关于运维:占据攻防先机如何利用安全情报降低攻击风险

寰球疫情的大风行仿佛给网络攻击者发明了一个新的“施展”机会。

仍旧层出不穷的遗留破绽、不足平安的代码开发和破坏力激增的数据泄露等，无一不让企业平安团队陷入焦灼。近日，平安公司 Recorded Future 公布了《The Security Intelligence Handbook（Third  Edition）》（平安情报手册第三版），旨在解答 “如何利用平安情报打击对手并升高危险” 的问题。

在报告中，Recorded Future 在全面清晰平安情报概念领域的根底上，具体探讨了 SecOps、破绽、威逼、第三方、品牌以及地缘政策等六大平安情报模块的利用价值和工作流程，阐释了平安情报计划构建的具体方法和倡议，并提出平安情报应成为企业晋升未知威逼感知效率、加强危险决策有效性、升高潜在平安危险值、占据攻防先机的首选策略工具。

贯通六大利用模块 全面晋升危险响应能力

加上平安二字之后，情报的价值产生了显著的变动。IDC 数据显示，相干企业在应用平安情报后，危险预判能力实现了超 10 倍的增长，平安计划响应速度晋升了 63%。基于对平安情报利用场景现状及新趋势的综合剖析，联合企业平安情报的场景需要，报告具体论述了平安情报的 六大利用模块 及其指标成果，以期为企业提供可操作性强的定制情报信息，助力晋升平安决策的灵活性和准确性。

简略来说，在平安新生态下，将平安情报纳入到 SecOps、破绽、威逼、第三方、品牌爱护、地缘政策等平安场景，将无效地晋升企业预判和响应危险的能力，是企业适应数字化降级需要，瓦解新平安威逼“进化”伎俩的必备工具。

IDC：平安情报带来的平安危险反馈成果数据

首先，在 SecOps 平安情报模块 ，报告认为 SecOps 平安情报的使用，既能够帮忙企业平安团队实现对最新威逼数据的主动分类与关联， 疾速辨认重要威逼 ；还能够通过潜在威逼的被动提前辨认和无限排序， 大幅缩减平安团队响应工夫，加强企业安全事故的应变能力，帮忙企业建设全面、语境化、综合的突发事件应变机制。

其次，就破绽平安模块而言 ，报告认为，破绽关联作为为数不多企业被动“进攻术”，其信息起源的有效性是实现转化为危险决策要害价值的前提。而破绽数据库体现出的“重大水平评级”误导性和不足及时性等特色，使其无奈为企业决策提供精确根据。 开掘企业实在破绽情报的无效收集形式应该是：“以资产扫描和内部破绽数据库为终点，整合关联外部数据、网站、暗网、论坛及技术钻研中的新危险停顿等”。通过穿插情报援用描绘出实在的破绽平安图景，晋升平安团队应答破绽利用放慢的高效决策挑战。

Gartner：最大的理论危险是组织环境中存在的、目前正在被利用的破绽

第三，威逼情报方面 ，威逼情报因间接关注威逼的精准定位、响应效率及延展情报的生成，而对升高企业危险至关重要。Recorded Future 钻研人员认为， 威逼平安情报次要充当着两大角色作用 。一是平安团队理解威逼者动机、办法和策略， 霸占攻防先机的重要策略 。通过对现有和潜在威逼信息的整合关联，助力平安团队塑造更全面的事变响应机制，实现更无效的前置预警。二是建设基于危险的主观评估与决策模型，在正确评估威逼概率的根底上，无效量化投资老本， 为决策成果最大化的实现提供数据撑持。

第四，对于第三方平安 ，各产业供应链业务紧密度的继续减少，使得合作伙伴、供应商和其余第三方组织的安全性成为企业评估本身平安危险时的重要考量。与传统依赖诸如自我评估、财务审计、破绽月报以及偶发安全事故状况阐明等的动态危险评估形式相比， 一个具备自动化剖析、实时危险评分体系、凋谢通明威逼共享机制等特色的实时第三方平安情报显然是企业精确评估第三方危险、放弃威逼评估最新性的更佳计划。

