我们需要什么样的威胁情报分析师?
在网络威胁情报市场中,许多厂商都在谈论自家数据库里大量的入侵指标 (Indicators of Compromise, IOC) 、恶意软件签名的数量、探测器的数量等等。这就是传统的“更多更好就是更棒”的方式。
在这其中,缺失的是实事求是:什么东西才真正可用;外加对数据真正含义的理解。
说到威胁情报,从提供它们的厂商和消费它们的机构双方面来看,什么才是收集数据的真正目的?应该收集什么?应该如何收集?如何进行评估?完成的、经过改造的情报产品最终应该是什么样子?如何投放产品?应该向机构中的哪些人员投放产品?应该如何消费这些产品?
威胁情报的演讲者们给情报生命周期的每个基本步骤都赋予了一个角色:计划、收集、分析、展示等,就其可实现性来说,往往忽略了“人”这一要素。当谈论“人”这一要素的时候,实际是包括了完成工作的人员、方式、时间和地点。这是个很少被覆盖的话题范围,但值得提出与辩论。
当我们衡量围绕着网络威胁情报的人类要素时,有些问题将浮现出来。什么是情报分析师?他们应该有什么背景和专业知识?他们的作用是什么?要想高效完成工作,他们需要哪些工具和手段?谁为他们负责、他们为谁负责?他们改变了企业的哪些部分?他们的任务是什么?
整体来看,可以将情报分为三大类别:
策略情报:一般由企业的“防御者”支持,它是发生在“网络上”的活动,使用战术威胁情报来证实进入SOC中的事件,这些防御者消费的是低级CTI来支持检测和响应。
行动情报:比策略情报高一层,这一类情报集中于实时操作环境,也更关注作为对手的黑客。行动情报应当得到所谓的传统威胁情报分析师的支持。这些分析师会寻找内部和外部搜集到的信息,来分析并部署针对于企业运行环境,威胁源行动模式及能力、机会和意图的情报产品。
战略情报:此类情报对于高管层非常重要。高管可以使用它来衡量网络威胁,并且用其来指导投资和管理决策。对战略层面的支持也会对传统的威胁情报分析师有作用,分析师在这种情况下的全部精力都集中在企业的产品线上。它是一个网络威胁、网络风险和商业风险相互联系、综合分析的层面,可以帮助决策者进行基于更多信息的决策。
威胁情报的每个领域都有不同的任务层级,它们各需要不同的工具集合以及分析师背景。基于关注的领域,网络威胁情报分析师应当能够让情报生命周期正常运转,它包括:
收集要求
整合
分析
部署
反馈
威胁情报分析师的目标是基于网络威胁,给出相关、实时、准确的情报。特别是那些网络间谍、黑客激进组织、网络犯罪、恶意软件、社会工程等新兴网络威胁。本质上来讲,分析师需要向企业提供关于网络威胁“人物、事件、时间、地点、原因、方式、重要性”的情报,并帮助企业减少总风险。
经常会有这样一些争论,是雇佣网络安全专家,并教会他们情报处理的方法?还是直接雇佣情报专家,教给他们网络安全技术?
答案是显而易见的——看情况而定,这个情况就是你关注的领域以及想要建立相应能力的方向。
显然,战术上的关注领域需要懂技术的个人;运行层面则需要拥有一定技术背景,但又能纵览公司全局的个人;关注战略的个人需要具备管理企业风险的背景。
以上的这些领域都需要网络威胁情报分析师。
随着机构充实其网络威胁情报项目的实现细节,这样的模型有助于企业理解自己需要雇佣、训练并具备什么样的分析师。不是所有分析师都等同,也并不是所有情报产品的目标客户都拥有同样的情报要求。
---
微信最新版,长按公众号,可“置顶”