需要看哪些上下文？

论及决定要采用哪些上下文来发现公司面临的威胁和正在经历的攻击，通常可以考虑以下3个选项之一：

1. 让系统自行决定上下文并期待厂商定义的配置和规则能“做正确的事”。

2. 利用你随时间推移而习得的上下文并期待你对自己的环境足够了解——或者至少与攻击者对你环境的了解程度相当。

3. 以一种即时、特定的时尚方式定义你的上下文;努力拉入威胁数据和相应的支持情报;然后祈祷你能保持攻防游戏的领先优势且不陷入警报疲劳之中。

或者，你可以利用安全社区，采用由其他人定义的跨行业、跨剖析的上下文集合来选择并订制上下文。“安全团队需要利用其他公司的经验来切实观察他们自己的IT生活。这是理解真实上下文的极好途径。”汉弗莱斯说。

当涉及到内部人士偷窃数据并将数据发送给竞争对手的问题时，上下文便在于看到你的员工和承包商异常频繁地访问数据。你还有可能捕获到员工将数据共享到公司外部的流量，比如说通过个人电子邮件账户或可移动USB存储器。

最近业绩考核表现不佳的员工可以被打上更加危险的标签。如果第三方厂商多次进行登录尝试并试图访问不必要访问的公司系统，那很有可能该厂商要么在进行恶意活动要么被钓鱼攻击袭击了。

但，不仅仅是人和系统可以提供上下文，文件本身也可以是上下文实体。观察文件的行为同样重要。

文件存放在哪儿？谁访问了它？访问IP地址是多少？文件曾被复制/移动到了哪里？

这些里面的每一个——当连同其他事件和警报一起考察的时候，都能带来额外的上下文，若不考虑这些方面，则有可能留下恶意活动漏网之鱼。比如说，如果一个员工、合作伙伴或客户通常在Windows电脑上使用火狐浏览器登录，而忽然之间换成了在Mac电脑上用Safari登录，那就很可能是问题。

ATM诈骗是现实世界中另一个越来越成为大问题的例子。假设有一个银行客户已经开户20年了，而且大多数时候都以一定的模式跟银行互动。那你就可以从他们的活动中发现异常现象：取款金额、取款地点，使用的银行卡，甚或一天中在不同地点刷卡的次数。

你可以将同样的原则应用在对公司资源的访问和其他用户及系统网络活动的监视上——不仅仅是ATM及和取款活动。

　　以下是一些应用案例：

分配给单一用户的终端从同一位置使用多个用户ID多次登录网络。如果你看到这种情况，有可能是系统已经被攻破了。未加密的纵向数据流量与内部横向数据流量关联了起来——请注意进入你网络并横向移动的网络活动。这一关联的数据流可能就是网络中出现了未授权用户或设备的迹象。利用基于行为的出站流量和点对点流量检测技术监视流量走向及沿该走向的通信频率。关注准入不应该是唯一的方法;你还得假设恶意软件已经存在于你的网络内部而监视出口流量。利用命令和控制检测来识别正在寻求漏出数据的现有攻击。要注意数据渗漏往往不是只通过一次下载就能完成的;会是很长一段时间内一系列小规模下载串联而成。长期活动中发生的是一系列横向移动——基于行为分析而不仅仅是数据包分析。这方面的例子，可以参考经IT/安全认证过的网站被攻击者劫持来用作不会被你的信誉和过滤系统检测到的存储服务。· 越过顶层应用监视来分析正在使用中的应用功能。脸书作为一个整体可能对某些员工而言是可以的，但他们使用脸书聊天/看视频/上传视频的时间和方式又是怎样的呢？都有哪些数据，又有多少数据分别通过这些功能流进流出呢？

　　你该怎样响应？

上下文不仅是攻击检测中不可或缺的部分，也在识别攻击来源、封锁攻击范围和修复攻击影响中起着举足轻重的作用。

“利用综合检测调查、分析和取证，你可以看到4个月前的零日漏洞警报。”安全分析和网络取证公司Niara营销副总裁约翰·达舍说，“然后你可以看你的日志、数据包流和威胁反馈以将特定的设备和人联系起来。你还可以看到是哪个人登录了哪个系统、应用和文档，并借以确定是哪个资源——比如说一份PDF文档，就是危害的源头。”

高级攻击有可能看起来比较可疑却不一定触发警报。但如果有数据向已知不良IP地址流出，你可能会看到该IP地址与那份PDF文档的来源匹配上，然后你就可以采取恰当的行动了。

同时，注意避免陷入警报疲劳也十分重要，大量的警报有可能导致一场调查需要数天或数周才能完成，迫使你错过其他地方正在发生的真正攻击。你得能够将活动与一些上下文联系起来，这样你才能在最佳的时机以最好的方式行动。

“屋漏偏逢连夜雨的事儿并不常见，你的网络运维团队也不是24小时全天候工作的。”汉弗莱斯警告道，“因此，你应该支持最新最主要的防火墙，并发送程序命令暂时阻止恶意流量。你必须在上下文中使用工具，而且要用得智慧，用得自动化。”

　　在上下文中运作威胁情报的价值

很多大公司都将自己定位于全球情报守护者，因为他们拥有成千上万的客户数以万计的节点，而且他们与其他公司共享数据。摄取和消化这些数据，然后依靠仅仅基于签名和规则的解决方案，意味着不断变形的恶意软件可以轻易攻破他们的防线。“这不是运作。”克莱门特里争辩道。

当你计划运作你的威胁情报项目的时候，要记得威胁情报的价值体现在数据来源和数据反馈进的程序上。一个好的分析引擎如果反馈进的都是不好的数据，那还不如一个像样的分析引擎辅以可靠相关的情报来得更好。上下文应建立在你能看到的其他变量上——安全分析要求的不仅仅是纯粹的安全数据。

接下这个挑战，你将很可能需要发现受过大数据和安全分析培训的安全专家并与之合作。同样地，要确保找出可以提供内部和第三方供应商风险管理以及安全应急响应的专门知识的解决方案提供商和安全厂商。在整条供应链上下尽可能多地阻止攻击是非常关键的，但当攻击成功了，控制损失和立即将你的网络基础设施恢复到正常运行和一个完全安全的状态也是同等重要的。

(责任编辑：安博涛)