压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

設(shè)立網(wǎng)絡(luò)情報項目的的時候，別忽視了投資合適人才的重要性。

討論網(wǎng)絡(luò)情報，或者說網(wǎng)絡(luò)威脅情報（CTI）的時候，我們難免會談到工具、技術(shù)和數(shù)據(jù)。我們的關(guān)注重點往往放在能夠帶來網(wǎng)絡(luò)對抗重要資料的最佳供應(yīng)商身上，希望可以借此快速行動，領(lǐng)先惡意黑客一步。這么做無可厚非。我們確實需要各種技術(shù)來利用大量數(shù)據(jù)、信息和情報，從而防患于未然。我們甚至希望能夠主動出擊，做到“預(yù)防”而不是“響應(yīng)”威脅。但所有此類討論中，我們常常忘了分析情報團隊中需要什么人來坐鎮(zhèn)領(lǐng)導(dǎo)和執(zhí)行位置。現(xiàn)在我們就來看看情報團隊構(gòu)建中的各種常見錯誤，以及不常見但正確的做法。

常見錯誤做法

情報團隊組建過程中，最慣常的方式是由領(lǐng)導(dǎo)決定企業(yè)需要一支CTI團隊。負責人可能是受同行影響得出這一結(jié)論，但更常見的情況是接到上級通知說我們有這個需求。無論哪種方式，總之木已成舟，團隊組建工作拉開序幕。

這種情況下，最常見的操作是從內(nèi)部提拔表現(xiàn)好的員工（沒有情報背景）來領(lǐng)導(dǎo)新的團隊。這個人通常具備良好的事件響應(yīng)或網(wǎng)絡(luò)安全背景，試圖套用自己熟知的老路子來開展新工作，或者盡力現(xiàn)學(xué)CTI到底是什么。

不過，情報可不是什么業(yè)余愛好，不是能夠輕易轉(zhuǎn)入的網(wǎng)絡(luò)安全子領(lǐng)域。但被選中的人嘗試轉(zhuǎn)入，而他們組建的團隊通常也就非常類似他們自己了。最終，企業(yè)得到的團隊只是頂著CTI頭銜的SOC分析師和事件響應(yīng)人員；他們不生產(chǎn)情報，因為他們就不是情報專業(yè)人員。這就是優(yōu)秀人才放錯位置，再怎么努力也不太可能成功的典型案例。

最后，團隊未能推動安全部門的主動化轉(zhuǎn)型，沒有實現(xiàn)可衡量的目標，所有人更新一番自己的簡歷，重回自己專業(yè)領(lǐng)域?qū)ふ倚鹿ぷ鳌＿€有更糟糕的情況：這些人以CTI分析師的身份進入網(wǎng)絡(luò)安全人才市場，因為市場上CTI分析師稀缺，而他們的簡歷上如今已經(jīng)有了金光閃閃的CTI分析師“頭銜”。

盡管努力應(yīng)付客戶的情報需求（雖然客戶壓根兒對情報捕捉毫無概念），供應(yīng)商通常仍然承擔了未能打造有效網(wǎng)絡(luò)情報項目的責任。所以，一大批供應(yīng)商樂于利用對競爭失敗的認知，成為此類轉(zhuǎn)型的資助者。但是，只要人才策略不改變，結(jié)果不會有太大改善。

不算常見但依然錯誤的做法

組建情報團隊的另一方式是從情報界（IC）和司法機構(gòu)招募人才。這么做的理由是政府網(wǎng)羅了大量優(yōu)秀人才，這些人不僅有經(jīng)驗，還具備很高的可信度。由具備百年情報經(jīng)驗的三個字母機構(gòu)（如FBI、CIA、NSA、DHS、MI6）出身的人才組成的團隊，誰不驚艷？這么想完全沒問題。但真這么做就面臨兩個重大挑戰(zhàn)：

1. 文化沖突：整個職業(yè)生涯都在政府中度過的人可能已經(jīng)體制化了。面對完全不同的一套目標、期望值、預(yù)算計劃、日程表和社會準則，他們可能會適應(yīng)不良。

