上下文在安全漏洞管理中，佔了重要而不可或缺的必要地位。不僅如此，上下文帶來的作用遠遠超出了漏洞管理的範圍，並且實際上在企業IT安全的所有領域（尤其是在安全威脅情報方面，以下簡稱情報資訊為情資）都具有重要的意義。安全威脅情報的核心目的是獲取有效訊息資訊，以有效地保護網路及資訊系統。不論在防護上或安全評估當中，Context Analysis意味著更少的誤報和更多的有效發現。令人遺憾的是，由於大部分安全系統缺乏上下文資訊，使得許多防護工作未能取的應有的優勢。

甚麼是Context上下文

根據牛津辭典的解釋，“Context上下文”的定義就是“構成事件，陳述或想法的發生情境，可以被充分的理解和評估”。從這定義中，可以看到出上下文在安全威脅情報的必要性：就是上下文內容在安全威脅情報中提供了有效的清晰度。而清晰度是在處理安全事件時，可以保持高度操作效率的因素。清晰度可以換個角度理解，就是被越少的雜訊干擾就越清晰。

安全事件的清晰度很少是由單一訊息就可以提供的。相對的，它來自專業人士無數的經驗淬鍊和現有手邊可取得的調查跡證。近來在“威脅情報整合”概念的推動下，使得越來越有一種趨勢；朝向更深入的整合黑名單和其他取證蒐集技術。儘管這些情報數據非常寶貴，但缺乏上下文分析，又沒有適當調整，可能會導致資安管理上效率低下，難以成為有效解決方案。

舉例來說，發佈黑名單的依據是基於以IP情報為準。這些組織捕獲的訊息是大量直接勞力工作下的結果。其中包括檢測威脅，弄清它們在做什麼，確定其來源，確定其造成威脅的作法(行為特徵)以及其他訊息。可惜的是，所有這些工作通常都侷限於單一資訊，例如IP地址或DNS名稱。

對於採用該整合情報資訊，作為其關鍵資安政策判斷的人員而言；如此運作的最後結果是導致分析效率低下。這是由於資安專業人員必須操作各種過濾篩選，與經驗判斷過程，才能有效利用所萃取出的情資；並確保這些訊息與網路、設備裝置上所發現的上下文，具有一定程度相關性。

上下文資訊在資安上的幫助

這些情資整合有很大落差（例如單純以IP為基礎的資訊來源）的現象非常普遍，主要是因為要建立包含上下文，具有情報價值的資訊非常困難。以前發展成熟的安全團隊(例如SOC team)，能夠通過大量的團隊合作，和團隊間訊息共享的模式，利用適當的平台整合，建立上下文有關情資。但由於發展至今，訊息體系結構的複雜性和檢測威脅所需的工作量，正在迅速爆量增加，這樣的運作模式已超過人類可合理管理的上限。

最終結果是，我們需要對收集的資訊進行集中化分析，和自動化處理人工手動的程序。目前的現實是，絕大多數已採用的安全技術或產品，大多集中在針對攻擊行為的特定技術發出警報，而不是針對攻擊的起始來源肇因提出警告，因此將偵測的過程高度自動化可能是非常困難。為了更進一步實現自動化偵測，需要將多種安全事件與情境訊息結合起來，以分析事件的上下文關聯的內涵真相，並據此實施正確的反應行動措施。

採取的反應行動策略，主要取決於組織對特定事件類型安全策略。此外，當此事件訊息集中在日誌管理解決方案，或端點資訊監控系統時，對制定上下文分析及反應策略會很有幫助。

 

建立上下文資訊輔助判斷

例如，如果洩漏防護系統、使用者活動監視的事件中心，在發出特定警報的情況之下，為了確定事件的嚴重性，以及對此事件施以適當反應，必須思考以下問題：

由直接資訊判斷

• 什麼事件發出的警報？
• 事件的來源是什麼？
• 造成警報的流量(通訊協定等)的詳細資訊是什麼？是實際攻擊還是誤報？

而上下文資訊可以進一步提供

• 警報可靠嗎？還是因誤判導致？
• 此事件常見嗎？以前是否將類似事件記為誤報？
• 關於事件訊息來源細節？
• 是否曾經因為與流量相關的原因而將其列入黑名單？
• 是否還有其他事件，可能使攻擊者觀察獲得了執行此攻擊所需的權限？
• 系統上是否有相關事件？
• 攻擊前或攻擊後流量異常嗎？
• 是否已知該目標系統，本身容易受到此類攻擊(已知已存在的漏洞)？
• 還有其他有用的訊息嗎？

看起來簡單的警示，若找出有了這些訊息關聯，就可以進一步的過濾不必要的雜訊；精確地觸發自動化反應流程。這是由於包含上下文訊息的安全情報，可以更精確地指出事件肇因所在。最終結果不論人工分析人員或自動化集中式分析，都將能夠更準確地識別問題並提供更好的回應行動。