脅情報生命周期所面臨挑戰的，有聚焦CTI和數字風險保護（DRP）間交叉點的。

在企業CTI計劃問題上，二八定律同樣適用。具體而言，80%的企業設置有基本的威脅情報計劃，而20%則更進一步。但即使在CTI計劃更加高級的這20%里面，也沒幾家企業擁有精心設計的威脅情報生命周期、既定的流程和指標，并且始終如一地遵循最佳實踐。

為什么會出現這種情況？因為大多數企業只是將威脅情報當成了已知惡意文件、IP地址和網站域名等用來參考和充實警報的入侵指標（IoC）。很少有企業將自動化IoC發現納入阻止規則，參照MITRE ATT&CK框架制定自身威脅情報計劃的企業就更少了，于是大部分企業都無法跟蹤攻擊者戰術、技術與程序（TTP）來創建檢測規則、構建威脅知情防御或驗證自己的安全控制措施。說到CTI計劃，做到頂尖的畢竟只是極少數，基本都是金融服務、大型科技公司、國家軍隊和情報機構。

成熟網絡威脅情報的特征

考慮到企業威脅情報計劃的現狀，受訪人員被問及成熟CTI計劃的幾個特征。他們的回答和相應分析如下：

● 31%的安全專業人員認為，成熟CTI計劃必須包含信息傳播，讓特定個人和團隊看到為其定制的報告。威脅情報傳播是威脅情報生命周期中的一個階段，CTI計劃必須包含這一部分的認知是合理的。此處的關鍵在于，威脅情報必須及時、相關，并根據業務、技術和安全專業人員的需求定制。最后，威脅情報消費者有必要向CTI團隊提供反饋。報告是否有用？還需要什么？這種反饋會推動CTI計劃持續改進。

● 28%的安全專業人員認為，成熟CTI計劃必須含有大量數據源。這一點倒是未必。沒錯，成熟CTI計劃確實要收集、處理和分析大量威脅數據，但并不是威脅情報情報越多就越理想。事實上，這項研究揭示，許多企業很快就被海量威脅情報淹沒，難以從中淘出真正有用的那根針。成熟CTI計劃收集、處理和分析適當的數據，而未必是最多的數據。

● 27%的安全專業人員認為，成熟CTI計劃必須包含與其他安全技術的集成。基本同意，但有一點需要注意。威脅情報計劃可具有戰術、運營和戰略方面的用途。比如充實警報（戰術）、幫助公司創建威脅知情的防御（運營），或者協調網絡風險與業務計劃（戰略）。將CTI與其他安全技術的集成放到戰術和運營的交叉點上可能會比較好。有必要嗎？是的。成熟度的表征？未必。

● 23%的安全專業人員認為，成熟CTI計劃必須包含持續測試安全控制措施能否抵御新型威脅和對手的能力。這條算是摸著成熟度的門兒了。成熟CTI計劃會與滲透測試和紅隊緊密結合，測試安全防御措施能否抵御現代針對性攻擊中用到的對手TTP。如果這一過程是持續且管理完善的，那無疑是成熟的標志。

● 23%的安全專業人員認為，成熟CTI計劃必須具有明確的目標、目的和指標以追求持續完善。完全同意這一點。威脅情報生命周期的第一階段就是規劃和指導。在這一階段，業務、技術和安全經理與CTI分析師團隊合作，確定符合業務和任務目標的重點情報需求（PIR）。作為規劃過程和PIR的一部分，CTI計劃團隊必須定義成功指標，持續衡量其表現，并將這些指標上報給自己的經理。如果缺乏前期規劃和指標，CTI計劃就會很快流于理論練習，對企業毫無價值。

● 21%的安全專業人員認為，成熟CTI計劃必須包含阻止新發現IoC的自動化流程。這是個類似前面提到的CTI需與安全控制措施集成的戰術要求。成熟CTI計劃可以做到這一點，但這么做并不會讓你的CTI計劃變得成熟。

別誤會，上述所有數據點都應該是CTI計劃的一部分。換句話說，這項研究凸顯出，大多數企業沒有成熟的CTI計劃，許多安全專業人員也不清楚成熟的CTII計劃是什么樣子的。強大的CTI計劃在正確執行的情況下肯定可以加強安全防御，因此，如果找托管服務提供商來幫助彌合這一差距，而不是自己得過且過，很多企業都能從中收獲極大益處。