发布时间：2019年08月23日

启动威胁情报工作，先确保边界安全！

“要有效地利用威胁情报，需要一种新的集成安全模型，能够应对当今这个数字化转型时代的网络挑战。”

在数字化转型的过程中，随着网络互联的逐渐增加和流入、流出企业网络的数据量不断上升，网络的攻击面也不断扩大，会为网络安全带来更严峻的挑战。在一定程度上，每个企业在国际数据公司数字化转型成熟度标准（IDC DX MaturityScape）¹中所处的位置，基本会反映出该企业在应对这些挑战和操作威胁情报方面的表现。

在受新加坡电信委托撰写的《智能经济中的数字化转型》白皮书中，IDC提到，一方面，一部分企业具有数字化转型主动性，但在战术上与大型企业战略脱节，因而陷入“数字化困境”。而另一方面，在MaturityScape里还有一些有“数字化决定性”的企业，已经制定综合而持续的数字化转型方案，在整个企业中也产生了颠覆性的影响。

在网络安全领域，“数字化决定性”是指那些能够以综合而持续的方式利用威胁情报来提高风险管理的效率和效力，自动化修复任务，并为企业提供集中化的威胁管理服务的人员。

然而，很多企业尽管近年来大力推动建立安全运营中心、部署新的威胁检测技术并更好地利用威胁情报，却仍然处于“困境”。主要原因在于，这些企业试图通过大量的单点工具和手动流程来进行威胁情报工作。

这样的运营方式无法应对数量不断增长的数据源，也无法有效处理企业所面对的日益增加、日趋复杂的威胁。如果没有集成、整合威胁数据和自动化分析的能力，企业将很快达到“警报疲劳”的状态。

与数字化转型一样，首先要得到管理层的支持，并在IT（这里指的是网络安全）部门与业务负责人之间开展开放的对话。

领导者要定义共同目标、按标准衡量进度，并能够确认企业可接受的风险级别，从而判断如何最有效地部署公司有限的IT资源。他们要推动决策制定，并确保这些策略可以转化为强大的执行，如制定变更管理流程、严格的访问控制机制以及自动化的授权和验证规则等。

在构建安全性运营模型时，业务部门和安全部门的充分沟通将有助于确保管理层对这一项目的支持，然后企业才能更好地优化威胁情报的使用。

要有效利用威胁情报，需要企业对情报项目和信息来源进行集中式的监督，并知晓谁在使用这些情报以及出于何种目的。这就意味着，要将所有威胁情报集成到一个平台上，以帮助企业识别冗余和低效，让使用的内容、对象和方式更加合理化。

运营模型还必须确保将威胁情报在正确的时间传递给正确的受众。正如ESG研究报告²中所指出的，“有相关性的威胁情报才是好情报，也就是说，威胁情报只有在正确的时机出现，同时能提供适当的背景信息，才有意义。”

好的威胁情报还应该帮助企业简化应对威胁的决策流程。这就需要使用分析技术将威胁数据转化为可用信息。

一个具有智能自定义选项的良好分析工具应该可以识别威胁的模式并放大真正的威胁，而不是在遇到每个标记的关键字时都发出告警。它需要对数据进行分类、过滤和组合，从而更准确地了解企业面临的威胁。

ESG引用了从威胁源获取的IP地址等二进制数据来举例。这样的一条数据里，可能会有恶意域的信息，也有可能最近蜜罐技术记录了这条IP，或是有某条提示说这个IP可能发送了某种攻击。

ESG报告中提到：“如果有解决方案能够明晰这些不同的线索之间有何联系，就可以提供更多相关的情报信息，帮助用户做出更明智的决定。”

因此，要真正将威胁情报工作纳入运营，企业就需要对大量数据源进行集中监督，并具备强大的分析功能，以确保将情报转化为及时、相关且易于执行的洞见。这是将最终决定企业是走向数字化“决定性”还是数字化“困境”。

¹ 《智慧经济中的数字化转型》：新加坡电信委托IDC撰写的白皮书

² https://go.recordedfuture.com/esg

联系我们：ncs_contact@ncsi.com.cn