自创立之初,网络威胁情报这门学科一直以共享为核心,包括向网络安全团队、工具以及最佳实践提供有关攻击者及其战术、技术和程序(tactics, techniques and procedures, TTP))的相关信息,旨在帮助其强化防御。反过来,安全工具所发现的威胁和事件相关数据,以及利用外部威胁源的经验也能够在一定程度上帮助提升整体的威胁情报水平。这是一个良性循环。因此,不难理解在过去的25年里,涌现出了一系列的兴趣群体,他们之间缔结了无数公共或私人的合作伙伴关系,最终形成了网络安全行业一个专注于共享威胁情报的完整领域。
但本文的主旨并非是要讨论威胁情报共享的重要性。最近,在与FS-ISAC和SecAlliance的专家进行的座谈会上,观众投票显示,受访者一致认同“威胁情报共享是有益的,它能够结合技术细节以及上下文信息提供出最大价值。”
但令人担忧的是,仅有17%的受访者对其组织在网络威胁情报共享方面的水平充满信心,而17%的受访者持相反的态度——表示十分不自信。更令人担忧的是,这项调查针对的是金融服务业内的安全专业人员,而这一领域被认为是威胁情报共享的早期采纳者。对于缩小信心差距并促使更多安全专业人员积极参与共享,需要采取一系列的措施。
01 监管合规性
自2020年以来,威胁情报逐渐地再次成为人们所关注的焦点。这缘于机会主义攻击者越来越频繁地利用新冠疫情、灾难性天气以及地缘政治环境等事件来发动复杂攻击,危及组织及其所提供的关键服务。因此,对于复杂网络威胁的深入了解变得尤为重要,以至于在2021年,一项白宫行政命令关于提升国家网络安全性的文件中,将“消除信息共享障碍”列为首要要求。
更多相关的法规也即将出台,例如,预计于2025年1月生效的《数字运营韧性法案(DORA)》,其针对的是填补欧盟金融监管中有关运营韧性的空白。新法案下的支柱之一侧重于网络威胁和漏洞相关信息与情报的共享。
法规通常被视为一种强制执行期望行为的手段,起到了“棍棒”的督促作用。然而,当越来越多的组织满足这些共享要求时,一种奖励机制的“胡萝卜”效应开始发挥作用,这种效应被描述为群体免疫。
02 群体免疫
如今,大多数组织都在相互依赖的复杂生态系统中运作。这意味着行业的韧性是组织韧性的前提。
此外,仅仅由市场中的大型参与者(无论是最大的金融机构、医疗服务提供商、零售商、制造商还是能源提供商)共享威胁情报是远远不够的。组织与各类大小的第三方之间都存在着相互连接。因此,每个组织都需要积极参与到共享社区,进行情报、最佳实践和工作流程的交流,这是实践效果最好的情况。为了共同的利益而合作创造的协同效应,使参与者能够获取自己在其他情况下无法获得的信息,通过资源的集中利用,更快、更低成本地强化自己的防御。
03 发展威胁情报共享实践时的关键考虑因素
组织对其威胁情报共享能力缺乏信心的原因来自多个方面。对于任何一个共享社区来说,有三个关键要素被认为是能够提高威胁情报共享的可行性和影响力。
1、用户友好的技术平台:近年来,朝着集成方向发展的势头渐长,其目的在于实现机器之间的共享,包括与STIX/TAXII等标准的兼容性以及威胁情报本身的规范化。这些进步使得数据共享更加便捷。此外,上下文有助于威胁情报更加具有相关性。因此,组织应当将关注点放在具有内置自动化能力的威胁情报工具和平台,这些能够通过上下文丰富威胁数据并实现优先级处理,以迅速找到相关的情报并过滤掉噪音。
2、数据匿名化:每个组织都期望获得共享信息,但他们往往又担忧自己无法在不引发法律问题的情况下,在共享社区中保持良好的贡献值。如今,许多社群都制定了流程,使参与者能够选择共享什么,以及以何种格式共享。信息可以通过足够的泛化,从而不披露个人身份信息或企业专有信息。数据匿名化有助于解决有关隐私和安全的法律顾虑,同时又能够帮助社区中的其他成员查看他们自己的网络,以确定他们是否也受到了组织所察觉到的威胁。
3、促进信任机制:信任是共享的关键一环,每一种共享倡议都离不开一系列促进信任的机制,包括创建较小的团体、对成员进行全面审查、强制执行隐私和共享政策,以及利用技术和流程来保护和促进数据流动。例如,针对不同行业和组织的ISAC(信息共享与分析中心)在情报分类、流量协议、共享频率以及成员如何使用情报等方面具有丰富的经验,为情报交流提供了良好的执行和安全环境。由技术供应商提供的私人倡议可能会对成员进行额外审查,以及通过成员提名同事或同行成为候选会员的流程。最终目标是提供一个培育环境,使得具有上下文的威胁情报能够持续流动,帮助安全团队和组织在成熟度和能力上不断发展。
共享还是不共享并非问题所在。关键在于如何共享、共享什么、在何处共享以及与谁共享。尽早找到这些答案将有助于使整个行业在集体和个体层面上更加安全。
数世咨询点评
威胁情报共享不仅仅是一种实用的安全策略,更是构建信任、加强协作的基础,为迎接不断演变的威胁挑战提供了必要的支持。
威胁情报共享在关注合法合规以及隐私保护的同时,也同样应该注重情报共享的实时性以及共享体系的适应性。
实现威胁情报的及时传递,建立双向沟通,构建信任基础,适应不断变化的威胁格局,是确保共享体系可信、高效、灵活的关键。
* 本文为茉泠编译,原文地址:https://www.securityweek.com/threat-intel-to-share-or-not-to-share-is-not-the-question/
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。