全球疫情的大流行似乎給網路攻擊者創造了一個新的“施展”時機。

依舊層出不窮的遺留漏洞、缺乏安全的程式碼開發和破壞力激增的資料洩露等，無一不讓企業安全團隊陷入焦灼。近日，安全公司Recorded Future釋出了《The Security Intelligence Handbook（Third  Edition）》（安全情報手冊第三版），旨在解答“如何利用安全情報打擊對手並降低風險”的問題。

在報告中，Recorded Future在全面明晰安全情報概念範疇的基礎上，詳細探討了SecOps、漏洞、威脅、第三方、品牌以及地緣政策等六大安全情報模組的應用價值和工作流程，闡釋了安全情報方案構建的具體方法和建議，並提出安全情報應成為企業提升未知威脅感知效率、增強風險決策有效性、降低潛在安全風險值、佔據攻防先機的首選策略工具。

貫穿六大應用模組

全面提升風險響應能力

加上安全二字之後，情報的價值發生了顯著的變化。IDC資料顯示，相關企業在使用安全情報後，風險預判能力實現了超10倍的增長，安全方案響應速度提升了63%。基於對安全情報應用場景現狀及新趨勢的綜合分析，結合企業安全情報的場景需求，報告詳細闡述了安全情報的六大應用模組及其目標效果，以期為企業提供可操作性強的定製情報資訊，助力提升安全決策的靈活性和準確性。

簡單來說，在安全新生態下，將安全情報納入到SecOps、漏洞、威脅、第三方、品牌保護、地緣政策等安全場景，將有效地提升企業預判和響應風險的能力，是企業適應數字化升級需求，瓦解新安全威脅“進化”手段的必備工具。

IDC：安全情報帶來的安全風險反應效果資料

首先，在SecOps 安全情報模組，報告認為SecOps安全情報的運用，既可以幫助企業安全團隊實現對最新威脅資料的自動分類與關聯，快速識別重要威脅；還可以透過潛在威脅的主動提前識別和有限排序，大幅縮減安全團隊響應時間，增強企業安全事故的應變能力，幫助企業建立全面、語境化、綜合的突發事件應變機制。

其次，就漏洞安全模組而言，報告認為，漏洞關聯作為為數不多企業主動“防禦術”，其資訊來源的有效性是實現轉化為風險決策關鍵價值的前提。而漏洞資料庫表現出的“嚴重程度評級”誤導性和缺乏及時性等特徵，使其無法為企業決策提供準確依據。挖掘企業真實漏洞情報的有效蒐集方式應該是：“以資產掃描和外部漏洞資料庫為起點，整合關聯內部資料、網站、暗網、論壇及技術研究中的新風險進展等”。透過交叉情報引用描繪出真實的漏洞安全圖景，提升安全團隊應對漏洞利用加快的高效決策挑戰。

Gartner：最大的實際風險是組織環境中存在的、目前正在被利用的漏洞

第三，威脅情報方面，威脅情報因直接關注威脅的精準定位、響應效率及延展情報的生成，而對降低企業風險至關重要。Recorded Future研究人員認為，威脅安全情報主要充當著兩大角色作用。一是安全團隊瞭解威脅者動機、方法和策略，佔領攻防先機的重要策略。透過對現有和潛在威脅資訊的整合關聯，助力安全團隊塑造更全面的事故響應機制，實現更有效的前置預警。二是建立基於風險的客觀評估與決策模型，在正確評估威脅機率的基礎上，有效量化投資成本，為決策效果最大化的實現提供資料支撐。

第四，關於第三方安全，各產業供應鏈業務緊密度的持續增加，使得合作伙伴、供應商和其他第三方組織的安全性成為企業評估自身安全風險時的重要考量。與傳統依賴諸如自我評估、財務審計、漏洞月報以及偶發安全事故情況說明等的靜態風險評估方式相比，一個具有自動化分析、實時風險評分體系、開放透明威脅共享機制等特徵的實時第三方安全情報顯然是企業準確評估第三方風險、保持威脅評估最新性的更佳方案。

