返回IT运维网
  • |
  • 文章EID:
  • |
  • 账号:
  • 密码:
如何建立自己的威胁情报战略
2016-08-22 网络 / 转载
正如来自SurfWatch Labs的首席分析员Aaron Bay概括的那样,“作为一名威胁分析员通常被要求成为‘变色龙’或者扮演很多角色。你需要能够理解安全的技术方面,在暗网的恶意黑客和网络犯罪论坛上晃 荡,理解业务风险,随后将所有的信息都提取成有价值的情报供业务主管们理解。”
 
分析者和防御者
 
谈到威胁情报分析员,就不得不谈谈防御者。防御者是指在安全运作中心(SOC)工作的人员,他们是战术情报的消费者,通过情报来改进网络防御的目标。SOC防御人员并非情报分析人员,他们并不会主要关注情报周期包括数据收集、分析和输出。
 
情报分析人员要实现的目的很多。一名分析人员或一个分析团队必须集中在行动上,向CISO汇报,并将战术层面的东西提升到行动层面。另外,他们必须集中关注战略,将网络风险与其对业务的影响联系起来。他们的汇报对象是高级领导、首席执行官及董事会。
 
根据你所需要的分析类型以及分析人员的关注点,你首先必须做的事情就是决定情报的重要程度。
 
建立自己的威胁情报战略
 
作为一名实干家,很少会谈论一个组织机构的战略。当跟新客户合作时,首先会询问客户使用情报的人员是谁、是否有自己的规划以及是否确定需要帮助填补 的空白领域,也就是说客户是想要生成何种情报产品。遗憾的是,客户常常并没有自己的计划,他们只是要得到更多的“洞见”。而这种“洞见”或者说规划常常需 要两个主要组成部分,一个是搜集计划,一个是管理计划。
 
1.收集计划——也就是根据决策者的需求来定义“什么”。包括需求(即谁是决策者?决策者的意图确定了吗?决策者的担忧是什么以及他们需要哪方面的 补充?)、需求的优先顺序(即哪个要求最重要?哪个高级别要求依赖于低级别的数据收集?)、以及来源(威胁情报数据的来源是什么?来自内部还是外部还是暗 网等?威胁情报数据与决策者的相关性有多大?)
 
2.管理计划——威胁情报是一种持续的生命周期,要求人力、流程和技术通力合作来保证计划的运行。情报并不仅仅是一种内容或者工具。情报也并非是一 种项目。它是一种需要像计划一样被运行而且同样需要资源管理。管理计划主要集中于“如何”,而且应该包括资产/资源(人员是分析者还是防御者?工具是原始 数据还是被评估的情报等?——、请求/任务、以及反馈(需求得到满足了吗?完成的情报产品及时、准确、相关吗?完成的情报产品对于作出决策重要吗?)
 
我们要讨论的底线就是,“规划”应该能够从情报的角度来确定为何从事现在的工作。而且除非信息来源支持收集需求,才能消费信息来源,而且除非决策者有此需求,否则你不应该花费时间收集数据。
 
总之,威胁情报其实就是关于减少不确定性——将未知的未知事件转换为已知的已知事件。唯有如此,情报功能才会分级运行,实现不同的目标并持续得到改进。
相关评论 [查看所有评论]
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码:
验证码 看不清?点击更换
相关阅读