为什么来自情报共享组织的网络安全威胁馈送会在价值上产生衰减而成为又一个噪音源?该如何解决此问题?

网络安全信息共享不是个新鲜话题。事实上,这个话题已经被议论很多年了。每个人都知道应该共享信息,也希望别人能共享出信息来。存在私人关系或有长期业务联系的同行间甚至已经出现了一定程度的信息共享。他们建立起了能够自由交换有用信息的互信度。

然而,政府和行业间的这种信息交换却没那么容易达成。企业层面上看,因为现实的或感知到的责任,企业往往没有个人那么愿意共享信息,所以,真正惠及广大防御者的大范围信息共享并没有铺开。积极参与者的数量和被共享信息的质量都不足以推动这种信息交换像设想中的那样有效工作。

质量和数量:价值衰减怪圈

很多公司将信息共享当成了另一项应付差事的工作。他们想要加入特定行业的信息共享与分析中心(ISAC),或成为政府共享组织的会员,比如美国国土安全部的自动化指标共享,或者英国的网络安全信息共享合作伙伴关系。但他们又没设置内部程序以指定其公司可以共享的信息类型。相反,他们专注于接收其他人共享的信息。最终,因为共享组织有自己的指导原则,公司企业也会开始共享给别人。但这又引发了质量问题。

随着组织成员的增多,信任程度减弱了,很多公司不太愿意将自己觉得有价值的信息共享出来,比如各自正在经历的数据泄露的相关信息。他们倾向于共享IP地址和域名之类入侵指标。信息共享成为了自动化过程,几乎没有什么上下文纳入其中,有时候甚至是来自其他共享源的数据反刍。缺乏上下文,其他参与者就无法知道这些信息是否与自己的公司相关而应加以重视。随着成员逐渐被大量低质量的共享信息所淹没,共享组织的吸引力也就消退了。于是,该情报共享组织的威胁馈送价值逐渐减少,成为了又一个噪音源。

可以跨越质量障碍并能共享丰富的上下文化威胁情报的组织,往往依赖最大的几家会员从一开始就备足共享情报,寄希望于随着时间进程,成员中较小的公司也参与到情报共享中来。然而,这种情况很少发生。只有威胁运营项目更成熟的相对进步的小公司,才有能力共享高价值信息,剩下的一般都是共享信息的消费者。随着不公平感的发酵,整个共享结构最终将归于崩溃。

打破怪圈的3个步骤

情况还没糟到无可救药的地步。事实上,可以从3个方面增强信息共享,让共享像预想中的那样广泛交付价值。

第一步:建立信息共享与消费项目

公司企业需从法律和合规的角度理解自己可以共享的东西。这样可以取得一个较好的平衡,保证既不过度反应直接叫停共享,也不会意外共享了隐私立法下归为私有或受保护的信息。有了清晰的指导原则,安全团队也可以更好地提供带上下文和相关度的高质量信息。公司企业还需了解自己想要消费的信息及其使用方式。这可以确保既能从所接收的信息中有效抽取价值,又能避免遭遇数据过载和资源浪费。

第二步:监测质量

随着信息共享组织的成长壮大,战术性信息的自动化共享激增反而成为了他们的痛点。共享组织必须监测信息质量。要多方策划以确保信息传递是有价值的,要么是“已知威胁”,要么富含上下文供接收者判断与自身环境的相关性。

第三步:设计可全员参与的方法

以数量多寡论成败不是达成有效信息共享的正确路径。想要在保证质量的基础上平衡数量,得考虑成立内置信任的子分组。同时,小公司也需能访问高价值威胁信息。我们得承认,至少最开始时候,他们或许尚未能够贡献太多信息,很大程度上都是作为消费者而存在。

有个双管齐下的方法可以解决他们的需求。

首先,小公司应加入或创建自身行业特定的共享社区,然后主动参与到自身网络所见上下文化相关情报的共享工作中去。这样可以帮助更大的行业共享组织更好地保护整个行业,包括身处同个生态系统的同行业小公司。

其次,签约托管安全服务提供商(MSSP)的小公司应依靠他们的提供商来供应此类情报。该社区防御模式通常是MSSP客户承诺的一部分,小公司应确保他们的提供商真正提供了该功能。

只要通过解决数量/质量问题打破价值衰减怪圈,信息交换就会开始繁荣发展。最终,我们将能够免于空谈而切实共享。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。