概述

这本书主要涵盖了美国网络情报实践的状态，包括以下内容：

1. 定义网络情报为获取、处理、分析和传播信息，以识别、跟踪和预测网络威胁、风险和机会，提供决策支持。

2. 提出了网络情报框架，包括环境背景、数据收集、威胁分析、战略分析和报告反馈等要素。

3. 通过对32家组织的访谈，了解了它们在网络情报方面的最佳实践和面临的主要挑战。

4. 指出组织在区分网络情报和网络安全、建立可重复的工作流程、打破数据和分析孤岛、让领导层理解并参与网络情报等方面可以改进。

5. 强调了人工智能和机器学习在网络情报中的潜力。

6. 提出了网络威胁框架在网络情报工作流程中的应用。

7. 总结了网络情报实践自2013年以来取得了进步，但仍有提升空间。
   这本书为组织提供了改进网络情报实践的见解和建议。

这本书的写作目的和意义

1. 总结实践：报告旨在总结不同行业组织在网络安全情报实践中的最佳实践和面临的挑战，以帮助组织改进网络安全情报实践。

2. 提供指导：报告提出了一个网络安全情报框架，为组织提供了一个结构化的网络安全情报工作流程，有助于指导组织的网络安全情报实践。

3. 分享经验：报告通过访谈不同行业的组织，总结了这些组织在网络安全情报实践中的经验，有助于组织学习借鉴这些经验。

4. 提出建议：报告针对组织在网络安全情报实践中存在的不足提出了改进建议，为组织改进网络安全情报实践提供了指导。

5. 推动合作：报告强调了组织之间在网络安全情报方面的合作与信息共享的重要性，旨在推动整个网络安全社区之间的合作。

6. 提供实用指南：报告提供了三份实用指南，详细阐述了如何利用机器学习、物联网和网络安全威胁框架来支持网络安全情报工作，为组织提供了实用的操作指南。

7. 展望未来：报告展望了未来几年网络安全和网络安全情报的发展趋势，为组织提前做好规划提供了参考。
   总的来说，这本书的目的是通过总结最佳实践、提出框架、分享经验、提出建议、推动合作、提供实用指南和展望未来，来帮助组织改进网络安全情报实践，降低网络安全威胁风险。

本书涉及的机构

1. 卡内基梅隆大学软件工程研究所(SEI)：负责撰写报告。

2. 美国国家情报总监办公室(ODNI)：委托SEI撰写报告。

3. 美国国家安全局(NSA)：其发布的网络安全威胁框架被报告提及。

4. 美国国防部：资助SEI开展相关研究工作。

5. 洛克希德·马丁公司：发布的网络杀链模型被报告提及。

6. MITRE公司：发布的ATT&CK框架被报告提及。

7. 美国联邦调查局(FBI)：被报告提及。

8. 美国国土安全部(DHS)：其发布的网络威胁框架被报告提及。

9. 多家私营企业：参与了SEI的调查，提供了网络安全情报实践案例。
   这些机构之间主要存在委托关系、资助关系、协作关系和提供案例关系。ODNI委托SEI进行相关研究，美国国防部资助SEI，SEI与MITRE、洛克希德·马丁、FBI、DHS等机构存在协作关系，而多家私营企业为SEI提供了网络安全情报实践案例。

