引言：不少安全專家認為，復(fù)雜性是安全性的敵人。很多人認為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊，其實未必。事實上，威脅情報就可以成為深度防御策略中將不同層次的產(chǎn)品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

不少安全專家認為，復(fù)雜性是安全性的敵人，這句話的正確性已經(jīng)被反復(fù)證明。很多人認為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊。其實未必，這是因為當今的事實是，每一層防御都是一種與眾不同的產(chǎn)品，每種不同的產(chǎn)品都有其自己的情報并在自己的范圍內(nèi)運行，因而產(chǎn)生碎片化，或稱分裂。由于碎片化會帶來復(fù)雜性，所以，為改善安全性，我們需要減少碎片。但是，如何將已經(jīng)破裂的或碎片化的組件粘合在一起呢？最佳的方法是，找到將不同組件粘合起來的“粘合劑”。事實上，威脅情報就可以成為深度防御策略中將不同層次的產(chǎn)品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

但碎片化并不僅僅是深度防御的一個問題。在外部的威脅情報源中，在維護企業(yè)安全性的不同團隊中，也存在這個問題。下面討論的是在這些領(lǐng)域中存在的碎片化，以及威脅情報如何幫助解決問題。

某安全機構(gòu)分析了很長時間的黑名單生態(tài)系統(tǒng)，發(fā)現(xiàn)黑名單的內(nèi)容一般并不重疊，多數(shù)內(nèi)容僅出現(xiàn)在某個黑名單中。無疑，存在大量的數(shù)據(jù)過載問題。而且，這些黑名單帶來了一種關(guān)于互聯(lián)網(wǎng)上惡意基礎(chǔ)架構(gòu)的碎片化表述，從業(yè)者應(yīng)該清楚這點。威瑞森（Verizon）的數(shù)據(jù)泄露調(diào)查報告也得出了同樣的結(jié)論，并且指出，公司需要能夠以一種更聰明的方法將威脅情報應(yīng)用到其環(huán)境中。

一般說來，在企業(yè)構(gòu)建最佳的威脅防御體系時，多數(shù)企業(yè)被迫使用多種數(shù)據(jù)源，其中有的來自商業(yè)源，有的是開源的，有的來自行業(yè)，還有一些來自現(xiàn)有的安全廠商，每種數(shù)據(jù)源都有其不同的格式。由于缺乏自動篩選和審查不同的海量數(shù)據(jù)的工具和能力，并且不能聚合信息進行分析和采取行動，數(shù)據(jù)仍是碎片化的，并且往往沒有什么相關(guān)背景，因而只會成為更強的噪音。威脅情報的正確路線應(yīng)從將外部數(shù)據(jù)聚合到一個威脅情報平臺開始。

然而，威脅情報平臺遠不止聚合那么簡單，還必須是可運維的，并且能夠?qū)⑼{情報作為一種減少碎片的“粘合劑”。對于存儲在一個可管理位置的各種結(jié)構(gòu)化和非結(jié)構(gòu)化的綜合數(shù)據(jù)，威脅情報平臺必須將其轉(zhuǎn)換為一種統(tǒng)一的格式，并且用內(nèi)部和外部的威脅數(shù)據(jù)和事件數(shù)據(jù)進行豐富和強化。通過將企業(yè)環(huán)境中的事件、相關(guān)黑名單特征與外部數(shù)據(jù)進行關(guān)聯(lián)，安全團隊就可以獲得額外的關(guān)鍵環(huán)境數(shù)據(jù)，從而理解哪些是與企業(yè)有關(guān)的，哪些對企業(yè)來說是需要優(yōu)先處理的。如此，安全團隊就可以利用這些威脅數(shù)據(jù)，自動地在深度防御的所有不同層次中發(fā)布關(guān)鍵的情報，從而改善安全狀況并減少數(shù)據(jù)暴露和泄露的機會。

但是，團隊之間的這種碎片化狀態(tài)怎么辦？此處的關(guān)鍵是找到一種利用威脅情報作出更好決策和行動的方法。對于一個協(xié)作性不強的企業(yè)結(jié)構(gòu)中，這確實是一個挑戰(zhàn)。企業(yè)可能有一個安全運營中心，有一個網(wǎng)絡(luò)團隊，還有事件響應(yīng)團隊和惡意軟件團隊。通常，這些團隊并不一起工作，很少共享信息或情報。強制性的直接通信往往無效，所以，企業(yè)如何使這些團隊以一種明智的方式來協(xié)作呢？如果企業(yè)能夠為所有有關(guān)聯(lián)的和有不同優(yōu)先次序的威脅情報建立一個倉庫，那么，無需這些團隊知道如何協(xié)作就可以更好地培育協(xié)作。隨著倉庫存儲數(shù)據(jù)的時間越來越長，就可以成為此過程的一個核心組件。隨著不同的團隊使用和更新這個倉庫，就可以在其他團隊中實現(xiàn)即時的信息共享，從而使決策更快更明智。

再進一步，就是將這個倉庫整合到其他已有的系統(tǒng)中，其中包括但不限于SIEM、日志倉庫、事件響應(yīng)平臺等，這可以使不同的團隊使用早已了解的工具和界面，并仍能夠從情報中獲益和采取行動。例如，事件響應(yīng)團隊使用取證工具。惡意軟件團隊使用沙箱。安全運營中心使用SIEM。網(wǎng)絡(luò)團隊使用網(wǎng)絡(luò)監(jiān)視工具和防火墻。而這僅僅是開始。大家通過不斷地直接從自己維護和更新的倉庫中獲得情報，就可以從唯一的可信情報源進行運維和工作，減少碎片化和復(fù)雜性，從而加速決策和響應(yīng)。

無疑，復(fù)雜性是安全性的大敵。但是，企業(yè)可以在減少復(fù)雜性方面有所作為。通過從所有外部和內(nèi)部的有關(guān)聯(lián)的有優(yōu)先次序的情報源中來豐富威脅數(shù)據(jù)，威脅情報就可以成為減少企業(yè)安全環(huán)境（異構(gòu)的內(nèi)部系統(tǒng)、不同的外部源和不同的團隊）碎片化的“粘貼劑”。復(fù)雜性減少了，企業(yè)的現(xiàn)有團隊使用已有的工具進行工作就能使企業(yè)更安全。