■李明澤

“如果沒有將知識付諸實踐，那么它將毫無價值”，這句話如今用在威脅情報身上也是再合適不過了。

在SANS最近進行的一項調查中顯示，超過80%的受訪者表示“威脅情報正在為他們提供價值”。大多數(shù)企業(yè)正在通過將大量全球威脅數(shù)據(jù)集成到共享中央存儲庫中來挖掘其價值。但這只是發(fā)現(xiàn)了威脅情報的“表面價值”。事實上，威脅情報還可以加速安全操作，這才是其價值的真正體現(xiàn)。

以下是將威脅情報投入實踐后能夠解決的5種常見安全操作挑戰(zhàn)：

1.警報過載

多項研究指出，安全專業(yè)人員正在被警報所淹沒。最近，《思科2018安全能力基準研究》報告發(fā)現(xiàn)，由于種種限制，組織僅可調查其在一天當中收到的安全警報中的56%。而在受到調查且被視為有效的警報中，有近一半（49%）的警報沒有得到補救。通常而言，安全運營中心的安全操作人員會率先感受到這種警報過載帶來的窒息感，因為他們需要承擔手動關聯(lián)日志和事件，以進行調查和其他活動的繁重任務。

通過環(huán)境內(nèi)部的事件和相關指標來自動增加和豐富外部數(shù)據(jù)，使你有能力洞悉事件發(fā)生的細節(jié)，例如：何人于何時、何地、攻擊了什么，為什么以及如何進行的攻擊等信息。你可以使用威脅評分來進一步縮小數(shù)據(jù)集規(guī)模，然而，僅僅依靠情報提供商給出的“通用、全局性”分數(shù)實際上可能會產(chǎn)生誤報和無效警報，因為分數(shù)并不是根據(jù)你特定環(huán)境的上下文給出的。對此，你可以根據(jù)自己設置的參數(shù)（例如周圍指標來源、類型、屬性和上下文以及對手屬性等）使用定制的威脅評分，從而允許制定威脅情報優(yōu)先級，從根據(jù)輕重緩急做出相應的決策，避免因為不必要的警報浪費時間，也不至于忽略重點而錯過最佳防御時機。

2.誤報

浪費時間和資源來追逐虛假情報可能會造成非常昂貴的代價。事實上，Ponemon的研究將誤報列為終端保護的頭號“隱藏”成本。定制的威脅分數(shù)可以讓您專注于與您的組織相關的內(nèi)容，并優(yōu)先考慮威脅情報，以減少誤報，但你可能還是會偏離重點。這時候，你可以利用現(xiàn)有的案例管理工具或安全信息和事件管理來自動共享相關的優(yōu)先級威脅情報，這些系統(tǒng)可以更高效地執(zhí)行優(yōu)先級事項，并減少誤報。

3.防御缺口

盡管組織已經(jīng)部署了多點產(chǎn)品作為其深度防御戰(zhàn)略的一部分，但是妥協(xié)和違規(guī)的數(shù)量和速度仍在持續(xù)增加。原因在于，這些保護層在很大程度上是未整合的，都在“孤島”中運行，難以管理，同時也為防御方面造成空白。

威脅情報可以作為整合這些不同技術的耦合劑，在正確的時間與正確的工具分享正確的情報。你可以將整合的威脅情報直接導出到你的傳感器網(wǎng)絡（防火墻、防病毒軟件、IPS/IDS、網(wǎng)絡和電子郵件安全、端點檢測和響應以及NetFlow等），允許這些工具生成并應用更新的策略以降低風險。此外，你也可以采取積極主動的預防性方法來進行防御，以更有效地防止未來可能發(fā)生的攻擊。

4.知識協(xié)同

除了安全工具外，安全團隊通常也是在“孤島”中運行，這使得他們無法共享情報并協(xié)同工作。但是，如果團隊成員可以在單一環(huán)境中工作，共享同一組威脅數(shù)據(jù)和證據(jù)，則可以協(xié)作進行調查。通過觀察他人的工作并分享見解，他們可以更快地發(fā)現(xiàn)威脅，甚至可以利用這些知識來樞軸轉動并加速并行的調查，因為這些調查通常是相互隔離但又密切相關的。此外，他們還可以存儲關于對手及其戰(zhàn)術、技術和程序（TTP）的調查記錄，這些記錄可以作為集中記憶以便于未來的調查。

5.混亂的環(huán)境

當需要采取行動的時候，大多數(shù)安全行動或調查都是在混亂中進行的，因為各個團隊都是獨立行事并且效率低下。一個單一的共享環(huán)境，所有安全團隊的管理人員都可以看到分析結果的展開，使得他們能夠在團隊之間協(xié)調任務并監(jiān)控時間表和結果。威脅情報分析人員、安全操作中心（SOC）和事件響應人員可以協(xié)同工作，更快地采取正確行動，縮短響應和補救的時間。

“威脅情報能夠提供價值”的觀點早已得到安全行業(yè)的廣泛認同?，F(xiàn)在我們真正需要分享的是“如何將威脅情報投入實踐以解決我們最棘手的安全操作挑戰(zhàn)”的共識。答案在于，利用威脅情報能夠在整個威脅分析和事件響應過程中為我們提供更多關注點，以幫助我們更好地制定決策并協(xié)作工作。