“如果沒有將知識付諸實(shí)踐，那么它將毫無價(jià)值”，這句話如今用在威脅情報(bào)身上也是再合適不過了。

 在SANS最近進(jìn)行的一項(xiàng)調(diào)查中顯示，超過80%的受訪者表示“威脅情報(bào)正在為他們提供價(jià)值”。大多數(shù)企業(yè)正在通過將大量全球威脅數(shù)據(jù)集成到共享中央存儲庫中來挖掘其價(jià)值。但這只是發(fā)現(xiàn)了威脅情報(bào)的“表面價(jià)值”。事實(shí)上，威脅情報(bào)還可以加速安全操作，這才是其價(jià)值的真正體現(xiàn)。

以下是將威脅情報(bào)投入實(shí)踐后能夠解決的5種常見安全操作挑戰(zhàn)：

1. 警報(bào)過載

多項(xiàng)研究指出，安全專業(yè)人員正在被警報(bào)所淹沒。最近，《思科2018安全能力基準(zhǔn)研究》報(bào)告發(fā)現(xiàn)，由于種種限制，組織僅可調(diào)查其在一天當(dāng)中收到的安全警報(bào)中的 56%。而在受到調(diào)查且被視為有效的警報(bào)中，有近一半(49%)的警報(bào)沒有得到補(bǔ)救。通常而言，安全運(yùn)營中心(SOC)的安全操作人員會率先感受到這種警報(bào)過載帶來的窒息感，因?yàn)樗麄冃枰袚?dān)手動(dòng)關(guān)聯(lián)日志和事件，以進(jìn)行調(diào)查和其他活動(dòng)的繁重任務(wù)。

通過環(huán)境內(nèi)部的事件和相關(guān)指標(biāo)來自動(dòng)增加和豐富外部數(shù)據(jù)，使你有能力洞悉事件發(fā)生的細(xì)節(jié)，例如：何人于何時(shí)、何地、攻擊了什么，為什么以及如何進(jìn)行的攻擊等信息。你可以使用威脅評分來進(jìn)一步縮小數(shù)據(jù)集規(guī)模，然而，僅僅依靠情報(bào)提供商給出的“通用、全局性”分?jǐn)?shù)實(shí)際上可能會產(chǎn)生誤報(bào)和無效警報(bào)，因?yàn)榉謹(jǐn)?shù)并不是根據(jù)你特定環(huán)境的上下文給出的。對此，你可以根據(jù)自己設(shè)置的參數(shù)(例如周圍指標(biāo)來源、類型、屬性和上下文以及對手屬性等)使用定制的威脅評分，從而允許制定威脅情報(bào)優(yōu)先級，從根據(jù)輕重緩急做出相應(yīng)的決策，避免因?yàn)椴槐匾木瘓?bào)浪費(fèi)時(shí)間，也不至于忽略重點(diǎn)而錯(cuò)過最佳防御時(shí)機(jī)。

2. 誤報(bào)

浪費(fèi)時(shí)間和資源來追逐虛假情報(bào)可能會造成非常昂貴的代價(jià)。事實(shí)上，Ponemon的研究將誤報(bào)列為終端保護(hù)的頭號“隱藏”成本。定制的威脅分?jǐn)?shù)可以讓您專注于與您的組織相關(guān)的內(nèi)容，并優(yōu)先考慮威脅情報(bào)，以減少誤報(bào)，但你可能還是會偏離重點(diǎn)。這時(shí)候，你可以利用現(xiàn)有的案例管理工具或SIEM(安全信息和事件管理)來自動(dòng)共享相關(guān)的優(yōu)先級威脅情報(bào)，這些系統(tǒng)可以更高效、更有效地執(zhí)行優(yōu)先級事項(xiàng)，并減少誤報(bào)。

3. 防御缺口

盡管組織已經(jīng)部署了多點(diǎn)產(chǎn)品作為其深度防御戰(zhàn)略的一部分，但是妥協(xié)和違規(guī)的數(shù)量和速度仍在持續(xù)增加。原因在于，這些保護(hù)層在很大程度上是未整合的，都在“孤島”中運(yùn)行，難以管理，同時(shí)也為防御方面造成空白。

威脅情報(bào)可以作為整合這些不同技術(shù)的耦合劑，在正確的時(shí)間與正確的工具分享正確的情報(bào)。你可以將整合的威脅情報(bào)直接導(dǎo)出到你的傳感器網(wǎng)絡(luò)(防火墻、防病毒軟件、IPS / IDS、網(wǎng)絡(luò)和電子郵件安全、端點(diǎn)檢測和響應(yīng)以及NetFlow等)，允許這些工具生成并應(yīng)用更新的策略以降低風(fēng)險(xiǎn)。此外，你也可以采取積極主動(dòng)的預(yù)防性方法來進(jìn)行防御，以更有效地防止未來可能發(fā)生的攻擊。

4. 知識協(xié)同

除了安全工具外，安全團(tuán)隊(duì)通常也是在“孤島”中運(yùn)行，這使得他們無法共享情報(bào)并協(xié)同工作。但是，如果團(tuán)隊(duì)成員可以在單一環(huán)境中工作，共享同一組威脅數(shù)據(jù)和證據(jù)，則可以協(xié)作進(jìn)行調(diào)查。通過觀察他人的工作并分享見解，他們可以更快地發(fā)現(xiàn)威脅，甚至可以利用這些知識來樞軸轉(zhuǎn)動(dòng)并加速并行的調(diào)查，因?yàn)檫@些調(diào)查通常是相互隔離但又密切相關(guān)的。此外，他們還可以存儲關(guān)于對手及其戰(zhàn)術(shù)、技術(shù)和程序(TTP)的調(diào)查記錄，這些記錄可以作為集中記憶以便于未來的調(diào)查。

5. 混亂的環(huán)境

當(dāng)需要采取行動(dòng)的時(shí)候，大多數(shù)安全行動(dòng)或調(diào)查都是在混亂中進(jìn)行的，因?yàn)楦鱾€(gè)團(tuán)隊(duì)都是獨(dú)立行事并且效率低下。一個(gè)單一的共享環(huán)境，所有安全團(tuán)隊(duì)的管理人員都可以看到分析結(jié)果的展開，使得他們能夠在團(tuán)隊(duì)之間協(xié)調(diào)任務(wù)并監(jiān)控時(shí)間表和結(jié)果。威脅情報(bào)分析人員、安全操作中心(SOC)和事件響應(yīng)人員可以協(xié)同工作，更快地采取正確行動(dòng)，縮短響應(yīng)和補(bǔ)救的時(shí)間。

“威脅情報(bào)能夠提供價(jià)值”的觀點(diǎn)早已得到安全行業(yè)的廣泛認(rèn)同。現(xiàn)在我們真正需要分享的是“如何將威脅情報(bào)投入實(shí)踐以解決我們最棘手的安全操作挑戰(zhàn)”的共識。答案在于，利用威脅情報(bào)能夠在整個(gè)威脅分析和事件響應(yīng)過程中為我們提供更多關(guān)注點(diǎn)，以幫助我們更好地制定決策并協(xié)作工作。