关于威胁情报系统需要了解的五件事实

数据已经成为解锁下一代网络安全大门的钥匙。通过掌握与其相关的浩如烟海的庞大数据集，企业能够将信息转化为重要的威胁情报——即具备可操作性的分析结论，帮助安全团队了解攻击者、在正确的位置搜寻威胁活动、在安全漏洞被利用前将其发现并在最糟糕的情况发生时采取合适的应对举措。不过利用数据的力量绝非易事，在这里我们需要了解与威胁情报系统相关的五项基本事实。

竞赛已经开始

我们现今生活的世界当中，每家企业都在一定程度上与数字化挂钩，而且没有哪个行业能够完全回避网络攻击的侵扰；有鉴于此，对于威胁情报的关注亦开始水涨船高。随着企业逐渐放弃传统的响应为主、设备导向的保护战略，而慢慢转向通过情报主导型可视化与控制能力实现的主动检测与响应新道路，我们一直以来所熟知的安全态势正在土崩瓦解。

来自IDC与SecureData发布的独家研究报告调查了英国国内的300家主要企业，并发现96%的受访企业目前正在使用威胁情报产品与服务，而且100%的受访企业计划在未来二十四个月当中部署此类方案。由于安全事故正以前所未有的程度给企业营收与竞争力造成影响，因此各企业自然也需要加快步伐以适应瞬息万变的威胁形势。

IDC研究报告确认称，企业普遍将威胁情报系统视为快捷的攻击检测与响应手段。我们必须认清当前现实，即我们自身不仅会受到攻击，同时亦必然会在某些情况下被恶意人士成功侵入。因此，我们需要越来越多地专注于在破坏活动造成严重危害前将其遏制，从而将日常工作遭受的干扰降至最低水平。

信息不等于情报

无论大家是付费购买季度安全分析报告，还是选择实时新兴威胁提醒，这些信息本身其实都不具备价值。原始数据必须经由合适的人员、合适的流程以及合适的技术加以转换才能真正成为实用且堪用的具体情报。

另外，除非我们能够将分析结论与业务背景信息加以结合，否则其同样无甚作用——所谓业务背景信息包括大家需要保护的资产、所使用之系统以及当前存在的安全漏洞等等。普通威胁数据之所以帮不上忙，是因为我们根本不需要与威胁相关的每一项详细信息——我们需要的是将威胁当中真正会给自身造成影响的小部分内容提取出来并加以审视。

关键组件

将信息转化为情报绝非易事。专业人士、前沿分析方案、完善的流程、实时输出结果以及背景信息结合等手段必须作为整体，才能带来具备可操作性的结论。而且四分之一企业承认“严重缺少”网络技术人才、分析平台成本高昂且运行状况复杂，这一切都是很难解决的大问题。

而限制数据驱动型安全方案的更大挑战也依然存在：即其必须拥有必要的易用性与成本效益。即使是世界上最为准确的威胁情报解决方案，如果其要求投入无穷无尽的人力、巨额预算或者耗时数月才能给出结果，那么将变得完全没有实用性可言。

着眼于IT之外

威胁情报系统在大多数企业当中仍然不够成熟，而如今的CISO们还无法驾驭全局型数据驱动安全方案的全部潜力。

尽管已经有诸多企业通过其IT安全基础设施收集大量信息，但却并非全部企业都能够将此与自身威胁情报平台加以结合。举例来说，能够集成来自防火墙或者UTM设备之数据的企业尚不足60%。与此同时，只有三分之一（34%）受访企业目前能够通过其威胁情报平台收集来自同行企业的威胁或者攻击活动数据。

企业是时候从宏观处着眼了。具体涵盖从各个信息社区中提取信息乃至从物理安全系统中获得分析结论，大家应当着眼于IT之外以了解威胁情报系统当中最具价值的威胁行为与驱动因素信息。

不要孤军奋战

我们的研究结果显示，99%的企业认为威胁情报系统应该成为多种产品及服务的综合性——或者作为一项纯粹的托管服务。

个中理由非常简单：数据驱动型安全方案的构建单元极为繁复，任何一家企业都不可能独力实现。事实上，各受访企业指出他们面对的关键性挑战在于性能与响应时间、培训、专业知识以及由工具、维护与人员带来的相应成本。

随着威胁情报服务的继续普及，整个世界将逐步走向真正的数据驱动型安全时代。利用单一性技术或者服务解决每类新兴挑战的日子已经一去不返。如今只有深刻理解攻击者的思维方式、行动路线以及目标选择条件，企业才能够更为有效地运用现有安全预算并将稀缺资源投入到最为必要的层面当中。

最后，每家企业都在一定程度上与数字化挂钩——并因此成为网络攻击活动的潜在目标。数据驱动型情报让我们有机会打破被动响应、战术性与技术主导型投资的怪圈，通过抢先于实际攻击活动的方式构建网络安全战略，从而更为有效地帮助企业捍卫其最具价值的资产与信息。

E安全/文 转载请注明E安全

新朋友请关注「E安全」微信搜公众号EAQapp