企業(yè)共享威脅情報?困難遠遠比想象中多

責(zé)任編輯:editor007

作者:Sophia

2016-06-22 23:02:10

摘自:黑客與極客

從理論上來說,共享威脅情報是一件很有意義的事情。在被調(diào)查安全研究人員中, 58%愿意共享URL 信譽 、54%愿意共享外部 IP 地址信譽 、證書信譽和文件信譽分別占到43%和37%。

從理論上來說,共享威脅情報是一件很有意義的事情。但在互聯(lián)網(wǎng)安全領(lǐng)域,這件「美好的事情」要實現(xiàn)并非那么容易。

美國國土安全部三月份的時候部署了自動指示共享系統(tǒng)(Automated Indicator Sharing),無論是私人組織還是公共組織都可以在該系統(tǒng)中進行威脅情報的交換。可以看出美國國土安全部的初衷是好的,在這樣的系統(tǒng)中可以加快信息分享和傳播的速度,幫助各種類型的企業(yè)和組織在威脅剛出現(xiàn)時做好及時的防護工作。

有很多信息安全專家也表示,網(wǎng)絡(luò)威脅情報信息給組織帶來很大的價值。但如果去探究共享過程中大家對此的態(tài)度以及執(zhí)行中遇到的障礙,就會發(fā)現(xiàn),事情并非像想象中進行的那般順利。

企業(yè)愿意共享哪些威脅情報?

我們一起來分析下人們愿意或不愿意分享的威脅和信譽數(shù)據(jù)有哪些。英特爾安防調(diào)查了全球500名專業(yè)人士,發(fā)現(xiàn)3/4的人愿意共享關(guān)于發(fā)現(xiàn)的惡意軟件行為的信息。其實惡意軟件細節(jié)的共享已經(jīng)持續(xù)了很長時間,通常共享者都是一些供應(yīng)商和不結(jié)盟的安全公司。不過讓我們吃驚的是,這項意愿的人數(shù)竟然不是100%。

在被調(diào)查安全研究人員中, 58%愿意共享URL 信譽 、54%愿意共享外部 IP 地址信譽 、證書信譽和文件信譽分別占到43%和37%。

當(dāng)詢問受訪者為什么未在企業(yè)內(nèi)實施共享的網(wǎng)絡(luò)威脅情報時,54%的受訪者表示原因在于公司政策,24%表示是由于行業(yè)規(guī)范,其余沒有共享數(shù)據(jù)的受訪者表示,雖然對它感興趣,但需要了解更多的信息,也有人表示擔(dān)心共享的數(shù)據(jù)會被用于追溯到其公司或個人。

威脅情報共享攻不破的壁壘

網(wǎng)絡(luò)威脅情報的內(nèi)容包括可疑和惡意活動的詳細信息以及元數(shù)據(jù),也包含了攻擊媒介,使用的方法,可以采取的遏制措施。但即使分享了信譽文件,它不包含任何個人身份信息。理論上,共享威脅情報對于打擊犯罪時很有意義的,但在互聯(lián)網(wǎng)安全領(lǐng)域面臨的問題是,我們?nèi)ヌ幚砗蛻?yīng)對的不是一個已知的人,而是一個可以不斷變化的ID。

在賭場中常常用葛里芬名冊( Griffin Book)和黑名單來識別那些騙子的身份。大家會共享可疑者的信息,方便進行身份識別,也可疑阻止騙子們進入賭場。但在網(wǎng)絡(luò)安全中,我們沒有照片,沒有名字,也沒有其他關(guān)于個人特征的線索,我們能提供的是攻擊類型(惡意軟件、釣魚、勒索軟件)、IP范圍或是郵箱地址。所以我們互相分享的是散列文件、封鎖的IP和可能的郵箱地址,但是根據(jù)這些信息,我們還是很難像人臉識別技術(shù)那樣去評斷出對方的生物特征。

另一個壁壘是網(wǎng)絡(luò)威脅的來源可以以很快改變和調(diào)整它的攻擊方向與對象。在數(shù)字化形式下,新威脅與可能的攻擊向量數(shù)不勝數(shù)。企業(yè)在檢測和阻斷威脅的有效性和之前相比已經(jīng)差很多了。如果犯罪分子也可以得到類似我們這種共享威脅情報的話,他們就可以來判斷什么樣的行為容易被抓住,這樣他們就可以及時調(diào)整策略。事實上,他們正得到這樣的共享信息——即我們給他們提供的反饋。根據(jù)我們提供的共享威脅情報,他們可以知道做的哪部分工作是有效的,那部分是沒有效果的,并且可以及時去調(diào)整攻擊方法。

來自企業(yè)的憂慮

為何企業(yè)才參與度上差強人意呢?

毫無疑問,當(dāng)我們開始談?wù)搻阂廛浖到y(tǒng)而不是人的時候,威脅情報共享呈現(xiàn)了新的復(fù)雜性。很多企業(yè)想從共享威脅情報中獲益,但是自己卻不想提供太多的情報信息。其實這也可以理解,因為一旦你向他人公布自己發(fā)現(xiàn)的威脅情報,就表示你告訴大家:

1.我司現(xiàn)在可能是被攻擊的對象

2.我司這有一個漏洞正好給大家開了個大門

如何更好使用威脅情報共享?

隨著網(wǎng)絡(luò)威脅發(fā)展和演變,很多企業(yè)把關(guān)注點放在“做什么”上。糾結(jié)于我們想分享什么樣的信息,知道對手可能用什么方式來打擊我們。

但也許我們應(yīng)該把關(guān)注點放在“如何分享”上,我們怎樣分享信息可以使我們的組織在對抗被攻擊方面會更有力量?

雖然我也沒有答案,但這有一些思考供大家參考:

1.在這些威脅情報之間實現(xiàn)機器對機器訪問。例如威脅情報在一個機器可讀模式上進行共享,再傳到到SIEM上,這樣只有具有檢測系統(tǒng)的公司可以使用該信息。對于騙子們來說他們是不太可能花錢買昂貴的系統(tǒng)只為核查自己工作的。那么問題就變成了系統(tǒng)如何把信息匯報給負責(zé)人。

2.當(dāng)公司需要選擇共享數(shù)據(jù)時,多提示一些警告可能是更好的方式。如果他們已經(jīng)共享信息(盡管匿名),說不定這些警告會讓他們改變想法。

*原文鏈接:darkread,F(xiàn)B小編Sophia編譯,轉(zhuǎn)載請注明來自FreeBuf黑客與極客(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號