全球網路安全人才短缺,請給我一份個人化的威脅情報

在星巴克，我們常聽到這樣的點單：「給我來一杯中盃豆奶香草卡布奇諾，半*、超燙。」我們自己很可能也是這麼點單的。事實上，我們已經習慣以自己的方式做事，而反映在咖啡這件小事上，咖啡師負責確保我們的期望得到滿足。

科技世界與之類似，但不是用焦糖或香草糖漿滿足個人品味，而是根據經驗、熟悉度和個人偏好來選擇技術與產品。在商業領域，定制則更加複雜，因為我們需要根據品牌偏好、特定團隊經驗與專業技能、操作環境、流程與工作流程等參數進行定制，還有必須支援的特定現有企業基礎設施。這種客製化需求可被稱為“星巴克效應”，該效應在整個IT產業中振盪，影響硬體、軟體和服務之類的。

一個典型的例子就是沒有通用型安全性。從基礎設施和防禦層的開發歷程就可以知道這一點。多年來，公司企業無不是從不斷擴大的終端產品範圍中挑選出自己中意的產品來解決最新威脅或滿足業務需求。每家公司的需求各不相同，由此產生的安全基礎設施也就各有差異了。

反映到威脅情報上也是同樣的情況。不是所有的威脅資料都同等重要，有些資料是與自家公司相關而對其他公司無甚重要的。另外，利用威脅情報的方式也因基礎設施和人員的不同而有差異。比如說，人力充足的大型企業就有資源以兩度甚至三度分隔來追蹤威脅資料(比如，下游IP位址、網域註冊者等等)。而沒有這麼多資源的公司就必須選擇性地追踪，只調查當前活躍的，針對本行業或與已知對手相關的威脅數據。

建構全面威脅情報專案通常從選擇要訂閱的各種威脅資料饋送來源開始，可以有商業來源、開源、產業來源，也可以納入現有安全廠商的威脅資料來源，並將數據整合到中央儲存庫中。然後，你需要為自身防禦層和SIEM中的每個終端產品配備與該中央儲存庫通訊的管道，這樣才能夠將全域威脅資料與這些解決方案產生的大量日誌與時間資料結合。

資料豐富當然是好事，但裡面同時也含有許多雜訊。有些威脅資料饋送和安全廠商試圖透過發布威脅評分來幫助減少雜訊。但是，這些評分都是通用的。而你真正需要的是與自身環境相關的評分。就像咖啡點單一樣，只有你自己才知道自己喜歡什麼，需要什麼。你得會根據威脅指標來源、類型、屬性和上下文，以及對手屬性，來客製化威脅評分，排序威脅情報，這樣才能過濾真正的噪音。

客製化威脅情報本身還不足夠，還得具備個人化利用威脅情報的能力。這需要可以雙向通訊的解決方案——不僅可以從內部系統接收數據，還能從中央儲存庫向環境中所有必要的工具發送經過甄選的威脅情報。比如說，向現有事件管理或SIEM解決方案發送威脅情報以讓這些技術更有效率地執行其功能，減少誤報。也可以運用此威脅情報來預測並防止未來的攻擊－自動向防禦層(防火牆、防毒軟體、IPS/IDS、Web和郵件安全、終端偵測及回應、網路流量分析等等)發送威脅情報以產生並應用更新的策略和規則來緩解風險。

擁有了可以自訂威脅情報本身及其整合方式的解決方案，你就可以進行威脅情報「點餐」了。不過，不是每個公司都能夠自己完成這個客製化過程。

全球網路安全人才短缺情況持續惡化，預計到2019年將出現200萬個安全職缺。這種情況下如果你沒有安全專家可以開發或實作威脅情報專案該怎麼辦呢?託管安全服務提供者(MSSP)可以幫你。 MSSP會提供你一系列選項，幫助你輕鬆搞定所需的服務。他們可以為你完成定製過程，將數據轉化為可執行威脅情報，並將之整合進你的基礎設施和營運中。他們還能用與你公司相關的威脅情報來改善你的整體安全運營，直接針對對你而言最重要的那些威脅。

IT產業中星巴克效應十分普遍，威脅情報同樣受到該運動的影響。有了合適的技術和服務，每家公司都能在適當的時間、地點以正確的方式取得併排序相關威脅情報