成熟网络威胁情报计划的几个特征

今年早些时候，企业战略集团（ESG）发布了一份调研报告，呈现了企业在其整体网络安全战略中融入威胁情报的情况。该研究项目包含对380位企业网络安全专业人员的调查（企业雇员规模超1000人）。

受访人员被问及所属企业网络威胁情报（CTI）计划的相关问题：CTI计划的人员配备情况如何？何种技术是最重要的？面临哪些挑战？有何策略？支出计划是什么样的？此前也有几篇文章详细解读该项研究：有给出企业威胁情报计划概况的，有审视威胁情报生命周期所面临挑战的，有聚焦CTI和数字风险保护（DRP）间交叉点的。

在企业CTI计划问题上，二八定律同样适用。具体而言，80%的企业设置有基本的威胁情报计划，而20%则更进一步。但即使在CTI计划更加高级的这20%里面，也没几家企业拥有精心设计的威胁情报生命周期、既定的流程和指标，并且始终如一地遵循最佳实践。

为什么会出现这种情况？因为大多数企业只是将威胁情报当成了已知恶意文件、IP地址和网站域名等用来参考和充实警报的入侵指标（IoC）。很少有企业将自动化IoC发现纳入阻止规则，参照MITRE ATT&CK框架制定自身威胁情报计划的企业就更少了，于是大部分企业都无法跟踪攻击者战术、技术与程序（TTP）来创建检测规则、构建威胁知情防御或验证自己的安全控制措施。说到CTI计划，做到顶尖的毕竟只是极少数，基本都是金融服务、大型科技公司、国家军队和情报机构。

成熟网络威胁情报的特征

考虑到企业威胁情报计划的现状，受访人员被问及成熟CTI计划的几个特征。他们的回答和相应分析如下：

● 31%的安全专业人员认为，成熟CTI计划必须包含信息传播，让特定个人和团队看到为其定制的报告。威胁情报传播是威胁情报生命周期中的一个阶段，CTI计划必须包含这一部分的认知是合理的。此处的关键在于，威胁情报必须及时、相关，并根据业务、技术和安全专业人员的需求定制。最后，威胁情报消费者有必要向CTI团队提供反馈。报告是否有用？还需要什么？这种反馈会推动CTI计划持续改进。

● 28%的安全专业人员认为，成熟CTI计划必须含有大量数据源。这一点倒是未必。没错，成熟CTI计划确实要收集、处理和分析大量威胁数据，但并不是威胁情报情报越多就越理想。事实上，这项研究揭示，许多企业很快就被海量威胁情报淹没，难以从中淘出真正有用的那根针。成熟CTI计划收集、处理和分析适当的数据，而未必是最多的数据。

● 27%的安全专业人员认为，成熟CTI计划必须包含与其他安全技术的集成。基本同意，但有一点需要注意。威胁情报计划可具有战术、运营和战略方面的用途。比如充实警报（战术）、帮助公司创建威胁知情的防御（运营），或者协调网络风险与业务计划（战略）。将CTI与其他安全技术的集成放到战术和运营的交叉点上可能会比较好。有必要吗？是的。成熟度的表征？未必。

● 23%的安全专业人员认为，成熟CTI计划必须包含持续测试安全控制措施能否抵御新型威胁和对手的能力。这条算是摸着成熟度的门儿了。成熟CTI计划会与渗透测试和红队紧密结合，测试安全防御措施能否抵御现代针对性攻击中用到的对手TTP。如果这一过程是持续且管理完善的，那无疑是成熟的标志。

● 23%的安全专业人员认为，成熟CTI计划必须具有明确的目标、目的和指标以追求持续完善。完全同意这一点。威胁情报生命周期的第一阶段就是规划和指导。在这一阶段，业务、技术和安全经理与CTI分析师团队合作，确定符合业务和任务目标的重点情报需求（PIR）。作为规划过程和PIR的一部分，CTI计划团队必须定义成功指标，持续衡量其表现，并将这些指标上报给自己的经理。如果缺乏前期规划和指标，CTI计划就会很快流于理论练习，对企业毫无价值。

● 21%的安全专业人员认为，成熟CTI计划必须包含阻止新发现IoC的自动化流程。这是个类似前面提到的CTI需与安全控制措施集成的战术要求。成熟CTI计划可以做到这一点，但这么做并不会让你的CTI计划变得成熟。

别误会，上述所有数据点都应该是CTI计划的一部分。换句话说，这项研究凸显出，大多数企业没有成熟的CTI计划，许多安全专业人员也不清楚成熟的CTII计划是什么样子的。强大的CTI计划在正确执行的情况下肯定可以加强安全防御，因此，如果找托管服务提供商来帮助弥合这一差距，而不是自己得过且过，很多企业都能从中收获极大益处。