威脅數(shù)據(jù),信息和情報(bào)
- 威脅數(shù)據(jù),信息和情報(bào)存在很大的差異,找到并辨別他們彼此之間到底區(qū)別,能夠幫助企業(yè)最大化的利用威脅情報(bào)平臺(tái)所生產(chǎn)的數(shù)據(jù)
- 從數(shù)據(jù)到信息到情報(bào),這些信息的數(shù)量在不斷地減少,但價(jià)值在不斷地增加
- 威脅情報(bào)平臺(tái)只能生產(chǎn)數(shù)據(jù)和信息,而人工則能區(qū)分確實(shí)可利用的威脅情報(bào)
- 計(jì)算機(jī)永遠(yuǎn)也無法生產(chǎn)真正的威脅情報(bào),但人類也并不適合數(shù)據(jù)收集和處理大量的威脅數(shù)據(jù)這兩種工作
- 可落地的安全工作永遠(yuǎn)是最終的目標(biāo),如果不能提高安全性,那么威脅情報(bào)是無用的。.
我們在研究中發(fā)現(xiàn),大多數(shù)的組織在投資威脅情報(bào)平臺(tái)的時(shí)候都會(huì)犯一個(gè)巨大的錯(cuò)誤,更不幸的是,直到完成整個(gè)威脅情報(bào)平臺(tái)解決方案的實(shí)施,他們都很少會(huì)意識(shí)到這個(gè)錯(cuò)誤。當(dāng)然,決定投資威脅情報(bào)并不是問題,否則我們也不會(huì)向我們的客戶提供威脅情報(bào)服務(wù)。這個(gè)錯(cuò)誤其實(shí)更基礎(chǔ)——那就是認(rèn)為威脅情報(bào)平臺(tái)會(huì)把一切的事情做好。令人悲傷的是,威脅情報(bào)平臺(tái)并非如此,那么為了回答這個(gè)問題,讓我們來看看威脅數(shù)據(jù),信息和情報(bào)之間的區(qū)別,和在他們進(jìn)化的過程中,一個(gè)技能熟練經(jīng)驗(yàn)豐富的分析師能夠起到的作用。
數(shù)據(jù),信息和情報(bào)
數(shù)據(jù),信息和情報(bào)的最大區(qū)別實(shí)際上是兩點(diǎn),數(shù)據(jù)量和可用性。
數(shù)據(jù)通常可以較為容易地,大量地獲取,他們通常在陳述單個(gè)的,無可爭議的事實(shí)。比如某個(gè)IP發(fā)起了鏈接請求,就是一個(gè)很好的例子,因?yàn)檫@是一個(gè)很簡單的事實(shí)陳述,并沒有什么爭議性。
而當(dāng)一系列的數(shù)據(jù)點(diǎn)被結(jié)合起來回答一個(gè)簡單的問題的時(shí)候,信息就產(chǎn)生了。例如,身高和體重組合在一起可以計(jì)算出BMI指數(shù),然后可以用這個(gè)來繪制一張圖表來確定你是否屬于正常范圍。要注意的是,雖然這個(gè)信息比原始的數(shù)據(jù)更加有用,但這并不能直接驅(qū)動(dòng)行為。
情報(bào)則像在利用這些數(shù)據(jù)和信息來講述一個(gè)故事,這個(gè)故事可以用來幫助決策。更重要的是,情報(bào)從不回答簡單的問題,而是描繪一個(gè)能夠幫助回答更復(fù)雜問題的故事。接著BMI體重指數(shù)來舉例,你的體重指數(shù)可以交由移植委員會(huì)來結(jié)合相關(guān)研究來確定你是否合適進(jìn)行器官移植。情報(bào)從不直接回答你是不是應(yīng)該移植器官,但情報(bào)確實(shí)能夠幫助人們進(jìn)行決策。
所以我們從數(shù)據(jù)到信息到情報(bào)的時(shí)候,輸出的數(shù)量急劇下降而價(jià)值會(huì)成指數(shù)級上升就并不奇怪了。下面這張來自美國國防部的 “Joint Publication 2-0: Joint Intelligence” 報(bào)告,就能很好的展示從數(shù)據(jù)到情報(bào)這一過程中的步驟和變化。.
