建立情报驱动的网络安全机制

ID：Computer-network

与情报小组合作可以成为许多安全运营计划的游戏改变者。但是，需要建立一种机制，让每个人都处在同一个页面上，无论是情报团队还是客户支持团队。一个结构化的情报计划将提供一个强大的情报支援能力，并非为了建设而建设，避免许多相关团队的能力被抛在一边弃之不用。下面将介绍在企业中建立情报团队或职能时要考虑的各种要素。

一、准备

在开始制定一个情报计划之前，这里有一些基本的问题要问，这需要投入资金、时间和精力。

企业中是否有安全功能？

这似乎是一个简单的问题。但令人惊讶的是，有多少企业开始考虑通过一个人的安全团队甚至一个负责IT操作和安全的单一团队开发威胁情报功能。虽然情报驱动的方法可能会使那些负责防止所有事情发生的“穷人”受益，但是情报部门将把预算从其他以安全为重点的人员和工具中解放出来，这意味着情报小组可能会成为安全小组，而不是专注于情报工作。

有网络可视性吗？

情报项目依赖于内部和外部的信息获取，内部是进行情报分析所需的最重要信息。当没有这些内容时，无论是因为技术限制、隐私还是法律问题，情报小组的有效性都是有限的。如果可视性是一个技术问题，最好的办法是在建立情报项目之前把重点放在获得可视性上。如果存在法律或隐私问题，最好与法律顾问讨论这些问题，以确定可以做什么以及情报项目是否合适。有时，情报可以帮助克服企业这些类型的障碍，包括提供对外部威胁的补充洞察，以弥补缺乏可视性，但这些情况是例外的而不是规则。

是否有多个团队或功能能够支撑？

正如我们所提到的，情报可以被认为是把多种功能结合在一起的粘合剂。从事件响应中获得的情报可以帮助预防和检测，协助处理漏洞管理和安全架构，并为战略计划提供信息。对于一个人来说，这是很多工作。当一个企业需要开展多个方面的情报工作时，这是一个好兆头，是时候与多个团队成员一起建立一个情报计划了。如果计划是为了支持单一方面的情报，例如主要支持事件响应，那么最好从一个团队中的情报角色开始。

有预算空间吗？

这个问题的答案通常是否定的，后面跟着：“但是，如果我们需要它，我们就会使它工作”。这些答案中的任何一个都是一个好兆头，现在不是启动情报计划的最佳时机。情报几乎总是一个成本中心，而不是一个利润中心，这意味着它不会产生额外的收入来维持其运作。获得适当的资金水平可能是困难的。情报项目不需要成为预算破坏者，但是一个几乎总是高价值的项目就是人员。如果你只是在开发一个程序，找到合适的人员是很重要的，无论是在内部还是在外部招聘，让计划一开始就迈出正确的一步。对这个问题的更好回答是“是的，我们有一定的预算空间，因为它是我们安全计划成熟度的一个重要步骤”。好的，我们知道这样的答案不经常出现，但是如果它发生了，这是一个好兆头，你已经准备好了一个情报计划。

在确定预算范围的最底端是答案：“我们只是受到了可怕的黑客攻击，现在我们必须展示我们正在做的不同的事情，以便它不会再发生。我们得去买买买，买所有能买到的安全产品”。即使对重大安全事件的下意识反应往往伴随着大量的预算，重要的是要知道事件并不是启动情报项目的最佳理由，而且如果关键的先决条件（网络可视性，指导需求和预算）没有得到满足，即使当前看来是一个好机会，可能会在几年后变成关于投资回报率的问题。如果你的企业处于这种状况，请务必采取务实的方法来执行该计划，遵循下面所述的指导原则来确定目标和受众，并确保你掌握有意义的指标，以保证情报计划不会落空，最终导致你的企业从最初的下意识反应到二次事件后进行了预算削减。

在正式确定了情报项目是否是最好的选择之后，还需要在引进和生成产品之前定义该项目的许多其他方面。开发一个新的项目需要大量的工作，以确保它的长期成功。清楚地定义你的计划是很重要的，这样可以确保每个人对你想要创建的东西跟你处在同一平面上。

