威脅情報(bào)不是知識(shí)產(chǎn)權(quán)

責(zé)任編輯:editor007

作者:nana

2015-10-13 22:30:18

摘自:安全牛

威脅情報(bào)的深度和廣度是安全廠商的主要區(qū)分因素這一概念已經(jīng)是安全行業(yè)廣為接受的認(rèn)知,而我們需要打破并改變這一看法。除了幫助廠商進(jìn)行改變,或許應(yīng)該考慮一下怎樣聯(lián)合這些不同類型的組織,并與同行分享威脅情報(bào)。

威脅情報(bào)的深度和廣度是安全廠商的主要區(qū)分因素這一概念已經(jīng)是安全行業(yè)廣為接受的認(rèn)知,而我們需要打破并改變這一看法。

威脅情報(bào)不是知識(shí)產(chǎn)權(quán)

當(dāng)廠商和個(gè)人試圖將威脅情報(bào)秘而不宣,他們就限制了整個(gè)團(tuán)隊(duì)在新威脅醞釀和爆發(fā)之初發(fā)現(xiàn)并減輕之的能力。入侵防御系統(tǒng)(IPS)簽名和基于主機(jī)的反惡意軟件產(chǎn)品就足以保證你網(wǎng)絡(luò)安全的時(shí)代早已遠(yuǎn)去。高端對(duì)手總在不斷部署逃避檢測(cè)的新方法。無論這些方法是以新漏洞利用、快速變形的惡意軟件還是新攻擊方法的形式出現(xiàn),成功的數(shù)據(jù)泄露持續(xù)升級(jí)是不爭(zhēng)的事實(shí)。

攻擊的速率,無論在規(guī)模還是方法上,都在持續(xù)增長(zhǎng)——意味著你的安全解決方案越快得到相關(guān)情報(bào)你就越安全。具體來講,你的解決方案必須有能力將攻擊活動(dòng)和惡意組織特征集轉(zhuǎn)化為新的防御機(jī)制來阻止攻擊。這是很重要的特性,因?yàn)閻阂廛浖菀赘念^換面了,僅僅簡(jiǎn)單地添加新病毒簽名查找特定文件遠(yuǎn)遠(yuǎn)不夠。相反,像攻擊者的命令與控制通信基礎(chǔ)設(shè)施的IP地址這樣的攻擊指示器(IOC),卻在所有攻擊行動(dòng)或攻擊團(tuán)伙中非常常見。

威脅信息共享

觀察一下威脅情報(bào)通用語就會(huì)發(fā)現(xiàn),安全廠商時(shí)常落入“大數(shù)字”陷阱,總在吹噓自己有“幾十億”甚至“上萬億”事件。這通常是條簡(jiǎn)單出路,實(shí)際上給不出有關(guān)事件價(jià)值的深刻理解。在會(huì)議期間呈現(xiàn)在大屏幕上時(shí),這些數(shù)字顯然聽起來很是令人印象深刻,但其中很多都是大家已經(jīng)知道的常見攻擊,不過是商品指標(biāo)而已。盡管情報(bào)廣度很重要,卻連全球最大的傳感器網(wǎng)絡(luò)都受制于其本質(zhì)。它只能洞察從單個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)身上直接觀察到的事件。

為說明這一點(diǎn),我們來做做數(shù)學(xué)題:

中型安全廠商每家有3萬客戶。簡(jiǎn)單起見,我們假設(shè)全球有20家中型安全廠商吧。這就意味著這20家廠商有從60萬用戶收集威脅情報(bào)的可能性。

大型安全廠商每家有10萬客戶,假設(shè)有5家大型安全廠商。這些大型廠商總計(jì)能從50萬客戶那里收集數(shù)據(jù)。

這種情況下,有110萬潛在客戶可以貢獻(xiàn)威脅情報(bào)來幫助保護(hù)其他公司企業(yè)。問題在于,沒有哪家安全廠商能獲取到全部威脅情報(bào)的11%以上!現(xiàn)實(shí)世界中,提供安全解決方案的廠商當(dāng)然遠(yuǎn)遠(yuǎn)不止我們假設(shè)的那么點(diǎn)兒,意味著這些數(shù)字要比我們假設(shè)的大上幾個(gè)數(shù)量級(jí)。

作為安全領(lǐng)導(dǎo)者,如果你的廠商告訴你他們只能阻止10%可能的攻擊,你作何感想?對(duì)此感到滿意?但這一數(shù)字確實(shí)是迄今為止安全行業(yè)所能做出的回答?,F(xiàn)在,讓我們想想,如果安全廠商以自由開放的方式共享威脅情報(bào),他們可以為安全社區(qū)提供什么價(jià)值?攻擊者不會(huì)關(guān)心你采用什么產(chǎn)品來保護(hù)你的網(wǎng)絡(luò),你的安全態(tài)勢(shì)也不應(yīng)該受限于此。這并不是說每家安全廠商在創(chuàng)新方面和實(shí)現(xiàn)這一公共情報(bào)以阻止攻擊的方法上都是同等的,但我們應(yīng)該以這些標(biāo)準(zhǔn)而不是用他們數(shù)據(jù)庫的規(guī)模來衡量安全廠商。

為改變這一成見,我們必須為改變?cè)偌右话淹屏?。下次你再與備選廠商談判時(shí),問他們以下問題:

與同行同行威脅情報(bào)么?

可以通過共享情報(bào)構(gòu)建新防護(hù)措施么?

是不是工業(yè)級(jí)威脅情報(bào)共享組織的成員?

是怎樣與政府部門合作在公共部門和私營(yíng)產(chǎn)業(yè)中共享數(shù)據(jù)的?

有些企業(yè)正在嘗試開拓威脅情報(bào)共享這一新途徑,國(guó)外的包括美國(guó)飛塔公司發(fā)起的網(wǎng)絡(luò)威脅聯(lián)盟、英特爾安全、Palo Alto Networks和賽門鐵克,信息共享與分析中心(ISAC)也在業(yè)界同行層級(jí)有參與。國(guó)內(nèi)比較有影響力的則是360的威脅情報(bào)共享中心,全世界幾十個(gè)國(guó)家的CERT共超過200多家企業(yè)和機(jī)構(gòu)申請(qǐng)分享360的威脅情報(bào)數(shù)據(jù)。

除了幫助廠商進(jìn)行改變,或許應(yīng)該考慮一下怎樣聯(lián)合這些不同類型的組織,并與同行分享威脅情報(bào)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)