我们需要的是安全知识而不仅仅是威胁情报

如今的组织正在努力抵御各式各样的网络攻击，对于他们来说，数据有利亦有弊。企业依赖从外部环境中获取的数据，例如网络安全和基础设施安全局(CISA)的警报、供应商提供的数据以及威胁情报feed。然而，如果无法正确地使用这些信息，那么该信息也会反过来成为致命的威胁。同时，企业还时常会忽略位于其内部环境中的重要数据。

要想有效地利用威胁情报，企业首先需要了解其环境中发生的事情，以及员工是如何使用网络资源的。结合具体的情况，企业可以通过明确且独特的方式来解释、定制和利用威胁情报。此定制化的基线可以帮助识别环境中的异常及其造成的危害。倘若组织并不知道自己的内部系统应该做什么，那么世界上所有的外部威胁数据都对该企业都没有用处。

一般来说，企业对于安全问题的解决都过于依赖于安全产品。如今的安全团队不是安全工作的从业者，反倒是成了安全警报的消费者。安全专业人员的工作不应该只是盯着具有强大功能的工具，而是要看到幕后的东西。

例如，杀毒软件和端点检测与响应(EDR)工具可帮助安全团队降低日志噪音，密切关注端点并识别已知威胁，但它们无法识别环境中所有的威胁。仅依靠传统工具实际上是失败的证明。经验丰富的攻击者可以对组织用来保护系统的工具进行反求工程。他们知道这些工具是如何工作的，以及其功能和缺点。为什么攻击者比安全团队更了解其组织的系统呢？

使用这些提示将威胁情报转化为安全知识：

1、使用多个数据源。无论如何，利用威胁情报feed和CISA的警报，但同时也要了解它们的局限性。威胁情报 feed限制了信息的类型（策略、技术、IP地址、域名或者文件散列），并且企业收到的警报往往都是几个月前的内容。新信息不仅要适用于如今的系统方式，也要对过去的方式同样适用。如果可以跨越时间地对洞察力进行查看，组织就可以在持续的安全完整性中实现更高水平的安全意识和信心。

2、使数据可操作。安全专业人员通常不认为威胁情报有价值，因为它通常缺乏具体环境。如果组织不明白为什么地址被认为是错误的，或者地址是什么时候被识别为错误的，那么IP地址列表就只是一堆数据而已。组织通常会订阅十多个威胁信息推送来源，这意味着他们每天可能会获得数百万条信息。而这些信息中的大多数都与组织的业务无关，并且可能会产生误报。这会使成本翻倍。首先是在企业的安全装备中使用此信息的成本。想象一下，试图匹配来自EDR，网络检测与响应以及入侵检测系统的日志卷中的数百万条被攻击指标。同时还包括处理误报以及非重要信息的相关费用。

最好的解决方案就是将那些从第三方获得的威胁情报视为分析的跳板，而不是最终的分析结果。例如，威胁情报中表明含有特定MD5哈希的文件是恶意的。尽管组织中可能并没有此种类型的文件，但有可能是因为它们已经发生了变异。了解环境中存在的相似性和联系，以及它们与威胁数据的差距。要成为真正安全从业者，情报feed正是下一个进化步骤。

3、拥有安全知识心态。威胁情报并不是你拥有的东西，而是你做的事情。不要盲目地去购买安全产品。要了解其工作原理以及局限性。要问自己这个问题：“攻击者为什么要避开它？”安全消费者永远不会问这样的问题，而安全从业者则会涉及团队和职能。它们打破了团队导向的思维方式，促进了知识的共享。那些被事件响应者归因于“异常活动”的内容可能会揭示出积极的威胁研究案例。

安全运营中心(SOC)，事件响应和研究团队周围的功能墙干扰了有效的通信和信息共享。这三者使用不同的工具，应该实时相互提供信息。例如，SOC使用SIEM，IR使用取证工具，而威胁 情报用户使用威胁情报平台。高管们需要使一个运营结构正式化，以打破筒仓，并减少那些阻碍团队之间共享安全知识的工具碎片。

威胁 情报 是一个好东西，但如果企业被局限在筒仓中，那么它的有效性就会降低。若企业可以打破筒仓并对具体的环境进行分析，那么就可以将情报转化为符合企业特征的可操作安全知识。为了实现这一目标，CEO和董事会需要对安全从业者的价值进行自上而下的审视。

数世点评

企业对于网络攻击的抵御实际上是安全专业人员依据外部获取的威胁情报，并结合自身所拥有的安全知识经验，来作出的对于威胁事件响应的决策。无论是不同来源的安全数据还是各种功能的安全工具，对于安全工作来讲都算是一种辅助，而其价值能否得以有效发挥，最终皆取决于安全人员实际所拥有的安全知识与威胁治理能力。同时，外部获取的安全数据通常是以静态的方式存在，只有结合具体的环境分析，将其与实际情况联系起来，才能够激活该静态数据。而激活后所形成的威胁知识才真正具有实际的利用价值。