二、规划情报计划

一个坚定的发展规划包括以下三种类型：概念规划、功能规划和详细规划。

（1）概念规划确定了计划涉及工作范围的框架。利益相关者对概念规划的贡献最大，但是了解情报可以提供给他们的东西是非常重要的，特别是如果他们不熟悉情报工作。

（2）功能规划包括来自利益相关方和情报专业人员的意见，以确定完成目标的要求、预算和人员需求等后勤、约束、依赖关系和任何法律问题。功能规划为那些抽象的概念规划阶段提供结构和现实性。

（3）详细规划由情报小组进行详细分解，最终将决定利益相关者所确定的目标在功能范围内如何得到满足。

规划的所有三个阶段需要确保各方面都能够被充分考虑，无论是预算，还是最终向利益相关方汇报的指标。

1、定义利益相关者

情报团队了解其利益相关者是至关重要的，我们要确保对情报进行的分析及最终的报告对利益相关方而言是有用的和可理解的。应该明确界定这些利益相关者，定义利益相关者应该在概念规划的早期阶段进行，因为利益相关者将为整个过程做出贡献。

以下是一些常见的利益相关者：

情报响应团队

事件响应是一个理想的利益相关者，因为事件响应不仅会从情报运营支持中受益，而且还会向情报团队提供额外的信息，这些信息也将被用于其他功能。

安全运营中心/团队

情报小组可以向SOC提供新出现的威胁信息，无论这些威胁是一般威胁还是针对特定行业的威胁，甚至针对特定企业的威胁。情报还可以提供告警的技术指标、提供告警情况的丰富信息以及帮助优先处理告警的信息。安全运营中心团队还可以向情报小组提供有关未产生事件的企图攻击信息，即使这些信息没有卷入事件响应团队，情报分析师仍然可以从失败的尝试中获得大量的信息。

漏洞管理团队

漏洞管理团队通常处理数百个（甚至数千个）漏洞编号。情报团队可以根据对企业最重大的威胁来帮助优先考虑打补丁。许多供应商将提供有关漏洞的严重程度和影响信息，但还需要进行额外的分析以确定漏洞对特定企业的威胁。一个情报小组的理想位置是协助进行这项分析。情报团队还可以与漏洞管理团队和安全运营团队协同工作，以确保安全团队可以在企业修复的过程中监视针对未修补漏洞的漏洞利用。

首席信息安全官

CISO负责理解和管理企业信息的风险，而情报可以提供帮助理解和管理风险的洞察力。作为利益相关方，CISO可能会有最广泛的情报需求，无论是战术性的还是战略性的。了解CISO对情报项目的期望，以及这些信息与安全运营中的其他团队之间的关系非常重要。

终端用户

终端用户通常是情报的间接利益相关者。通常，情报计划将通过提供最新或不断变化的威胁信息，帮助用户了解这些威胁的影响以及应如何应对，从而为最终用户安全意识培训提供支持。如果用户意识教育是情报计划提供支持的，那么确定哪个团队负责这种关系是很重要的，因为情报团队不可能直接与企业中的每个最终用户进行沟通。

利益相关者确定后，重要的是要记录它们。图1所示的格式是记录利益相关者识别的一个例子。它包括一些基本信息，比如利益相关者的名字、联络点（应该被告知他们对这种关系负责）以及情报计划将向利益相关者提供的简要描述。

图1  利益相关者文档示例

2、定义目标

定义利益相关者后，要确定计划的目标与每个利益相关者的期望。这是一个更深入的过程，涉及讨论利益相关者的需求，以及情报计划如何以具体的方式满足这些需求。这种对话是必要的，因为利益相关者最了解他们所需要的支持类型，情报计划的代表最清楚是否可以实现一个特定的目标。

在设定目标的过程中，你不应该定义如何达到目标，或者使用哪些工具或人员来实现目标。在这个阶段，情报团队可能没有人员配备或者已经获得了工具，定义这些细节会束缚了团队的流程。

