在本次 Help Net Security 访谈中, Cyware首席执行官 Anuj Goel探讨了威胁情报如何不再只是锦上添花,而是成为网络防御的核心要求。然而,将威胁情报落地实践转化网络防御对许多企业组织而言仍然是一项挑战。他认为破局之道在于技术团队与管理层的整合、自动化及协作,通过正确策略,威胁情报不仅能提升认知,更能驱动响应速度、精度和弹性。
在CISO视角下,如何定义可操作的威胁情报?“好的”威胁情报应该具备哪些特征?
可操作威胁情报特指能直接触发可量化安全决策与行动的深度洞察,其本质是通过数据精炼形成风险认知升级,而非简单的数据堆砌。
对CISO和决策层而言,“好”的威胁情报是及时的、相关的,并且与组织的资产、数据、用户和业务运营相关联。它清楚地说明了为什么特定的威胁很重要,它与组织的环境有何关系,以及存在哪些应对方案。这意味着将IOC映射到已知的漏洞,评估威胁行为者活动的可信度,或识别不同遥测源的行为模式。最终,可操作的情报能够实现更快的优先级排序和更明智的响应。
大多数组织在尝试将威胁情报应用于安全运营和风险管理时,存在哪些不足?
首先,多数组织重金投入威胁情报订阅,却鲜少建立配套处理流程。核心问题集中在"最后一公里"——如何将情报与实时检测、响应及风险缓解有效衔接。
其次是组织孤岛, 很多时候,威胁情报团队与安全运营团队,包括事件响应或威胁狩猎团队是分开运作,职能之间没有无缝协作,导致威胁情报仍然是一种独立的能力,而不是一种力量倍增器,威胁情报价值也难以释放。
威胁情报的有效的运作不仅需要优质的情报数据,还需要强有力的跨部门自动化协作机制和流程,以及利用情报积极推动业务成果的主人翁意识。
CISO 应该如何考虑平衡开源、商业和政府这三类威胁情报?
每种威胁情报源都有其优势和盲点:
开源情报:具备广谱覆盖与实时响应优势适用于变化迅速的威胁,但需强化验证机制与上下文关联;
商业情:报供更高保真度和精选的情报,聚焦垂直领域威胁画像,提供高置信度威胁实体关联分析;
政府情报:适合更广泛的态势感知和特定部门的合规性需求。
CISO不应偏废一方,应聚焦多源情报融合,通过数据关联引擎实现外部情报与内部遥测数据的上下文融合,降低噪音干扰,增强关联价值,生成能够反映组织实际威胁面的全景视图。
此外,情报系统建设还需考虑集成能力——唯有可操作的情报才具实际价值。当情报体系进入运营阶段,多维数据融合将生成动态威胁图谱,有效平衡防御资源投入与威胁应对效率。
在成熟的安全项目中,你认为威胁情报有哪些高价值场景
在体系化安全运营中,威胁情报呈现四大核心应用场景:
威胁狩猎:帮助猎人主动搜索环境中的指标或行为,发现未触及警报的攻击等隐蔽威胁;
事件响应:在事件发生期间,实时情报为响应者提供攻击者背景信息(包括攻击者的动机、工具或基础设施等),以指导调查和遏制策略
漏洞管理:基于攻击者活动趋势情报,动态调整修复漏洞的优先级;
暴露面治理:情报通过映射对手可能利用的身份、资产、错误配置和外部暴露,帮助持续识别、评估和减少组织的攻击面。
这些场景的关键共性在于,情报需深度融入安全运营闭环,通过自动化工作流实现「数据-决策-行动」的转化,而非仅作为可视化展示的补充数据源。
对于CISO如何促进其威胁情报团队与SOC、IR、GRC 和董事会等部门之间的协作,你有何建议?
"当情报团队能证明其工作直接降低企业风险时,跨部门协作阻力将自然消解。"
合作始于共同的目标。威胁情报团队不应被视为另一个安全职能部门,而应被看作是降低风险和决策支持的战略合作伙伴。CISO可以通过将CTI嵌入安全运营工作流程、事件响应手册、风险登记簿和报告框架来促进跨职能协调。
定期沟通至关重要,无论是正式沟通还是非正式沟通。CTI 与 SOC 或 IR 团队之间的每周同步、联合桌面演练以及共享事件取证,都能为协作建立肌肉记忆。
在治理层面,将威胁趋势与业务影响(例如对关键资产的威胁或监管风险的变化)联系起来,有助于将情报转化为对董事会层面受众有意义的信息。
最后,将自动化威胁情报平台作为中心枢纽,有助于促进这种跨职能协作。
总之,威胁情报需与安全生态深度整合,通过跨部门协同与自动化机制,将情报转化为战略优势,提升防御的精准性与韧性。
参考链接:https://www.helpnetsecurity.com/2025/05/21/anuj-goel-cyware-good-threat-intelligence/
京公网安备 11010802033237号
