是的,現實情況很嚴峻:大多數企業沒有足夠的人員、時間、資金、和精力來應對威脅。企業安全投入資源有限,而有組織的專業黑客總是可能會領先幾步。層出不窮的數據泄漏事件對企業聲譽和財務的影響十分惡劣。因此,威脅情報在頻繁受到攻擊的高風險的重點行業大企業中,作用是顯而易見可以預期的。
但是,盲目上馬安全威脅情報並不可取。企業可以投資購買世界上最好的情報信息,部署最好的技術來抵禦威脅,然而其信息系統仍有可能受安全管理程序錯過的簡單漏洞的影響。因此,要有意識地忽略部分廠商的誇誇其談,要明白在基本信息安全體系不完整的情形下,安全威脅情報作用十分有限。即使企業已經積累了較完善的安全系統部署,也應謹慎評估威脅情報的價值,選取最適合自身特點和需求的產品和服務。
用於評估威脅情報服務價值的五個方面:關聯性、行動性、預測性、及時性、和商業價值。
對企業來說,CISO應拋除從單壹廠商訂閱情報服務的想法,轉向更大的平臺,在購買決策前詢問有關情報聯盟事宜。企業也應酌情參與分享情報,正如第壹篇中所述,相同行業中采集的情報最有價值。
在預測中還應重視“有組織的入侵”。這類攻擊往往頻率密集、重復性高、且危害巨大,例如針對金融和零售企業發起大規模入侵以盜取隱私信息,其背後往往是壹個團隊,手法特征相對明顯,也容易總結應對防禦措施。如果廠商能針對性識別並提供防範建議,則防禦效果會很明顯,對同行業企業用戶意義巨大,相信用戶也願意付高價購買。
此外,企業和廠商必須要做到情報數據盡量多樣化,不應僅是信譽庫,還應重視諸如數據泄漏、異常行為、情景分析等情報來源,重視新技術如數據挖掘和機器學習在特征提取、歸納、預測等方面帶來的顯著提升。在惡意URL識別、新木馬發現、入侵偵測、和異常行為分析上,國外安全廠商已經有很多成功案例