选择正确的情报供应商在很多情况下就像是海底捞针。供应商数量多得数不清,而情报解决方案也无穷尽。正因如此,就算是经验最丰富的专业人员也容易看不清自己所在组织机构的需求,而且更重要的是,辨不清如何评估哪家供应商或解决方案最能满足这些需求。
如下问题旨在帮助安全和风险专业人员准确地评估情报供应商和解决方案是否适合自己所在组织机构的情况:
-
供应商提供哪种类型的情报?
面对这么多的情报解决方案,潜在消费者有必要了解供应商真正提供哪些情报。供应商一般提供的答案有如下几种:
- 威胁情报。这种总括性短语包含了很多其它情报类型。而且由于并非所有的这些情报类型都是平等创造的,因此对于潜在消费者而言有必要进行深入挖掘。
- 网络威胁情报 (CTI):CTI 向来是任何网防御或周边安全计划获得成功不可或缺的组成部分。但由于它主要关注的是网络威胁检测和妥协指标 (IOCs),因此 CTI 通常仅适用于支持战术网络安全用例的情况。
- 商业风险智能 (BRI):不同于CTI,BRI 提供了战略决策优势,不仅支持网安全团队,还支持所有的业务功能。因此,BRI 适用于寻求支持多种用例并解决整个企业范围内风险的组织机构。
-
生成情报的数据来源是什么?
最佳情报源于相关的高价值数据来源。的确,网络(常常是物理)威胁局势的主要方面倾向于在各种地下社区的范围内发起和发展。通常而言,只有在现在威胁变成有形的安全事件或数据泄露事件之后,威胁存在的任何指标才能出现在公开网络中。
尽管深网和暗网 (DDW) 和开放式 web 数据在某些情况下发挥作用,但最成功的情报供应商认识到,最重要的事情是让技术和主题专业知识能够从互联网上最关键的环境中大规模地收集数据,其中很多数据位于 DDW 中极其难以访问。这种细微差别就是为什么说潜在消费者了解情报解决方案的数据来源起着非常重要的作用。
-
供应商拥有多少名情报分析师?他们的资质和擅长领域是什么?
供应商分析师团队的规模和能力有助于了解其情报解决方案的质量和相关性。一般而言,只有少量人工分析师的供应商严重依赖自动化生成数据,但这种方法会将情报数据的情境化留给客户自己实现。虽然供应商应该努力实现常规任务如日常数据收集的自动化,以便分析师能够集中于复杂问题的解决和分析,但仅依靠自动化的供应商根本不会真正生成情报。将原始数据解释、情境化并处理为情报要求具有充足的人力资源支撑,而这些专业知识无法被纯粹的自动化所取代。
例如,DDW 是对手聚合并开发恶意计划的无数社区的聚集地。由于其中很多对手并不是以英语进行操作的,因此供应商的情报分析人员需要掌握必要的语言技能。而且在很多情况下,只是能说流利的俄语、阿拉伯语、汉语、土耳其语、波斯语、西班牙语、法语等并不够:分析师还应该深刻理解这些文化之间的细微差异、社会规范、成语和不同 DDW 社区之间存在的俚语。虽然人工智能和其它自动化技术都取得了很大的进步,但它们还无法达到这种程度的人工专业水平。
-
客户如何使用供应商的情报?
情报在“完成”时最容易也能最有效地使用。事实上,完成后的情报源于用于支持决策和行动的已被情境化、深入分析以及和其它细节打包过的原始数据。换句话说,完成后的情报本身是可操作的,而且无需用户在做出决策前寻求其它的情境或分析操作。
然而,并非所有的供应商都能提供完成后的情报。很多供应商仅致力于交付妥协指标 (IOCs) 以及关键字警报。这些东西虽然具有价值,但仍需客户开展额外的研究工作以及分析,以便确定这种 IOCs 或警报信息和自己的组织机构有多大的相关性。
-
供应商的情报支持哪种类型的用例?
不同类型的情报通常适用于不同的业务功能和用例。例如,此前提及的 CTI 能够支持网络安全和 IT 团队,而 BRI 更具战略性和多样性。在评估任何供应商或解决方案时,不仅要考虑到自己所在组织机构所当前所需要的情报,而且还应该考虑到随着业务的增长、规模化和演进后,需求会发生何种变化。了解供应商客户中的常见用例能够更加深入地了解适合自己所在组织机构的情报解决方案是什么。
除了支持传统的网络安全用例外,正确的情报还有助于发现试图攻陷管理团队人员物理安全的恶意人员、由恶意内部人员造成的威胁、存在于公司供应链内部的未知安全漏洞或者针对公司客户的欺诈计划。
说到底,情报供应商的情况永远是复杂的而且充满看似并无区别的产品。以上提到的五个问题虽然有助于安全和风险专业人员更好地评估某个解决方案与其组织机构需求之间的匹配度,但我必须强调的是,不应忽视选择情报解决方案决策的重要性。不管你所在的组织机构选择使用哪种情报,都要记住情报的价值不在于它的销售方式如何,而在于它能否更加及时有效地促进决策的制定。
文章原文链接:https://www.anquanke.com/post/id/100106