引言：不少安全專家認(rèn)為，復(fù)雜性是安全性的敵人。很多人認(rèn)為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊，其實(shí)未必。事實(shí)上，威脅情報(bào)就可以成為深度防御策略中將不同層次的產(chǎn)品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

不少安全專家認(rèn)為，復(fù)雜性是安全性的敵人，這句話的正確性已經(jīng)被反復(fù)證明。很多人認(rèn)為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊。其實(shí)未必，這是因?yàn)楫?dāng)今的事實(shí)是，每一層防御都是一種與眾不同的產(chǎn)品，每種不同的產(chǎn)品都有其自己的情報(bào)并在自己的范圍內(nèi)運(yùn)行，因而產(chǎn)生碎片化，或稱分裂。由于碎片化會(huì)帶來復(fù)雜性，所以，為改善安全性，我們需要減少碎片。但是，如何將已經(jīng)破裂的或碎片化的組件粘合在一起呢？最佳的方法是，找到將不同組件粘合起來的“粘合劑”。事實(shí)上，威脅情報(bào)就可以成為深度防御策略中將不同層次的產(chǎn)品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

但碎片化并不僅僅是深度防御的一個(gè)問題。在外部的威脅情報(bào)源中，在維護(hù)企業(yè)安全性的不同團(tuán)隊(duì)中，也存在這個(gè)問題。下面討論的是在這些領(lǐng)域中存在的碎片化，以及威脅情報(bào)如何幫助解決問題。

某安全機(jī)構(gòu)分析了很長時(shí)間的黑名單生態(tài)系統(tǒng)，發(fā)現(xiàn)黑名單的內(nèi)容一般并不重疊，多數(shù)內(nèi)容僅出現(xiàn)在某個(gè)黑名單中。無疑，存在大量的數(shù)據(jù)過載問題。而且，這些黑名單帶來了一種關(guān)于互聯(lián)網(wǎng)上惡意基礎(chǔ)架構(gòu)的碎片化表述，從業(yè)者應(yīng)該清楚這點(diǎn)。威瑞森（Verizon）的數(shù)據(jù)泄露調(diào)查報(bào)告也得出了同樣的結(jié)論，并且指出，公司需要能夠以一種更聰明的方法將威脅情報(bào)應(yīng)用到其環(huán)境中。

一般說來，在企業(yè)構(gòu)建最佳的威脅防御體系時(shí)，多數(shù)企業(yè)被迫使用多種數(shù)據(jù)源，其中有的來自商業(yè)源，有的是開源的，有的來自行業(yè)，還有一些來自現(xiàn)有的安全廠商，每種數(shù)據(jù)源都有其不同的格式。由于缺乏自動(dòng)篩選和審查不同的海量數(shù)據(jù)的工具和能力，并且不能聚合信息進(jìn)行分析和采取行動(dòng)，數(shù)據(jù)仍是碎片化的，并且往往沒有什么相關(guān)背景，因而只會(huì)成為更強(qiáng)的噪音。威脅情報(bào)的正確路線應(yīng)從將外部數(shù)據(jù)聚合到一個(gè)威脅情報(bào)平臺(tái)開始。

然而，威脅情報(bào)平臺(tái)遠(yuǎn)不止聚合那么簡(jiǎn)單，還必須是可運(yùn)維的，并且能夠?qū)⑼{情報(bào)作為一種減少碎片的“粘合劑”。對(duì)于存儲(chǔ)在一個(gè)可管理位置的各種結(jié)構(gòu)化和非結(jié)構(gòu)化的綜合數(shù)據(jù)，威脅情報(bào)平臺(tái)必須將其轉(zhuǎn)換為一種統(tǒng)一的格式，并且用內(nèi)部和外部的威脅數(shù)據(jù)和事件數(shù)據(jù)進(jìn)行豐富和強(qiáng)化。通過將企業(yè)環(huán)境中的事件、相關(guān)黑名單特征與外部數(shù)據(jù)進(jìn)行關(guān)聯(lián)，安全團(tuán)隊(duì)就可以獲得額外的關(guān)鍵環(huán)境數(shù)據(jù)，從而理解哪些是與企業(yè)有關(guān)的，哪些對(duì)企業(yè)來說是需要優(yōu)先處理的。如此，安全團(tuán)隊(duì)就可以利用這些威脅數(shù)據(jù)，自動(dòng)地在深度防御的所有不同層次中發(fā)布關(guān)鍵的情報(bào)，從而改善安全狀況并減少數(shù)據(jù)暴露和泄露的機(jī)會(huì)。

