最近,威胁情报共享的概念在企业安全领域逐渐流行起来,并已在行业大会和供应商的市场推广活动中成为流行语。但是,威胁情报共享究竟指的是什么呢?我们真的可以利用它有效地防范网络攻击吗?
关于威胁情报共享有许多有效的途径来传递,如用户到供应商、供应商到用户、用户到用户、供应商到供应商。威胁情报共享的核心就是供应商从用户那里收集信息,然后将这些信息再传递给用户,以便使用户们更好地应对网络威胁和网络攻击。
另一种共享情境是针对同样的情报,供应商对其改造再利用,如利用其创造出一种新的或者改良的检测方法,或者屏蔽规则和其他的防护方式。这一防护信息被应用于供应商的商业产品和服务中,因此其用户才能使用这一功能。
不过目前,关于威胁情报共享的应用,业界也出现了一些问题。英特尔安全(Intel Security,原McAfee现更名为Intel Security)端点安全业务单元(Endpoint Security Business Unit)的高级副总裁兼总经理Candace Worley指出:“一些用户要求其公司保留这些威胁情报作为公司的私有“财产”,以致于这些情报不能被供应商用于更广泛的商业用途。”不过这一点倒也是可以理解的,这使得一部分用户可以借助别的力量和方法来解决相关问题,但是其他的用户就得自己想办法去解决了。
美国国土安全部(the Department of Homeland Security)高级技术官Richard Struse说:“具体来说,只有1%的最顶级的金融、医疗和保险公司才会有效地利用威胁情报。”而在另一方面,据赛门铁克的消息,至少35%的企业没有利用威胁情报。
这一情况引发了如下几个问题:在剩下的64%的企业中,有多少企业在无效地利用威胁情报呢?为什么那35%的企业完全没有利用威胁情报呢?还有最重要的一个问题,无论是64%的企业还是那35%的企业,他们在识别和应对安全威胁时会不会注定就失败呢,只有那1%的企业实际上已经控制住了这些安全威胁。
增强威胁情报数据的有效性
NIST国家卓越网络安全中心(National Cybersecurity Center of Excellence)副总监Nate Lesser说:“那些能够并擅长收集和分析数据的企业是能够获得成功的企业,对于那些小公司来说,他们可以通过利用供应商的产品和服务来收集和分析数据。我现在也不确定,剩下的企业如何能够从金字塔顶端那1%企业的渗漏效应中获得收益。”
或许一些有效的解决方案可以帮助中间那64%的企业更加有效地的利用威胁情报,而无需考虑数据的数量、来源和传递机制。而这也需要企业发展得更加成熟,这种成熟不仅仅体现在产品、服务和供给的数量上。
威胁情报共享不应该是两个独立群体之间的单行道,本文列举了以下几个例子来说明威胁情报是如何,以及在哪被共享和应用的。
供应商到供应商:Sharon Vardi,Securonix公司的首席营销官,他指出,他们引入了15个商业和开源威胁情报源,用来找出已知的不良网站。
供应商到用户:为了避免向黑客或者网络安全犯罪分子泄露公司的机密,Verisign(一个提供智能信息基础设施服务的上市公司,总部在美国加利福尼亚州)开发了一个服务,能够模仿各种不同类型的企业,如不同行业、国家、规模、用户资料和相关文件等。Verisign的iDefense高级网络犯罪研究员Kyle Maxwell说:“通过这项服务,我们可以看到攻击者是何时进来的,他们在哪里得手,又是在哪里遇到麻烦,以及他们如何攻破障碍的。”将这些特定的黑客行为信息与用户共享,可以有效地提升用户企业的网络安全。
用户到用户:行业之间共享的细节信息或数据也是非常重要的。据BalaBit IT安全公司(BalaBit IT Security)产品营销经理James Luby说:“我们发现能源公司在利用情报信息时完全不同于那些金融机构或者石油行业,这些能源公司将他们自己的情报信息共享给他们的同行业者,这样有效地减少了黑客针对这一行业环境攻击的风险。”
