网络威胁情报的艺术：超越第三方服务的表面

网络威胁情报(CTI) 日益成为企业IT 安全的重要组成部分。然而，企业中存在一个普遍的误解：认为依靠CTI服务提供商，甚至是高水平的CTI服务提供商，就足以保证完全防御网络威胁。

这种方法可能是有限的并且存在潜在危险，因为 CTI 的真正有效性在于分析所提供的信息并将其置于上下文中的能力，而这远远超出了所提供服务的表面。

CTI 最终是要深入研究数字环境的复杂性和黑暗性。它意味着探索暗网最黑暗的深处的威胁，彻底了解它们，渗透到地下和秘密环境中，将自己伪装成其中的一员以获得第一手信息。

简而言之，这是一种在不忽视自己的正直和道德的情况下冒充坏人身份的艺术。接触威胁、解读威胁并预测对手的行动。

对信息进行批判性评估的必要性

来自网络威胁情报（CTI）来源的任何新闻或报告都必须仔细检查。

如果没有深入的、情境化的分析，仅仅接收新闻并立即采取行动是不够的。区分“信息”和“解释”至关重要。

信息无论多么详细，都是原始数据。它描述了一个事实，例如新漏洞、恶意软件、0day或特定威胁的识别。但是，它不会自动提供有关该威胁的相关性或公司应采取哪些行动来保护自己的指导。

因此，将信息视为操作指令可能会导致不恰当的解释和后续无效的操作活动。

然而，解释信息涉及更复杂的评估过程。在特定情况下，有必要评估一系列迹象，例如：

• 谁提供了这些信息？

• 是否具有权威性？

• 它准确还是可能有隐藏的利益？

• 样品齐全吗？

• 它们是最近的吗？

• 他们与受影响的组织有关系吗？

• 百分比是多少？

• 它们与我们的组织或行业相关吗？

与内部信息（第三方供应商不知道）相比，它对于业务环境的战略意义如何？

对信息进行解释需要先进的技能和阅读字里行间的能力，以发现可能根本不明显的细节。

这是因为，在大多数情况下，威胁信息并不完整，并且可能包含不准确或误导性的数据。

最近的一个事件

最近的一个例子凸显了这种性质的问题。一名知名威胁者声称对一家大型财富 500 强公司进行了黑客攻击，引起了许多客户公司的恐慌，其中包括众多企业。

然而，对来源和可用样本的详细分析表明，尽管威胁行为者拥有正确的声誉，但这一说法毫无根据。

这些数据中包含的属于被泄露公司的电子邮件很少，其中大部分都是多年以前的邮件，并且来自不再在该公司工作的员工。

这种情况凸显出对威胁情报服务的盲目信任已经不够了。有必要拥有特定技能来充分评估威胁，进行批判性分析，而不仅仅是简单接受第三方提供的信息。

必须直接访问特定来源、分析样本并监控预警线程，以充分了解信息的流动，包括地下环境。

只有通过深入分析确认这些信息的有效性，才能安全有效地进行操作使用。

CTI专家短缺

在意大利，公司内部网络威胁情报专家严重短缺，尤其是公司本身的员工。大多数企业完全依赖外部 CTI 提供商来获取威胁情报并采取操作行动。

缺乏“过滤”会导致不良现象，即缺乏验证所提供信息准确性的能力以及无法正确地将威胁置于背景中。

内部专家对于分析数据和了解威胁的真实本质至关重要。这些专家如果使用特定工具进行适当培训，可以以匿名和受保护的方式进入地下，并有效地帮助解释威胁情报服务提供的（通常是原始）数据。

这是必要的，因为第三方公司无法准确了解特定公司的深度情报的具体需求，因为它不知道不可能向外导出的“上下文信息”和“公司内部动态”这对于正确的解释至关重要。

因此，有必要提供访问不同来源（包括地下来源）并验证信息有效性的可能性。这种级别的分析使公司能够做出明智的决策，制定更有效的安全策略，并根据环境进行威胁监控。

此外，如果我们仅限于本地供应商，那么做网络威胁情报的人很少，而且真正做得好的人也很少。

网络威胁情报是连接点的艺术

CTI 不仅仅是收集数据，而是解释和连接各个点以查看完整的图片。

如果我们将自己限制在几个“点”或盲目信任单一情报来源，我们就有可能对威胁产生扭曲的看法。

分析各种来源并连接不同信息的能力是真正的 CTI 实践的独特之处。

我们必须考虑像马赛克一样的威胁：每一块都是信息，只有将它们全部放在一起，并且以正确的方向我们才能看到完整的图片。如果我们错过哪怕一个小片段或者依赖了错误的片段，最终的图像就会扭曲、不完整或不正确。

因此，CTI 需要不断的“现场”实践和批判性分析能力，以通过特定的有针对性的操作来调查和监控威胁本身，从而正确连接难题的所有部分。

网络威胁情报是一门艺术，需要的不仅仅是从服务提供商收集信息。它需要对威胁的深入了解以及批判性地解释信息以确定其准确性和相关性的能力。

公司必须投资于内部专家，他们能够开展运营活动，并超越所购买服务的表面，制定可操作的、基于对真实威胁的准确评估的网络安全策略。

只有通过彻底而批判性的 CTI 方法，企业才有希望在不断变化的网络威胁环境中保持有效的防御地位。

与红队活动相比，大公司不会盲目信任安全评估提供商。它与其内部团队一起开展供应商评估活动，并利用该团队进行战略和保密活动。

而如果你不去现场检查供应商工作得好还是不好，你如何评价他的工作？