威胁情报不是知识产权

本文讲的是 威胁情报不是知识产权,威胁情报的深度和广度是安全厂商的主要区分因素这一概念已经是安全行业广为接受的认知,而我们需要打破并改变这一看法。

当厂商和个人试图将威胁情报秘而不宣,他们就限制了整个团队在新威胁酝酿和爆发之初发现并减轻之的能力。入侵防御系统(IPS)签名和基于主机的反恶意软件产品就足以保证你网络安全的时代早已远去。高端对手总在不断部署逃避检测的新方法。无论这些方法是以新漏洞利用、快速变形的恶意软件还是新攻击方法的形式出现,成功的数据泄露持续升级是不争的事实。

攻击的速率,无论在规模还是方法上,都在持续增长——意味着你的安全解决方案越快得到相关情报你就越安全。具体来讲,你的解决方案必须有能力将攻击活动和恶意组织特征集转化为新的防御机制来阻止攻击。这是很重要的特性,因为恶意软件太容易改头换面了,仅仅简单地添加新病毒签名查找特定文件远远不够。相反,像攻击者的命令与控制通信基础设施的IP地址这样的攻击指示器(IOC),却在所有攻击行动或攻击团伙中非常常见。

威胁信息共享

观察一下威胁情报通用语就会发现,安全厂商时常落入“大数字”陷阱,总在吹嘘自己有“几十亿”甚至“上万亿”事件。这通常是条简单出路,实际上给不出有关事件价值的深刻理解。在会议期间呈现在大屏幕上时,这些数字显然听起来很是令人印象深刻,但其中很多都是大家已经知道的常见攻击,不过是商品指标而已。尽管情报广度很重要,却连全球最大的传感器网络都受制于其本质。它只能洞察从单个网络节点身上直接观察到的事件。

为说明这一点,我们来做做数学题:

中型安全厂商每家有3万客户。简单起见,我们假设全球有20家中型安全厂商吧。这就意味着这20家厂商有从60万用户收集威胁情报的可能性。
大型安全厂商每家有10万客户,假设有5家大型安全厂商。这些大型厂商总计能从50万客户那里收集数据。
这种情况下,有110万潜在客户可以贡献威胁情报来帮助保护其他公司企业。问题在于,没有哪家安全厂商能获取到全部威胁情报的11%以上!现实世界中,提供安全解决方案的厂商当然远远不止我们假设的那么点儿,意味着这些数字要比我们假设的大上几个数量级。

作为安全领导者,如果你的厂商告诉你他们只能阻止10%可能的攻击,你作何感想?对此感到满意?但这一数字确实是迄今为止安全行业所能做出的回答。现在,让我们想想,如果安全厂商以自由开放的方式共享威胁情报,他们可以为安全社区提供什么价值?攻击者不会关心你采用什么产品来保护你的网络,你的安全态势也不应该受限于此。这并不是说每家安全厂商在创新方面和实现这一公共情报以阻止攻击的方法上都是同等的,但我们应该以这些标准而不是用他们数据库的规模来衡量安全厂商。

为改变这一成见,我们必须为改变再加一把推力。下次你再与备选厂商谈判时,问他们以下问题:

与同行同行威胁情报么?
可以通过共享情报构建新防护措施么?
是不是工业级威胁情报共享组织的成员?
是怎样与政府部门合作在公共部门和私营产业中共享数据的?
有些企业正在尝试开拓威胁情报共享这一新途径,国外的包括美国飞塔公司发起的网络威胁联盟、英特尔安全、Palo Alto Networks和赛门铁克,信息共享与分析中心(ISAC)也在业界同行层级有参与。国内比较有影响力的则是360的威胁情报共享中心,全世界几十个国家的CERT共超过200多家企业和机构申请分享360的威胁情报数据。

除了帮助厂商进行改变,或许应该考虑一下怎样联合这些不同类型的组织,并与同行分享威胁情报。

时间: 2024-10-31 02:31:12

威胁情报不是知识产权的相关文章

微步在线与启明星辰就威胁情报达成战略合作

2016年4月29日,微步在线和启明星辰正式签署了战略合作备忘录,就威胁情报达成合作.微步在线是国内首家专业的威胁情报厂商,拥有国际水平的安全威胁情报及基础数据能力,启明星辰则是国内领先的SOC厂商,推出有"泰和安全分析合作计划".此次双方强强合作,协同创新,必将能够为客户提供具有国际水平的安全解决方案. 索尼事件.暗黑客栈事件.孟加拉银行事件等一系列层出不穷的安全事件,使人们认识到过去单纯基于漏洞的防御机制已经无法应对当前的黑客威胁,理想的安全架构应该是采用自适应架构的动态安全过程,

威胁情报成熟度模型

本文讲的是 威胁情报成熟度模型,衡量一个公司的安全能力有两个关键标准.其一是平均检测时间(MTTD:Mean-Time-to-Detect),这是公司发现一个真正有风险的威胁所用的平均时间,其中包含了更进一步的分析和响应.其二是平均响应时间(MTTR:Mean-Time-to-Respond),也就是公司全面分析威胁并平息任何可能的风险所用的平均时间. "很多公司的运营中,MTTD和MTTR可高达数周或数月之久."威胁情报企业LogRhythm首席技术官克里斯·彼得森彼得森说认为,已经

威胁信息和威胁情报有啥区别?

