如何建立自己的威胁情报战略
答案:1 悬赏:50 手机版
解决时间 2021-04-15 05:56
- 提问者网友:泪痣哥哥
- 2021-04-14 10:26
如何建立自己的威胁情报战略
最佳答案
- 五星知识达人网友:逐風
- 2021-04-14 11:55
此前,我们曾探讨过网络威胁情报分析人员对于企业的意义。专业的分析能够扩展到一系列业务、技术和安全相关的领域,而分析人员能够提供的结果可能会因不同的业务需求而产生很大的差别。
正如来自SurfWatch Labs的首席分析员Aaron Bay概括的那样,“作为一名威胁分析员通常被要求成为‘变色龙’或者扮演很多角色。你需要能够理解安全的技术方面,在暗网的恶意黑客和网络犯罪论坛上晃 荡,理解业务风险,随后将所有的信息都提取成有价值的情报供业务主管们理解。”
分析者和防御者
谈到威胁情报分析员,就不得不谈谈防御者。防御者是指在安全运作中心(SOC)工作的人员,他们是战术情报的消费者,通过情报来改进网络防御的目标。SOC防御人员并非情报分析人员,他们并不会主要关注情报周期包括数据收集、分析和输出。
情报分析人员要实现的目的很多。一名分析人员或一个分析团队必须集中在行动上,向CISO汇报,并将战术层面的东西提升到行动层面。另外,他们必须集中关注战略,将网络风险与其对业务的影响联系起来。他们的汇报对象是高级领导、首席执行官及董事会。
根据你所需要的分析类型以及分析人员的关注点,你首先必须做的事情就是决定情报的重要程度。
建立自己的威胁情报战略
作为一名实干家,很少会谈论一个组织机构的战略。当跟新客户合作时,首先会询问客户使用情报的人员是谁、是否有自己的规划以及是否确定需要帮助填补 的空白领域,也就是说客户是想要生成何种情报产品。遗憾的是,客户常常并没有自己的计划,他们只是要得到更多的“洞见”。而这种“洞见”或者说规划常常需 要两个主要组成部分,一个是搜集计划,一个是管理计划。
1.收集计划——也就是根据决策者的需求来定义“什么”。包括需求(即谁是决策者?决策者的意图确定了吗?决策者的担忧是什么以及他们需要哪方面的 补充?)、需求的优先顺序(即哪个要求最重要?哪个高级别要求依赖于低级别的数据收集?)、以及来源(威胁情报数据的来源是什么?来自内部还是外部还是暗 网等?威胁情报数据与决策者的相关性有多大?)
2.管理计划——威胁情报是一种持续的生命周期,要求人力、流程和技术通力合作来保证计划的运行。情报并不仅仅是一种内容或者工具。情报也并非是一 种项目。它是一种需要像计划一样被运行而且同样需要资源管理。管理计划主要集中于“如何”,而且应该包括资产/资源(人员是分析者还是防御者?工具是原始 数据还是被评估的情报等?——、请求/任务、以及反馈(需求得到满足了吗?完成的情报产品及时、准确、相关吗?完成的情报产品对于作出决策重要吗?)
我们要讨论的底线就是,“规划”应该能够从情报的角度来确定为何从事现在的工作。而且除非信息来源支持收集需求,才能消费信息来源,而且除非决策者有此需求,否则你不应该花费时间收集数据。
总之,威胁情报其实就是关于减少不确定性——将未知的未知事件转换为已知的已知事件。唯有如此,情报功能才会分级运行,实现不同的目标并持续得到改进。
E安全注:转载请保留出处与链接,不得删减内容。
正如来自SurfWatch Labs的首席分析员Aaron Bay概括的那样,“作为一名威胁分析员通常被要求成为‘变色龙’或者扮演很多角色。你需要能够理解安全的技术方面,在暗网的恶意黑客和网络犯罪论坛上晃 荡,理解业务风险,随后将所有的信息都提取成有价值的情报供业务主管们理解。”
分析者和防御者
谈到威胁情报分析员,就不得不谈谈防御者。防御者是指在安全运作中心(SOC)工作的人员,他们是战术情报的消费者,通过情报来改进网络防御的目标。SOC防御人员并非情报分析人员,他们并不会主要关注情报周期包括数据收集、分析和输出。
情报分析人员要实现的目的很多。一名分析人员或一个分析团队必须集中在行动上,向CISO汇报,并将战术层面的东西提升到行动层面。另外,他们必须集中关注战略,将网络风险与其对业务的影响联系起来。他们的汇报对象是高级领导、首席执行官及董事会。
根据你所需要的分析类型以及分析人员的关注点,你首先必须做的事情就是决定情报的重要程度。
建立自己的威胁情报战略
作为一名实干家,很少会谈论一个组织机构的战略。当跟新客户合作时,首先会询问客户使用情报的人员是谁、是否有自己的规划以及是否确定需要帮助填补 的空白领域,也就是说客户是想要生成何种情报产品。遗憾的是,客户常常并没有自己的计划,他们只是要得到更多的“洞见”。而这种“洞见”或者说规划常常需 要两个主要组成部分,一个是搜集计划,一个是管理计划。
1.收集计划——也就是根据决策者的需求来定义“什么”。包括需求(即谁是决策者?决策者的意图确定了吗?决策者的担忧是什么以及他们需要哪方面的 补充?)、需求的优先顺序(即哪个要求最重要?哪个高级别要求依赖于低级别的数据收集?)、以及来源(威胁情报数据的来源是什么?来自内部还是外部还是暗 网等?威胁情报数据与决策者的相关性有多大?)
2.管理计划——威胁情报是一种持续的生命周期,要求人力、流程和技术通力合作来保证计划的运行。情报并不仅仅是一种内容或者工具。情报也并非是一 种项目。它是一种需要像计划一样被运行而且同样需要资源管理。管理计划主要集中于“如何”,而且应该包括资产/资源(人员是分析者还是防御者?工具是原始 数据还是被评估的情报等?——、请求/任务、以及反馈(需求得到满足了吗?完成的情报产品及时、准确、相关吗?完成的情报产品对于作出决策重要吗?)
我们要讨论的底线就是,“规划”应该能够从情报的角度来确定为何从事现在的工作。而且除非信息来源支持收集需求,才能消费信息来源,而且除非决策者有此需求,否则你不应该花费时间收集数据。
总之,威胁情报其实就是关于减少不确定性——将未知的未知事件转换为已知的已知事件。唯有如此,情报功能才会分级运行,实现不同的目标并持续得到改进。
E安全注:转载请保留出处与链接,不得删减内容。
我要举报
如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
点此我要举报以上问答信息
大家都在看
推荐资讯