罕见的最佳做法:如何打造更好的威胁情报团队

  • A+
所属分类:安全闲碎
设立网络情报项目的的时候,别忽视了投资合适人才的重要性。
讨论网络情报,或者说网络威胁情报(CTI)的时候,我们难免会谈到工具、技术和数据。我们的关注重点往往放在能够带来网络对抗重要资料的最佳供应商身上,希望可以借此快速行动,领先恶意黑客一步。这么做无可厚非。我们确实需要各种技术来利用大量数据、信息和情报,从而防患于未然。我们甚至希望能够主动出击,做到“预防”而不是“响应”威胁。但所有此类讨论中,我们常常忘了分析情报团队中需要什么人来坐镇领导和执行位置。现在我们就来看看情报团队构建中的各种常见错误,以及不常见但正确的做法。
常见错误做法
情报团队组建过程中,最惯常的方式是由领导决定企业需要一支CTI团队。负责人可能是受同行影响得出这一结论,但更常见的情况是接到上级通知说我们有这个需求。无论哪种方式,总之木已成舟,团队组建工作拉开序幕。 
这种情况下,最常见的操作是从内部提拔表现好的员工(没有情报背景)来领导新的团队。这个人通常具备良好的事件响应或网络安全背景,试图套用自己熟知的老路子来开展新工作,或者尽力现学CTI到底是什么。 
不过,情报可不是什么业余爱好,不是能够轻易转入的网络安全子领域。但被选中的人尝试转入,而他们组建的团队通常也就非常类似他们自己了。最终,企业得到的团队只是顶着CTI头衔的SOC分析师和事件响应人员;他们不生产情报,因为他们就不是情报专业人员。这就是优秀人才放错位置,再怎么努力也不太可能成功的典型案例。
最后,团队未能推动安全部门的主动化转型,没有实现可衡量的目标,所有人更新一番自己的简历,重回自己专业领域寻找新工作。还有更糟糕的情况:这些人以CTI分析师的身份进入网络安全人才市场,因为市场上CTI分析师稀缺,而他们的简历上如今已经有了金光闪闪的CTI分析师“头衔”。 
尽管努力应付客户的情报需求(虽然客户压根儿对情报捕捉毫无概念),供应商通常仍然承担了未能打造有效网络情报项目的责任。所以,一大批供应商乐于利用对竞争失败的认知,成为此类转型的资助者。但是,只要人才策略不改变,结果不会有太大改善。
不算常见但依然错误的做法
组建情报团队的另一方式是从情报界(IC)和司法机构招募人才。这么做的理由是政府网罗了大量优秀人才,这些人不仅有经验,还具备很高的可信度。由具备百年情报经验的三个字母机构(如FBI、CIA、NSA、DHS、MI6)出身的人才组成的团队,谁不惊艳?这么想完全没问题。但真这么做就面临两个重大挑战:
1. 文化冲突:整个职业生涯都在政府中度过的人可能已经体制化了。面对完全不同的一套目标、期望值、预算计划、日程表和社会准则,他们可能会适应不良。
2. 验证:情报界出身的太多人都自带难以验证的辉煌履历。知道大多不会真去核验,一句“这是机密”就打发过去了。千万不要招募不愿意或没办法验证自身资历的人。
完全依赖情报或司法界人才的团队还很有可能难以发展足够的思维多样性、灵活性和适应性。这种“团体思维”会导致总体确认偏差,造成回音室效应,最终走向不准确的结论。
罕见的最佳做法
网络情报团队最罕见的组建方式,是从一开始就指定富有传统情报经验和网络安全实用知识的主管。这并不意味着寻找具备几十年情报经验和CISSP认证的“独角兽”,而是要去找拥有下列特质的人才:
  • 对分析技术和标准有广泛的了解。

  • 能够领会企业的战术、操作和策略情报需求。

  • 可以利用人才、工具和权限,及时为人和机器提供明智决策所需的准确重要情报。

  • 能够与下至基层分析师上至首席级高管或董事会的各层级人士有效沟通。

  • 可以创建和阐述情报项目构建策略,推动企业安全状态从反应式迈向主动式。

  • 能够用高管的语言方式叙述风险和价值。

主管指定之后,理想的团队成员可以出身不同背景,包括传统情报、司法、网络安全、数据科学和新闻专业。

背景的多样性能够营造产出准确评估和结论的环境,超越视角有限的单一背景团队。
例如,深入了解某个威胁团伙的时候,能够从网络安全专家(战术、技术和程序(TTP))、传统情报或司法分析师(动机和可能的下一步动作),以及数据科学家(大数据趋势)的视角看待威胁,往往可以形成很全面的威胁描述,这是只能从单一角度看问题的团队所达不到的。新闻界人士则通常善于研究和叙事,这是情报领域的重要组成部分,却常常被忽视掉了。
由于情报最终落实到沟通上,只有被理解和接受了才有价值。千万别低估能以枯燥难懂的材料博得并保持读者注意力的重要性。
构建背景多样化的团队还有个隐藏优势:不同背景方便触及更多受众。毕竟,情报最终就是个服务。想要成功传达情报的重要性,就得首先建立起关系,要联系,要可靠。而这种可靠度就是通过共同的认知建立起来的。
大企业里情报的消费者名单包括红队、蓝队、紫队、事件响应、物理安全、内部人威胁、品牌保护、治理、风险,以及合规、管理等等。这些部门未必都用同一种语言方式,所以多样化的情报团队才有与这些不同部门建立关系所需的人才。如果缺乏这些能够产生共同认知和信任的关系,即使是组成“完美”的情报团队,也会极其难以提供可衡量的安全改善,无法合理化自身存在和成长的必要性。
结论
无论我们在权限、工具或先进技术上投入多少,情报依然是人与人之间的博弈。所以,在构建网络情报项目,选择情报供应商的时候,千万别忽视了对合适人才的投资。否则,即使财大气粗的企业也会发现自己陷入不停更换人员和供应商的泥潭,每次都是看似有进展,实际上却压根儿达不到想要的网络安全目标。
关键词:威胁情报;
往期精彩回顾
威胁检测与响应的关键:情报枢纽
找到合适的威胁情报供应商
2020年度珍藏:中国网络安全能力图谱(完整版)

本文始发于微信公众号(数世咨询):罕见的最佳做法:如何打造更好的威胁情报团队

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: