新的一年,新的天气,要实施的新战略,要平衡的新预算,要预防的新威胁。在过去的一年里,越来越多的公司对威胁情报有了更好的了解,并逐渐转向规划和实施过程,开始从好的情报中获益。计划将威胁情报添加到公司的安全和风险计划的第一步应该围绕几个关键问题:我们希望我们的情报针对什么?谁是情报应该服务的主要利益相关者?您最想保护哪些资产和信息?情报应该影响哪些决策和结果?应该如何衡量结果?我们是否已经在收集内部情报?无论您的网络威胁情报计划和流程是什么,它都应该推动更快、更明智的决策,以最大限度地减少风险暴露。如果它无助于实现该目标,请停止该项目并考虑需要进行哪些更改以允许智能更好地保护您的公司。大公司都有安全运营中心(SOC),分析师在那里分三班24小时工作。网络成熟度较低的小公司没有这些员工和工具,需要外包他们的网络风险指导。使用威胁情报并拥有小型情报业务的公司也希望使用混合/共同管理方法来获得“权力倍增器”。无论您是聘请了威胁情报分析师、与供应商合作,还是两者兼而有之,您都需要确保拥有合适的人员(和工具)来完成这项工作。复杂的是,正如并非每个威胁情报分析师都是一样的,每个威胁情报分析师都是不同的。情报分析员可能具有不同的专业领域,例如,有些更注重技术,有些更注重风险,有些更精通特定工具,等等。在着眼于寻找供应商合作伙伴或聘请内部网络威胁情报分析师之前,您需要首先确定最终目标并确保两者完美匹配。情报分析师确实有一些核心特质和能力可以作为招聘时的基准。就整体作用而言,情报分析师应具备规划和收集各种来源情报的能力,能够跟踪威胁,识别和跟踪恶意资产和基础设施,能够综合多种威胁和事件数据以产生有意义的最终情报来支持证据。良好的人际交往能力也是一个重要的特质,因为利益相关者会有要求和问题,分析师自己可能需要向不同的人群展示或解释情报。对细节的关注同样重要,因为细节关系到分析和结论的广度和广度。分析师“需要”和“想要拥有”的其他技能包括:需要熟悉情报分析或有强烈的学习欲望,包括间谍分析,并表现出批判性思维能力;熟悉当前的黑客技术、对手方法、漏洞分析、事件和数据泄露分析、网络防御技术;在处理敏感信息时表现出出色的品格和判断力;能够以最少的监督对情报目标进行独立研究,将对细节的绝对关注与对事件的整体观点的理解相结合;具有设计、起草和发布高质量技术和商业级情报报告、研究、白皮书和博客的切实能力。希望有技术与主流操作系统技术工作经验和对数据库技术的了解;扎实的网络专业知识和对路由协议的理解;对抓包、流数据、模式、观察列表、黑名单、日志解析、关联、分类、事件生成、过滤等安全监控方法有深刻理解。如前所述,情报分析员有多种类型,其中一些本质上更具技术性,而另一些则更有可能具有分析和间谍背景。“***”分析师应该是什么样的?这个问题没有标准答案。根本原因是这样的:你得先弄清楚你要解决什么问题,然后在这个基础上招人。新闻报道一直在谈论安全预算增加了多少,但出于某种原因,情况似乎并没有改善。原因?因为我们没有将正确的资源投入到最佳问题领域。情报工作的首要目标应该集中在回答这个问题上。【本文为专栏作家李少鹏原创文章,转载请通过暗牛(微信公众号id:gooann-sectv)获得授权】点此查看该作者更多好文
