你應該已經注意到，現在越來越多的供應商、研究人員、顧問和其他一些人都發布報告稱他們可以詳細描述信息安全威脅，并聲稱對最新的攻擊、漏洞和利用有獨特的見解。其實這些信息中有很多都很有價值，但是卻很難管理和利用。更重要的是，這些信息也未必適用于你的公司環境。

[[111457]]

信息安全管理可能更多的是管理時間和資源，而不是技術，當遇到網絡安全威脅報告時就是這種情況。本文中，我們講探討如何充分利用海量的威脅報告數據，而不被它淹沒。

威脅越多，威脅報告就越多

越來越多的供應商贊助威脅報告的制作，因為這些報告能給他們的作者提供兩方面的好處：不僅能夠展示網絡安全界的相關威脅，還能為它們的贊助公司提供重要的營銷作用。作為營銷資料，這些報告的形式一般都很容易理解，也很能吸引人，通常是以執行摘要開始，然后是充分的書面分析，然后是充足的圖表和圖形，甚至還有原始數據。

這些報告中的信息有時也可能會很夸張，因為它們畢竟是營銷資料。例如，一個防病毒公司想賣出更多的防病毒軟件，他會利用這個報告來強調目前惡意軟件感染的數量和負面影響。但這并不意味著這些數據無效或者這個報告沒有用，他只是想利用這個數據呈現出來的事實作為背景。所以，非常重要的是，要通過數據樣本的大小以及參與創建它的研究人員的經驗來評估這些威脅報告。

其實，這些報告有一個經常被忽視的特點，就是它們對于終端用戶或執行安全教育非常有用。正如上面提到的，它們最初是作為營銷資料而創建的，所以大多數報告都是固定模式，有著明確的信息。例如，在討論惡意軟件發展趨勢時，我通常會引用賽門鐵克年度“互聯網安全報告”，而在談到如何修補漏洞以及如何運行Web應用程序漏洞測試可以降低數據泄露的情況時，我通常會引用Verizon公司的年度“數據泄露調查報告”。

如何最好地利用互聯網安全威脅報告

管理威脅報告的第一步是要找到一種方法，使它們更可行。我更傾向于從多個來源收集安全威脅信息，并把它們整合成類似Google Reader或Feedly之類的RSS新聞閱讀器。生產這些威脅報告的供應商和顧問通常會給新聞網站發布報告事件，或者通過他們自己的RSS feed來發布。我可以迅速梳理這些信息點，并確定整個報告是否值得深入研究。這就極大降低了我閱讀無關信息的時間，我會在方便的時候閱讀我關心的問題，例如，當我在排隊買東西的時候可以在我的手機或平板電腦上閱讀它們。

要讓這些信息更可行，第二步是要了解這些威脅如何適用于企業必須要保護的技術平臺。每個安全管理人員都應該清楚地知道他們的企業的關鍵信息資產的位置，以及他們正在使用哪種技術平臺。使用這些信息來關注針對你的企業的最重要的信息資產的威脅報告。例如，如果你的組織購買了微軟的產品，那就肯定會優先瀏覽微軟的威脅報告。其它不是關鍵業務的技術報告可以隨后在你的RSS閱讀器中建立。

像Verizon的數據泄露調查報告(DBIR)這種大型、通用的安全研究一般不包含信息安全管理人員需要的及時性的策略建議，但是它們還是非常有用的?？梢岳盟鼈儊砹私膺^去的威脅環境，并驗證以前的信息安全策略。舉個例子來說，前幾年，我通常會根據Verizon的DBIR來改變我的防御策略。

如果遵循這些簡單的指導意見，你會發現，威脅報告對于安全管理人員來說是非常有價值的信息來源。通過一些方法對它們進行分類并確定優先級，可以使這些信息更可行。在選擇威脅報告時，不是一定要選擇最好的，而是要選擇最適合你的技術環境的報告，這對于你的企業來說可能更有用。也可以利用通用的威脅報告來驗證和建立策略，但同時不要忘了它們可以作為培訓資料。這些指導建議應該可以幫助你更有效地找到并利用這些威脅報告中的信息。