3、定义成功标准

定义具体的目标，使用相同的成功定义，让利益相关者和情报团队在同一平面上。在图1中的利益相关者文档模板中，不同的人可能会有不同的支持定义。其中一个定义可能是在事件响应期间提供技术援助。对于某个人来说，这可能会转化为提供技术IOC；但对于其他人，这可能意味着情报团队将进行日志分析以识别异常行为。这些不同的定义彻底改变了支持的性质。一个是外在的，另一个是内在的。这是设定具体目标澄清所提供的支持的一个很好的例子。在这种情况下，虽然提供技术支持是一个总体要求，但目标可以明确说明，这种技术支持可以包括：

（1）识别包括IOC在内的外部情报以协助调查；

（2）根据需要帮助事件响应团队分析日志中的异常行为。

以下是一些可以帮助企业开始对话的关键问题：

利益相关方面临的问题是什么？

情报计划如何帮助解决这些问题？

情报支持对利益相关者的理想结果是什么？

如果有多个结果，他们应该如何优先考虑？

将如何启动情报？它是连续的还是按需提供？

是否有依赖关系？

成功的标准确定之后，这个过程就可以转向识别潜在的取得成功的方法。实现目标的方法往往不止一个，最好的选择往往取决于每个选项所需的资源。

4、确定需求和限制

需求和限制属于规划的功能部分。一旦确定了成功标准并确定了理想的结果，重要的是还要确定完成已列出的任务所需要的事情。这些事情通常分为两个部分：需求——实现目标所需的东西，以及约束——阻碍完成目标的能力因素。确定需求和限制的一种方法是对问题进行一次遍历或桌面演练，采取不同的方式拟定可能的解决方案逐步解决问题。这个练习的目的不是为了解决问题，而是为了确定实现目标（需求）所需要的东西，以及确定需要解决的潜在问题（约束）。这些问题应该记录相应的潜在解决方案，结果可以用来确定最佳的行动方针。这个记录应该是高层级的，不应该把重点放在需求的具体细节上。例如，潜在的流程可能会确定需要一个自动化解决方案来提供所需规模的结果，但是在当前阶段，确定该解决方案是什么并不重要，只是将其确定为需求。应该在利益相关方文件中增加成功的标准、需求和约束条件，以继续全面了解情报计划，如图2所示。

图2  进阶利益相关者文件

考虑得更长远

这个行业里的一些人，包括我们自己，经常会自我感觉良好。无论是出于为使命奉献而自豪，还是坚信一个人能每晚睡不到四个小时地运作，我们有时会承担不应该做的任务。即使我们发现存在一些尚未解决的制约因素，我们仍然义无反顾。

尽管存在明显的制约因素，也值得尝试有吸引力的任务，但请务必考虑该决定的长期影响以及是否可持续。确定事情是否可以做，以确保充分了解这些限制，即使它们不能立即被解决，但能够在未来得到持续的关注。有时候对一个资源不完整的任务说“是”是必要的，也是恰当的，但是这个任务应该不会对未来几年的运营产生负面影响。

5、定义度量

好的度量标准可以讲述一个故事，当他们讲述一个关于利益相关者关心的事情时，他们是最好的。许多情报计划开始运作时，没有考虑如何定期向利益相关者传达进展情况，结果没有采用定量方式而是采用了定性方式。计划的准备阶段是确定将要收集和报告的指标的最佳时间。这个活动属于详细的计划阶段，但是它在很大程度上依赖于概念和功能计划阶段。

度量标准应直接说明利益相关者在规划过程中确定的概念性问题。当你开始定义你的情报计划时，应该问的首要问题之一是利益相关方的观念差距或需求是需要情报支持来实现的吗？我们可能无法确定最初准确的度量标准，但如果能识别什么是成功的情报以及如何衡量它们，也有助于制定计划来报告进展情况。如果利益相关者有具体的结果，他们希望被通知，这些可以在开始时加入到这个过程中，功能计划可以确保所需的资源被识别并考虑进去。如果团队等到一年或更长时间才能确定项目是否达到目标，他们可能不仅缺乏数据展示成果，而且也忽略了情报计划成功的定义。