第五，在品牌保護場景中，報告指出，針對企業品牌的威脅攻擊大部分是採用實際並未觸及品牌本身網路或系統的方式進行的，給企業形象、聲譽和客戶都將帶來不同程度的損害。一個既能發現品牌冒充和濫用行為，又能及時發現網路違規內容和洩露資料的品牌安全情報方案已成為當前企業所需。同時，其價值更在於能夠透過廣範圍的資源和資料蒐集，對品牌風險進行檢測、評分與優先處理，並生成具有高可操作性的整合安全補救策略，形成品牌風險防護的動態鏈路。

此外，全球化趨勢下，地緣政策安全情報也日趨重要。其價值就在於能夠幫助企業規避或者降低業務範疇內政府政策、社會動盪、自然災害等帶來的負面影響，達到快速響應和防止影響擴延的目的。基於地緣政策情報受限於“地域”的特性，報告提出以“地理圍欄（Geofencing）”蒐集相關資料。具體來說，在構建地緣政策情報解決方案中，位置、客戶、設施、網路威脅、媒體、暗網等資料資訊的收集都需要以地域為核心維度，進而藉助分析工具，得出專屬情報模型，增強企業適應地域動態變化能力。

“自上而下”構建安全情報全生命週期體系

佔據攻防先機

報告指出，近年來，安全情報已成為企業CISOs評估業務和技術風險、確定風險戰略、向管理層詮釋風險本質和評估安全投入商業價值等工作的關鍵資源。一個有效的安全情報體系的落地應用能夠給企業帶來提升風險管理水準、擴充早期預警範疇、最佳化安全投產比、降低溝通成本、緩解人員技能差距等價值。為更好地幫助企業佔據攻防“先機”，報告詳細介紹了企業建立和擴充安全情報體系的方法和建議：

• 明確安全情報的需求與目標是企業構建有效安全情報體系的首要任務。企業需要在明晰風險構成、潛在影響和人員構成的基礎上，選擇一個或者多個適合的安全情報分析框架，以幫助安全團隊更好地理解攻擊者的行為目標和路徑。

•  在具體功能設定方面，找到幾種高價值安全資訊並進行監控，實現以較少的投入獲得快速盈利，提升預測突發威脅和提供早期告警的能力；確保每份生成威脅報告的有效資訊含量，使其發揮實際效用；注重資料聚合、語境化風險、風險標籤甚至是資訊共享的自動化，提升安全情報體系工作效率；同時，注重安全情報方案與現有系統的適配性。

安全情報能精確定位與特定行業或技術最相關的威脅

•  安全團隊配備方面，在安全情報體系的全面開發過程中，配備一個專門的建設團隊承擔威脅資料的收集、處理、分析和傳播工作，以為企業提供最大價值的情報。同時，與情報供應商、行業研究團隊以及安全情報界合作，不斷豐富企業威脅資料體系，確保安全決策的準確性和連續性的同時，藉助合作生態達到培養內部專家的目的。

安全情報作為安全組織結構中的一個獨立組織

•  安全情報體系的構建應當遵從一個從簡單到逐步擴大的發展路徑。

安全情報計劃成熟的四個階段

綜上來看，安全情報體系不僅能夠幫助企業有效解決安全運作效能提升、事故響應能力提高、威脅及漏洞風險管理等傳統安全運營問題，還能為第三方風險、品牌保護和地緣政策等新風險場景提供高效策略，是新生態下數字化企業乃至整個產業安全佔據攻防先機，尋求平穩發展的“利器”。全球最大資訊保安培訓機構SANS調查資料顯示，有80%的組織認為自己從威脅情報中獲益。

然而，值得一提的是，除上述應用思路外，伴隨產業網際網路的縱深發展，越來越多的企業將公有云作為業務承載的新選擇。隨之而來的，企業級業務場景開放度和邊界模糊化的提升，加之各類高階和未知威脅的迭代演化，雲上安全情報在企業重要決策中的參考權重也大幅上升。基於攻防場景的這一變化，騰訊安全認為，雲上企業應當以雲原生為核心，構建出一套具有事前安全預防、事中安全事件統一監測和威脅檢測、事後響應處置等構成體系的全域性視覺化安全運營體系，從而助力實現企業級安全威脅從全面檢測、智慧分析、快速響應到高效態勢預測的完整閉環，使得安全情報應用效果最最佳化，幫助企業打好雲上安全攻防“第一戰”。值得關注的是，出於成本和效益最大化的考慮，透過接入諸如騰訊安全運營中心等由安全廠商提供的成熟產品或是當前數字化企業構築新場景下安全情報應用閉環的最優做法。