借助上下文应对威胁情报可行性挑战

近些年来，威胁情报的重要性逐渐为人所知。但随着数字化转型的加速和向混合工作模式的转变扩大了攻击面，以及地缘政治事件加剧了保护关键基础设施和敏感数据的难度，威胁情报已经占据了网络安全工作的中心位置。政府领导认为威胁情报共享和最佳实践是帮助强化网络安全和缓解网络战影响的关键部分。  

最近的调查研究证实了组织对威胁情报的重视，但也揭示了在威胁情报可行性方面遇到的挑战。基于对1350名业务主管和IT负责人的调查访问，网络安全公司Mandiant发布了《威胁情报全球展望》报告。报告指出，尽管几乎所有（96%）受访者都对其威胁情报的质量感到满意，但47%的受访者难以在整个安全部门中应用威胁情报，70%的受访者表示至少大部分时间里是在未洞悉对手的情况下做出决策。

自动化有助于实现威胁情报可行性。想要威胁情报具有可行性，单靠自动化还不够，还需要情景化和优先级排序，这样你才能在合适的时机对正确的数自动执行操作。为更好地理解这一点，我们不妨深入分析该CRA研究的受访者提到的威胁情报首要用例：漏洞管理。

2022年，通用漏洞与暴露（CVE）的数量攀升到了25227个之多。然而，可利用漏洞，或者说攻击者积极利用的漏洞只占其中一小部分。具体到某个特定组织身上，这些可利用漏洞中又只有一小部分会被可能针对该组织的攻击者和攻击活动利用。于是，你如何知道所属组织应该重视哪些漏洞呢？

我们不妨用韦恩图来示意一下：漏洞管理是一个圆，源自内部和外部上下文的情报是第二个圆。两圆相交的区域就是你的风险区域，你可以根据此上下文对漏洞进行优先级排序。顺理成章地，你也可以用上下文来确定缓解的优先级，从而优化漏洞管理流程，为所属组织取得最佳安全效果。

这种情况下，上下文来自于以下信息：易受攻击资产的数量及其对组织的重要性、这些资产是否受到保护、漏洞是否遭到大肆利用、攻击者是否盯上你所处的特定行业或地区，以及你的环境中是否出现了入侵指标（IoC）。这些因素有助于你了解自身环境中漏洞遭到利用的概率。外部的CVE数据、指标、对手及其所用方法，可以帮助你了解漏洞可能造成的后果。而聚合并关联内部上下文与外部威胁情报，你就可以根据所设的参数自动确定漏洞优先级，组织也就能在合适的时机采取恰当的操作了。

例如，你可能会决定立即处理某个漏洞，因为你在环境中看到了IoC，且已知针对你特定行业或地区的攻击者正积极利用这个漏洞。或者，你可能会发现这个漏洞与你所处行业无关，因而优先级没那么高，但你仍可能根据自身风险情况决定修复这个漏洞。又或者，你可能会发现根本没什么攻击者在利用这个漏洞，因而立即修复或启动补偿性控制措施毫无意义，尽管你可能会持续监视这个漏洞。

如果缺失了上下文，你修复的漏洞就可能是没人利用的、优先级低的，或者比这种做无用功的情况更糟：修复甚至会对运营产生负面影响。只有在运用了上下文和自动化的情况下威胁情报才具备可行性。综合使用方能将威胁情报应用于为组织取得最佳安全效果上。组织也才能尽快减少脆弱资产数量，加快塑造更强大的安全态势。