殒命的貂蝉义父是不懂威胁情报的!

作者:潇冷 来源:原创 2023-03-13

  使用“连环计”除掉董卓之后,一心中兴汉室的司徒王允终于迎来了高光时刻。他终于可以如董卓一般对文武百官颐指气使,以“中兴汉室”的名义让汉献帝噤若寒蝉,自大到对陈公台的谏言充耳不闻,最终“惹火烧身”“身首异处”。正所谓“胜不骄败不馁”,“春风得意”的王允的败因在于,处于权力巅峰,在受到李傕郭汜的威胁时,并没有利用陈公台的“威胁情报”。

  一向谨言慎行的王司徒其实是懂威胁情报的

  战战兢兢、如履薄冰是我对屈身事董卓时的王允的评价,就连过生日都没敢请被董卓封为都骑校尉的曹操,而当不请自来的曹操在宴会上发放厥词时,王允更是将他驱逐出府。待到宾客酒过三巡,纷纷散去,再秘密煽动曹操用七星宝刀刺杀董卓。由此可见,王司徒与“艺高人胆大”丝毫不沾边,而且日子过得谨小慎微。相反,曹操的人生因为这次刺杀董卓,开始开挂。 

殒命的貂蝉义父是不懂威胁情报的!

  在曹操刺杀董卓这件事儿上,王允其实掌握了第一手资料,并对刺杀董卓做了充分的预案,毕竟他自己便是策划人如果刺杀董卓成功,那就顺势成为除贼的第一功臣,中兴大汉;如果没有成功,那就还如往常一样,背地里还是对董卓咬牙切齿。天意助董不助曹,曹操还是刺杀失败了,朝堂上王允面对董卓的挖苦,只能忍气吞声,心里一万个“不要连累我”“这下糟糕了”。

  “曹操刺杀未成”“董卓已经开始怀疑我”,王允最先得到了这些威胁,这些威胁在未经过仔细研判之后,王允便自暴自弃。冰雪聪明的貂蝉在经过仔细、审慎地研判后认为,这些威胁并不致命,甚至还可以进行补救。事实上,这种基于证据的知识,包括情景、机制、指标、隐含和实际建议,已经成为威胁情报,已经能够帮助王允做好威胁防范,更快速地应对董卓发起的攻击与响应。

  在电视剧情中,貂蝉将七星宝刀置放于书房最显眼处,这也打消了前来抓人的吕布的疑虑。这是威胁情报在王允处的一次成功应用。然而,登顶权力巅峰的王允,并没有将此优良的传统传承下去,甚至在灭掉董卓之后,轻视拥兵十万的李傕、郭汜。即使陈公台再三建议将他们收为己用,也没能挡得住王允的赶尽杀绝。这是威胁情报的一次误用,也正是这一次,让王允再无翻身的可能。

  安全威胁无处不在,威胁情报很有必要

  知己知彼,百战不殆。在长期的攻伐战中,情报的作用十分重要,间谍获取情报,发往中枢,经过研判之后,做出应对的方案。同样的道理,在威胁情报中,越来越多的安全公司开始用这种方法与黑客斗法,例如穿梭于安全论坛,开心地与黑客讨论攻击方式和攻击漏洞,然后获取这些威胁情报,再对漏洞进行修补。

  到底什么才是威胁情报呢?Gartner认为,威胁情报是一种基于证据的知识,包括情景、机制、指标、隐含和实际可用的建议。具体而言,威胁情报描述了现存的或即将出现的针对资产的威胁,并可以用于通知主体针对相关威胁或危险,采用某些响应。威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合,可实现事前风险可视化,事中防御主动化,事后溯源智能化。 

殒命的貂蝉义父是不懂威胁情报的!

  换言之,威胁情报可以帮助企业快速地了解对方对自己的威胁信息,帮助企业做好威胁防范,更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。也就是说,威胁情报可以帮助企业获得海量的安全威胁信息,诸如恶意攻击、攻击方法、安全漏洞、黑客目标等。同时也可以帮助企业在面对安全威胁时获取更多的主动。

  由此可见,一份及时的、精准的威胁情报对于网络防御十分重要,甚至通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。因此,威胁情报对企业的发展越发重要,有一个良好的威胁情报系统也将有助于企业数据资产的保护。从这点来看,王允并没有利用好威胁情报。

  数字时代,威胁情报的核心价值

  如今,千行百业逐渐进入数字化转型的深水区,进入人们视线的网络安全事件也越来越多。如果没有一个相对安全的网络环境,企业的数据及资产就容易遭到窃取或破坏,从而造成损失。从这一点来讲,威胁情报变得尤为重要,威胁情报主要分为事前、事中、事后等环节。

  事前主要为防护价值,威胁情报提供基础DNS解析服务,并具备安全增值能力,能够帮助企业拦截钓鱼、勒索、挖矿等问题。当恶意地址请求出现,威胁情报会进行阻断,通知相关管理人员;事中主要为相应领域价值,通过威胁情报掌握威胁事件对应的目的和相应的危害,并提出处置建议。事后也可以进行溯源,主要是通过威胁情报追踪 IP、域名,发现攻击者留下的痕迹,从而分析出攻击者的TTPs战略战术及过程,并追踪攻击者的行为。 

殒命的貂蝉义父是不懂威胁情报的!

  然而,目前的威胁情报仍暴露出诸多问题,中国信通院云安全专家孔松在采访中表示,国内威胁情报产业发展仍处于初级阶段,服务质量参差不齐,企业威胁情报实践率不高,需从多个维度建立威胁情报效能评价标准,规范威胁情报服务能力。同时,威胁情报能降低企业整体风险,处处赋能,人人知好,但利用率却不高。

  当然,我们也应该看到,在数字化深入发展的过程中,威胁情报能力也不断发展。根据IDC调研,对我国大部分的威胁情报供应商来说,为自己的网络安全产品与服务赋能仍是实现其价值的主要方式。目前,各种安全预警系统(EPP/EDR, UTM, IDS/IPS, NDR, SOC等)都已经被整合到安全预警系统中,大大提高了安全预警系统在安全预警和预警方面的精度和时效性。同时,越来越多的威胁情报技术提供商打造了独立的威胁情报产品或服务。

  除此之外,企业安全管理者对于威胁情报的态度,也从“用与不用都很难决定,一旦用了,就会给予很高的期待”,向“充分肯定威胁情报的价值,并对其应用效果进行合理的判断”过渡。总体上,这个市场已经走过了泡沫期,正在朝着成熟阶段发展。

  写在最后

  未来,人类利用机器的计算能力收集和处理海量数据,从中找出有价值的数据、信息和情报。然而,如何利用好这些信息和情报,主要还依赖于人的知识和决策能力。随着数据资产的增多,威胁情报在展现越来越多的价值的同时,也充分考验企业管理者的专业素养和决策能力,规避类似于王允的决策失误,才是利用好威胁情报的典型。

相关阅读

发布
X
第三方账号登录
  • 微博认证登录
  • QQ账号登录
  • 微信账号登录

企业俱乐部