在新的一年里,要实现新的天气,要实现新的策略,要平衡新的预算,要防止新的威胁。在过去的一年里,越来越多的公司对威胁情报有了更深入的了解,并逐渐转向了从优秀情报中受益的计划和实现过程。
计划将威胁情报添加到公司的安全和风险项目中***步骤,真诚应紧紧围绕以下几个关键问题展开:
- 我们想要的情报目标是什么?
- 谁是情报服务的主要利益相关者?
- 我们最想要保护的资产和信息是什么?
- 影响情报的决策和结果是什么?
- 如何衡量结果?
- 我们已经在收集内部情报了吗?
- 是外包情报操作,还是内部操作,还是混搭?
无论你的 *** 威胁情报计划和过程是什么,它都应该驱动更快、更智能的决策来减少风险暴露。如果你不能帮助这个目标,更好停止这个项目,想想你需要做什么改变来更好地保护你的公司。
大公司有安全运营中心(SOC),分析师每天24小时三班倒工作。 *** 成熟度差的小公司没有这些员工和工具,需要以外包的形式获得 *** 风险指导。使用威胁信息和小型信息运维的公司也希望通过混合/联合管理获得信息“力量倍增”。
无论你是雇佣威胁情报分析师,与制造商合作,还是两者兼而有之,你都需要确保有合适的人(和工具)来做这件事。复杂的是,并不是每个威胁情报都是一样的,每个威胁情报分析师都是不同的。情报分析师可能有不同领域的专业知识,如一些更熟练的技术,一些更关注风险,一些更熟练的特定工具等。在寻求制造商合作或雇佣内部 *** 威胁情报分析师之前,你必须首先确定你的最终目标,以确保它们***匹配。
在情报分析师中,确实有一些核心特征和能力,可以作为 *** 考虑的基准。
就整体角色而言,情报分析师应具备从各种源规划和收集情报的能力,能够跟踪威胁,识别和跟踪恶意资产和基础设施,并能够全面分析各种威胁和事件数据,以情报的能力。由于利益相关者会提出要求和问题,分析师本身也可能需要向不同的人展示或解释情报,因此良好的人际沟通技能也是一个重要的特征。关注细节也很重要,因为细节与分析和结论的宽度和广度有关。
分析师身上“需要”和“希望具备”其他技术还包括:
需要
- 熟悉情报分析或有很强的学习欲望,包括谍报分析和批判性思维技能;
- 熟悉当前黑客技术、对手 *** 、漏洞分析、事件和数据泄露分析、 *** 防御技术;
- 在处理敏感信息时表现出优秀的性格和判断力;
- 在最小监管下独立研究情报目标的能力,既绝对关注细节,又渴望了解事件的整体视图;
- 设计、起草、发表高质量的技术和商业情报报告、研究、白皮书和博客。
想要的技术
- 对数据库技术有主流操作系统技术工作经验和理解;
- 对路由协议有坚实的 *** 专业知识和理解;
- 沉浸在抓包、流数据、模式、观察列表、黑名单、日志分析、关联、分类、事件生成、过滤等安全监控 *** 中。
正如前面提到的,情报分析师有很多种,有的本质上更技术化,有的更像是有分析和间谍背景。“***”没有标准的答案来回答分析师应该是什么样子。根本原因是你必须先找出你想解决什么问题,然后在此基础上 *** 人员。
新闻报道总是说安全预算增加了多少,但由于某些原因,情况似乎没有改善。原因是什么?因为我们没有用合适的资源来校准***问题领域。情报工作的主要目标是回答这个问题。
【本文是51CTO专栏作者李少鹏的原创文章,请通过安全牛(微信微信官方账号)id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。