- 威胁数据,信息和情报存在很大的差异,找到并辨别他们彼此之间到底区别,能够帮助企业最大化的利用威胁情报平台所生产的数据
- 从数据到信息到情报,这些信息的数量在不断地减少,但价值在不断地增加
- 威胁情报平台只能生产数据和信息,而人工则能区分确实可利用的威胁情报
- 计算机永远也无法生产真正的威胁情报,但人类也并不适合数据收集和处理大量的威胁数据这两种工作
- 可落地的安全工作永远是最终的目标,如果不能提高安全性,那么威胁情报是无用的。.
我们在研究中发现,大多数的组织在投资威胁情报平台的时候都会犯一个巨大的错误,更不幸的是,直到完成整个威胁情报平台解决方案的实施,他们都很少会意识到这个错误。当然,决定投资威胁情报并不是问题,否则我们也不会向我们的客户提供威胁情报服务。这个错误其实更基础——那就是认为威胁情报平台会把一切的事情做好。令人悲伤的是,威胁情报平台并非如此,那么为了回答这个问题,让我们来看看威胁数据,信息和情报之间的区别,和在他们进化的过程中,一个技能熟练经验丰富的分析师能够起到的作用。
数据,信息和情报
数据,信息和情报的最大区别实际上是两点,数据量和可用性。
数据通常可以较为容易地,大量地获取,他们通常在陈述单个的,无可争议的事实。比如某个IP发起了链接请求,就是一个很好的例子,因为这是一个很简单的事实陈述,并没有什么争议性。
而当一系列的数据点被结合起来回答一个简单的问题的时候,信息就产生了。例如,身高和体重组合在一起可以计算出BMI指数,然后可以用这个来绘制一张图表来确定你是否属于正常范围。要注意的是,虽然这个信息比原始的数据更加有用,但这并不能直接驱动行为。
情报则像在利用这些数据和信息来讲述一个故事,这个故事可以用来帮助决策。更重要的是,情报从不回答简单的问题,而是描绘一个能够帮助回答更复杂问题的故事。接着BMI体重指数来举例,你的体重指数可以交由移植委员会来结合相关研究来确定你是否合适进行器官移植。情报从不直接回答你是不是应该移植器官,但情报确实能够帮助人们进行决策。
所以我们从数据到信息到情报的时候,输出的数量急剧下降而价值会成指数级上升就并不奇怪了。下面这张来自美国国防部的 “Joint
Publication 2-0: Joint Intelligence” 报告,就能很好的展示从数据到情报这一过程中的步骤和变化。.
但这如何套用到安全领域中呢?
那我们来举一个在安全领域中的数据的例子:单个链接请求。就其本身而言,这个数据确定不了任何事情,除了我们收到了一个从特定的IP地址发来的链接请求。
现在让我们来上升到信息,我们假设这个请求在短时间内达到了一个不正常的极高的数值。那么现在我们就可以确定,由于某种原因,这个服务器收到了极大的访问压力,需要处理。
最后,情报层面。结合我们自己过去的经验以及大量的来自僵尸网络的IP的链接,我们可以得出结论:服务器遭受了DDoS攻击。假设我们已有了处理DDoS的方案 ,那么就可以立即采取措施来保护我们的资产。
所以问题在哪里呢?
