亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

設(shè)立網(wǎng)絡(luò)情報(bào)項(xiàng)目的的時(shí)候，別忽視了投資合適人才的重要性。

討論網(wǎng)絡(luò)情報(bào)，或者說網(wǎng)絡(luò)威脅情報(bào)（CTI）的時(shí)候，我們難免會談到工具、技術(shù)和數(shù)據(jù)。我們的關(guān)注重點(diǎn)往往放在能夠帶來網(wǎng)絡(luò)對抗重要資料的最佳供應(yīng)商身上，希望可以借此快速行動，領(lǐng)先惡意黑客一步。這么做無可厚非。我們確實(shí)需要各種技術(shù)來利用大量數(shù)據(jù)、信息和情報(bào)，從而防患于未然。我們甚至希望能夠主動出擊，做到“預(yù)防”而不是“響應(yīng)”威脅。但所有此類討論中，我們常常忘了分析情報(bào)團(tuán)隊(duì)中需要什么人來坐鎮(zhèn)領(lǐng)導(dǎo)和執(zhí)行位置。現(xiàn)在我們就來看看情報(bào)團(tuán)隊(duì)構(gòu)建中的各種常見錯誤，以及不常見但正確的做法。

常見錯誤做法

情報(bào)團(tuán)隊(duì)組建過程中，最慣常的方式是由領(lǐng)導(dǎo)決定企業(yè)需要一支CTI團(tuán)隊(duì)。負(fù)責(zé)人可能是受同行影響得出這一結(jié)論，但更常見的情況是接到上級通知說我們有這個需求。無論哪種方式，總之木已成舟，團(tuán)隊(duì)組建工作拉開序幕。

這種情況下，最常見的操作是從內(nèi)部提拔表現(xiàn)好的員工（沒有情報(bào)背景）來領(lǐng)導(dǎo)新的團(tuán)隊(duì)。這個人通常具備良好的事件響應(yīng)或網(wǎng)絡(luò)安全背景，試圖套用自己熟知的老路子來開展新工作，或者盡力現(xiàn)學(xué)CTI到底是什么。

不過，情報(bào)可不是什么業(yè)余愛好，不是能夠輕易轉(zhuǎn)入的網(wǎng)絡(luò)安全子領(lǐng)域。但被選中的人嘗試轉(zhuǎn)入，而他們組建的團(tuán)隊(duì)通常也就非常類似他們自己了。最終，企業(yè)得到的團(tuán)隊(duì)只是頂著CTI頭銜的SOC分析師和事件響應(yīng)人員；他們不生產(chǎn)情報(bào)，因?yàn)樗麄兙筒皇乔閳?bào)專業(yè)人員。這就是優(yōu)秀人才放錯位置，再怎么努力也不太可能成功的典型案例。

最后，團(tuán)隊(duì)未能推動安全部門的主動化轉(zhuǎn)型，沒有實(shí)現(xiàn)可衡量的目標(biāo)，所有人更新一番自己的簡歷，重回自己專業(yè)領(lǐng)域?qū)ふ倚鹿ぷ鳌＿€有更糟糕的情況：這些人以CTI分析師的身份進(jìn)入網(wǎng)絡(luò)安全人才市場，因?yàn)槭袌錾螩TI分析師稀缺，而他們的簡歷上如今已經(jīng)有了金光閃閃的CTI分析師“頭銜”。

盡管努力應(yīng)付客戶的情報(bào)需求（雖然客戶壓根兒對情報(bào)捕捉毫無概念），供應(yīng)商通常仍然承擔(dān)了未能打造有效網(wǎng)絡(luò)情報(bào)項(xiàng)目的責(zé)任。所以，一大批供應(yīng)商樂于利用對競爭失敗的認(rèn)知，成為此類轉(zhuǎn)型的資助者。但是，只要人才策略不改變，結(jié)果不會有太大改善。

不算常見但依然錯誤的做法

組建情報(bào)團(tuán)隊(duì)的另一方式是從情報(bào)界（IC）和司法機(jī)構(gòu)招募人才。這么做的理由是政府網(wǎng)羅了大量優(yōu)秀人才，這些人不僅有經(jīng)驗(yàn)，還具備很高的可信度。由具備百年情報(bào)經(jīng)驗(yàn)的三個字母機(jī)構(gòu)（如FBI、CIA、NSA、DHS、MI6）出身的人才組成的團(tuán)隊(duì)，誰不驚艷？這么想完全沒問題。但真這么做就面臨兩個重大挑戰(zhàn)：

1. 文化沖突：整個職業(yè)生涯都在政府中度過的人可能已經(jīng)體制化了。面對完全不同的一套目標(biāo)、期望值、預(yù)算計(jì)劃、日程表和社會準(zhǔn)則，他們可能會適應(yīng)不良。

