网络安全行业一直存在着信息共享的问题。虽然众包这一概念很了不起,我们也形成了一些威胁情报社区,但回顾过往历史,仍少有成功经验证明这是一个切实可行的主意,目前,众包数据的来源仍以大量开源项目或第三方威胁情报供应商为主。有必要将这些高价值信息源进行整合,并对其给予相应的回报。对企业安全团队来说,众包的概念并不算新——很短时间内,我们的情报就可以在朋友圈、邮件、即时消息和其他信息平台上完成共享。
随着技术的发展与融合,我们也迫切希望能利用新技术助力情报分享得更多更快。我们希望能够跟上每天不断上涨的攻击数量。但目前众包威胁情报共享还远未达到我们的预期。当看到攻击者们出于利益、破坏或其他共同的邪恶目的迅速共享信息时,我们也会受到刺激,想要把协同防御做的更好。
协同防御的挑战
即便“众包威胁情报”是网络安全社区一次不错的尝试,但距离其真正达成“协同防御”仍然有非常多的挑战要克服。我把这些挑战总结成四点,如下图所示:
缺少情报指征不再是威胁情报利用的挑战,相反,安全团队被大量的威胁情报淹没已经成为常态。这里缺少的是高质量的指征,即如何从噪音中获取有价值的信号。当然,将关注点从“数量”转移到“质量”并不容易。情报“质量”的提升需要成熟的安全团队凭借技术能力对数据进行深度挖掘,而不是简单笼统地接受所有传进来的指征。
还有不少安全团队在缺少上下文的情况下使用情报——这样做是不正确的。上下文指的是围绕指征的一系列有价值的数据。这不单单是众包或某家供应商能够解决的问题。每家公司都是根据自家情况为指征提供上下文,然而单独一个指征在不同的业务场景下可以表示完全不同的结果,更何况将不同的公司提供的所有指征都整合在一起了。在威胁情报中增加上下文,这是使威胁情报发挥实用价值的基础。特别在众包模式下,贡献情报的同时提供上下文更加有必要。
另一个安全团队必须要考虑的问题是数据分享背后的法规风险。对于上述提到的信息分享过程中的各类其他问题,已经有企业级安全团队具备了解决能力,这不足为奇。但很多时候,这么做还存在着法律合规层面的敏感与风险。法规风险虽然可以借助法务团队,根据数据的业务场景、数据类型等等拆解成许多不同的细项问题加以规避,但是在很多公司,分享数据仍然是被严令禁止的。这样的法规风险会让人沮丧,因为攻击者并不存在这样的限制,我们只能眼睁睁地看着他们如此“成功”地验证着情报共享的价值。
最后,为了正确地实现众包威胁情报,企业安全团队需要从情报消费者转变为情报贡献者。对于“众包”来说,这一点尤为重要。多年来,很多公司都只是消费情报却从不回馈。如果只有小部分公司为社区贡献情报,这样的社区是很难维持的。回馈社区的典型做法是,通过工具或脚本,从系统内部拉取数据,再提交给情报提供者。企业安全团队中具备此种技能的人已经不多见了,因为这类人大多都在软件工程师团队中。越来越多成熟的企业安全团队已经意识到了他们的价值,正在招收这类专家建立这方面能力。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。