但是，團(tuán)隊(duì)之間的這種碎片化狀態(tài)怎么辦？此處的關(guān)鍵是找到一種利用威脅情報(bào)作出更好決策和行動(dòng)的方法。對(duì)于一個(gè)協(xié)作性不強(qiáng)的企業(yè)結(jié)構(gòu)中，這確實(shí)是一個(gè)挑戰(zhàn)。企業(yè)可能有一個(gè)安全運(yùn)營中心，有一個(gè)網(wǎng)絡(luò)團(tuán)隊(duì)，還有事件響應(yīng)團(tuán)隊(duì)和惡意軟件團(tuán)隊(duì)。通常，這些團(tuán)隊(duì)并不一起工作，很少共享信息或情報(bào)。強(qiáng)制性的直接通信往往無效，所以，企業(yè)如何使這些團(tuán)隊(duì)以一種明智的方式來協(xié)作呢？如果企業(yè)能夠?yàn)樗杏嘘P(guān)聯(lián)的和有不同優(yōu)先次序的威脅情報(bào)建立一個(gè)倉庫，那么，無需這些團(tuán)隊(duì)知道如何協(xié)作就可以更好地培育協(xié)作。隨著倉庫存儲(chǔ)數(shù)據(jù)的時(shí)間越來越長，就可以成為此過程的一個(gè)核心組件。隨著不同的團(tuán)隊(duì)使用和更新這個(gè)倉庫，就可以在其他團(tuán)隊(duì)中實(shí)現(xiàn)即時(shí)的信息共享，從而使決策更快更明智。

再進(jìn)一步，就是將這個(gè)倉庫整合到其他已有的系統(tǒng)中，其中包括但不限于SIEM、日志倉庫、事件響應(yīng)平臺(tái)等，這可以使不同的團(tuán)隊(duì)使用早已了解的工具和界面，并仍能夠從情報(bào)中獲益和采取行動(dòng)。例如，事件響應(yīng)團(tuán)隊(duì)使用取證工具。惡意軟件團(tuán)隊(duì)使用沙箱。安全運(yùn)營中心使用SIEM。網(wǎng)絡(luò)團(tuán)隊(duì)使用網(wǎng)絡(luò)監(jiān)視工具和防火墻。而這僅僅是開始。大家通過不斷地直接從自己維護(hù)和更新的倉庫中獲得情報(bào)，就可以從唯一的可信情報(bào)源進(jìn)行運(yùn)維和工作，減少碎片化和復(fù)雜性，從而加速?zèng)Q策和響應(yīng)。

無疑，復(fù)雜性是安全性的大敵。但是，企業(yè)可以在減少復(fù)雜性方面有所作為。通過從所有外部和內(nèi)部的有關(guān)聯(lián)的有優(yōu)先次序的情報(bào)源中來豐富威脅數(shù)據(jù)，威脅情報(bào)就可以成為減少企業(yè)安全環(huán)境（異構(gòu)的內(nèi)部系統(tǒng)、不同的外部源和不同的團(tuán)隊(duì)）碎片化的“粘貼劑”。復(fù)雜性減少了，企業(yè)的現(xiàn)有團(tuán)隊(duì)使用已有的工具進(jìn)行工作就能使企業(yè)更安全。