面朝北向,如何让威胁情报在甲方落地?

围观次数:1,012 views

威胁情报在甲方落地,我想从现状、关键点、以及运营三个方面来给大家分享。首先要明确甲方与威胁情报的三个现状:

  1. “威胁情报是数据的次生应用”

威胁情报分开采、炼化、应用等模式,目前我们关注较多的是开采和炼化,取得成果较多也在这两个点,但是真正能对甲方产生价值的,主要还在如何应用威胁情报。

  2. “甲方重果,威胁看因”

对于甲方来说,通常情况下,由于预算、人员等限制,或是为了保证业务的正常运转,安全更多时候只体现在结果上,当真正出现明确的安全问题时,甲方才会显著感受到安全的必要性;此时威胁情报发挥的作用,更多体现在寻找安全问题的原因、发现因果关系的过程中。

  3. “业务资产是安全问题的核心” 



业务资产是甲方所有安全工作的核心,然而目前国内的现状是,无论是设备还是技术,威胁情报均未与业务资产实现对接。甲方自身是没有这方面的人力和物力,将两者打通的。

 第二个方面,我和很多客户沟通过,有这样一个共识,威胁情报在甲方落地,有四个关键要能站住脚:

1. 边界

企业的资产始终在变化,但面对业务迭代、人员变化、甚至供应商倒闭,企业对资产边界的掌控确实逐渐失控的,因此,威胁情报首先能够帮助甲方看清业务资产的边界;

2. 责任

出了安全问题,谁的责任?问题的背后有很多原因,涉及到很多部门和相关人员,但不能出了安全问题都让安全管理员来背锅。威胁情报从第三方的角度对相关责任方进行排名,客观评价,明确责任,帮助管理;

3. 逻辑

从逻辑上来说,将安全管理工作与甲方的业务逻辑打通让威胁情报进入到安全背后的业务流程,才能发挥它真正的价值,显著减少损耗与无用功;

4. 响应

威胁情报的下一个落脚点是响应。利用威胁情报可以发现之前发现不了的问题,但是目前我们甲方企业的防护措施,对有些问题是处理不了的,因此我们要利用威胁情报迅速响应,帮助甲方解决问题。

明确了上面这些问题,就可以逐渐归纳出威胁情报在甲方的落地,关键在资产管理、情报定制化、安全运营这三个环节:

首先,安全管理工作要围绕甲方业务资产来实现。因此,首先企业要具备针对其业务资产的持续发现和管理的能力;

其次,对情报数据进行“定制化”即将外部威胁情报数据与企业资产相关联,帮助甲方企业发现资产面临的安全威胁,同时准确定位到资产所属部门与相关责任人;发现威胁后,要有智能的响应服务,协助用户分析安全威胁,处置风险。 

最终,形成一个围绕甲方业务资产为核心的安全运营闭环,使其应用威胁情报的能力不断螺旋式上升,最终实现威胁情报在甲方的落地。

威胁情报的价值,就在于让安全管理变得更简单。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助