威胁情报不起作用的5个原因

对于网络安全人员来说，主动防御才是最理想的效果。这意味着，他们处于主动的一方，能够提前做出判断，最大限度的保护设备。无论你的网络安全团队的口号是什么，打击网络犯罪的关键点就是要对威胁做出提前预测，这也是威胁情报的重要意义所在。

在有人恶意利用企业IT基础设施之前，识别并修补企业IT基础设施的漏洞，能够避免很多的损失。随着网络攻击的力度和影响的增大，目前许多企业都以购买了专门的威胁情报服务，据统计，2018年全球范围内的威胁情的收已经超过14亿美元，而2014年，这一收入仅有9.055亿美元，这证明许多组织都在购买它。

问题是，购买了这项服务后，组织和网络安全人员往往不能很好的利用这些情报，比如对威胁情报的理解不到位或者难以将问题落实到位。本文，我就总结了威胁情报不起作用的5个原因，并提出了相应地解决对策。

与特定网络安全需求不匹配

网络安全团队有时会误以为购买的威胁情报服务就等同于杀毒软件之类的保护服务，将它视为保护他们免受黑客攻击的保护捷径。这种对情报服务的预期效果很不现实，事实是，没有所谓的通用的威胁情报，具体的防护措施还得需要安防人员结合组织的实际情况。这意味着，威胁情报解决方案必须根据每个组织、分支组织甚至部门的特定安全需求来实施。例如，一家金融服务公司可能希望密切关注网站伪造和恶意联系表格，这些表格旨在欺骗用户，让他们泄漏自己的信用卡和银行账号。

不过话得分两头讲，威胁服务供应商的一个紧迫问题是，要确保专有信息(如商业机密和研发进展)不会落入攻击者之手，无论是由于电子邮件诈骗、加密不良还是恶意软件，供应商都应改进自己的应对服务。

无法将威胁情报提供的信息落实

假如组织能获得最准确的威胁情报服务，那组织如何打算把这些信息落实，来应对即将到来的威胁?这就是企业自己的实力和资源配置的问题了。根据调查，44%的日常安全警报从未被安防人员实际调查过，并且由于各种原因，威胁情报数据也可能最终未被落实过。

每个组织所拥有的安防资源都不同，比如有些小组织中可能都没有知道如何解释他们所看到的威胁情报，更不用说付诸行动了，或者，安防事业缺乏领导层的支持，或者缺乏相应的预算来提高防御能力。

无论哪种方式，在不了解安全漏洞或有解决问题的方法的情况下，知道出现问题并不能减少网络攻击的普遍程度或强度。

为了解决这个问题，最好是在组织购买威胁情报服务之前，就做好全面的安全规划，包括准备好分配哪些资源？如何培训相关员工？处理漏洞的具体步骤有哪些？尽量让情报落实。

协调威胁服务和其他网络安全措施之间的关系

威胁情报和其他网络安全措施之间有着各种联系，大家负责的环节和所包含的功能也各有不同。威胁情报的作用就是提前对可能的威胁做出预判、提供保护方向、让安防人员加强安全意识做出相应的行动，比如发现服务器的错误配置，密切关注新形式的恶意软件等。

按照这种思路，我们很容易认为任何负责威胁情报的人员都会像事件响应专家一样来处理威胁情报。然而，他们在方向和方法上存在着明显的差异。

最重要的是，威胁情报是安全分析师的工作，他的专业知识是负责对事件做出解释，帮助安全人员理解真相，并为即将到来的威胁制定预防和拦截计划。这与事件响应专家的角色不同，事件响应专家是受过培训的，可以在发生时对威胁做出反应并对其进行响应。

承认这种差异是至关重要的，这意味着安全责任可能需要在网络安全团队中重新分配。 

未能整合威胁情报

如何确保网络安全人员能最高效的使用威胁情报，最快的途径通常是将最新的情报与用户已经知道的信息串联起来。

事实上，将威胁情报及其数据源连接到常用软件（例如安全信息和事件管理应用程序）至关重要。作为综合网络安全计划的一部分，这样做将加快情报的落实速度。

如果缺乏整合，不仅降低了威胁情报的有效性，还增加了网络安全团队的工作量，这些团队需要手工汇总和比较来自另一个来源的数据，以评估基础设施的安全状况。

不了解威胁情报的术语

由于不同的组织有不同的安全需求，威胁情报会有专门的组织语言的方式，在其他组织里的同一术语可能在你这里就有不同的含义。如果没有考虑到这一点，安全人员就会误解所传递的信息。

当高级管理人员谈论威胁情报时，重点很可能是高层决策，比如，本财政年度的安全预算应该花在哪里?哪些技术供应商因满足不了公司的安全政策而被淘汰?但网络安全管理员更关心技术层面，比如我们的SSL证书是最新的吗?我们是否应该更好的连接到恶意软件数据库，以保持对勒索软件攻击的控制?员工每天接触的前100名网站有哪些?

高层决策者和网络安全管理员必须通过内部沟通，才能确保大家所关心的威胁情报的角度是一致的。一般来说，这些角度题可以分为两个层次，一个是关于战略承诺，例如并购和长期合作伙伴关系，另一个是关于运营问题，例如网站、服务器和应用程序的增强、修复和配置。

威胁情报服务和其他任何新出现的安全服务一样，在带来大量的安全承诺和好处时，也必定会引起组织在安全方面的重新管理及资源配置，就像这篇文章中讨论的那些误解一样，只有消除这些误解才能威胁情报的潜力发挥到最大。