“如果沒有將知識付諸實踐，那么它將毫無價值”，這句話如今用在威脅情報身上也是再合適不過了。

[[228650]]

在SANS最近進(jìn)行的一項調(diào)查中顯示，超過80%的受訪者表示“威脅情報正在為他們提供價值”。大多數(shù)企業(yè)正在通過將大量全球威脅數(shù)據(jù)集成到共享中央存儲庫中來挖掘其價值。但這只是發(fā)現(xiàn)了威脅情報的“表面價值”。事實上，威脅情報還可以加速安全操作，這才是其價值的真正體現(xiàn)。

以下是將威脅情報投入實踐后能夠解決的5種常見安全操作挑戰(zhàn)：

1. 警報過載

多項研究指出，安全專業(yè)人員正在被警報所淹沒。最近，《思科2018安全能力基準(zhǔn)研究》報告發(fā)現(xiàn)，由于種種限制，組織僅可調(diào)查其在一天當(dāng)中收到的安全警報中的 56%。而在受到調(diào)查且被視為有效的警報中，有近一半(49%)的警報沒有得到補(bǔ)救。通常而言，安全運(yùn)營中心(SOC)的安全操作人員會率先感受到這種警報過載帶來的窒息感，因為他們需要承擔(dān)手動關(guān)聯(lián)日志和事件，以進(jìn)行調(diào)查和其他活動的繁重任務(wù)。

通過環(huán)境內(nèi)部的事件和相關(guān)指標(biāo)來自動增加和豐富外部數(shù)據(jù)，使你有能力洞悉事件發(fā)生的細(xì)節(jié)，例如：何人于何時、何地、攻擊了什么，為什么以及如何進(jìn)行的攻擊等信息。你可以使用威脅評分來進(jìn)一步縮小數(shù)據(jù)集規(guī)模，然而，僅僅依靠情報提供商給出的“通用、全局性”分?jǐn)?shù)實際上可能會產(chǎn)生誤報和無效警報，因為分?jǐn)?shù)并不是根據(jù)你特定環(huán)境的上下文給出的。對此，你可以根據(jù)自己設(shè)置的參數(shù)(例如周圍指標(biāo)來源、類型、屬性和上下文以及對手屬性等)使用定制的威脅評分，從而允許制定威脅情報優(yōu)先級，從根據(jù)輕重緩急做出相應(yīng)的決策，避免因為不必要的警報浪費(fèi)時間，也不至于忽略重點而錯過最佳防御時機(jī)。

2. 誤報

浪費(fèi)時間和資源來追逐虛假情報可能會造成非常昂貴的代價。事實上，Ponemon的研究將誤報列為終端保護(hù)的頭號“隱藏”成本。定制的威脅分?jǐn)?shù)可以讓您專注于與您的組織相關(guān)的內(nèi)容，并優(yōu)先考慮威脅情報，以減少誤報，但你可能還是會偏離重點。這時候，你可以利用現(xiàn)有的案例管理工具或SIEM(安全信息和事件管理)來自動共享相關(guān)的優(yōu)先級威脅情報，這些系統(tǒng)可以更高效、更有效地執(zhí)行優(yōu)先級事項，并減少誤報。

3. 防御缺口

盡管組織已經(jīng)部署了多點產(chǎn)品作為其深度防御戰(zhàn)略的一部分，但是妥協(xié)和違規(guī)的數(shù)量和速度仍在持續(xù)增加。原因在于，這些保護(hù)層在很大程度上是未整合的，都在“孤島”中運(yùn)行，難以管理，同時也為防御方面造成空白。

威脅情報可以作為整合這些不同技術(shù)的耦合劑，在正確的時間與正確的工具分享正確的情報。你可以將整合的威脅情報直接導(dǎo)出到你的傳感器網(wǎng)絡(luò)(防火墻、防病毒軟件、IPS / IDS、網(wǎng)絡(luò)和電子郵件安全、端點檢測和響應(yīng)以及NetFlow等)，允許這些工具生成并應(yīng)用更新的策略以降低風(fēng)險。此外，你也可以采取積極主動的預(yù)防性方法來進(jìn)行防御，以更有效地防止未來可能發(fā)生的攻擊。

4. 知識協(xié)同

除了安全工具外，安全團(tuán)隊通常也是在“孤島”中運(yùn)行，這使得他們無法共享情報并協(xié)同工作。但是，如果團(tuán)隊成員可以在單一環(huán)境中工作，共享同一組威脅數(shù)據(jù)和證據(jù)，則可以協(xié)作進(jìn)行調(diào)查。通過觀察他人的工作并分享見解，他們可以更快地發(fā)現(xiàn)威脅，甚至可以利用這些知識來樞軸轉(zhuǎn)動并加速并行的調(diào)查，因為這些調(diào)查通常是相互隔離但又密切相關(guān)的。此外，他們還可以存儲關(guān)于對手及其戰(zhàn)術(shù)、技術(shù)和程序(TTP)的調(diào)查記錄，這些記錄可以作為集中記憶以便于未來的調(diào)查。

5. 混亂的環(huán)境

當(dāng)需要采取行動的時候，大多數(shù)安全行動或調(diào)查都是在混亂中進(jìn)行的，因為各個團(tuán)隊都是獨立行事并且效率低下。一個單一的共享環(huán)境，所有安全團(tuán)隊的管理人員都可以看到分析結(jié)果的展開，使得他們能夠在團(tuán)隊之間協(xié)調(diào)任務(wù)并監(jiān)控時間表和結(jié)果。威脅情報分析人員、安全操作中心(SOC)和事件響應(yīng)人員可以協(xié)同工作，更快地采取正確行動，縮短響應(yīng)和補(bǔ)救的時間。

“威脅情報能夠提供價值”的觀點早已得到安全行業(yè)的廣泛認(rèn)同?，F(xiàn)在我們真正需要分享的是“如何將威脅情報投入實踐以解決我們最棘手的安全操作挑戰(zhàn)”的共識。答案在于，利用威脅情報能夠在整個威脅分析和事件響應(yīng)過程中為我們提供更多關(guān)注點，以幫助我們更好地制定決策并協(xié)作工作。