當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

我們需要什么樣的威脅情報(bào)分析師？

責(zé)任編輯：editor005 作者：Venvoo |來源：企業(yè)網(wǎng)D1Net 2016-08-01 15:05:58 本文摘自：安全牛

在網(wǎng)絡(luò)威脅情報(bào)市場(chǎng)中，許多廠商都在談?wù)撟约覕?shù)據(jù)庫里大量的入侵指標(biāo) (Indicators of Compromise, IOC) 、惡意軟件簽名的數(shù)量、探測(cè)器的數(shù)量等等。這就是傳統(tǒng)的“更多更好就是更棒”的方式。

在這其中，缺失的是實(shí)事求是：什么東西才真正可用；外加對(duì)數(shù)據(jù)真正含義的理解。

說到威脅情報(bào)，從提供它們的廠商和消費(fèi)它們的機(jī)構(gòu)雙方面來看，什么才是收集數(shù)據(jù)的真正目的？應(yīng)該收集什么？應(yīng)該如何收集？如何進(jìn)行評(píng)估？完成的、經(jīng)過改造的情報(bào)產(chǎn)品最終應(yīng)該是什么樣子？如何投放產(chǎn)品？應(yīng)該向機(jī)構(gòu)中的哪些人員投放產(chǎn)品？應(yīng)該如何消費(fèi)這些產(chǎn)品？

威脅情報(bào)的演講者們給情報(bào)生命周期的每個(gè)基本步驟都賦予了一個(gè)角色：計(jì)劃、收集、分析、展示等，就其可實(shí)現(xiàn)性來說，往往忽略了“人”這一要素。當(dāng)談?wù)?ldquo;人”這一要素的時(shí)候，實(shí)際是包括了完成工作的人員、方式、時(shí)間和地點(diǎn)。這是個(gè)很少被覆蓋的話題范圍，但值得提出與辯論。

當(dāng)我們衡量圍繞著網(wǎng)絡(luò)威脅情報(bào)的人類要素時(shí)，有些問題將浮現(xiàn)出來。什么是情報(bào)分析師？他們應(yīng)該有什么背景和專業(yè)知識(shí)？他們的作用是什么？要想高效完成工作，他們需要哪些工具和手段？誰為他們負(fù)責(zé)、他們?yōu)檎l負(fù)責(zé)？他們改變了企業(yè)的哪些部分？他們的任務(wù)是什么？

整體來看，可以將情報(bào)分為三大類別：

策略情報(bào)：一般由企業(yè)的“防御者”支持，它是發(fā)生在“網(wǎng)絡(luò)上”的活動(dòng)，使用戰(zhàn)術(shù)威脅情報(bào)來證實(shí)進(jìn)入SOC中的事件，這些防御者消費(fèi)的是低級(jí)CTI來支持檢測(cè)和響應(yīng)。

行動(dòng)情報(bào)：比策略情報(bào)高一層，這一類情報(bào)集中于實(shí)時(shí)操作環(huán)境，也更關(guān)注作為對(duì)手的黑客。行動(dòng)情報(bào)應(yīng)當(dāng)?shù)玫剿^的傳統(tǒng)威脅情報(bào)分析師的支持。這些分析師會(huì)尋找內(nèi)部和外部搜集到的信息，來分析并部署針對(duì)于企業(yè)運(yùn)行環(huán)境，威脅源行動(dòng)模式及能力、機(jī)會(huì)和意圖的情報(bào)產(chǎn)品。

戰(zhàn)略情報(bào)：此類情報(bào)對(duì)于高管層非常重要。高管可以使用它來衡量網(wǎng)絡(luò)威脅，并且用其來指導(dǎo)投資和管理決策。對(duì)戰(zhàn)略層面的支持也會(huì)對(duì)傳統(tǒng)的威脅情報(bào)分析師有作用，分析師在這種情況下的全部精力都集中在企業(yè)的產(chǎn)品線上。它是一個(gè)網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)風(fēng)險(xiǎn)和商業(yè)風(fēng)險(xiǎn)相互聯(lián)系、綜合分析的層面，可以幫助決策者進(jìn)行基于更多信息的決策。

威脅情報(bào)的每個(gè)領(lǐng)域都有不同的任務(wù)層級(jí)，它們各需要不同的工具集合以及分析師背景。基于關(guān)注的領(lǐng)域，網(wǎng)絡(luò)威脅情報(bào)分析師應(yīng)當(dāng)能夠讓情報(bào)生命周期正常運(yùn)轉(zhuǎn)，它包括：

收集要求

整合

分析

部署

反饋

威脅情報(bào)分析師的目標(biāo)是基于網(wǎng)絡(luò)威脅，給出相關(guān)、實(shí)時(shí)、準(zhǔn)確的情報(bào)。特別是那些網(wǎng)絡(luò)間諜、黑客激進(jìn)組織、網(wǎng)絡(luò)犯罪、惡意軟件、社會(huì)工程等新興網(wǎng)絡(luò)威脅。本質(zhì)上來講，分析師需要向企業(yè)提供關(guān)于網(wǎng)絡(luò)威脅“人物、事件、時(shí)間、地點(diǎn)、原因、方式、重要性”的情報(bào)，并幫助企業(yè)減少總風(fēng)險(xiǎn)。

經(jīng)常會(huì)有這樣一些爭(zhēng)論，是雇傭網(wǎng)絡(luò)安全專家，并教會(huì)他們情報(bào)處理的方法？還是直接雇傭情報(bào)專家，教給他們網(wǎng)絡(luò)安全技術(shù)？

答案是顯而易見的——看情況而定，這個(gè)情況就是你關(guān)注的領(lǐng)域以及想要建立相應(yīng)能力的方向。

顯然，戰(zhàn)術(shù)上的關(guān)注領(lǐng)域需要懂技術(shù)的個(gè)人；運(yùn)行層面則需要擁有一定技術(shù)背景，但又能縱覽公司全局的個(gè)人；關(guān)注戰(zhàn)略的個(gè)人需要具備管理企業(yè)風(fēng)險(xiǎn)的背景。

關(guān)鍵字：分析師防御者戰(zhàn)術(shù)