威胁预测的“新”定义

若对成功抱有不切实际的期待，安全工作将很难正确开展。安全团队需澄清“威胁预测”的概念，去除有关威胁预测的3个常见误解，将公司对预测性安全的理解从科幻小说拉回到现实中来。

在重定义威胁预测的问题上，人们将“预测”作为安全工具的一部分来讨论的时候，常会错误理解了“预测”的含义；而安全分析师有3种方法可以搞定这些莫名其妙的误解。安全团队其实可以将对安全预测的正确理解映射到可自适应企业需求的实用框架中。不过，首先得巩固一下何谓“预测”：

看到未来

不妨先做个思维小训练：某业务开放的关键Web服务器有个已知高危漏洞，接下来的一天内会发生什么？一周内呢？

对该问题的回答根植于回答者的经验、知识和业务目标。只要给你一点点信息，你可能就会在脑海中想出各种问题和答案。你预期了很多事：电子邮件、电话、大大小小的决策、会议……

测试似乎有点傻气，但重点是，只要我们的预期贴合实际，我们就能看到未来。其正确性部分来自于两个基本但超级简单的原则：(对风险或回报的)预期和(基于上下文的)决策。

我们暂且放下“预测”这个术语。预期是怎么回事，相信大家都知道，我们不妨在此基础上进一步介绍一些实际的应用程序。

预期：可见性与上下文

怎么预期上述Web服务器出现关键漏洞后的场景？几个关键的知识点不可少：首先，存在关键漏洞；其次，该服务器是面向互联网的。有关这两个知识点的争论我们不再赘述，毕竟我们的目的不是为了打造安全潮词分类表。在此，我们仅将这两个知识点统称为可见性——对资产配置的可见性。

可见性是用来驱动决策的，无论该决策是由判定警报优先级的安全操作员做出，还是由判断是否需要通知司法机构或律师团队的安全主管做出。我们只需要知道一点：好的决策部分来自于人的判断，部分出自上下文环境。上文所述开放Web服务器出现高危漏洞的场景中，上下文指的就是有一台业务关键的Web服务器。或者，也可以指的是有公开报道称该漏洞正被黑客加以利用。上下文掌握得越多，决策的置信度就越高。为安全团队成员和其他业务主管提供的上下文越相关，他们相信并遵从安全决策的可能性就越高。

可见性和上下文不仅限于威胁预测，事件响应场景中也很重要。综合运用可见性和上下文，能够使安全团队具备预期威胁在公司网络中所做动作的能力，也可使安全操作员能够做出修改配置、保留证据或开展额外分析之类决策。有些人用“战术手册”这样的术语来描述分析师或安全主管针对特定事件可能采取的动作。但可见性与上下文的缺乏会让完成这些动作更加耗时。

建立实用预测

我们可以将预期、可见性和上下文的概念映射成一些具体的要求，以便公司能以预测性的方式执行安全运营。

预期

设立预期目标，记得该预期根植于想要的结果。另外，弄清业务重点。不妨给团队一些压力来让他们理清自己的工作重点。像“没有数据泄露”，或是“别让我被文件埋了”这种不算预期目标，不过是些希望、愿望之类的。设立预期目标指的是要有类似“30分钟之内检测并响应任务关键问题”这种有意义的目标。

可见性

有了明确的预期，就可以着手确定达成该目标需要哪些方面的可见性了。比如上文提到的Web服务器的例子中，你将需要对网络和对该Web服务器自身的可见性，还有可能需要对Web应用或身份验证服务的可见性。知道该Web服务器可以访问哪些资产，有益于更好地了解都有哪些东西暴露在公网，可以预期会遭到何种攻击。

上下文

记住：上下文是决策驱动器。与人类感知类似，上下文也来自于整合不同系统获取的信息。想要发展上下文，就得集成多个系统，比如业务应用或第三方安全资源。不妨扪心自问，拿到一个IP地址，你的安全团队要花多长时间才可以确认该IP是不是一个任务关键资产？或者，这IP属于谁？再或者，如果这个IP掉线，有多少人或多少利润会受到影响？

说回本文开头提出的Web服务器的场景。你能说出两到三个缺失的可见性或上下文吗？随着安全继续推进到全球公司企业聚焦的中心，分析师和安全团队也有了重构公司预测与安全态势的机会。确保每个团队都对风险管理中漏洞方法的优势、缺点和定义有个准确的认知，可以将对安全团队业绩表现的预期从科幻电影拉回到现实中来。因为在现实世界，对手不会翻墙而入，他们与用户共享同一片地形。安全团队的工作就是要查清这片地形，并用对地形的了解有效布置其风险缓解资源，重点保护最有价值或最脆弱的区域。

相关阅读

威胁猎手养成

行为分析：发现未知威胁/零日攻击的利器