不同的利益相关者会有不同的目标，因此会有不同的成功定义，这将通过不同的指标来展示。捕获有意义的信息以及如何衡量每个利益相关者，将使情报团队更容易保持专注于手头的任务，并随着计划的推进而逐步成功。

三、利益相关者档案

有些人可能会认为有同事的档案在旁边有些奇怪，但是我们是情报专业人员，这正是我们所做的。利益相关者档案对于情报计划来说是非常有价值的，因为他们确保情报分析人员能够在整个工作中专注于利益相关者的个人具体需求。了解你的情报客户是在适当的时间以正确的方式向他们提供正确信息的关键，因为他们能够最好地接收和处理信息。

利益相关者档案可以为一组利益相关者而开发，例如SOC分析师或威胁狩猎团队，但最好的方法是为利益相关者群体内的单个联系人开发角色。维护一个人的角色意味着角色改变或新角色出现时，角色必须更新。为个人建立一个档案是非常重要的，因为这个人对于情报团队和利益相关者团队之间的关系负责，并且对于支持关系的进展将会非常重视。不同的人可能会有不同的方式与情报团队互动，并有不同的喜好来接收和分享信息。情报部门对他们支持的角色了解得越多越好，他们通过情报工作能够提供更好的价值。

在为小组或个人开发档案时，需要考虑几个重要的事情。对于个人来说，捕捉特定个人的信息是很重要的，例如背景、他们热衷的事物、他们与周边角色相关的触发因素以及他们通常的操作方式。

利益相关者档案类似于为传播而开发的人物档案。事实上，类似的模板只需通过一些小的调整就可以使用，例如情报团队和利益相关者之间的交互关系。

四、战术用例

用例（use case）是程序开发的主要部分，情报计划也不例外。如果你有幸在一个已经确定和记录情报用例的企业中工作，那么你就是领先于这个游戏的，因为这是很多团队的努力方向。由于用例是直观的，没有太多的文档也很容易理解，写一些东西是很好的做法，以确保每个人都处在同一平面上，并为新的团队成员提供具体的参考。

战术用例涉及每天都有用的情报。这种情报将会迅速变化，但也可能是安全方案中最直接适用的情报。下面将介绍一些情报小组最常见的战术用例。

1、SOC支持

SOC支持是情报计划的主要客户之一。在SOC支持范围内有三个主要和独特的用例：

告警和签名开发

情报分析人员提供内部和外部的情报来生成安全告警的规则或签名。根据程序要求，这可能涉及搜索情报来生成签名并与SOC共享，或基于情报创建告警或规则。

诊断

情报为SOC分析人员提供了上下文，以协助对产生的告警进行分类和优先级排序。情报可以帮助SOC理解告警的重要性，然后可以根据告警的严重性和影响进行分类。情报还可以告诉分析人员应该采取的步骤，通过提供比较真实的肯定和误报或通过提供二级指标来寻找告警是否是假阳性。诊断情报通常也包括提供处理指导以便分析人员能根据操作指导去响应威胁。

态势感知

情报可以为SOC分析人员提供态势感知，帮助他们理解对其企业的新兴威胁或重大威胁，这两者都可以帮助生成告警规则并对这些告警进行分类。虽然SOC分析师往往更关注于威胁情报的战术性日常应用，但仍能从战略上了解其企业所面临的威胁。提供态势感知可能涉及每日或每周的情况，或者当重大威胁需要更多信息时。战术并不总是意味着被动，情报可以为SOC提供态势感知，帮助他们理解和防止威胁影响其网络。

2、指标管理

情报的另一个战术层面的用例是指标管理。我们已经触及了多个地方的指标，一般原则是指标被正确生成、执行和维护时可以成为有用的情报工具。指标主要用于规则生成、威胁检测和信息共享。他们也可以用于运营和战略层面的分析，以帮助创建一个威胁的整体形象。管理指标并不是一件小事。维持的指标越多，难度就越大。这里涵盖了指标管理的几个方面，包括威胁情报管理平台，识别和记录战术指标的情况，以及整合威胁情报信息：

