如何管理信息安全威胁报告?

你应该已经注意到，现在越来越多的供应商、研究人员、顾问和其他一些人都发布报告称他们可以详细描述信息安全威胁，并声称对最新的攻击、漏洞和利用有独特的见解。其实这些信息中有很多都很有价值，但是却很难管理和利用。更重要的是，这些信息也未必适用于你的公司环境。

[[111457]]

信息安全管理可能更多的是管理时间和资源，而不是技术，当遇到网络安全威胁报告时就是这种情况。本文中，我们讲探讨如何充分利用海量的威胁报告数据，而不被它淹没。

威胁越多，威胁报告就越多

越来越多的供应商赞助威胁报告的制作，因为这些报告能给他们的作者提供两方面的好处：不仅能够展示网络安全界的相关威胁，还能为它们的赞助公司提供重要的营销作用。作为营销资料，这些报告的形式一般都很容易理解，也很能吸引人，通常是以执行摘要开始，然后是充分的书面分析，然后是充足的图表和图形，甚至还有原始数据。

这些报告中的信息有时也可能会很夸张，因为它们毕竟是营销资料。例如，一个防病毒公司想卖出更多的防病毒软件，他会利用这个报告来强调目前恶意软件感染的数量和负面影响。但这并不意味着这些数据无效或者这个报告没有用，他只是想利用这个数据呈现出来的事实作为背景。所以，非常重要的是，要通过数据样本的大小以及参与创建它的研究人员的经验来评估这些威胁报告。

其实，这些报告有一个经常被忽视的特点，就是它们对于终端用户或执行安全教育非常有用。正如上面提到的，它们最初是作为营销资料而创建的，所以大多数报告都是固定模式，有着明确的信息。例如，在讨论恶意软件发展趋势时，我通常会引用赛门铁克年度“互联网安全报告”，而在谈到如何修补漏洞以及如何运行Web应用程序漏洞测试可以降低数据泄露的情况时，我通常会引用Verizon公司的年度“数据泄露调查报告”。

如何最好地利用互联网安全威胁报告

管理威胁报告的第一步是要找到一种方法，使它们更可行。我更倾向于从多个来源收集安全威胁信息，并把它们整合成类似Google Reader或Feedly之类的RSS新闻阅读器。生产这些威胁报告的供应商和顾问通常会给新闻网站发布报告事件，或者通过他们自己的RSS feed来发布。我可以迅速梳理这些信息点，并确定整个报告是否值得深入研究。这就极大降低了我阅读无关信息的时间，我会在方便的时候阅读我关心的问题，例如，当我在排队买东西的时候可以在我的手机或平板电脑上阅读它们。

要让这些信息更可行，第二步是要了解这些威胁如何适用于企业必须要保护的技术平台。每个安全管理人员都应该清楚地知道他们的企业的关键信息资产的位置，以及他们正在使用哪种技术平台。使用这些信息来关注针对你的企业的最重要的信息资产的威胁报告。例如，如果你的组织购买了微软的产品，那就肯定会优先浏览微软的威胁报告。其它不是关键业务的技术报告可以随后在你的RSS阅读器中建立。

像Verizon的数据泄露调查报告(DBIR)这种大型、通用的安全研究一般不包含信息安全管理人员需要的及时性的策略建议，但是它们还是非常有用的。可以利用它们来了解过去的威胁环境，并验证以前的信息安全策略。举个例子来说，前几年，我通常会根据Verizon的DBIR来改变我的防御策略。

如果遵循这些简单的指导意见，你会发现，威胁报告对于安全管理人员来说是非常有价值的信息来源。通过一些方法对它们进行分类并确定优先级，可以使这些信息更可行。在选择威胁报告时，不是一定要选择最好的，而是要选择最适合你的技术环境的报告，这对于你的企业来说可能更有用。也可以利用通用的威胁报告来验证和建立策略，但同时不要忘了它们可以作为培训资料。这些指导建议应该可以帮助你更有效地找到并利用这些威胁报告中的信息。