现在我们已经了解了威胁数据,信息和情报之间的差异性,那么大部分组织会犯的这个巨大的错误就变得容易理解了。
其实很简单,威胁情报平台实际上并不产生真正的威胁情报。听起来很奇怪,但这并不难理解。威胁情报的产生并不仅仅需要一个高度复杂的计算机算法。
大多数现代威胁情报平台都能够很好的收集威胁数据,而这些平台中很大的一部分都是主要用来组织和展现威胁情报,从而帮助安全分析师的工作。有一些威胁情报工具则做了更多的工作,他们能够结合和加工这些威胁数据提取出的信息,这能够大量的节约安全分析师的工作,因为可以排除许多误报并进行很多较为简单的分析。但严格的来说,并没有自动化的产品可以产生真正的威胁情报。只有高度熟练并具有深厚的安全背景的分析师可以有效的提炼出对企业安全系统有效的行动决策。
也就是说,最好的威胁情报供应商和产品,可以达到生产信息之上的高度。那就是使用一个AI,或者更精确的说一个“threat AI”,AI可以处理那些相对简单的威胁情报,但对于那些更复杂的威胁情报,仍然需要人工的参与。
这就是那个大多数组织都会出现的问题:认为采购一个简单的平台就能提供安全情报,而忽视了真正产生情报需要大量的人力。
是的,我们也要承认在没有人工参与的情况下,一些好的威胁情报平台能够提供一些支持。威胁信息能够提供一些简单问题的答案,比如“软件系统存在漏洞么?”这些答案确实是有帮助的。一些更高级的威胁情报产品能提供一些更多的信息,这可以大大减少分析师的负担。但获得真正的有用的威胁情报时,没有什么能代替人脑在这里起到的作用。
信息过载
当我们讨论到这里,可能会有人疑惑如果威胁情报平台不能生产威胁情报,那么到底有什么作用? 最简单的回答就是大数据,我们拿Recorded Future来举个例子。
即使是产生一个很小的威胁情报,也需要大量的威胁数据,简单的威胁情报平台能够获取并整理大量的威胁数据,这使得分析师的工作更容易和他们的输出结果更加有效。
Recorded Future也在收集来自成千上万数据源的数据,并不断识别和自动添加新的数据来源,Recorded
Future的threat
AI的各种功能都是自动运行的(比如多种语言的自然语言处理功能),数据处理量也是令人惊叹的。平均的来说,Recorded
Future每秒钟能够处理超过4000条数据,远超出了人类团队所能达到的极限。
而且这并不仅仅只是识别威胁,平台最重要的作用是剔除这些数据中的误报,这些误报会大量的浪费人力。Recorded Future可以自动过滤掉大部分的误报,让分析师能够更专注于在真正威胁的基础上生产情报。
其他的有价值的功能也是可以自动化的,比如寻找并识别一些特定的数据,或在威胁论坛和网站上搜索一些相关的信息等等。同样的,这些任务利用人力来做是非常繁重的,但对于自动化威胁情报平台来说,相对比较容易。
最终,threat AI和情报平台将会有明显的界限,Recorded Future平台明显是前者。只有真正将分析师和威胁情报产品结合起来,才能形成世界领先的威胁情报能力。
什么让我们领先?
威胁情报产品最重要的功能之一是将威胁数据根据对企业潜在的风险值组织起来,这也是最好的供应商和其他供应商的区别,那就是他们能够自动化排序威胁,这样分析员就可以集中精力分析最重要的威胁数据或者信息。
这就是关键所在。
就像之前描述过的大数据的问题,能够有一个排序威胁的工具是至关重要的,如果需要手动挖掘每一个威胁,你会发现许多紧迫的威胁无法得到及时的处理。
威胁信息的结合和优先级分析是第一要素,所有请谨慎的选择你的供应商。
灯光!摄影!Action!
当上升到信息级别的时候,能否转化成安全工作是唯一真正重要的,只是拥有威胁数据或信息并没有什么价值,除非你能利用它去来提高安全性或低于即将到来的攻击。
毫不奇怪,世界上最好的安全系统们已经随着时间发展出了自己的方式来采取积极的措施来进行防御。每一天他们的分析师都会分析出可操作的情报,用于改善安全机制,关闭漏洞并停止攻击。
如果你想采取一些更主动的方法,可以看看Recorded future的这篇白皮书“Understand Your Attacker: A
Practical Guide to Identifying TTPs With Threat
Intelligence,”这将帮助您了解威胁行为使用的不同的策略和技术(TTPS)。有了这些信息,你就可以开始系统的提高网络安全并降低组织的威胁了。
原文标题:Threat Data, Information, and Intelligence: What’s the Difference?,作者:Recorded Future
作者:羲和/编译
来源:51CTO