在星巴克,我们经常听到这样的点单:“给我来一杯中杯豆奶香草卡布奇诺,半*、超烫。”我们自己很可能也是这么点单的。事实上,我们已经习惯于按自己的方式做事,而反映在咖啡这件小事上,咖啡师负责确保我们的期望得到满足。
技术世界与之类似,但不是用焦糖或香草糖浆满足个人品味,而是根据经验、熟悉度和个人偏好来选择技术与产品。在商业领域,定制则更加复杂,因为我们需要根据品牌偏好、特定团队经验与专业技能、操作环境、过程与工作流等参数进行定制,还有必须支持的特定现有企业基础设施。这种定制需求可被称为“星巴克效应”,该效应在整个IT产业里振荡,影响硬件、软件和服务之类的。
一个典型的例子就是没有通用型安全。从基础设施和防御层的开发历程上就可以知道这一点。多年来,公司企业无不是从不断扩大的终端产品范围中挑选出自己中意的产品来解决最新威胁或满足业务需求。每家公司的需求各不相同,由此产生的安全基础设施也就各有差异了。
反映到威胁情报上也是同样的情况。不是所有的威胁数据都同等重要,有些数据是与自家公司相关而对其他公司无甚重要的。另外,利用威胁情报的方式也因基础设施和人员的不同而有差异。比如说,人力充足的大型企业就有资源以两度甚至三度分隔来追踪威胁数据(比如,下游IP地址、域名注册者等等)。而没有这么多资源的公司就必须选择性地追踪,只调查当前活跃的,针对本行业或与已知对手相关的威胁数据。
构建全面威胁情报项目通常从选择要订阅的各种威胁数据馈送源开始,可以有商业源、开源、行业源,也可以纳入现有安全厂商的威胁数据源,并将数据集成到中央存储库中。然后,你需要为自身防御层和SIEM中的每个终端产品配备与该中央存储库通信的渠道,这样才能够将全局威胁数据与这些解决方案产生的大量日志与时间数据结合起来。
数据丰富当然是好事,但这里面同时也含有很多噪声。有些威胁数据馈送和安全厂商试图通过发布威胁评分来帮助减少噪声。但是,这些评分都是通用的。而你真正需要的是与自身环境相关的评分。就像咖啡点单一样,只有你自己才知道自己喜欢什么,需要什么。你得会根据威胁指标源、类型、属性和上下文,以及对手属性,来定制威胁评分,排序威胁情报,这样才能过滤真正的噪音。
定制威胁情报本身还不足够,还得具备个性化利用威胁情报的能力。这就需要可以双向通信的解决方案——不仅可以从内部系统接收数据,还能从中央存储库向环境中所有必要的工具发送经过甄选的威胁情报。比如说,向现有事件管理或SIEM解决方案发送威胁情报以让这些技术更加高效地执行其功能,减少误报。还可以运用该威胁情报来预测并防止未来的攻击——自动向防御层(防火墙、杀毒软件、IPS/IDS、Web和邮件安全、终端检测及响应、网络流量分析等等)发送威胁情报以产生并应用更新的策略和规则来缓解风险。
拥有了可以定制威胁情报本身及其集成方式的解决方案,你就可以进行威胁情报“点餐”了。不过,不是每个公司都能够自己完成这个定制过程。
全球网络安全人才短缺情况持续恶化,预计到2019年将出现200万个安全职位空缺。这种情况下如果你没有安全专家可以开发或实现威胁情报项目该怎么办呢?托管安全服务提供商(MSSP)可以帮你。MSSP会为你提供一系列选项,帮你轻松搞定所需的服务。他们可以为你完成定制过程,将数据转化为可执行威胁情报,并将之集成进你的基础设施和运营中。他们还能用与你公司相关的威胁情报来改善你的整体安全运营,直接针对对你而言最重要的那些威胁。
IT行业中星巴克效应十分普遍,威胁情报同样受到该运动的影响。有了合适的技术和服务,每家公司都能在恰当的时间、地点以正确的方式获取并排序相关威胁情报