对威胁情报行业现状的反思
2024-11-5 20:7:0 Author: mp.weixin.qq.com(查看原文) 阅读量:8 收藏

引言

离上一次聊威胁情报行业现状(国内威胁情报行业的五大“悲哀”已经过去一年多了,中间本来是要多发几篇文章,但遇到了一些来自同行的阻力。。。今天借资深威胁情报专家Juan在2024年的LABScon大会上的演讲,再聊一聊威胁情报。

一、行业的意义危机


1. 虚空感的蔓延

当前,威胁情报行业正面临着一场静默的危机。许多资深分析师和研究人员开始质疑自己工作的意义:发布的威胁情报报告有多少人在读?编写的YARA规则是否真的被应用?这种普遍的虚空感不仅影响着个人的工作热情,更反映出整个行业在定位和价值主张上的迷失。

2. 话语权的丧失

更令人担忧的是,作为行业内最聪明的一群人,威胁情报分析师却往往在决策中缺乏话语权。这种"disenfranchisement"(权利剥夺)现象导致了人才的流失和行业创新力的下降。

二、行业发展的结构性问题


1. 研究范围的不断收缩

出于商业和政治考虑,威胁情报研究的范围正在不断收缩。不能讨论“友好”的APT活动、不能批评云服务提供商、不能涉及政府行为......这些限制严重影响了威胁情报的客观性和完整性。

2. 行业整合的负面效应

大公司通过并购整合行业资源的做法,往往导致优秀的工具和团队逐渐消失。正如演讲者所说:"RIP Passive Total",这种情况不断上演,而新出现的工具并不能完全填补原有工具留下的空白。

三、重塑行业价值的路径


1. 回归情报分析的本质

威胁情报本质上是情报分析工作的一部分,需要:

  • 保持观察的广度和深度

  • 运用竞争性分析方法

  • 基于数据做出可分解的结论

  • 提供切实可行的建议


2. 重新定义信息安全的价值

一个关键的观点是:"保护资产的成本不能超过资产本身的价值。"这要求我们必须准确评估信息的价值,使威胁情报工作不再被视为可有可无的外部成本。

3. 建立行业的学术体系

威胁情报行业需要建立自己的:

  • 学术期刊

  • 方法论讨论平台

  • 工具开发交流机制

  • 同行评议体系


四、对未来的建议


1. 对威胁情报团队

  • 突破传统的技术边界,开展跨学科研究

  • 主动展示团队的业务价值

  • 适度公开成功案例,避免过度保密


2. 对相关方的建议

  • 媒体:应该对虚假营销进行有力监督

  • 政府:改善信息共享机制,支持私营部门的研究工作

  • 风投:关注解决实际技术问题的公司,而不是盲目追逐热点

五、对整个网络安全行业的启示

事实上,威胁情报行业面临的困境在某种程度上折射出了整个网络安全行业的现状。我们看到太多公司热衷于推销"AI驱动的下一代安全解决方案",却很少有人真正关注安全的本质问题;大量厂商在RSA等安全大会上兜售概念产品,但面对真实的安全威胁时却显得力不从心;安全团队被要求部署越来越多的工具,但安全事件却并没有实质性减少。这种"形式大于内容"的怪圈,导致整个行业陷入了一种诡异的繁荣:投资持续增加,但效果却越来越难以衡量;人才需求旺盛,但真正的专业能力却在稀释。
就像威胁情报行业需要回归到情报分析的本质一样,整个网络安全行业也需要回归到"安全"的本质。我们需要重新思考:什么是真正的安全价值?如何平衡安全投入与业务发展?如何构建真正有效的安全体系?只有解决了这些根本性问题,才能打破目前的困局,实现行业的良性发展。


结语

威胁情报行业正站在十字路口。如何在保持专业性的同时提升其在企业和社会中的影响力,如何平衡商业利益与公共价值,这些都是行业必须面对的挑战。正如演讲者所说,威胁情报工作应该成为"reality checking as a service"(现实检验服务),这既是对行业价值的重新定义,也是对未来发展方向的指引。

在信息安全威胁日益复杂的今天,重塑威胁情报行业的价值,不仅关系到行业本身的发展,更关系到整个数字社会的安全。这需要行业内外所有利益相关者的共同努力。

关于西方APT的问题
    “Ivan坦言,我们其实隐约知道西方APT组织的活动,但始终缺乏确凿的证据,因为这些组织已经将目标转移到了路由器、网络设备、打印机、电信网络等难以监测的领域。如果他们需要在终端设备上采取行动,也可以就地取材或使用内存中的脚本,根本无需再开发复杂的模块化平台。

推荐阅读

闲谈

  1. 中国网络安全行业出了什么问题?

  2. 国内威胁情报行业的五大“悲哀”

  3. 安全产品的终局

  4. 老板,安全不是成本部门!!!


威胁情报

1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链

APT

  1. XZ计划中的后门手法 - “NOBUS”

  2. 十个常见的归因偏见(上)

  3. 抓APT的一点故事

  4. 揭秘三角行动(Operation Triangulation)一

  5. 闲话APT报告生产与消费

  6. 一名TAO黑客的网络安全之旅

  7. NSA TAO负责人警告私营部门不要搞“黑回去”

  8. 我们为什么没有抓到高端APT领导者的荷兰AIVD

  9. 抓NSA特种木马的方法


入侵分析与红队攻防

  1. 入侵分析与痛苦金字塔

  2. 资深红队专家谈EDR的工作原理与规避

  3. TTP威胁情报驱动威胁狩猎


天御智库

  1. 独家研判:五眼情报机构黑客纷纷浮出水面

  2. 美军前出狩猎并不孤单,美国网络外交局优先事项分析

  3. 《国际关系中的网络冲突》


文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247486063&idx=1&sn=11e005a726ced95e872e2ce7fb228ba2&chksm=fb04c907cc734011310b2cc58a4a6f1ac764ece04c7d7ca9f3e93f0849f92c5e891b32e4c58f&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh