问:
在过去的几年中,网络威胁情报如何发展,其发展方向如何?
A:威胁之间的基本相互作用以及我们对威胁采取的应对措施并没有真正改变。 一方努力通过窃取货物,金钱或信息来折衷另一方; 破坏资产; 通过使用某种东西(商品,客户,知识)作为杠杆,并勒索受害者以获取收益。 我们通过情报来挫败这种努力-学习那些会造成伤害的人的工具和技术,倾听正在计划进行攻击的线索,寻找有助于威胁行为者努力的漏洞,以及利用与他人保持密切联系的联系出于可疑行为。
总体而言, 已改变的是战场的规模。 黑暗的网络提供了许多秘密要塞和蜘蛛洞,不良演员可以在其中开展业务。 对于网络威胁搜寻团队来说,这是一个挑战。 进行对话和出现新攻击计划的领域的扩展意味着,真正的威胁可以隐藏在更多的噪音中。 网络威胁情报提供商主要以AI和大数据工具作为回应,这些工具可以搜集和分析更多原始信息。
但是,与引入AI和大数据工具相比,更重要的是人类在网络威胁情报方面的作用的演变。 这听起来违反直觉,但事实并非如此。 人工智能和大数据工具还不够完善,无法跟踪这个战场的扩展。 他们擅长从已知威胁源中搜集大数据集并针对已知问题进行分析。 但是,他们不太擅长发现新的对话在哪里出现,或者在双方都以编码方式进行交流时无法推断出动机和意义。 任何网络威胁情报工作取得成功的关键仍然是能够汇总来自所有扩展威胁源的信息的能力,因为明天的威胁将不会仅仅从昨天或上个月出现的相同地点出现。
那就是人的智能增强AI和大数据的地方。 人类情报专家使网络威胁情报的发展进入下一阶段。 它们可以帮助指导情报的收集,并从AI和大数据系统在噪声中检测到的信号中获得更多的上下文含义和意义。 他们可以评估这些发现信号的特征,并确定谁更可能受到新兴威胁的攻击。
随着噪声量的增加,这种识别至关重要。 噪音中会发现更多的信号,但是除非网络威胁情报提供者可以有效地确定哪些信号对哪些行业,公司,硬件用户等构成了真正的威胁,否则威胁情报信息的使用者将无法解决。为自己服务-并且他们被慈善地称为未完成的信息淹没了太多年了。 如果我们作为网络威胁情报服务提供商,能够正确地完成工作,那么通常可以使网络威胁情报的消费者知道更少的威胁,因为我们可以提供的威胁信息将是对他们真正重要的最终威胁信息-然后他们可以以智能的方式迅速采取行动。
