威胁情报在甲方的落地,我想从现状、关键点、以及运营三个方面来给大家分享。首先要明确甲方与威胁情报的三个现状:
1. “威胁情报是数据的次生应用”
威胁情报分开采、炼化、应用等模式,目前我们关注较多的是开采和炼化,取得成果较多也在这两个点,但是真正能对甲方产生价值的,主要还在如何“应用”威胁情报。
2. “甲方重果,威胁看因”
对于甲方来说,通常情况下,由于预算、人员等限制,或是为了保证业务的正常运转,“安全”更多时候只体现在“结果”上,当真正出现明确的安全问题时,甲方才会显著感受到“安全”的必要性;此时威胁情报发挥的作用,更多体现在寻找安全问题的原因、发现因果关系的过程中。
3. “业务资产是安全问题的核心”
业务资产是甲方所有安全工作的核心,然而目前国内的现状是,无论是设备还是技术,威胁情报均未与业务资产实现对接。甲方自身是没有这方面的人力和物力,将两者打通的。
第二个方面,我和很多客户沟通过,有这样一个共识,威胁情报要在甲方落地,有四个关键点要能站住脚:
1. 边界
企业的资产始终在变化,但面对业务迭代、人员变化、甚至供应商倒闭,企业对资产边界的掌控确实逐渐失控的,因此,威胁情报首先能够帮助甲方看清业务资产的边界;
2. 责任
出了安全问题,谁的责任?问题的背后有很多原因,涉及到很多部门和相关人员,但不能出了安全问题都让安全管理员来背锅。威胁情报从第三方的角度对相关责任方进行排名,客观评价,明确责任,帮助管理;
3. 逻辑
从逻辑上来说,将安全管理工作与甲方的业务逻辑打通,让威胁情报进入到安全背后的业务流程,才能发挥它真正的价值,显著减少“损耗”与无用功;
4. 响应
威胁情报的下一个落脚点,是响应。利用威胁情报可以发现之前发现不了的问题,但是目前我们甲方企业的防护措施,对有些问题是处理不了的,因此我们要利用威胁情报迅速响应,帮助甲方解决问题。
明确了上面这些问题,就可以逐渐归纳出,威胁情报在甲方的落地,关键在资产管理、情报定制化、安全运营这三个环节:
首先,安全管理工作要围绕甲方业务资产来实现。因此,首先企业要具备针对其业务资产的持续发现和管理的能力;
其次,对情报数据进行“定制化”,即将外部威胁情报数据与企业资产相关联,帮助甲方企业发现资产面临的安全威胁,同时准确定位到资产所属部门与相关责任人;发现威胁后,要有智能的响应服务,协助用户分析安全威胁,处置风险。
最终,形成一个围绕甲方业务资产为核心的安全运营闭环,使其应用威胁情报的能力不断螺旋式上升,最终实现威胁情报在甲方的落地。
威胁情报的价值,就在于让安全管理变得更简单。