如何將威脅情報整合到安全意識項目中？

網路威脅情報（Cyber threat intelligence，簡稱CTI）以及作為其立足根基的安全運營正在更為廣泛的業務體系中快速增長。根據研究結果顯示，93%的受訪者表示他們至少在一定程度上意識到了網路威脅情報帶來的助益。然而，只有41%的受訪者開始將網路威脅情報整合至現有安全規劃當中，而只有27%完成了全面整合。儘管這些數字確實凸顯出情報驅動型安全規程已經獲得良好的發展趨勢，並被廣泛視為最佳實踐，但對大多數企業而言仍有很長的摸索道路要走。

優秀的網路威脅情報能夠幫助企業預見、應對並解決威脅因素。雖然優秀的情報當中必然包含大量內容，但企業絕不能單純依靠內容來驅動整個運營體系中的價值實現方式。企業管理者需要著眼於團隊定位，並藉此取得成功。豐富的上下文情報需要配合充分準備及基礎性能力方可最大程度發揮價值。

下面就為大家總結幾點關於如何將威脅情報整合到安全意識項目中的指導意見：

一、在理性範圍內詳細闡述針對您組織的實際或即將發生的攻擊

實施安全意識項目最令人沮喪的一點是，許多人似乎都認為他們的組織不太可能成為攻擊者的目標，或者根本就不具備吸引攻擊者的能力；當然，也有部分人認為組織已經部署了足夠的安全計劃，所以他們不必擔心任何潛在的攻擊，或者只是單純地認為這種攻擊不會發生在他們自己身上。因此，對於參與安全意識項目的人員來說，安全策略和指是比有價值的業務功能更令人討厭的東西。

雖然安全意識項目的意圖不應該是嚇唬人，但還是必須要努力溝通，詳細說明企業存在的亟需解決的問題。只有具備這種認識，人們才能夠相信這種威脅確實有可能會發生在他們自己身上，並且有動力採取正確的行動來捍衛自身和企業安全。

二、當自身沒有合適案例引用時可以藉助熱門新聞事件

類似Anthem、Sony、Google、CENTCOMM以及其他有價值的熱門攻擊事件，似乎在一次又一次地證明，網路攻擊活動正在進行中，而且大多數攻擊活動都是人為失誤造成的直接結果。你可以強調，所有這些組織都從未想過這種攻擊活動會發生在自己身上，但是它們卻都毫無例外地成為了熱門攻擊事件的受害者，並由此損失了數千萬美元以及無法估量的名譽成本。

需要理解的一點是，利用最終用戶的攻擊活動正在進行且日漸普及，此前發生的種種案例都表明，這種威脅已經迫在眉睫。

三、詳細說明需要注意什麼問題

當你告知人們可能存在的威脅，為人們採取行動提供充足的動機時，你同樣需要告知他們需要具體提防什麼問題。例如，如果「敘利亞電子軍組織」即將發動攻擊活動，你可以通知你的用戶注意提防釣魚信息。你可以告知他們預期的釣魚信息類型，並為他們提供敘利亞電子軍組織以前使用過的釣魚信息示例作為參考。

另外，很多人都受到了Anthem攻擊事件的影響，當時，Anthem數據泄露事件剛曝光，就有很多網路罪犯開始利用這些最新泄露的Anthem數據來說服人們註冊偽造的信用保護服務，並誘導他們提供相關的個人信息。據悉，這些郵件看起來好像來自Anthem公司，它會讓接受者點擊郵件中的鏈接，並欺騙他們說這是為了獲取信用監測服務，進而獲取他們的個人信息。經歷此事的受害者都意識到了釣魚電子郵件的危害性，你也可以利用此次事件來提高用戶的整體安全意識。

總之，無論潛在的攻擊媒介是什麼，你都應該在詳細闡述潛在威脅後，提醒人們應該注意的具體事項。

四、制定響應策略

只是簡單地告訴人們需要提防什麼可能只會徒增煩惱或恐懼。你還需要為人們提供具體的行動方案，以便在遭遇攻擊時能夠及時採取行動。當然，該行動方案必須具體化，並且應該包含如何防止攻擊？由誰負責上報潛在的攻擊事件？以及上報給誰等等。

簡單來說，你需要告訴人們應該做什麼或不該做什麼，但這隻能阻止針對個人的攻擊活動無法取得成功。攻擊者可能很快就會轉向下一個潛在受害者，這時候如果有人負責上報正在發生的攻擊活動，那麼安全團隊就能夠立即採取行動，防止攻擊者針對安全意識薄弱的受害者實施攻擊。

例如，如果是涉及釣魚信息，那麼安全團隊可以將郵件副本從電子郵件伺服器中刪除，以免安全意識薄弱的人員中招。如果你知道有人被重定向到攻擊者定製的釣魚域名中，你可以採取措施阻止該域名。當然，你也可以向所有人發布更具體的信息，告知他們實際攻擊的具體性質，這也有主意人們意識到針對貴組織的攻擊是真實存在的。

五、確保安全團隊了解情報及推薦的行動方案

你不應該理想當然地認為，安全團隊可能已經完全意識到問題所在以及如何響應。你必須明確地知道安全團隊了解情報以及如何正確響應。而對於「安全團隊」也應該予以更為廣泛地定義，包括幫助台（或任何接收與安全相關呼叫的人員）、電子郵件管理員、網路管理員、物理安全人員，以及可能負責採取措施（一旦存在潛在攻擊的情況）的任何其他小組。

這些人需要明確地了解自己的責任。他們需要知道如何響應向其報告潛在攻擊事件的用戶，知道針對潛在攻擊可以採取的具體行動方案。再次強調，他們的行動方案具體取決於他們的角色和職責，但他們必須事先明確這些行動方案。你一定不希望看到，在用戶正確響應並上報潛在攻擊事件後，接收這些威脅情報的人卻不知道該怎麼做吧！

總結

創建正確的意識、行動和溝通文化有助於改善事件檢測和響應。當涉及到潛在攻擊時，你的用戶就會率先反應並活躍起來，這將大幅提高安全團隊的效率，以指數級水平增強威脅檢測和響應的能力。

在理想的世界裡，人們應該時刻警惕潛在的攻擊並指導應該如何應對。再次強調，這一切卻並未實現在我們的現實世界中。雖然我們不希望任何組織成為攻擊者的目標，但事實是，幾乎每個組織都已經或正在成為持續性攻擊的潛在受害者。Anthem數據泄露事件所觸發的郵件欺詐活動使得眾多組織和用戶淪為潛在目標，而可以肯定的是，這種類型的攻擊並非絕無僅有的。

但是，好消息是，這種潛在的和實際的攻擊活動可以作為促進企業安全意識項目的有效催化劑，所以，千萬不要浪費這些持續的、令人難以置信的機會，抓緊實踐起來吧！

*參考來源：csoonline，米雪兒編譯整理，轉載請註明來自 FreeBuf.COM。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！