但這如何套用到安全領(lǐng)域中呢?
那我們來舉一個(gè)在安全領(lǐng)域中的數(shù)據(jù)的例子:單個(gè)鏈接請求。就其本身而言,這個(gè)數(shù)據(jù)確定不了任何事情,除了我們收到了一個(gè)從特定的IP地址發(fā)來的鏈接請求。
現(xiàn)在讓我們來上升到信息,我們假設(shè)這個(gè)請求在短時(shí)間內(nèi)達(dá)到了一個(gè)不正常的極高的數(shù)值。那么現(xiàn)在我們就可以確定,由于某種原因,這個(gè)服務(wù)器收到了極大的訪問壓力,需要處理。
最后,情報(bào)層面。結(jié)合我們自己過去的經(jīng)驗(yàn)以及大量的來自僵尸網(wǎng)絡(luò)的IP的鏈接,我們可以得出結(jié)論:服務(wù)器遭受了DDoS攻擊。假設(shè)我們已有了處理DDoS的方案 ,那么就可以立即采取措施來保護(hù)我們的資產(chǎn)。
所以問題在哪里呢?
現(xiàn)在我們已經(jīng)了解了威脅數(shù)據(jù),信息和情報(bào)之間的差異性,那么大部分組織會(huì)犯的這個(gè)巨大的錯(cuò)誤就變得容易理解了。
其實(shí)很簡單,威脅情報(bào)平臺(tái)實(shí)際上并不產(chǎn)生真正的威脅情報(bào)。聽起來很奇怪,但這并不難理解。威脅情報(bào)的產(chǎn)生并不僅僅需要一個(gè)高度復(fù)雜的計(jì)算機(jī)算法。
大多數(shù)現(xiàn)代威脅情報(bào)平臺(tái)都能夠很好的收集威脅數(shù)據(jù),而這些平臺(tái)中很大的一部分都是主要用來組織和展現(xiàn)威脅情報(bào),從而幫助安全分析師的工作。有一些威脅情報(bào)工具則做了更多的工作,他們能夠結(jié)合和加工這些威脅數(shù)據(jù)提取出的信息,這能夠大量的節(jié)約安全分析師的工作,因?yàn)榭梢耘懦S多誤報(bào)并進(jìn)行很多較為簡單的分析。但嚴(yán)格的來說,并沒有自動(dòng)化的產(chǎn)品可以產(chǎn)生真正的威脅情報(bào)。只有高度熟練并具有深厚的安全背景的分析師可以有效的提煉出對企業(yè)安全系統(tǒng)有效的行動(dòng)決策。
也就是說,最好的威脅情報(bào)供應(yīng)商和產(chǎn)品,可以達(dá)到生產(chǎn)信息之上的高度。那就是使用一個(gè)AI,或者更精確的說一個(gè)“threat AI”,AI可以處理那些相對簡單的威脅情報(bào),但對于那些更復(fù)雜的威脅情報(bào),仍然需要人工的參與。
這就是那個(gè)大多數(shù)組織都會(huì)出現(xiàn)的問題:認(rèn)為采購一個(gè)簡單的平臺(tái)就能提供安全情報(bào),而忽視了真正產(chǎn)生情報(bào)需要大量的人力。
是的,我們也要承認(rèn)在沒有人工參與的情況下,一些好的威脅情報(bào)平臺(tái)能夠提供一些支持。威脅信息能夠提供一些簡單問題的答案,比如“軟件系統(tǒng)存在漏洞么?”這些答案確實(shí)是有幫助的。一些更高級的威脅情報(bào)產(chǎn)品能提供一些更多的信息,這可以大大減少分析師的負(fù)擔(dān)。但獲得真正的有用的威脅情報(bào)時(shí),沒有什么能代替人腦在這里起到的作用。
信息過載
當(dāng)我們討論到這里,可能會(huì)有人疑惑如果威脅情報(bào)平臺(tái)不能生產(chǎn)威脅情報(bào),那么到底有什么作用? 最簡單的回答就是大數(shù)據(jù),我們拿Recorded Future來舉個(gè)例子。
即使是產(chǎn)生一個(gè)很小的威脅情報(bào),也需要大量的威脅數(shù)據(jù),簡單的威脅情報(bào)平臺(tái)能夠獲取并整理大量的威脅數(shù)據(jù),這使得分析師的工作更容易和他們的輸出結(jié)果更加有效。
Recorded Future也在收集來自成千上萬數(shù)據(jù)源的數(shù)據(jù),并不斷識(shí)別和自動(dòng)添加新的數(shù)據(jù)來源,Recorded Future的threat AI的各種功能都是自動(dòng)運(yùn)行的(比如多種語言的自然語言處理功能),數(shù)據(jù)處理量也是令人驚嘆的。平均的來說,Recorded Future每秒鐘能夠處理超過4000條數(shù)據(jù),遠(yuǎn)超出了人類團(tuán)隊(duì)所能達(dá)到的極限。
而且這并不僅僅只是識(shí)別威脅,平臺(tái)最重要的作用是剔除這些數(shù)據(jù)中的誤報(bào),這些誤報(bào)會(huì)大量的浪費(fèi)人力。Recorded Future可以自動(dòng)過濾掉大部分的誤報(bào),讓分析師能夠更專注于在真正威脅的基礎(chǔ)上生產(chǎn)情報(bào)。
其他的有價(jià)值的功能也是可以自動(dòng)化的,比如尋找并識(shí)別一些特定的數(shù)據(jù),或在威脅論壇和網(wǎng)站上搜索一些相關(guān)的信息等等。同樣的,這些任務(wù)利用人力來做是非常繁重的,但對于自動(dòng)化威脅情報(bào)平臺(tái)來說,相對比較容易。
最終,threat AI和情報(bào)平臺(tái)將會(huì)有明顯的界限,Recorded Future平臺(tái)明顯是前者。只有真正將分析師和威脅情報(bào)產(chǎn)品結(jié)合起來,才能形成世界領(lǐng)先的威脅情報(bào)能力。
什么讓我們領(lǐng)先?
威脅情報(bào)產(chǎn)品最重要的功能之一是將威脅數(shù)據(jù)根據(jù)對企業(yè)潛在的風(fēng)險(xiǎn)值組織起來,這也是最好的供應(yīng)商和其他供應(yīng)商的區(qū)別,那就是他們能夠自動(dòng)化排序威脅,這樣分析員就可以集中精力分析最重要的威脅數(shù)據(jù)或者信息。
這就是關(guān)鍵所在。
就像之前描述過的大數(shù)據(jù)的問題,能夠有一個(gè)排序威脅的工具是至關(guān)重要的,如果需要手動(dòng)挖掘每一個(gè)威脅,你會(huì)發(fā)現(xiàn)許多緊迫的威脅無法得到及時(shí)的處理。
威脅信息的結(jié)合和優(yōu)先級分析是第一要素,所有請謹(jǐn)慎的選擇你的供應(yīng)商。
燈光!攝影!Action!
當(dāng)上升到信息級別的時(shí)候,能否轉(zhuǎn)化成安全工作是唯一真正重要的,只是擁有威脅數(shù)據(jù)或信息并沒有什么價(jià)值,除非你能利用它去來提高安全性或低于即將到來的攻擊。
毫不奇怪,世界上最好的安全系統(tǒng)們已經(jīng)隨著時(shí)間發(fā)展出了自己的方式來采取積極的措施來進(jìn)行防御。每一天他們的分析師都會(huì)分析出可操作的情報(bào),用于改善安全機(jī)制,關(guān)閉漏洞并停止攻擊。
如果你想采取一些更主動(dòng)的方法,可以看看Recorded future的這篇白皮書“Understand Your Attacker: A Practical Guide to Identifying TTPs With Threat Intelligence,”這將幫助您了解威脅行為使用的不同的策略和技術(shù)(TTPS)。有了這些信息,你就可以開始系統(tǒng)的提高網(wǎng)絡(luò)安全并降低組織的威脅了。
原文標(biāo)題:Threat Data, Information, and Intelligence: What’s the Difference?,作者:Recorded Future
【本文是51CTO專欄機(jī)構(gòu)作者“數(shù)字觀星技術(shù)組”的原創(chuàng)文章,轉(zhuǎn)載請聯(lián)系原作者】
