至少10年前,随着高级持续性威胁(APT)和定向攻击被大家广泛重视,威胁情报利用和共享的重要性也随之被各界普遍认同。因为在网络空间的非对称战争中,防守方如果想要获得制胜先机,就必须依赖情报共享,来最大程度降低防守成本,并指数级提升攻击者的成本。
然而,各国推进情报共享的进程却并不平坦,网络安全领域各处都留存下“信息共享倡议”的残骸。即便是美国发展多年的ISAC(信息共享和分析中心)体系,在其国内也是饱受质疑。
在今年的RSAC大会上,全球最重要的情报共享组织之一网络威胁联盟(Cyber Threat Alliance)的CEO Michael Daniel 发表了《错误的假设:为什么情报共享失败》的主题演讲,从一个情报共享实践老兵的角度给出了自己的答案。
情报共享成攻防对抗制胜“密钥”
三大误解制约发展进程
在Daniel看来,情报共享之所以会挫折不断,是因为在这个领域一直存在3个错误的假设:
1.认为网络威胁情报是一种纯粹的技术数据
而实际中,情报当前的发展已经脱离文件、IP、域名信誉的阶段很久了,从情报价值角度看,更重要的是恶意属性背后的业务风险、缓解措施、攻击意图、技战术手法、组织能力和背景等信息,而单纯的黑白判定在安全运营中能发挥的价值非常低。这点在情报圈内也许觉得清楚明白,但在更广阔的市场看,对不同层次的战术、作战、战略情报的呈现内容和价值有了解的人还并不多。
2.认为所有组织都应该共享这些数据
现实的困难会造成这个假设不成立:首先很多企业没有情报分析、生产能力,也就难以提供相关自身行业、网络的情报;其次不同行业业务(或地域、企业规模)不同,因此威胁相关性和需求也不同,彼此共享能得到的价值很不确定;再次从使用角度看,如果情报是为了支撑决策,那么一个企业真正做的安全决策其实很少,那么是否支撑了这些决策的情报信息才是企业比较优势的所在。
3.认为组织间建立共享通道后,共享就会很容易
实际上高质量的情报共享还需要更多保障:信任、金钱、时间和关注。首先,需要相信共享的接收方可以妥善的处理情报,这种信任必须随着时间推移不断增加;其次,免费的情报也许不错,但不够好,难以解决问题。只有保证通过资金的投入来确保回报,才能保障有足够的价值;最后,共享活动是需要有稳定的人力投入,并获得关注,否则难以为续。
360助力突围情报共享困局
护航数字时代的腾飞中国
随着全球数字化转型的加速,以大数据、人工智能、5G等为代表的新型数字技术,让传统业务的原有流程、环境以及架构体系完成迭代升级。与此同时,安全威胁无处不在、无孔不入。其中,高级持续性威胁(APT)由于具备定向性、长期持续、隐蔽潜伏等攻击特点,安全人员运用传统的检测手段无法辨别和发现,情报共享更加显得尤为重要。
作为数字经济的守护者,360政企安全集团基于15年攻防实战经验及230亿安全研发投入,打造出以360安全大脑为核心的数字安全能力体系,有效的解决了情报共享的难题。
首先,360政企安全集团认识到传统的威胁情报平台(TIP)仅是做威胁情报的汇聚和消费,并不足以支撑关键基础设施的防护。因此,其提出了情报基础设施解决方案,希望针对城市、行业及大型企业,能够协助建立情报分析和生产能力和共享标准,并提供运营支撑,从而可以促进形成国家、城市、行业的情报共享生态,提高网络弹性,以应对数字时代的新威胁与大挑战。
其次,针对国内大部分场景还局限在为IP、域名、URL、HASH等战术情报做检测的情况,360政企安全集团提出了智能情报的概念,希望让市场了解情报除了可以让检测更及时外,还可以让运营更高效、决策更智慧,并据此提供了更丰富的情报种类;同时也在情报中倾注更多精力去提供完善的上下文信息,让情报消费者对威胁可以有更详尽的了解,以支撑报警排序和事件处置的运营决策。
结合以上解决方案所产出的关联威胁情报,不仅可以对攻击方进行组织画像和溯源;利用威胁情报构建的攻击知识库,还能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下,根据威胁情报反映的互联网安全态势,更是有助于预判后续可能的安全风险,使得响应网络威胁的速度更快,高效塑立了“预防、抵御、恢复、适应”的网络弹性。
这套流程让360政企安全集团目前已累计发现CIA 、海莲花、摩诃草、美人鱼等境外APT组织40余个,以“看见”网络攻击、威胁的能力,严守国家第一道网络安全防线。
值得一提的是,从当前国内推进情报共享的进展来看,已经实施的相关举措和时代对于这一辈中国网安人的希冀相比,依旧显得远远不够;从情报共享生态对国家网络空间战略的价值来看,为应对数字时代更多有组织的专业网络犯罪团伙,针对情报共享的投入也亟待提升。只有有效建立国家、行业、城市不同层次,互成体系的情报共享机制,才能进一步形成具备足够纵深、高度韧性的安全能力,为数字时代的腾飞中国保驾护航。