我对“威胁情报”的一些看法

什么是“威胁情报”

威胁情报分为如下5个部分:
1

  • 需求:根据业务需要制定合理的安全需求
  • 收集:收集所有需要的数据信息
  • 分析:采用大数据和机器学习的方法对数据进行分析处理
  • 产出:从这些数据中得到有价值的情报
  • 评价:对这些情报做出评价,并制定相应的对策
    目前的主要工作是在第三步上面。而“威胁情报”在公司整个安全团队中的位置,可参考下图:
    2
    这是从宏观上,站在行业的角度看“威胁情报”。

关于理念

最近接触“威胁情报”,在安全领域而言,我相信这是第一次,由于数据的存在,使安全的防守方比攻击方更占优势。有一个口号说的非常精准:聚焦情报威胁,数据驱动安全。在这一点上,我看了360公司的产品,他们确确实实走在了整个业界的前列。还有一个小的创业公司,叫微步在线,他们也是专注于做威胁情报的,这些公司都走在了百度的前面。而百度的理念是:简单可依赖。我是非常认可这个理念的,因此人在百度,又是做威胁情报的,看到别的公司做的这么好,远远做在了我们的前面,深感焦虑和压力。

人是要有使命感的,我要把一个产品做好,做就要做到业界最牛逼。百度有其自身的优势,在数据方面他有一定的优势,但问题在于组与组之间的流通性不足,一个小组致力于做这个小组的任务,而不是从整个大局出发,因而导致时间上的没有最大利用。但我觉得这不是问题,我只是感到时间的紧迫感。

关于技术

我一直在思考作为技术人员,或者作为一家技术型科技公司,如何给自己及公司的技术定位?我觉得最准确的是:技术一定要以业务为导向。不能靠前也不能落后,技术是匹配业务的,一定是业务需要,才去拓展技术。在我看来,任何一家公司,一定是要产生实际的社会价值与影响,并能够产生利润的,因此技术应该服务于业务,而不能本末倒置。
而随着时代的发展,社会越来越需要综合性,并且有自己想法的人才。传统安全人才需要懂一方面或者精通一方面技术即可,而现在随着各行各业及各种数据的交融,对人的综合性要求是越来越高的。
我感受到安全方面,很热门的一块,就是与大数据相结合的安全,它对人提出了如下要求:

  • 既要懂大数据又要懂安全(知识面的广度)
  • 快速学习能力(包括英文文档的阅读能力)
  • 数学水平(对数据本身的优化处理以及理解)
  • 沟通交流能力(PPT与展示,思路清晰)

关于校招

把自己全身心的投入到产品当中,全身心的解决问题,了解行业发展。我觉得这个应该才是王道。不要停止思考,至于校招offer,以及毕业论文,我觉得这应该是顺带解决完成的事情,而不要把后者作为单一的目标。社会往往喜欢有实际价值并且能够解决问题,提出创意的人。而你的创意,包括论文的创新,应该来自于实际工作中的问题,所面临的难点与痛点,这才是真正有价值的。

好好学习,唯一的安全感来自于自身,以及自己所确立的价值观。

更新一


8月9日更新


目前的威胁情报平台是跟业务息息相关的,我们目前与两个部门紧密合作,一个是大搜,另一个是金融和钱包部门,威胁情报相当于是把安全融入到了业务中,紧紧跟随随业务推进的。

我们从其他部门获取数据,数据来源有:移动端(百度钱包的安全SDK数据)、网络端(DNS数据,恶意IP数据,Whois历史记录数据,泛域数据)、恶意邮件数据,这些数据来源之后我们对其进行初步清洗,然后按照标准格式进行入库,入库之后,进行数据分析和处理,再输出到各大业务之中,确保其他业务的安全。

而为了做好“威胁情报”这一件事,需要掌握的相关知识大概整理如下。要学习的知识和掌握的技能:

  1. 知道怎么从别人的数据库中取出数据(懂各种不同数据的操作及大概原理)
  2. 知道怎么预处理这些获取到的数据,并且入我们自己的威胁情报数据库中(基于大数据的操作,Spark平台的编程)
  3. 利用机器学习算法进行分析(会各大机器学习算法及大概原理,熟练使用第三方函数包,MLlib,Sparking Water等)
  4. 将得到的结果输出给其他业务,提供Saas的企业级服务接口给别人(Python或其他编程语言的熟练使用,写接口)
  5. 有一定的安全分析能力及安全基础知识(加密解密,逆向,网络安全OWASP,系统安全等)
  6. 熟练操作Linux系统

可见对相关从业人员的要求之高,然而更重要的,对于创业型企业来考虑(如果拿威胁情报作为创业项目的话),他们更重要的是没有数据来源渠道,因此,这个方向的创业,门槛还是相当高的,小企业不要轻易尝试。但不可否认的是,在安全领域而言,威胁情报确实是未来的一个趋势。

还有一点是,我们在做事情或者写程序的时候,一定要考虑上层的架构。也就是说虽然是做的下层的事,但有时往往上层架构搭的不好,导致下面会非常混乱。因此,一定要从架构师的角度去思考问题。专注于一个领域,做好一件事,这就是本事。


【版权声明】
本文首发于戚名钰的博客,欢迎转载,但是必须保留本文的署名戚名钰(包含链接)。如您有任何商业合作或者授权方面的协商,请给我留言:qimingyu.security@foxmail.com
欢迎关注我的微信公众号:科技锐新

kejiruixin

本文永久链接:http://qimingyu.github.io/2016/06/24/我对威胁情报的一些看法/

坚持原创技术分享,您的支持将鼓励我继续创作!

热评文章