2. 驗(yàn)證：情報(bào)界出身的太多人都自帶難以驗(yàn)證的輝煌履歷。知道大多不會真去核驗(yàn)，一句“這是機(jī)密”就打發(fā)過去了。千萬不要招募不愿意或沒辦法驗(yàn)證自身資歷的人。

完全依賴情報(bào)或司法界人才的團(tuán)隊(duì)還很有可能難以發(fā)展足夠的思維多樣性、靈活性和適應(yīng)性。這種“團(tuán)體思維”會導(dǎo)致總體確認(rèn)偏差，造成回音室效應(yīng)，最終走向不準(zhǔn)確的結(jié)論。

罕見的最佳做法

網(wǎng)絡(luò)情報(bào)團(tuán)隊(duì)最罕見的組建方式，是從一開始就指定富有傳統(tǒng)情報(bào)經(jīng)驗(yàn)和網(wǎng)絡(luò)安全實(shí)用知識的主管。這并不意味著尋找具備幾十年情報(bào)經(jīng)驗(yàn)和CISSP認(rèn)證的“獨(dú)角獸”，而是要去找擁有下列特質(zhì)的人才：

• 對分析技術(shù)和標(biāo)準(zhǔn)有廣泛的了解。
• 能夠領(lǐng)會企業(yè)的戰(zhàn)術(shù)、操作和策略情報(bào)需求。
• 可以利用人才、工具和權(quán)限，及時(shí)為人和機(jī)器提供明智決策所需的準(zhǔn)確重要情報(bào)。
• 能夠與下至基層分析師上至首席級高管或董事會的各層級人士有效溝通。
• 可以創(chuàng)建和闡述情報(bào)項(xiàng)目構(gòu)建策略，推動企業(yè)安全狀態(tài)從反應(yīng)式邁向主動式。
• 能夠用高管的語言方式敘述風(fēng)險(xiǎn)和價(jià)值。

主管指定之后，理想的團(tuán)隊(duì)成員可以出身不同背景，包括傳統(tǒng)情報(bào)、司法、網(wǎng)絡(luò)安全、數(shù)據(jù)科學(xué)和新聞專業(yè)。

背景的多樣性能夠營造產(chǎn)出準(zhǔn)確評估和結(jié)論的環(huán)境，超越視角有限的單一背景團(tuán)隊(duì)。

例如，深入了解某個威脅團(tuán)伙的時(shí)候，能夠從網(wǎng)絡(luò)安全專家（戰(zhàn)術(shù)、技術(shù)和程序（TTP））、傳統(tǒng)情報(bào)或司法分析師（動機(jī)和可能的下一步動作），以及數(shù)據(jù)科學(xué)家（大數(shù)據(jù)趨勢）的視角看待威脅，往往可以形成很全面的威脅描述，這是只能從單一角度看問題的團(tuán)隊(duì)所達(dá)不到的。新聞界人士則通常善于研究和敘事，這是情報(bào)領(lǐng)域的重要組成部分，卻常常被忽視掉了。

由于情報(bào)最終落實(shí)到溝通上，只有被理解和接受了才有價(jià)值。千萬別低估能以枯燥難懂的材料博得并保持讀者注意力的重要性。

構(gòu)建背景多樣化的團(tuán)隊(duì)還有個隱藏優(yōu)勢：不同背景方便觸及更多受眾。畢竟，情報(bào)最終就是個服務(wù)。想要成功傳達(dá)情報(bào)的重要性，就得首先建立起關(guān)系，要聯(lián)系，要可靠。而這種可靠度就是通過共同的認(rèn)知建立起來的。

大企業(yè)里情報(bào)的消費(fèi)者名單包括紅隊(duì)、藍(lán)隊(duì)、紫隊(duì)、事件響應(yīng)、物理安全、內(nèi)部人威脅、品牌保護(hù)、治理、風(fēng)險(xiǎn)，以及合規(guī)、管理等等。這些部門未必都用同一種語言方式，所以多樣化的情報(bào)團(tuán)隊(duì)才有與這些不同部門建立關(guān)系所需的人才。如果缺乏這些能夠產(chǎn)生共同認(rèn)知和信任的關(guān)系，即使是組成“完美”的情報(bào)團(tuán)隊(duì)，也會極其難以提供可衡量的安全改善，無法合理化自身存在和成長的必要性。

結(jié)論

無論我們在權(quán)限、工具或先進(jìn)技術(shù)上投入多少，情報(bào)依然是人與人之間的博弈。所以，在構(gòu)建網(wǎng)絡(luò)情報(bào)項(xiàng)目，選擇情報(bào)供應(yīng)商的時(shí)候，千萬別忽視了對合適人才的投資。否則，即使財(cái)大氣粗的企業(yè)也會發(fā)現(xiàn)自己陷入不停更換人員和供應(yīng)商的泥潭，每次都是看似有進(jìn)展，實(shí)際上卻壓根兒達(dá)不到想要的網(wǎng)絡(luò)安全目標(biāo)。

來源：數(shù)世咨詢