用户到供应商:Verizon企业解决方案(Verizon Enterprise Solutions)目前已充分利用他们从用户那里收集来的威胁情报,用以制作年度“数据泄露调查报告”。
信息共享
人们似乎只关注于实际的共享信息的行为,却忽略了他们这样做而从中获得的优势。Struse说:“情报共享只是一种为达到目的所采用的手段或方法,而实际的目的是要积极地检测,并将恶意攻击拦截在外,以防止攻击给企业带来的不良影响。”换句话说,拥有更多的数据,并不见得拥有更聪明或更好的装备。
为进一步阐明这一观点,Forrester研究公司的首席分析师Rick Holland说:“企业最好先利用其内部的资源和供给来解决问题,这比花费数万块钱去购买商业资源更好些。”企业通常能够引进他们所需的情报数据,但是如果这些企业不具备核心的安全措施来利用这些数据,那么这些情报数据也起不到任何良好的作用。对此,企业在安全上还是需要有一定的想法和支撑的,然后充分消化吸收这些威胁情报数据,但是要遵守底线,不能以简单的打补丁的方式去解决企业的安全问题。
减少双重泄露的风险
企业可能还会遇到一些其他比较麻烦的问题。Verizon数据泄露调查报告显示,70%的数据泄露的比例表明在除了黑客攻击的最终目标之外,数据泄露也已成为一个严重的安全问题,这种双重的安全风险正在困扰着企业。
Verizon企业解决方案网络安全研究与创新部门的安全数据科学家Bob Rudis表示(+本站微信networkworldweixin),这种双重的数据泄露大多是通过钓鱼攻击实施的,这种钓鱼攻击指的是攻击者通过追踪连接两个企业的有效的证书实现的。Rudis说:“我们的研究数据显示,25%的双重数据泄露可以通过双重认证或者简单地阻止攻击者的行为来避免。”
Datum Securitys公司的首席执行官Jonathan Niednagel也指出,诸如共享安全漏洞信息给企业所支持的供应商,无论是企业还是供应商都能够帮助他们修缮漏洞,降低或避免风险,从而有效地减少这些双重数据泄露的事情发生。
是什么阻碍威胁情报数据的共享呢?
供应商和企业都在共享威胁情报数据,其中一些可能成功了,但是大部分都没有成功。正如Niednagel和其他几位业界专家所指出的一样,就算业界一直极力宣传贡献威胁情报的必要性和重要性,其最终的共享结果也不尽如人意。
据Struse表示:“某种意义上,情报共享也需要反垄断。”企业通常与固定的组织共享情报,而排出另外一些企业,那么这些企业将会陷入麻烦中,而不能利用这些情报获得利益。ThreatStream公司的首席执行官Hugh Njemanze也指出:“在过去,这种排外的情报共享行为可以看成是两家企业之前的碰撞。”
目前,受政府监管的FS-ISAC(金融)和NH-ISAC(医疗)两大组织已经克服了这种反垄断和对抗的挑战和问题。但是,那些在一个封闭的群体中想要共享情报的商业公司又是怎么样的呢?他们如何面对这种法律风险呢?
反共享可能一般只出现在企业之间的商业协议中,用来约束协议双方的行为,防止彼此之间的情报信息共享给第三方。ViewFinity公司的首席技术官Leonid Shtilman说:“即使我们的客户认识到共享情报的价值所在,而且可能其中的一些客户允许我们有选择性地共享一些情报信息,如应用黑名单,但是受我们与客户之间的保密协议的限制,我们不可能大量地共享我们收集来的情报信息。”
一些想法
不论目前情报数据信息共享发展得更加成熟与否,有一点可以肯定的是,它是目前业界讨论的比较热点的话题,正迅速地发展着,并且变得越来越相关、越来越重要。
如果有1%的企业一直保守着其情报信息而不共享给其他人,那么可能这1%的企业也不可能做成任何事。而99%愿意共享情报信息、愿意与其他人合作的企业,会想方设法地寻找一种方法去共享他们收集来的信息,而不是独立地去实施安全措施。更为讽刺的是,攻击者社区要比防御攻击的企业更明白情报信息共享的重要性。
Tripwire公司的首席技术官兼高级安全分析师Ken Westin说:“企业一定要非常清楚地了解其自身的环境,以便更好地利用威胁情报信息,使其在企业的安全战略中发挥作用。”