经济下行时期，利用托管服务优化威胁情报计划

财务压力落到业务主管肩头，削减成本似乎是生存所需。但人手不足和忽视关键业务运营不可取，尤其是在安全和情报方面。由于安全和情报投入与昂贵的技术和资源紧密相关，主管们很清楚自己必须衡量其他替代方案来推进运营和缓解风险。然而，情报产品不断输出的“噪声”模糊了情报的价值，让安全团队陷于无意义的警报中疲于奔命。安全主管不得不考虑采用托管服务来满足公司威胁情报所需。

托管服务向来在节省成本和灵活机动的同时还能提供良好的产出。因此，2008年到2010年期间托管服务采用率比此前几年增长约60%毫不令人意外。在这些经济困难时期里，尤其是对受监管行业而言，托管服务让安全团队得以在财务限制之下仍能夯实自身防御。托管服务提供商（MSP）以服务的形式提供技术、IT专业知识和资源，满足了企业的关键需求。通过与MSP签订可持续的合同，企业不仅升级了专业知识、技术和工具，还降低了前期成本和资本性支出（CAPEX）。

相对于网络安全的其他方面，威胁情报有时候会被认为是比较容易削减的部分。“防火墙外”情报收集缺口、缺乏适合公司的明确需求、特定于客户的情报不足，以及内部招募人才的困难，令情报工作举步维艰。此外，持续不断的数据噪声往往导致安全运营中心（SOC）等利益相关者被大量警报淹没。

(资料图)

而且，地缘政治冲突与经济动荡相互关联，尤其是在物理情报和网络情报领域。一家公司一周内必须处理的网络、物理和执行情报重点有些什么呢：

1. 公司面临的数字威胁：每周发现的漏洞

2. 社交媒体和技术论坛：讨论控制措施绕过方式的负面评论

3. 黑客论坛和暗网市场：日常发生的凭证被泄和账户接管

4. 高管面临的威胁：针对高管的仇恨语言

5. 内部人威胁和投诉：叫卖内部访问权的用户

6. 附属公司：针对公司附属公司的上述威胁

7. 员工面临的威胁：员工在社交媒体和内部论坛上遭遇的威胁

8. 外国影响力活动：公司在外国的资产暴露于敌对国家控制之下，知识产权盗窃暴露出公司在外国的资产

9. 对整个行业的威胁：针对竞争对手的相关攻击

安全团队若想照应情报领域这诸多威胁，就应该考虑采用威胁情报即服务。毕竟，威胁情报是任何安全策略的重要组成部分，但少有安全团队具备处理所面临全部威胁的专业知识或资源。

通过结合人员、流程和技术以服务的形式提供威胁情报，托管情报提供商填补了威胁情报领域的关键缺口，使企业能够将资源密集型任务交托给经验丰富的提供商。这类任务包括：

1. 生成特定于自家企业的情报

2. 提供分析师主导的情报

3. 利用多源采集和分析能力

4. 访问多语数据源和分析

5. 发现并了解对手心态（动机和预期结果）

6. 归因和揭露对手

7. 提供情报建议和对敌指南

8. 向所有利益相关者（法律、人力资源、工程等等）了解企业可利用的所有中断后果

很遗憾，网络威胁“情报”（CTI）供应商劫持了威胁情报的含义，令其真实价值遭到了质疑。虽然CTI市场超过100亿美元，但该市场通常由各种数据馈送组成，这些数据馈送采用广为使用的数据湖和人工智能（AI）及机器学习（ML）来检测已知威胁。尽管购买某个数据馈送解决某一特定痛点也不失为明智，但客户往往希望针对更多风险获得更大的投资回报。

若想抵御并主动缓解风险，你的团队需了解并紧跟情报生命周期，掌握应对企业风险的领域专业知识。从网络到欺诈，再到信任和安全，及至对关键人员、场所和资产的实体防护，你必须找到可扩展的威胁检测与响应方法，结合企业的威胁情报工作流程来交付安全成果。

标签： 托管服务 尤其是在 社交媒体