作者信息

• Jared Ettinger，卡内基梅隆大学软件工程研究所网络情报研究项目主任

• Hollen Barmer，卡内基梅隆大学软件工程研究所网络情报分析师

• Jennifer Kane，卡内基梅隆大学软件工程研究所网络情报分析师

• Heather Evans，卡内基梅隆大学软件工程研究所网络情报分析师

• Erica Brandon，卡内基梅隆大学软件工程研究所网络情报分析师

• Ritwik Gupta，卡内基梅隆大学软件工程研究所网络情报分析师

• Daniel DeCapria，卡内基梅隆大学软件工程研究所网络情报分析师

• Andrew Mellinger，卡内基梅隆大学软件工程研究所网络情报分析师

• April Galyardt，卡内基梅隆大学软件工程研究所网络情报分析师

• Dan Klinedinst，卡内基梅隆大学软件工程研究所网络情报分析师

• Deana Shick，卡内基梅隆大学软件工程研究所网络情报分析师

• Samuel Perl，卡内基梅隆大学软件工程研究所网络情报分析师

• Geoffrey Dobson，卡内基梅隆大学软件工程研究所网络情报分析师

• Geoffrey Sanders，卡内基梅隆大学软件工程研究所网络情报分析师

• Daniel Costa，卡内基梅隆大学软件工程研究所网络情报分析师

• Lawrence Rogers，卡内基梅隆大学软件工程研究所网络情报分析师

本文大纲

引言

• 定义网络情报

• 网络情报的重要性

• 网络情报框架

环境背景

• 了解你的攻击面

• 区分网络情报和网络安全

• 根据组织需求调整网络情报角色

• 人员配备

• 网络情报在组织中的位置

• 网络情报工作流程

• 威胁优先级流程

• 使用历史、现在和未来的数据

• 网络情报和内部威胁团队的关系

数据收集

• 情报需求流程

• 数据源与情报需求的对应

• 组织信息共享流程

• 数据收集技术

• 数据源验证

威胁分析

• 威胁分析工作流程

• 威胁分析的时效性和准确性

• 技术学科的多样性

• 威胁分析人员的特质、核心能力和技能

• 威胁分析工具

战略分析

• 区分战略分析和威胁分析

• 战略分析工作流程

• 多学科的多样性

• 战略分析人员的特质、核心能力和技能

• 战略分析工具

• 分析技巧应用于网络情报分析

报告和反馈

• 网络情报报告类型

• 可操作和预测性分析

• 领导层参与

• 对决策的影响

• 分析师反馈机制

• 反馈对数据收集和分析的影响

• 满足情报消费者

• 捕获投资回报

要点总结

引言

网络情报是对网络威胁、风险和机会进行获取、处理、分析和传播，以提供增强决策的信息。它帮助组织了解哪些威胁行为者有意图和能力针对他们的组织，追踪恶意软件活动，了解供应链漏洞，以及评估潜在并购、地缘政治和新兴技术对组织的影响。通过网络情报，组织可以更好地了解自身和对手，从而主动采取行动以更好地理解风险、防范威胁并抓住机会。

2013年，卡内基梅隆大学软件工程研究所代表美国国家情报总监办公室进行了一项研究，以了解全美各组织网络情报实践的状况。2018年，我们进行了类似的研究，并详细报告了我们的最新发现。

我们以2013年的成果为基础，发展了推动2018年研究的基石概念。首先，我们将网络情报定义为获取、处理、分析和传播识别、跟踪和预测网络领域威胁、风险和机会的信息，以提供增强决策的行动方案。其次，我们提出了一个网络情报框架；该框架基于情报循环，其组成部分包括环境背景、数据收集、威胁分析、战略分析和报告反馈。在2018年的研究中，我们采访了32个代表各种行业的组织，以了解他们网络情报的最佳实践和最大挑战。通过引导性问题的回答，我们记录了组织在每一网络情报框架组件方面的成功和挑战，并提供了对其某些因素表现的非正式评估。我们汇总并分析了这些答案，将参与者告诉我们内容归入主题。本报告将按网络情报框架顺序详细介绍我们在每个组件方面的发现。三个配套实施指南提供了关于机器学习与网络情报、物联网与网络情报以及网络威胁框架的实用建议。