2. 驗證：情報界出身的太多人都自帶難以驗證的輝煌履歷。知道大多不會真去核驗，一句“這是機密”就打發(fā)過去了。千萬不要招募不愿意或沒辦法驗證自身資歷的人。

完全依賴情報或司法界人才的團隊還很有可能難以發(fā)展足夠的思維多樣性、靈活性和適應(yīng)性。這種“團體思維”會導(dǎo)致總體確認偏差，造成回音室效應(yīng)，最終走向不準確的結(jié)論。

罕見的最佳做法

網(wǎng)絡(luò)情報團隊最罕見的組建方式，是從一開始就指定富有傳統(tǒng)情報經(jīng)驗和網(wǎng)絡(luò)安全實用知識的主管。這并不意味著尋找具備幾十年情報經(jīng)驗和CISSP認證的“獨角獸”，而是要去找擁有下列特質(zhì)的人才：

• 對分析技術(shù)和標準有廣泛的了解。
• 能夠領(lǐng)會企業(yè)的戰(zhàn)術(shù)、操作和策略情報需求。
• 可以利用人才、工具和權(quán)限，及時為人和機器提供明智決策所需的準確重要情報。
• 能夠與下至基層分析師上至首席級高管或董事會的各層級人士有效溝通。
• 可以創(chuàng)建和闡述情報項目構(gòu)建策略，推動企業(yè)安全狀態(tài)從反應(yīng)式邁向主動式。
• 能夠用高管的語言方式敘述風險和價值。

主管指定之后，理想的團隊成員可以出身不同背景，包括傳統(tǒng)情報、司法、網(wǎng)絡(luò)安全、數(shù)據(jù)科學(xué)和新聞專業(yè)。

背景的多樣性能夠營造產(chǎn)出準確評估和結(jié)論的環(huán)境，超越視角有限的單一背景團隊。

例如，深入了解某個威脅團伙的時候，能夠從網(wǎng)絡(luò)安全專家（戰(zhàn)術(shù)、技術(shù)和程序（TTP））、傳統(tǒng)情報或司法分析師（動機和可能的下一步動作），以及數(shù)據(jù)科學(xué)家（大數(shù)據(jù)趨勢）的視角看待威脅，往往可以形成很全面的威脅描述，這是只能從單一角度看問題的團隊所達不到的。新聞界人士則通常善于研究和敘事，這是情報領(lǐng)域的重要組成部分，卻常常被忽視掉了。

由于情報最終落實到溝通上，只有被理解和接受了才有價值。千萬別低估能以枯燥難懂的材料博得并保持讀者注意力的重要性。

構(gòu)建背景多樣化的團隊還有個隱藏優(yōu)勢：不同背景方便觸及更多受眾。畢竟，情報最終就是個服務(wù)。想要成功傳達情報的重要性，就得首先建立起關(guān)系，要聯(lián)系，要可靠。而這種可靠度就是通過共同的認知建立起來的。

大企業(yè)里情報的消費者名單包括紅隊、藍隊、紫隊、事件響應(yīng)、物理安全、內(nèi)部人威脅、品牌保護、治理、風險，以及合規(guī)、管理等等。這些部門未必都用同一種語言方式，所以多樣化的情報團隊才有與這些不同部門建立關(guān)系所需的人才。如果缺乏這些能夠產(chǎn)生共同認知和信任的關(guān)系，即使是組成“完美”的情報團隊，也會極其難以提供可衡量的安全改善，無法合理化自身存在和成長的必要性。

結(jié)論

無論我們在權(quán)限、工具或先進技術(shù)上投入多少，情報依然是人與人之間的博弈。所以，在構(gòu)建網(wǎng)絡(luò)情報項目，選擇情報供應(yīng)商的時候，千萬別忽視了對合適人才的投資。否則，即使財大氣粗的企業(yè)也會發(fā)現(xiàn)自己陷入不停更換人員和供應(yīng)商的泥潭，每次都是看似有進展，實際上卻壓根兒達不到想要的網(wǎng)絡(luò)安全目標。

來源：數(shù)世咨詢