本文讲的是威胁信息和威胁情报有啥区别?,成品情报,是威胁信息纳入.评估和商业利益导出的结果. 网络威胁情报领域,混淆一直存在(很多还都是厂商弄出来的),威胁信息往往被当做了成品情报. 虽然情报过程从威胁信息收集开始,但信息收集仅仅,仅仅只是个起始点而已.从大量获取信息,到产出成品情报之间,还有好长好长的一段路要走,二者之间简直是质的不同. 散布图中各处的1000个点,那是信息.但以某种形式连接各点显示出上下文和关联度(我们称之为"经评估的情报"),那就是情报了.这些情报可用于为未来攻击

威胁情报告诉我们 大部分网络犯罪并不复杂

新的一年,有些事变了,有些事保持原样.关于多线程高隐蔽的复杂网络攻击的各种恐惧和疑虑我们已经经受很多.诚然,落入这个范畴的攻击是存在的,但如果纵观去年一整年的网络犯罪活动,显然大部分威胁没有我们经常谈论的那么复杂. 网络威胁情报呈现给我们的,反而是大多数威胁都只简单地利用一系列已知漏洞和其他弱点,来达成最小阻力最大收益.可以从威胁三角棱镜,也就是黑客的能力.意图和机会三个方面,来看看今日几个顶级威胁的模样: 1. 勒索软件 该威胁利用老一套但有效的社会工程战术.诱使某人点击依然可用的恶意宏,尽管

Threatbook合伙人李秋石:具有中国特色的安全威胁情报

 WOT2015"互联网+"时代大数据技术峰会于2015年11月28日于深圳前海华侨城JW万豪酒店盛大揭幕,42位业内重量级嘉宾汇聚,重磅解析大数据技术的点睛应用.秉承专注技术.服务技术人员的理念.DBA+社群作为本次大会合作方,将通过图文直播为大家全程跟踪报道这场技术盛宴.    在安全圈提起"威胁情报",可谓无人不知无人不晓.什么是威胁情报?威胁情报是一种基于证据的知识,包括了情境.机制.指标.隐含和实际可行的建议.威胁情报描述了现存的.或者是即将出现针对资产的

网络攻击折射威胁情报重要性

最新研究显示,三分之一被访公司认为其网络安全防御机制壁垒森严,足以抵抗任何网络入侵;然而,出现过网络安全漏洞的公司中,有八成后悔其没有在遭遇攻击前就安装威胁情报防御平台. 波耐蒙研究所发布的2015网络威胁情报报告显示,通过调查693名网络和网络安全决策者发现,他们对网络安全工具价值的理解及其实际应用之间存在巨大的鸿沟. 68%的受访者认为,威胁情报防御平台所带来的好处大大超过其本身价格,近半数受访者转而选择正式的威胁情报防御系统来提升其安全防护机制.49%的受访者依靠付费的威胁情报防御系统,因

“威胁情报能预测哪里要发起攻击?说这话的一定是骗子!”

   有一个不幸的消息. 小王在某公司安全运营部上班,因为想钱少.事多.离家远,最近他想离职了. 换工作本身并没有什么不幸,但可怕的是,他的小秘密被老板发现了-- 悲剧是这样发生的-- 小绿:张主任,您好,今天公布了一个Web应用漏洞,编号是CVE-2017-XXX,如果被利用,将会被远程执行任意代码,后果非常严重.您公司的安全运维接口人王工已经在今天早晨7点55分,漏洞公布后的5分钟内,收到了我们的安全通告邮件和短信.我们有下列安全建议和配置:blablabla-- 张主任:我让小王立刻进行配

【2016阿里安全峰会】风声与暗算,无中又生有:威胁情报应用的那些事儿【附PDF下载】

一年一度的阿里安全峰会创立于 2014 年,每年在7月举办,今年已是第三届,今年于7月13-14日在北京国家会议中心举办.阿里安全峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织.信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践.热点议题.信息安全人才培养.新 兴技术与发展趋势等,会议聚焦云安全产业.电商金融支付安全创新,关注互联网移动安全应用,共同建设互联网安全生态圈,以推进网络空间安全建设,为网络世界蓬勃发展做出贡献力量.2016 阿里安全峰会设立12个分

浅读Gartner威胁情报市场指南:谁在同台竞技?

自2014年Gartner首次提出"自适应安全"概念以来,这家全球最早也最权威的信息化咨询研究机构已经是第四年在发布的报告中强调以预测.防护.检测.响应四个阶段组成的自适应安全体系.而在第四年,Gartner终于首次发布了<威胁情报市场指南>,全球近50家公司榜上有名. 对于IT信息化较为成熟的领域,Gartner会发布魔力象限报告,而对于尚处蓝海.潜力较大.产品和市场都处于快速发展中的细分领域,Gartner则会发布相应的市场指南报告.此次威胁情报市场指南发布,或许意味着