我們需要什麼樣的威脅情報分析師?

2021-09-23 09:29:02 字數 1485 閱讀 6177

在網路威脅情報市場中,許多廠商都在談論自家資料庫裡大量的入侵指標 (indicators of compromise, ioc) 、惡意軟體簽名的數量、探測器的數量等等。這就是傳統的「更多更好就是更棒」的方式。

說到威脅情報,從提供它們的廠商和消費它們的機構雙方面來看,什麼才是收集資料的真正目的?應該收集什麼?應該如何收集?如何進行評估?完成的、經過改造的情報產品最終應該是什麼樣子?如何投放產品?應該向機構中的哪些人員投放產品?應該如何消費這些產品?

威脅情報的演講者們給情報生命週期的每個基本步驟都賦予了乙個角色:計畫、收集、分析、展示等,就其可實現性來說,往往忽略了「人」這一要素。當談論「人」這一要素的時候,實際是包括了完成工作的人員、方式、時間和地點。這是個很少被覆蓋的話題範圍,但值得提出與辯論。

當我們衡量圍繞著網路威脅情報的人類要素時,有些問題將浮現出來。什麼是情報分析師?他們應該有什麼背景和專業知識?他們的作用是什麼?要想高效完成工作,他們需要哪些工具和手段?誰為他們負責、他們為誰負責?他們改變了企業的哪些部分?他們的任務是什麼?

整體來看,可以將情報分為三大類別:

策略情報:一般由企業的「防禦者」支援,它是發生在「網路上」的活動,使用戰術威脅情報來證實進入soc中的事件,這些防禦者消費的是低階cti來支援檢測和響應。

行動情報:比策略情報高一層,這一類情報集中於實時操作環境,也更關注作為對手的黑客。行動情報應當得到所謂的傳統威脅情報分析師的支援。這些分析師會尋找內部和外部蒐集到的資訊,來分析並部署針對於企業執行環境,威脅源行動模式及能力、機會和意圖的情報產品。

戰略情報:此類情報對於高管層非常重要。高管可以使用它來衡量網路威脅,並且用其來指導投資和管理決策。對戰略層面的支援也會對傳統的威脅情報分析師有作用,分析師在這種情況下的全部精力都集中在企業的產品線上。它是乙個網路威脅、網路風險和商業風險相互聯絡、綜合分析的層面,可以幫助決策者進行基於更多資訊的決策。

威脅情報的每個領域都有不同的任務層級,它們各需要不同的工具集合以及分析師背景。基於關注的領域,網路威脅情報分析師應當能夠讓情報生命週期正常運轉,它包括:

收集要求

整合分析

部署反饋

威脅情報分析師的目標是基於網路威脅,給出相關、實時、準確的情報。特別是那些網路間諜、黑客激進組織、網路犯罪、惡意軟體、社會工程等新興網路威脅。本質上來講,分析師需要向企業提供關於網路威脅「人物、事件、時間、地點、原因、方式、重要性」的情報,並幫助企業減少總風險。

經常會有這樣一些爭論,是僱傭網路安全專家,並教會他們情報處理的方法?還是直接僱傭情報專家,教給他們網路安全技術?

答案是顯而易見的——看情況而定,這個情況就是你關注的領域以及想要建立相應能力的方向。

顯然,戰術上的關注領域需要懂技術的個人;執行層面則需要擁有一定技術背景,但又能縱覽公司全域性的個人;關注戰略的個人需要具備管理企業風險的背景。

***********************************=分割線******************************==

我們需要什麼樣的測試?

左耳朵耗子發表了 我們需要全職的qa嗎?後,一石激起千重浪,贊成者有之,激烈反對者有之 有人說文中對qa的定義不對,還有人說以偏概全 的確,在需不需要專職的qa角色這個問題上,很難用乙個簡單的 需要 或 不需要 來回答。前兩天我寫了一篇對該文的回應文章,但由於文章寫就得比較倉促,很多觀點來不及完整表...

我們需要什麼樣的計算

本文選自 讓雲觸手可及 微軟雲計算實踐指南 一書 我們需要什麼樣的計算 我認為全球電腦市場的規模大約為5臺。ibm創始人托馬斯 j 沃森 thomas j.watson 1943 當我們站在微軟美國芝加哥資料中心一層的時候,資料中心管理人員告訴我這一層有好幾萬臺計算機,但是我們一台也沒看到。這是我見...

我們需要什麼樣的自由軟體?

不久之前,美國 自由軟體 會 提出了 10個自由軟體應該優先發展的專案 high priority free software projects 並且宣稱這是當前世界最需要的開發專案。對此,有人贊成,有人反對。而 ubuntu 8.10 的發布,引發的卻是一場實實在在的 頭腦風暴 flurry 2,...