必须要谈谈Threat Intelligence威胁情报了,越来越多信息安全从业者开始关注威胁情报,NUKE同学发起的安全威胁情报推进联盟已经集结了400多名安全圈的大佬精英了,我个人甚至预计威胁情报会引燃国内企业信息安全管理领域下一阶段的大爆发。
这篇口水文里,我不想去试图阐释威胁情报的准确概念,纠结于准确的概念容易禁锢大家创新的思维,任凭大家天马行空最好。
回想起来,我入行信息安全领域也已经有十五六年了,十多年的耳濡目染和俯首躬耕,让我非常确定一件事情,那就是在信息安全对抗技术发生翻天覆地变化的同时,信息安全对抗的动机也发生了巨大变化。
因此我发散的去想关于威胁情报的三个问题,对错与否,任凭笑谈。
【一】为什么会出现威胁情报的概念热?
我们不得不承认,在今天,不管信息安全技术、产品和解决方案的种类有多么丰富,但实际上对各类型黑客来说,黑掉一个站比十年前更容易了,而不是更困难了。也许有人会稍加质疑,十年前被黑很普遍,现在被黑不是很普遍啊,真的是大错特错啊!有很多圈子里的朋友欣赏一句话,企业群体只有两类,那就是“知道自己被黑的”和“不知道自己被黑的”,呵呵,这句话我建议做个修改,“值得被黑的”和“不值得被黑的”,个人觉得更为准确。
一个企业IT系统之所以会被黑客们惦记和光顾,不是因为它有很多安全问题和弱点,而是因为它蕴含了价值,是价值吸引了黑客们的目光。围绕威胁情报的安全对抗也许就是真正基于价值的对抗,而传统的针对病毒、漏洞的安全对抗却往往让企业忽略了自身所被觊觎的价值。
所以,我自己理想的认为,之所以会出现威胁情报的概念热,也许是因为业界良心发现吧,大家都在不断反思历史和当前信息安全产品被严重夸大的实际作用!大家也都正在寻找更有实际价值的信息安全概念来支撑未来的信息安全产业健康发展。
【二】威胁情报会对企业安全管理带来那些预期变化?
我自己很看好威胁情报可能给企业安全管理工作带来的积极变化。
几天前,我还和不少朋友在议论,目前企业信息安全管理的驱动力本质上是合规,要合国际的规、国内的规、行业的规,要建立企业自己的规,合规作为企业信息安全工作的驱动力是个体系化的逻辑思维,确实没错,但是执行的过程却变了太多的味道,合规这个驱动力不断的被病魔纠缠,很多企业的合规已经病态演变成了免责,而进一步恶化的免责就是只求买手段,不求用手段。
威胁情报很有可能会帮助企业树立正确的安全管理工作目标,威胁情报会让企业和安全服务商更关注企业自身的价值特性,配合企业安全合规的驱动力,从价值特性的角度关注企业安全风险,从价值特性的角度关注企业安全建设,让更多安全建设投资积极有效,而不再是被各种厂商轮番游说和洗脑。
【三】威胁情报可能会带来什么样的信息安全创业/创新机会?
每一个概念的热炒和落地都会伴随着大批的创业、创新的机会,威胁情报能带给我们哪些信息安全创业/创新的机会呢?
我相信未来的威胁情报管理就像黄金冶炼系统一样,成吨的吃进矿石,但却只产出最有价值的那几克黄金。著名帅哥老板DJ说,“关于威胁情报,你差的就是一条线索”,但是要准确找到这条线索,门槛不低。显而易见的是,信息安全大数据平台是必不可少的,这也是很多做威胁情报分析的安全公司正在做的事情。
个人愚见是,绝大部分信息安全大数据平台都没有把关注企业特性放在首位,所以我倒是认为可以在帮助企业认识企业特性上寻找一些安全业务创新的机会,让企业细致、准确的认识自己就如同做高端的体检一样,需要高端的检验试剂,医学上检验试剂就是典型的抓住一个线索,还原一个本质的利器,而在信息安全领域,检验试剂可能就是有效的资产信息发现和更新机制、细粒度的安全配置管理等,具体更高级的是啥我真想不到,只是觉得是个可以重点考虑的方向。
抛开威胁情报概念的个人杂谈,更多探讨威胁情报问题,大家可以找到真正的“大家”NUKE同学,他家在Sec-UN安全圈。
安全圈的娱乐精神,疯言痴语笑看,些许妄言莫怪
欢迎关注我的个人公众号:Kris疯言痴语话安全