威脅情報的深度和廣度是安全廠商的主要區分因素這一概念已經是安全行業廣為接受的認知,而我們需要打破并改變這一看法。
當廠商和個人試圖將威脅情報秘而不宣,他們就限制了整個團隊在新威脅醞釀和爆發之初發現并減輕之的能力。入侵防御系統(IPS)簽名和基于主機的反惡意軟件產品就足以保證你網絡安全的時代早已遠去。高端對手總在不斷部署逃避檢測的新方法。無論這些方法是以新漏洞利用、快速變形的惡意軟件還是新攻擊方法的形式出現,成功的數據泄露持續升級是不爭的事實。
攻擊的速率,無論在規模還是方法上,都在持續增長——意味著你的安全解決方案越快得到相關情報你就越安全。具體來講,你的解決方案必須有能力將攻擊活動和惡意組織特征集轉化為新的防御機制來阻止攻擊。這是很重要的特性,因為惡意軟件太容易改頭換面了,僅僅簡單地添加新病毒簽名查找特定文件遠遠不夠。相反,像攻擊者的命令與控制通信基礎設施的IP地址這樣的攻擊指示器(IOC),卻在所有攻擊行動或攻擊團伙中非常常見。
威脅信息共享
觀察一下威脅情報通用語就會發現,安全廠商時常落入“大數字”陷阱,總在吹噓自己有“幾十億”甚至“上萬億”事件。這通常是條簡單出路,實際上給不出有關事件價值的深刻理解。在會議期間呈現在大屏幕上時,這些數字顯然聽起來很是令人印象深刻,但其中很多都是大家已經知道的常見攻擊,不過是商品指標而已。盡管情報廣度很重要,卻連全球最大的傳感器網絡都受制于其本質。它只能洞察從單個網絡節點身上直接觀察到的事件。
為說明這一點,我們來做做數學題:
中型安全廠商每家有3萬客戶。簡單起見,我們假設全球有20家中型安全廠商吧。這就意味著這20家廠商有從60萬用戶收集威脅情報的可能性。
大型安全廠商每家有10萬客戶,假設有5家大型安全廠商。這些大型廠商總計能從50萬客戶那里收集數據。
這種情況下,有110萬潛在客戶可以貢獻威脅情報來幫助保護其他公司企業。問題在于,沒有哪家安全廠商能獲取到全部威脅情報的11%以上!現實世界中,提供安全解決方案的廠商當然遠遠不止我們假設的那么點兒,意味著這些數字要比我們假設的大上幾個數量級。
作為安全領導者,如果你的廠商告訴你他們只能阻止10%可能的攻擊,你作何感想?對此感到滿意?但這一數字確實是迄今為止安全行業所能做出的回答。現在,讓我們想想,如果安全廠商以自由開放的方式共享威脅情報,他們可以為安全社區提供什么價值?攻擊者不會關心你采用什么產品來保護你的網絡,你的安全態勢也不應該受限于此。這并不是說每家安全廠商在創新方面和實現這一公共情報以阻止攻擊的方法上都是同等的,但我們應該以這些標準而不是用他們數據庫的規模來衡量安全廠商。
為改變這一成見,我們必須為改變再加一把推力。下次你再與備選廠商談判時,問他們以下問題:
與同行同行威脅情報么?
可以通過共享情報構建新防護措施么?
是不是工業級威脅情報共享組織的成員?
是怎樣與政府部門合作在公共部門和私營產業中共享數據的?
有些企業正在嘗試開拓威脅情報共享這一新途徑,國外的包括美國飛塔公司發起的網絡威脅聯盟、英特爾安全、Palo Alto Networks和賽門鐵克,信息共享與分析中心(ISAC)也在業界同行層級有參與。國內比較有影響力的則是360的威脅情報共享中心,全世界幾十個國家的CERT共超過200多家企業和機構申請分享360的威脅情報數據。
除了幫助廠商進行改變,或許應該考慮一下怎樣聯合這些不同類型的組織,并與同行分享威脅情報。
京公網安備 11010502049343號