第五，在品牌爱护场景中 ，报告指出，针对企业品牌的威逼攻打大部分是采纳理论并未涉及品牌自身网络或零碎的形式进行的，给企业形象、名誉和客户都将带来不同水平的侵害。 一个既能发现品牌假冒和滥用行为，又能及时发现网络违规内容和泄露数据的品牌平安情报计划已成为以后企业所需。同时，其价值更在于可能通过广范畴的资源和数据收集，对品牌危险进行检测、评分与优先解决，并生成具备高可操作性的集成平安补救策略，造成品牌危险防护的动静链路。

此外，全球化趋势下，地缘政策平安情报 也日趋重要。其价值就在于可能帮忙企业躲避或者升高业务领域内政府政策、社会动荡、自然灾害等带来的负面影响，达到疾速响应和避免影响扩延的目标。基于地缘政策情报受限于“地区”的个性，报告提出以“天文围栏（Geofencing）”收集相干数据。具体来说，在构建地缘政策情报解决方案中，地位、客户、设施、网络威逼、媒体、暗网等数据信息的收集都须要以地区为外围维度，进而借助剖析工具，得出专属情报模型，加强企业适应地区动态变化能力。

“自上而下”构建平安情报全生命周期体系 占据攻防先机

报告指出，近年来，平安情报已成为企业 CISOs 评估业务和技术危险、确定危险策略、向管理层诠释危险实质和评估平安投入商业价值等工作的要害资源。一个无效的平安情报体系的落地利用可能给企业带来晋升风险管理水准、拓展晚期预警领域、优化平安投产比、升高沟通老本、缓解人员技能差距等价值。为更好地帮忙企业占据攻防“先机”，报告具体介绍了企业创立和拓展平安情报体系的办法和倡议：

• 明确平安情报的需要与指标是企业构建无效平安情报体系的首要任务。企业须要在清晰危险形成、潜在影响和人员构成的根底上，抉择一个或者多个适宜的平安情报分析框架，以帮忙平安团队更好地了解攻击者的行为指标和门路。
• 在具体性能设置方面，找到几种高价值平安信息并进行监控 ，实现以较少的投入取得疾速盈利，晋升预测突发威逼和提供晚期告警的能力；确保每份生成威逼报告的无效信息含量，使其施展理论效用；重视数据聚合、语境化危险、危险标签甚至是信息共享的自动化，晋升平安情报体系工作效率； 同时，重视平安情报计划与现有零碎的适配性。

平安情报能精确定位与特定行业或技术最相干的威逼

• 平安团队装备方面 ，在平安情报体系的全面开发过程中， 装备一个专门的建设团队承当威逼数据的收集、解决、剖析和流传工作，认为企业提供最大价值的情报。同时，与情报供应商、行业钻研团队以及平安情报界单干，不断丰富企业威逼数据体系，确保安全决策的准确性和连续性的同时，借助单干生态达到造就外部专家的目标。

平安情报作为平安组织构造中的一个独立组织

• 平安情报体系的构建该当听从一个 从简略到逐渐扩充 的倒退门路。

平安情报打算成熟的四个阶段

综上来看，平安情报体系不仅可能帮忙企业无效解决平安运作效力晋升、事变响应能力进步、威逼及破绽风险管理等传统平安经营问题，还能为第三方危险、品牌爱护和地缘政策等新危险场景提供高效策略，是新生态下数字化企业乃至整个产业平安占据攻防先机，寻求安稳倒退的“利器”。寰球最大信息安全培训机构 SANS 考察数据显示，有 80% 的组织认为本人从威逼情报中获益。

然而，值得一提的是，除上述利用思路外，随同产业互联网的纵深倒退，越来越多的企业将私有云作为业务承载的新抉择。随之而来的，企业级业务场景开放度和边界模糊化的晋升，加之各类高级和未知威逼的迭代演变，云上平安情报在企业重要决策中的参考权重也大幅回升。基于攻防场景的这一变动，腾讯平安认为，云上企业该当以云原生为外围，构建出一套具备事先平安预防、事中安全事件对立监测和威逼检测、预先响应处理等形成体系的全局可视化平安经营体系，从而助力实现企业级平安威逼从全面检测、智能剖析、疾速响应到高效态势预测的残缺闭环，使得平安情报利用成果最优化，帮忙企业打好云上平安攻防“第一战”。值得关注的是，出于老本和效益最大化的思考，通过接入诸如腾讯平安经营核心等由平安厂商提供的成熟产品或是以后数字化企业构筑新场景下平安情报利用闭环的最优做法。