隨著全球經濟的波動和不確定性增加，網絡安全預算削減無處不在。根據研究機構SANS最近發布的《不確定時期的威脅搜尋》報告，11%的企業組織威脅搜尋和情報計劃受到疫情的影響，12%的企業組織完全停止了他們的威脅搜尋計劃。

　　隨著勒索軟件攻擊的增加以及商業電子郵件泄露（BEC）詐騙的日益猖獗，安全預算縮減對于企業安全團隊來說無異于雪上加霜。

　　對于缺錢少人的安全團隊來說，“巧婦難為無米之炊”并不是放棄威脅情報工作的理由，因為威脅情報正在成為幾乎所有網絡安全堆棧技術的關鍵動力。以下，我們整理了業界專家的一系列建議，幫助那些缺少安全預算的企業組織，以20%的預算投入達成80%的威脅情報工作。

　　用好開源情報資源

　　目前，安全廠商的產品能力和開源社區項目的成熟度都在增長。如果將免費和開放的開源技術與分析師或研究人員的專業能力相結合，企業組織威脅情報團隊就有了低成本的可行替代方案。

　　利用開源資源必須強調可行，因為有許多免費和開源工具不那么容易使用或集成度較差，可能需要團隊中有更熟練的成員專門開發一些“運營膠水”。考慮到這一點，如果企業組織需要在有限預算下開展威脅情報工作，可遵守以下幾條準則：

　　1、將資源短缺的問題與領導層充分說明并達成共識。確保高層領導意識到企業工具會帶來更高效的分析，并且需要投入人力來彌補某些軟件即服務 （SaaS） 安全產品和惡意軟件沙箱的功能缺陷。

　　2、制定和落實更精細的安全工作計劃。圍繞威脅情報生命周期檢查企業組織的目標，并確定實現目標所需的工具和數據。

　　3、充分利用企業內部資源，獲取威脅情報數據。如果企業沒有外部商業情報源，可以從自己的端點獲取威脅情報數據，并反饋到在內部運行的威脅情報分析工具中。

　　優化安全團隊的能力構成

　　企業組織威脅情報團隊通常由不同背景的人組成。團隊所需的技能包括網絡基礎知識、記者的研究和寫作方法、程序員的自動化技能以及惡意軟件分析師的逆向工程技能等。在企業組織威脅情報團隊中很少有人能夠完成上述所有工作，因此在具體分工時，要考慮每個團隊成員的優勢。

　　在所有工作中，最難的是運營企業組織知識管理系統，即威脅情報平臺 （TIP）。企業組織在一定程度上可以擺脫電子表格，但最終還是會有太多數據需要管理并需要專用工具。例如，在使用像MISP、Hive或OpenCTI這類包含很多活動組件的開源工具時，企業組織需要一位具有基礎設施管理和運營經驗的團隊成員。

　　如果團隊中沒有擁有這項技能的人，企業可以加入社區MISP實例或其他免費的開放威脅共享平臺，這些平臺往往提供一些關鍵的內容富化功能。對于想要獲得編程和輕量級基礎設施體驗的人來說，開源工具是一個不錯的選擇，因為它們相對容易設置，較難的部分是如何把富化內容/工具關聯到企業的TIP平臺中，這就需要找到合適的人，利用專業技能，使用合適的工具來完成這項工作。

　　目前，有多種方法可以做到這一點，具體取決于工具，像IntelOwl和Cortex這樣的富化工具都可以將功能自動提供給多個開源TIP。不過，在部署這類比較重要的富化工具時，需要注意以下事項：

　　1、企業需要騰出更多人手尋找威脅，而管理基礎設施也很快就會成為一項全職工作，所以請嘗試將工具所有權授予一位分析師，并在對該工具有一定了解的情況下保留兩個備份。

　　2、在開發不屬于這些開源項目領域的其他粘合任務時，請在內部編寫之前嘗試準備預開發解決方案。通常，企業會找到一個足夠好的解決方案，使其快速配置工作流程并節省工程時間。

　　3、企業組織威脅情報團隊可以通過基礎設施管理工具（如Terraform）和配置管理工具（如Ansible）等實現程序編寫部署的自動化。這樣，企業組織就有了標準步驟來維護基礎設施。

　　4、回歸經典。自1970年以來，人們一直在通過命令行快速解析數據，使用小型的一次性C程序可以在幾分鐘內解析TB級數據；許多用來提取入侵指標、解析日志和munges數據的花哨工具都可以用“awk/sed”、“sort”和“uniq”工作流代替；熟練的UNIX管理員知道如何加快數據處理速度等。

　　總體而言，企業組織威脅情報團隊可以通過許多不同的開源工具，獲得接近企業級產品的服務。雖然這項工作會花費一定的人力和時間，尤其是會占用專業分析人員的時間，但在預算有限的情況下，這是保持威脅情報團隊效能的必要成本。