威胁情报管理平台

在许多情况下，情报团队负责威胁情报管理平台，有时称为TIP。通常由用于存储指标的数据库和一个用户界面组成的。用户界面展示了指标上下文内容以及指标间的关系。威胁情报平台应该是可查询的以便协助分析，而且许多平台还提供了将指标输出到其他安全设备的方法。

威胁情报平台使得管理指标变得更加简单，但重要的是要明确为什么要存储指标。这种理解不仅可以确保你正确地管理它们，而且确保团队不会陷入收集指标的陷阱中，我们的目标不是尽可能多地收集指标，收藏是好事，但囤积不是。

更新指标

指标不是静态的。与大多数基于网络的指标一样，它们可能在一段时间内是恶意的，然后消失或变得良性。或者就像许多基于主机的指标一样，即使周围的环境已发生变化，但它们仍然是恶意的。在很多情况下，原来与一个攻击或组织相关的恶意软件被不同的参与者采用，或者在新的活动中使用。跟踪这些信息，并将新的用途或策略与现有的指标联系起来，同时清除或去除不再有效的指标，将确保为战术使用提供可靠的，高可信度的指标。一定要记住，应该使用这些指标，它们不应该只存放在一个经过精心设计和维护的仓库中。

第三方情报和来源管理

威胁源和第三方情报是指标的另一个来源，必须由情报小组来管理，以确保对企业有用。在很多情况下，这些来源被送入威胁情报平台。但是，在某些情况下，它们直接绑定到安全事件和事件管理（SIEM）系统等安全系统中。在大多数情况下，直接馈送并不理想，因为可能很难知道自动馈送中共享的信息。然而，这种做法在现实中非常普遍，许多企业认为威胁源是威胁情报的基石。必须认真审查和应用来自外部来源的威胁情报，一个比较好的方法是使用第三方情报和来源，它们可以提供内部产生指标的上下文信息，可以用来维护和更新现有的指标和规则。了解这些威胁源的来源非常重要，以便你可以轻松识别如何使用这些信息。来自蜜罐的第三方情报在不同情况下比来自社区的事件响应数据信息更有用。

五、运营用例

情报计划的运营案例着重于了解攻击的活动和趋势，无论是针对你的企业还是针对与你类似的其他企业。如果我们越早将一系列的入侵绑定在一起分析确定一个活动，那么我们阻止攻击者成功实现目标的可能性就越大。

战役跟踪

战役是一系列支持共同目标或目标的行动或攻击。第二次世界大战中的跳岛战役是这个概念的一个很好的例证。美国想打败日本，因此需要陆地来攻击日本大陆。这次跳岛战役是针对那些防卫不力的太平洋岛屿的一系列袭击事件。一个岛屿被占领后，军方将建立起落跑道并加强防御，然后利用新建立的基地进一步发动攻击，以获得战略优势。尽管他们可能动用了不同的军队来进行攻击，或者采取了基于地形和防御工事的各种战术，但是战役的目标是一致的，所采取的各种行动都是为了达到同样的目标。

这是许多对手操作的方式：他们脑海中有一个目标或对象，但实现它并不总是像直接攻击目标一样简单。通常涉及许多步骤，而且许多企业可能会被同一个黑客组织盯上，或者攻击者可能长期对一个或两个企业进行一连串的攻击。这一切都取决于战役的目标，所以在进行战役跟踪时，理解目标将比仅跟踪各种离散指标提供更多的洞察力。战役跟踪具有多个方面，包括识别活动目标，识别正在使用的工具和策略以及对活动做出响应。下面深入了解这些方面：

确定战役的重点

许多战役都聚焦在特定的行业，识别和理解针对行业内其他企业的战役可能会给你的企业提前发出警示，黑客组织可能在不久的将来会盯上你，并可能需要进行威胁搜索。识别被黑客组织针对的行业涉及基于行业的共享社区，如ISAC、商业情报或开源情报。

识别工具和战术

一旦确定了一个黑客活动或怀疑攻击是一个更大行动的一部分，下一步（确定行动的目标或意图之后）是确定使用的工具和策略，以便用于预防和检测。与正在进行的黑客活动相关联的，基于网络的指标通常可用于监视威胁。但是，请记住它们不会永远是恶意的，它们的有效性最终会过期。攻击者的战术和行为是更好的关注重点，如果你有能力监视它们。

响应支持

不仅要了解哪些黑客活动是活跃的，而且还要知道在企业中发现入侵之后应该做什么，无论成功还是失败。活动报告通常提供有关攻击背后的威胁参与者企业的信息，包括战术和工具，有时甚至包括参与者在被发现或失去访问网络时如何回应。所有这些信息都可以支持SOC运营以及必要时的事件响应，并且可以用于向CISO或其他管理人员提供更新和态势感知。

六、战略用例

战略情报在情报计划中应该总占有一席之地，不管这部分的比例有多小。战略情报使企业能够从以前的事件中真正学习，并开始改变长期的、大规模的常规做法和策略，以应对那些经验教训。要做到最有效，战略用例需要得到行政领导层的支持，因为需要在战略情报中采取的许多行动都需要在行政层面进行。战略情报对于提供态势感知是很有用的，但是如果不涉及正确的利益相关方，情况就不会那么有效。战略用例主要是架构支持和风险评估。

1、架构支持

战略情报不仅可以提供有关企业应对入侵或攻击方式的信息，而且还可以帮助企业以正确的姿势最小化攻击面并更好地检测这些攻击。这些信息主要基于两件事：内部事件响应信息和黑客活动分析。使用这两个主要来源，可以做一些事来有效地保护网络：

提高防御性

情报团队可以与IT和安全运营部门合作，通过了解对手过去是如何攻击或企图攻击网络来提高网络的防御能力。虽然攻击者很聪明，但是他们经常会重复同样的战术。如果网络设计或配置的方式提供了一个简单的攻击向量，他们将继续使用该向量，直到他们成功或失去攻击机会。识别这些策略有助于识别攻击者的下一个逻辑行动，并且有助于构建网络防御以防止这些威胁。

聚焦威胁防御

网络将始终存在漏洞，它是人类创建操作系统和程序的一部分。我们并不是对所有的漏洞都一视同仁，有些漏洞值得我们重点关注。基于威胁的方法可以帮助确定哪些漏洞需要关注，除了补丁管理之外，情报还可以通过深入了解潜在网络体系结构变化带来的威胁来支持更高级别的漏洞管理。例如，如果一个企业正在讨论BYOD策略，或计划将智能电视引入企业的所有会议室，情报可以帮助识别对这些设备的威胁，并在策略推行之前提出建议。

2、风险评估/战略态势感知

CISO的主要角色之一是了解和管理企业的信息风险。了解威胁是风险评估的重要组成部分，情报可以提供企业面临的威胁信息。以下是支持风险评估和战略态势感知的一些关键步骤：

识别风险何时发生变化

风险不会保持不变，外部和内部因素可能会改变企业的风险水平。情报团队通过与企业内的多个利益相关者合作，可以在企业风险发生变化时向CISO提供信息。

识别规避措施

情报支持风险管理的另一个方面是确定降低风险的规避措施。通常，安全专业人员认为，如果存在重大威胁，企业将不会接受风险。但最终许多企业都有业务在运行，必须找到降低风险的方法，以便业务能够继续运作下去。关闭运营或停止部署新程序虽然可以提高效率但不是最好的选择。规避措施对业务连续性非常重要。这些缓解措施可以是多种形式的，而情报团队可以帮助CISO确定能采取什么措施将风险降低到可接受的水平。

企业很少会将所有的注意力集中在一个情报层面上，无论是战略性的、战术的还是操作级别的。大多数企业都有一个多层次的计划。在情报层面之间移动也需要计划和考虑。

七、从战略到战术还是从战术到战略

你可以通过两种方式组织一个多级情报计划：情报可以采用自上而下的方式（战略到战术），也可以采用自下而上的方式（从战术到战略）。自上而下的方式是指，上层战略情报指导政策和战略，并确定团队应该关注什么战术层面的指标，以及如何在日常运营中使用这些指标。自下而上的情报方式则把重点放在战术行动上，把重要的信息推到战略层面。基于所涉及的利益相关者和企业的需求，这两种方式都有优点和缺点。

