網絡安全中的星巴克效應

馬漢

在星巴克，我們經常聽到這樣的點單：“給我來一杯中杯豆奶香草卡布奇諾，半咖啡因、超燙?！蔽覀冏约汉芸赡芤彩沁@么點單的。事實上，我們已經習慣于按自己的方式做事，而反映在咖啡這件小事上，咖啡師負責確保我們的期望得到滿足。技術世界與之類似，但不是用焦糖或香草糖漿滿足個人品味，而是根據經驗、熟悉度和個人偏好來選擇技術與產品。在商業領域，定制則更加復雜，因為我們需要根據品牌偏好、特定團隊經驗與專業技能、操作環境、過程與工作流等參數進行定制，還有必須支持的特定現有企業基礎設施。這種定制需求可被稱為“星巴克效應”，該效應在整個IT產業里振蕩，影響硬件、軟件和服務等。

一個典型的例子就是沒有通用型安全。從基礎設施和防御層的開發歷程上就可以知道這一點。多年來，公司企業無不是從不斷擴大的終端產品范圍中挑選出自己中意的產品來解決最新威脅或滿足業務需求。每家公司的需求各不相同，由此產生的安全基礎設施也就各有差異了。

反映到威脅情報上也是同樣的情況。不是所有的威脅數據都同等重要，有些數據是與自家公司相關而對其他公司無關緊要的。另外，利用威脅情報的方式也因基礎設施和人員的不同而有差異。比如說，人力充足的大型企業就有資源以兩度甚至三度分隔來追蹤威脅數據（比如，下游IP地址、域名注冊者等等）。而沒有這么多資源的公司就必須選擇性地追蹤，只調查當前活躍的，針對本行業或與已知對手相關的威脅數據。構建全面威脅情報項目通常從選擇要訂閱的各種威脅數據饋送源開始，可以有商業源、開源、行業源，也可以納入現有安全廠商的威脅數據源，并將數據集成到中央存儲庫中。然后，你需要為自身防御層和SIEM中的每個終端產品配備與該中央存儲庫通信的渠道，這樣才能夠將全局威脅數據與這些解決方案產生的大量日志與時間數據結合起來。

數據豐富當然是好事，但這里面同時也含有很多“噪聲”。有些威脅數據饋送和安全廠商試圖通過發布威脅評分來幫助減少“噪聲”。但是，這些評分都是通用的，而你真正需要的是與自身環境相關的評分。就像咖啡點單一樣，只有你自己才知道自己喜歡什么，需要什么。你得會根據威脅指標源、類型、屬性和上下文，以及對手屬性，來定制威脅評分，排序威脅情報，這樣才能過濾真正的噪音。

定制威脅情報本身還不足夠，還得具備個性化利用威脅情報的能力。這就需要可以雙向通信的解決方案———不僅可以從內部系統接收數據，還能從中央存儲庫向環境中所有必要的工具發送經過甄選的威脅情報。比如說，向現有事件管理或SIEM解決方案發送威脅情報以讓這些技術更加高效地執行其功能，減少誤報。還可以運用該威脅情報來預測并防止未來的攻擊———自動向防御層（防火墻、殺毒軟件、IPS/IDS、Web和郵件安全、終端檢測及響應、網絡流量分析等等）發送威脅情報以產生并應用更新的策略和規則來緩解風險。

擁有了可以定制威脅情報本身及其集成方式的解決方案，你就可以進行威脅情報“點餐”了。不過，不是每個公司都能夠自己完成這個定制過程。

全球網絡安全人才短缺情況持續惡化，預計到2019年將出現200萬個安全職位空缺。這種情況下如果你沒有安全專家可以開發或實現威脅情報項目該怎么辦呢？托管安全服務提供商（MSSP）可以幫你。MSSP會為你提供一系列選項，幫你輕松搞定所需的服務。他們可以為你完成定制過程，將數據轉化為可執行威脅情報，并將之集成進你的基礎設施和運營中。他們還能用與你公司相關的威脅情報來改善你的整體安全運營，直接針對對你而言最重要的那些威脅。

IT行業中星巴克效應十分普遍，威脅情報同樣受到該運動的影響。有了合適的技術和服務，每家公司都能在恰當的時間、地點以正確的方式獲取并排序相關威脅情報。