楔子:“新全真教”不出,谁是大英雄?
戊寅年初,疫情肆虐,尽皆闭户,以筛病毒。
某周末,小区开放,难得近日来的可外出之际,甚为欣喜,于是信步来到小上海里克咖啡馆,这里可是网络威胁情报人员(CTIer)的常驻足之地,他家的手工冲泡咖啡尤其深得CTIer的喜爱。边喝咖啡边交流CTI,很是适意。
或许受到各种管控的缘故,咖啡馆里人不多,春日上午阳光暖煦,室外靠近水池处,既可赏锦鲤游弋,亦可见不远处樱花满树,随微风曼舞。随便选一周边无人的小桌坐下,点一杯手冲,然后打开所携之书,准备消磨时光。
不时,远处走来三位衣着甚是合身的陌生人,落座在不远处另一桌,相谈甚欢,虽然他们交谈声音较小,在异常安静的环境中也可辨别内容,大致听到部分在谈论威胁情报,遂得此文。从他们寒暄、交谈内容和互相称谓上,应该是CEO、CFO、CISO,以下用E、F、S来代表。
EFS:……(寒暄与其他话题)
E:本周重点工作摘要上提到信息安全部门正在考虑引进网络威胁情报来加强我们的网络安全,为什么需要到管理层来讨论,你(望向S)不是可以决策吗?
S:如果从预算看,我就可以决策。但从网络威胁情报的价值和意义看,我认为有必要提交到管理层,甚至是董事会知晓。
E:oh,Why?
S:网络威胁情报可以帮助我们提高网络安全战略级决策,它可以提供支撑战略、运营所需的网络安全环境所需要的重要信息,我司推行的COSO治理模型里,信息安全是重要的一层,而治理也是高层和董事会的事务,因此,采用网络威胁情报有必要让高层和董事会知晓。
E:那么你准备如何选择一个好的威胁情报源呢?
S:这个有一些难度,我有一些方法,我把这些选择方法称为“新全真教”。
E&F:“新全真教”,上演全武行?
S:(哈哈哈)是的。“新全真教”其实是4个属性,要拆开来讲。首先,“新”就是时效性,威胁情报一定要保持新鲜度才能发挥其效用。
F:所谓新,是不是只有当时才有效?
S:不完全是,既然情报要讲究“新”字,一个是情报数据从获取到传播的时效,再者是在此基础上的预测,以及情报对抗也会影响情报的生存期,这样就要对情报失效时间进行评估了。而历史数据可以保存,作为日后查询使用。
F:如何预测情报生存期?
S:情报生存期的详细计算方法是商业秘密,不是标准的。计算的思路有点像财务做折旧的思路一样,折旧历时、折旧公式是经营的艺术,例如你常用的各种快速折旧、直线折旧方法会影响财报、税务,从而影响公司的经营甚或股价,情报生存期也是影响其漏传播、误传播指标的关键因素,其计算方法是一门艺术,生存期通产融入一个叫综合信誉值的指标来表达。
F:大概明白了。
E:时效性倒是不难理解,那么全呢?
S:全的概念比较复杂,还要掰开了讲。最容易想到的是量全,也就是尽量获得可能多的威胁情报,但是需要注意的是不可能有任何一家可以提供“最全”的威胁情报,网络上有篇文章用“没有上帝之眼”解释过这个问题。其原因是没有人能够做到对网络有绝对的完整访问权、完全的威胁识别能力,从而形成情报来源带有片面性。同理,情报的上下文的全面性也是如此。所以,我的结论是我们需要采购多家情报。
E:能够理解,从不同角度看“全”的问题。多家情报源也是很有必要。
S:接下来讲“真”,就是真实可靠,也叫做准确性。
F:这个好理解,我们财务最讲“真”。
E:是的,准确是可应用的基础。“教”又是什么?
S:扶上马,送一程!
E:此话怎讲?
S:网络威胁情报是较新的概念,虽然在全球已经广泛应用,但由于概念范围广、标准多等原因,我们的团队一直在加强网络威胁情报应用的学习,因此我们希望被“教”,以及在我们应用的过程中陪同我们进行优化。
E:原来是这样一个“新全真教”呀,哈哈哈,明白了!我知道如何在董事会讲明白了。
EFS:Cheers!
E:…(面向CFO)
春光明媚,最是学习好时节,喝杯咖啡也受用。
(以上情节,纯属虚构,如有雷同,实为巧合。)