环境背景

1. 了解你的攻击面

• 共同挑战：组织内部存在数据和信息孤岛，以及难以有效监控第三方的情况。

• 最佳实践：识别关键资产，了解和监控访问网络的用户，促进团队间的定期信息共享，创建融合中心。

2. 理解网络情报与网络安全之间的区别

• 共同挑战：误解网络情报，网络情报与网络安全团队之间的沟通不足，缺乏网络情报功能的融合中心。

• 最佳实践：创建一个明确定义的网络情报团队，明确其任务、目的、角色和责任，并获得高层领导的支持。

3. 根据组织的需要调整网络情报角色

• 共同挑战：角色和职责不明确，资源受限的组织。

• 最佳实践：区分网络安全和网络情报分析师的角色，明确每个团队成员的角色和职责，并定期评估团队是否拥有正确的人员执行正确的角色。

4. 人员配备与需求匹配

• 共同挑战：资源短缺，难以吸引和留住人才。

• 最佳实践：高层领导对网络情报的投入，建立人才储备和内部培训机制，创造鼓励创新的企业文化。

5. 网络情报在组织中的位置

• 共同挑战：与网络安全过于紧密对齐，存在不必要的管理层。

• 最佳实践：提升CISO的位置，建立企业内部的融合中心。

6. 网络情报工作流程

• 共同挑战：概念性或不完整的网络情报工作流程。

• 最佳实践：使用网络情报框架指导网络情报工作，定义和记录工作流程，确保其可重复性。

7. 威胁优先级流程

• 共同挑战：临时或过于狭隘的威胁优先级流程。

• 最佳实践：使用公共威胁框架辅助回答情报需求，根据威胁行为者的潜在能力、组织的暴露程度和威胁对组织的影响来战略性地确定优先级。

8. 使用过去、现在和未来的数据

• 共同挑战：组织过于关注今天，难以有效利用过去的数据，以及没有预测未来威胁。

• 最佳实践：利用工具和经验丰富的团队成员，利用过去的数据和趋势支持链接分析。

9. 网络情报与内部威胁检测、预防和响应团队之间的关系

• 共同挑战：缺乏真正的内部威胁努力，缺乏信息共享。

• 最佳实践：建立正式的内部威胁缓解计划或职能，建立正式机制确保双向主动信息共享。

数据收集

1. 情报需求流程

• 共同挑战：缺乏组织范围内的情报需求流程，情报需求过时，与第三方情报提供商存在困难。

• 最佳实践：创建收集管理团队来管理情报需求流程，使用情报需求、优先情报需求和具体情报需求，以及将组织特定的情报需求与DHS的常设信息需求(SIN)进行标记。

2. 情报需求与数据源的对应

• 共同挑战：缺乏人员导致缺乏流程，碎片化和去中心化。

• 最佳实践：将数据源映射到情报需求，评估并与情报提供商进行沟通，区分第三方情报聚合商和情报源，使用广泛的数据源。

1. 组织信息共享流程

• 共同挑战：组织内部信息共享的阻碍，外部信息共享的不足。

• 最佳实践：与外部组织合作，开发联合出版物、创建网络威胁框架和举办研讨会，利用收集管理团队建立内部和外部关系。

2. 数据收集技术

• 共同挑战：使用过时的技术，资源挑战，缺乏技术审查流程。

• 最佳实践：探索新兴技术，利用开源、免费、付费和定制工具和技术来支持网络情报，充分利用工具的潜力。

3. 数据源验证

• 共同挑战：缺乏共同词汇，缺乏流程，过度依赖供应商进行验证。

• 最佳实践：以可重复和透明的方式评估数据源，使用多个来源进行验证，以海军代码作为验证数据源的起点，为数据源验证设定时间限制。

• 该表格用于评估信息来源的可靠性。每个代码代表一个来源的可靠性级别，从A到F依次表示可靠性从高到低，其中A代表完全可靠，F代表无法判断。通过评估来源的可靠性，分析师可以更好地判断所获得信息的可信度。

这个表格用于评估信息的有效性。每个代码代表一个信息的有效性级别，从1到5依次表示有效性从高到低，其中1代表已确认的信息，5代表不太可能的信息，6代表无法判断。通过评估信息内容的有效性，分析师可以更好地判断所获得信息的可信度。

威胁分析

1. 威胁分析工作流程(Threat Analysis Workflow)：介绍了组织是否有定义和可重复的威胁分析工作流程，并明确时间表、角色和职责。

2. 威胁分析的时效性和准确性(Timeliness and Accuracy of Threat Analysis)：涉及组织是否具备产生及时和多方验证的功能分析的能力。

3. 技术学科的多样性(Diversity in Technical Disciplines)：探讨组织是否有一个可重复的过程和结构来融合各种技术知识进行威胁分析。

4. 特质、核心竞争力和技能(Traits, Core Competencies and Skills)：涉及威胁分析师是否具备进行威胁分析所需的特质、核心竞争力和技能。

5. 威胁分析工具(Threat Analysis Tools)：介绍组织是否拥有适当组合的内部和外部技术分析工具来支持威胁分析。

战略分析

1. 战略分析与威胁分析的区别(Understanding the Difference Between Strategic Analysis and Threat Analysis)：介绍组织是否能够区分战略分析与威胁分析，并促进两者的有效合作。

2. 战略分析工作流程(Strategic Analysis Workflow)：涉及组织是否有一个定义明确且可重复的战略分析工作流程。

3. 战略分析学科的多样性(Diversity Among Strategic Disciplines)：探讨组织是否有一个过程和结构来融合多样的学科进行战略分析。

4. 特质、核心竞争力和技能(Traits, Core Competencies and Skills)：涉及分析师是否具备进行战略分析所需的特质、核心竞争力和技能。

5. 战略分析工具(Strategic Analysis Tools)：介绍组织是否拥有适当组合的内部和外部工具来支持战略分析。

6. 分析工艺应用于网络情报分析(Analytical Tradecraft Applied to Cyber Intelligence Analysis)：涉及组织是否有一个可重复的过程将分析工艺应用到网络情报分析中。

报告和反馈

• 简介：介绍报告和反馈在组织中的重要性。

• 报告和反馈评估因素：

• 1. 报告类型：组织根据策略和时间表生成报告产品线，以满足客户需求。

• 2. 可操作和预测分析：组织在必要时报告可操作和预测分析，包括近期和长期威胁。

• 3. 领导层参与：组织的领导层通过提供反馈和建议，来影响网络情报工作。

• 4. 对决策的影响：组织的领导层将网络情报报告纳入决策过程。

• 5. 分析师反馈机制：组织建立正式和非正式的反馈机制，供客户、合作者和利益相关者提供反馈。

• 6. 反馈对数据收集和分析的影响：组织确保反馈会影响数据收集和分析工作。

• 7. 满足情报消费者：组织建立正式和非正式流程，以确保消费者对网络情报团队的表现满意。

• 8. 投资回报捕获：组织捕获网络情报工作的投资回报。

• 结论：总结报告和反馈的重要性，以及组织可以采取的行动来改进报告和反馈实践。