自上而下的计划是传统军事计划的标准方法。在军事行动中，计划是指挥官的主要职责。指挥官有责任了解总体目标，持续行动的重要性以及部队的状态和部署。在领导层清楚了解他们想要完成的任务以及情报如何支持这些计划的情况下，你期望看到更多自上而下的方式。战略情报支持对于自上而下的方式来说非常重要，因为它可以使领导者掌握最新的威胁情况，并将这些情况整合到如何保护网络安全的总体视角当中。

许多企业没有强有力的战略情报功能来提供总体指导，但仍然相信情报支持运营的价值。在这些情况下，自下而上或战术到战略的方式可能效果最好。运营的重点是战术层面，比如支持SOC或事件响应小组，情报小组把他们认为重要的信息或趋势推向管理层。自下而上的方式并不能保证领导层能够按照预期对信息做出反应，即使事情在战术层面平稳运行，高层也总会存在一定程度的不确定性。自下而上的计划可能难以实施，除非领导层的战略层面已经纳入了这个概念，如果只是简单地决定，运营最好留在战术层面。

关键信息需求

决定一个企业是采用自上而下或自下而上的方式之前，我们需先了解一点：高管的关键信息需求。关键信息包括领导层所确定的他们需要尽快知道的事，它通常包括诸如成功入侵导致受保护信息丢失，黑客入侵了关键的网络位置，合作伙伴发生网络入侵或内部违规等信息。另一些信息需求将以合规为基础，另一些将由业务需求驱动，但无论如何，重要的是要了解主管人员希望知道的以上这些情况的优先顺序和时间要求。

八、雇用一个情报团队

经过艰苦的努力，我们确定了情报计划的利益相关方，确定了目标，也确定了需求。现在是时候去找那些能做这项工作的人了。根据预算和需求，这意味着需要雇用一个人或一个团队，但重要的是根据规划过程中确定的所有目标找到合适的人员。技能组合和经验水平会根据主要利益相关者和目标而有所不同，但是在组建情报团队时，几乎都有一个关键原则：多样性。

经验和背景的多样性对于培养能够解决各种问题的全面团队非常重要，不同的技能可以加强整个团队的总体实力。根据利益相关者的需求，情报小组可以包括具有文化、地缘政治甚至语言知识的情报专业人员。它还可以包括具有商业情报背景或企业运营知识的人员，还可能包括事件处理专家、渗透测试人员、程序员和工具开发人员以及管理人员。对于这样一个潜在的多样化情报团队而言，聘用成员是制定情报计划过程中的最后一步，但在确定利益相关者和目标之前，很难知道正确的团队组成。

九、展示情报计划的价值

一旦该计划实施并开始运作，不可避免地要证明计划的价值。如果计划得到妥善规划并分配了资源，那么你应该已经知道什么将会给利益相关方带来价值。每天或每周报告工作统计数据或指标固然很重要，但真正显示价值的是什么才是传达情报方案的影响。该计划如何支持利益相关者？如果没有情报的支持，企业对自己无法掌握的信息能够做什么？基于更好地理解他们所面临的威胁，企业能够承受哪些风险？对情报计划做结果汇报时，务必尽可能明确地回答这些问题。

事与愿违的时候，总结并讨论之前的经验教训也是很重要的。确定什么是有效的，什么是无效的以及为什么是无效的，可以提供信息来帮助我们避免犯同样的错误。情报团队不会总是一次就能把事情做好，从失误中学习是项目成熟的重要部分。

十、结语

从事件响应活动中有选择的支持到一个全面的情报团队是一个很大的跳跃。一旦你的企业看到一个事件响应人员所能提供的价值，主要利益相关者可能会意识到一个专业IR团队的巨大价值。情报是一种粘合剂，它可以把不同层次、不同级别的团队联系在一起，他们可能不是经常直接合作，但这并不意味着让这些团队相互支持没有太多的好处，而情报计划可以促成这些互动。

迈向规范化的情报计划，尤其是那些经过适当规划和资源化的情报计划，可以帮助企业继续建立以情报为导向的事件响应基础与流程，并进一步推进以情报为导向的网络安全。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】