情报小讲堂(1)：如何让威胁情报为你服务？

在安全领域，几乎每个人都知道威胁情报一词，甚至一些非安全人员现在也将威胁情报挂在嘴边，但究竟什么是威胁情报? Gartner将其贴切的解释为“基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现有的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。

提起威胁情报，最先浮现在你脑海里的是什么？

许多人会认为威胁情报是“领先于攻击者的机会”，甚至强大到可以让你准确的了解在何时，何地以及会受到谁的攻击。当然，这有时候真的是可能的。一些黑客组织在行动前会通过社交媒体发布他们的目标，并可能使用一套可预测的战术，技术和过程，也就是常说的TTPs(Tactics,Techniques,and Procedures)。但是大多数时候，这并不是情报工作的方式。例如，对于一个还未对威胁情报有较大投入，并且没有足够的设备资源来收集和处理情报的组织或者机构，可能无法随时获得可操作的威胁情报或资讯。

也就是说，这个“领先于攻击者”的想法是很好的。正确地应用威胁情报，可以让你有机会主动地减轻最紧迫的威胁，而不仅仅是被动的对攻击或传入的警报流作出反应。这主要通过两种方式实现：理解你所面临网络风险，提高安全运营的效率和信心。现在让我们更详细的看看这两个问题。

在现有技术下百分之百的安全是不存在，所以惟一合理的安全方法是基于风险的方法。在能接受的风险和安全投资间寻找一个能接受的平衡点。

对于一般的中小企业而言，去防范由国家赞助的APT组织的攻击是不现实的。从成本和收益的角度考虑，这种攻击的可能性也是微乎其微的，所以在其预防上投入大量资金就显得没有什么必要。同样的道理，无论公司的大小和行业，基本都会受到恶意电子邮件的攻击，因为这种攻击方式的成本很小，却能取得不错的效果，所以攻击者会大范围使用这种攻击手段。正因如此，公司如果在内容过滤等解决方案上投入一定资源就显得必要且有意义。

当然，明白什么威胁对你来说是最重要的也是不容易的。有可能那些负责安全投资决策的人可以对营销、行业流行语和报纸头条很快做出反应，但当他们开始听到很多关于DDoS攻击、勒索软件或僵尸网络的消息时，他们的注意力可能会从对他们公司更加急迫的威胁上转移。

安全建设时最糟糕的结果是，公司分配资源不是根据公司的需求而是根据对威胁的恐惧程度。这时就是威胁情报大展身手的时候，强大的威胁情报功能可以帮助你认识到你的公司，行业，企业架构所面临的特定威胁，并相应地优先分配安全资源。

威胁情报不应该只是为了给你的安全策略增加新的步骤。实际上，一个强有力的安全情报应该是你安全行动的核心。有效的结合外部的情报和内部的数据，对于现有的安全过程来说可以事半功倍。比如事件响应，大多数组织每天都会经历几十次甚至更多的安全事件，其中大多数是无害的异常。但你怎么知道哪些需要核查，哪些应该被忽略？威胁情报可以在这方面给予你很大的帮助，使你在攻击的早期阶段快速响应，而不必等待着事件变的严重了才发现哪些需要响应。

与许多安全流程不同，威胁情报不仅仅是一个服务于单一目的的工具。您不能简单地采购平台，然后就期望看到立竿见影的结果。为了最大限度地提高威胁情报对你公司的价值，你必须考虑特定的用例（一个或多个需要威胁情报解决的问题），否则你可能无法可靠地看到投资回报。因为如果你不知道自己要实现的目标，唯一的选择就是尽可能扩大你的威胁情报所覆盖的范围。鉴于即使是最基本的威胁情报产品也可以获得大量数据，所以这种方法只会导致一件事：被这些数据压垮。

为了避免这些问题，你必须就威胁情报计划解决的具体问题达成一致意见。例如，你可能希望：识别泄露的证书；优先漏洞修复；监控品牌的在线提及；新出现威胁的发现；追踪你的行业中的黑客活动；研究攻击者战术、技术和程序（TTPS）等。根据您的需要，任何这些用例都可能是一个有价值的目标。清楚地了解了你的目标之后，你的安全团队利用相关的威胁情报更好的提升和使用相关的技能。

但是，从一开始就追求所有这些用例，会对你的安全团队造成很大的负担。他们不会主动采取措施来缓解最紧迫的威胁，而是被迫对无法管理的传入警报做出反应，却忽视了最重要的警报。所以在寻找服务或提供商时，寻找具备专业知识的人来支持你自己的团队。这将确保你在开发威胁情报功能时从你的投资中获得最大收益。