威脅情報的價值在于，可使企業安全領先黑客一步，甚至是多步。

網絡安全是一項艱難的事業。每天，企業都要面臨來自全球各地黑客的猛攻。身為一名網絡安全從業人員，我們的任務不僅僅需要實時對抗這些攻擊，還要在事發前緩解以預防威脅。而這就需要威脅情報。

無論選擇哪種類型的威脅情報，總有那么一些良好實踐可以遵循。甚至網上有一些免費可得的開源信息，可幫助企業預測并準備好應對未來的攻擊。Recorded Future 公司的情報及策略副總裁，李維·甘德特，帶來以下7條威脅情報通用規則。無論我們是否采用威脅情報平臺，或者采用哪種平臺，這都是我們應該做到的守則。

守則#1：谷歌一下

谷歌也許搜索不了深網或暗網，但其用處依然超乎想象之外。我們每天都在用谷歌，網絡安全上自然也不應例外。每天都有無數閑話和情報產生，我們可以從中獲取有用的東西。畢竟，大多數數據都產生自網上。你甚至可能會被僅使用公開Web搜索引擎就能保持領先的程度所驚到。用公開引擎替代專用威脅情報供應商是不現實的，但用用又沒什么壞處不是？

守則#2：汲取別人的經驗教訓

顯然，我們已經踏入了攻擊和數據泄露的未知領域。不過，此類活動激增的正面信息是：它給了我們極好的機會從別人的案例中學習如何更好地應對威脅。網絡安全當前顯然正處于其“狂野西部”階段，我們能從別的攻擊和黑客活動中學到越多，我們自身的準備度就越高。

不僅僅要知道哪個企業又遭了數據泄露，還要知道細節。怎么發生的？第一條線索什么時候出現的？攻擊者如何進入網絡的？你對當前攻擊所知越深入，你的團隊對未來攻擊的準備就越充分。

守則#3：查看Pastebin和GitHub

Pastebin和GitHub是很多安全團隊的痛點。個人信息、口令，以及其他敏感信息經常在Pastebin上出現，畢竟人家是全球最流行文本共享網站之一嘛。

GitHub，作為全球最大代碼倉庫，也有其自身的問題。任何人都可以頻繁上傳源代碼，其中就可能包括有盜來的專利數據，或者用來對你的系統進行漏洞利用的代碼。監視這兩個網站，這樣你就能夠采取合適的行動了。

守則#4：關注黑客聊天

很多大型攻擊或數據泄露都是“說”出來的，事發前就多有討論。比如，TalkTalk在2015年的重大數據泄露就有一大堆關于如何執行攻擊的聊天討論。其中一些聊天甚至就在公網上；一些則隱身深網和暗網。無論哪種方式，對黑客組織聊天內容投以關注，會讓你的團隊保持警惕，并對潛在安全問題準備的更為充分的。

守則#5：IOC是我們的朋友

團隊應該總是重視攻擊指標(IOC)。 地理上的異常、陌生的IP地址、異常活動或流量高峰，都意味著攻擊的進行或數據泄露的發生。

人工處理或許一定程度上有效，但為跟上攻擊的廣度和深度，最好還是利用威脅情報提供商。有些提供商能夠利用機器學習來實時標記事件，這就是阻斷攻擊進程和只能在事后清理的差別所在。

守則#6：知道自己的TTP

以攻擊者的思維看問題；我們的網絡弱點在哪兒？頂級攻擊路線是什么？先自己把這些給分析清楚了，然后再找找對手的戰術、技術和規程(TTP)。鑒于這些信息中很多都可以在網上免費找到，團隊就能探知潛在攻擊者的想法。通過對所有噩夢中的“假設”場景做好準備，大家晚上也能睡得更安心些，更有效地勝任工作。

守則#7：清楚任何事都有可能發生

攸關公司安全威脅，團隊靈活性和開放思維尤其重要。雖然很多攻擊者會用相似的模式和TTP進行攻擊，有些卻不會。好的經驗法則是：不排除任何可能性！只要沒有經過恰當的調查，無論多么異想天開的可能性都不排除。