本文讲的是 威胁情报不是知识产权,威胁情报的深度和广度是安全厂商的主要区分因素这一概念已经是安全行业广为接受的认知,而我们需要打破并改变这一看法。
当厂商和个人试图将威胁情报秘而不宣,他们就限制了整个团队在新威胁酝酿和爆发之初发现并减轻之的能力。入侵防御系统(IPS)签名和基于主机的反恶意软件产品就足以保证你网络安全的时代早已远去。高端对手总在不断部署逃避检测的新方法。无论这些方法是以新漏洞利用、快速变形的恶意软件还是新攻击方法的形式出现,成功的数据泄露持续升级是不争的事实。
攻击的速率,无论在规模还是方法上,都在持续增长——意味着你的安全解决方案越快得到相关情报你就越安全。具体来讲,你的解决方案必须有能力将攻击活动和恶意组织特征集转化为新的防御机制来阻止攻击。这是很重要的特性,因为恶意软件太容易改头换面了,仅仅简单地添加新病毒签名查找特定文件远远不够。相反,像攻击者的命令与控制通信基础设施的IP地址这样的攻击指示器(IOC),却在所有攻击行动或攻击团伙中非常常见。
威胁信息共享
观察一下威胁情报通用语就会发现,安全厂商时常落入“大数字”陷阱,总在吹嘘自己有“几十亿”甚至“上万亿”事件。这通常是条简单出路,实际上给不出有关事件价值的深刻理解。在会议期间呈现在大屏幕上时,这些数字显然听起来很是令人印象深刻,但其中很多都是大家已经知道的常见攻击,不过是商品指标而已。尽管情报广度很重要,却连全球最大的传感器网络都受制于其本质。它只能洞察从单个网络节点身上直接观察到的事件。
为说明这一点,我们来做做数学题:
中型安全厂商每家有3万客户。简单起见,我们假设全球有20家中型安全厂商吧。这就意味着这20家厂商有从60万用户收集威胁情报的可能性。
大型安全厂商每家有10万客户,假设有5家大型安全厂商。这些大型厂商总计能从50万客户那里收集数据。
这种情况下,有110万潜在客户可以贡献威胁情报来帮助保护其他公司企业。问题在于,没有哪家安全厂商能获取到全部威胁情报的11%以上!现实世界中,提供安全解决方案的厂商当然远远不止我们假设的那么点儿,意味着这些数字要比我们假设的大上几个数量级。
作为安全领导者,如果你的厂商告诉你他们只能阻止10%可能的攻击,你作何感想?对此感到满意?但这一数字确实是迄今为止安全行业所能做出的回答。现在,让我们想想,如果安全厂商以自由开放的方式共享威胁情报,他们可以为安全社区提供什么价值?攻击者不会关心你采用什么产品来保护你的网络,你的安全态势也不应该受限于此。这并不是说每家安全厂商在创新方面和实现这一公共情报以阻止攻击的方法上都是同等的,但我们应该以这些标准而不是用他们数据库的规模来衡量安全厂商。
为改变这一成见,我们必须为改变再加一把推力。下次你再与备选厂商谈判时,问他们以下问题:
与同行同行威胁情报么?
可以通过共享情报构建新防护措施么?
是不是工业级威胁情报共享组织的成员?
是怎样与政府部门合作在公共部门和私营产业中共享数据的?
有些企业正在尝试开拓威胁情报共享这一新途径,国外的包括美国飞塔公司发起的网络威胁联盟、英特尔安全、Palo Alto Networks和赛门铁克,信息共享与分析中心(ISAC)也在业界同行层级有参与。国内比较有影响力的则是360的威胁情报共享中心,全世界几十个国家的CERT共超过200多家企业和机构申请分享360的威胁情报数据。
除了帮助厂商进行改变,或许应该考虑一下怎样联合这些不同类型的组织,并与同行分享威胁情报。