我們需要的是安全知識而不僅僅是威脅情報

如今的組織正在努力抵御各式各樣的網絡攻擊，對于他們來說，數據有利亦有弊。企業依賴從外部環境中獲取的數據，例如網絡安全和基礎設施安全局(CISA)的警報、供應商提供的數據以及威脅情報feed。然而，如果無法正確地使用這些信息，那么該信息也會反過來成為致命的威脅。同時，企業還時常會忽略位于其內部環境中的重要數據。

要想有效地利用威脅情報，企業首先需要了解其環境中發生的事情，以及員工是如何使用網絡資源的。結合具體的情況，企業可以通過明確且獨特的方式來解釋、定制和利用威脅情報。此定制化的基線可以幫助識別環境中的異常及其造成的危害。倘若組織并不知道自己的內部系統應該做什么，那么世界上所有的外部威脅數據都對該企業都沒有用處。

一般來說，企業對于安全問題的解決都過于依賴于安全產品。如今的安全團隊不是安全工作的從業者，反倒是成了安全警報的消費者。安全專業人員的工作不應該只是盯著具有強大功能的工具，而是要看到幕后的東西。

例如，殺毒軟件和端點檢測與響應(EDR)工具可幫助安全團隊降低日志噪音，密切關注端點并識別已知威脅，但它們無法識別環境中所有的威脅。僅依靠傳統工具實際上是失敗的證明。經驗豐富的攻擊者可以對組織用來保護系統的工具進行反求工程。他們知道這些工具是如何工作的，以及其功能和缺點。為什么攻擊者比安全團隊更了解其組織的系統呢？

使用這些提示將威脅情報轉化為安全知識：

1、使用多個數據源。無論如何，利用威脅情報feed和CISA的警報，但同時也要了解它們的局限性。威脅情報 feed限制了信息的類型（策略、技術、IP地址、域名或者文件散列），并且企業收到的警報往往都是幾個月前的內容。新信息不僅要適用于如今的系統方式，也要對過去的方式同樣適用。如果可以跨越時間地對洞察力進行查看，組織就可以在持續的安全完整性中實現更高水平的安全意識和信心。

2、使數據可操作。安全專業人員通常不認為威脅情報有價值，因為它通常缺乏具體環境。如果組織不明白為什么地址被認為是錯誤的，或者地址是什么時候被識別為錯誤的，那么IP地址列表就只是一堆數據而已。組織通常會訂閱十多個威脅信息推送來源，這意味著他們每天可能會獲得數百萬條信息。而這些信息中的大多數都與組織的業務無關，并且可能會產生誤報。這會使成本翻倍。首先是在企業的安全裝備中使用此信息的成本。想象一下，試圖匹配來自EDR，網絡檢測與響應以及入侵檢測系統的日志卷中的數百萬條被攻擊指標。同時還包括處理誤報以及非重要信息的相關費用。

最好的解決方案就是將那些從第三方獲得的威脅情報視為分析的跳板，而不是最終的分析結果。例如，威脅情報中表明含有特定MD5哈希的文件是惡意的。盡管組織中可能并沒有此種類型的文件，但有可能是因為它們已經發生了變異。了解環境中存在的相似性和聯系，以及它們與威脅數據的差距。要成為真正安全從業者，情報feed正是下一個進化步驟。

3、擁有安全知識心態。威脅情報并不是你擁有的東西，而是你做的事情。不要盲目地去購買安全產品。要了解其工作原理以及局限性。要問自己這個問題：“攻擊者為什么要避開它？”安全消費者永遠不會問這樣的問題，而安全從業者則會涉及團隊和職能。它們打破了團隊導向的思維方式，促進了知識的共享。那些被事件響應者歸因于“異常活動”的內容可能會揭示出積極的威脅研究案例。

安全運營中心(SOC)，事件響應和研究團隊周圍的功能墻干擾了有效的通信和信息共享。這三者使用不同的工具，應該實時相互提供信息。例如，SOC使用SIEM，IR使用取證工具，而威脅 情報用戶使用威脅情報平臺。高管們需要使一個運營結構正式化，以打破筒倉，并減少那些阻礙團隊之間共享安全知識的工具碎片。

威脅 情報 是一個好東西，但如果企業被局限在筒倉中，那么它的有效性就會降低。若企業可以打破筒倉并對具體的環境進行分析，那么就可以將情報轉化為符合企業特征的可操作安全知識。為了實現這一目標，CEO和董事會需要對安全從業者的價值進行自上而下的審視。

數世點評

企業對于網絡攻擊的抵御實際上是安全專業人員依據外部獲取的威脅情報，并結合自身所擁有的安全知識經驗，來作出的對于威脅事件響應的決策。無論是不同來源的安全數據還是各種功能的安全工具，對于安全工作來講都算是一種輔助，而其價值能否得以有效發揮，最終皆取決于安全人員實際所擁有的安全知識與威脅治理能力。同時，外部獲取的安全數據通常是以靜態的方式存在，只有結合具體的環境分析，將其與實際情況聯系起來，才能夠激活該靜態數據。而激活后所形成的威脅知識才真正具有實際的利用價值。