網(wǎng)絡(luò)安全中的星巴克效應(yīng)

馬漢

在星巴克，我們經(jīng)常聽到這樣的點單：“給我來一杯中杯豆奶香草卡布奇諾，半咖啡因、超燙?！蔽覀冏约汉芸赡芤彩沁@么點單的。事實上，我們已經(jīng)習(xí)慣于按自己的方式做事，而反映在咖啡這件小事上，咖啡師負(fù)責(zé)確保我們的期望得到滿足。技術(shù)世界與之類似，但不是用焦糖或香草糖漿滿足個人品味，而是根據(jù)經(jīng)驗、熟悉度和個人偏好來選擇技術(shù)與產(chǎn)品。在商業(yè)領(lǐng)域，定制則更加復(fù)雜，因為我們需要根據(jù)品牌偏好、特定團隊經(jīng)驗與專業(yè)技能、操作環(huán)境、過程與工作流等參數(shù)進行定制，還有必須支持的特定現(xiàn)有企業(yè)基礎(chǔ)設(shè)施。這種定制需求可被稱為“星巴克效應(yīng)”，該效應(yīng)在整個IT產(chǎn)業(yè)里振蕩，影響硬件、軟件和服務(wù)等。

一個典型的例子就是沒有通用型安全。從基礎(chǔ)設(shè)施和防御層的開發(fā)歷程上就可以知道這一點。多年來，公司企業(yè)無不是從不斷擴大的終端產(chǎn)品范圍中挑選出自己中意的產(chǎn)品來解決最新威脅或滿足業(yè)務(wù)需求。每家公司的需求各不相同，由此產(chǎn)生的安全基礎(chǔ)設(shè)施也就各有差異了。

反映到威脅情報上也是同樣的情況。不是所有的威脅數(shù)據(jù)都同等重要，有些數(shù)據(jù)是與自家公司相關(guān)而對其他公司無關(guān)緊要的。另外，利用威脅情報的方式也因基礎(chǔ)設(shè)施和人員的不同而有差異。比如說，人力充足的大型企業(yè)就有資源以兩度甚至三度分隔來追蹤威脅數(shù)據(jù)（比如，下游IP地址、域名注冊者等等）。而沒有這么多資源的公司就必須選擇性地追蹤，只調(diào)查當(dāng)前活躍的，針對本行業(yè)或與已知對手相關(guān)的威脅數(shù)據(jù)。構(gòu)建全面威脅情報項目通常從選擇要訂閱的各種威脅數(shù)據(jù)饋送源開始，可以有商業(yè)源、開源、行業(yè)源，也可以納入現(xiàn)有安全廠商的威脅數(shù)據(jù)源，并將數(shù)據(jù)集成到中央存儲庫中。然后，你需要為自身防御層和SIEM中的每個終端產(chǎn)品配備與該中央存儲庫通信的渠道，這樣才能夠?qū)⑷滞{數(shù)據(jù)與這些解決方案產(chǎn)生的大量日志與時間數(shù)據(jù)結(jié)合起來。

數(shù)據(jù)豐富當(dāng)然是好事，但這里面同時也含有很多“噪聲”。有些威脅數(shù)據(jù)饋送和安全廠商試圖通過發(fā)布威脅評分來幫助減少“噪聲”。但是，這些評分都是通用的，而你真正需要的是與自身環(huán)境相關(guān)的評分。就像咖啡點單一樣，只有你自己才知道自己喜歡什么，需要什么。你得會根據(jù)威脅指標(biāo)源、類型、屬性和上下文，以及對手屬性，來定制威脅評分，排序威脅情報，這樣才能過濾真正的噪音。

定制威脅情報本身還不足夠，還得具備個性化利用威脅情報的能力。這就需要可以雙向通信的解決方案———不僅可以從內(nèi)部系統(tǒng)接收數(shù)據(jù)，還能從中央存儲庫向環(huán)境中所有必要的工具發(fā)送經(jīng)過甄選的威脅情報。比如說，向現(xiàn)有事件管理或SIEM解決方案發(fā)送威脅情報以讓這些技術(shù)更加高效地執(zhí)行其功能，減少誤報。還可以運用該威脅情報來預(yù)測并防止未來的攻擊———自動向防御層（防火墻、殺毒軟件、IPS/IDS、Web和郵件安全、終端檢測及響應(yīng)、網(wǎng)絡(luò)流量分析等等）發(fā)送威脅情報以產(chǎn)生并應(yīng)用更新的策略和規(guī)則來緩解風(fēng)險。

擁有了可以定制威脅情報本身及其集成方式的解決方案，你就可以進行威脅情報“點餐”了。不過，不是每個公司都能夠自己完成這個定制過程。

全球網(wǎng)絡(luò)安全人才短缺情況持續(xù)惡化，預(yù)計到2019年將出現(xiàn)200萬個安全職位空缺。這種情況下如果你沒有安全專家可以開發(fā)或?qū)崿F(xiàn)威脅情報項目該怎么辦呢？托管安全服務(wù)提供商（MSSP）可以幫你。MSSP會為你提供一系列選項，幫你輕松搞定所需的服務(wù)。他們可以為你完成定制過程，將數(shù)據(jù)轉(zhuǎn)化為可執(zhí)行威脅情報，并將之集成進你的基礎(chǔ)設(shè)施和運營中。他們還能用與你公司相關(guān)的威脅情報來改善你的整體安全運營，直接針對對你而言最重要的那些威脅。

IT行業(yè)中星巴克效應(yīng)十分普遍，威脅情報同樣受到該運動的影響。有了合適的技術(shù)和服務(wù)，每家公司都能在恰當(dāng)?shù)臅r間、地點以正確的方式獲取并排序相關(guān)威脅情報。