從理論上來說,共享威脅情報是一件很有意義的事情。但在互聯網安全領域,這件「美好的事情」要實現并非那么容易。
美國國土安全部三月份的時候部署了自動指示共享系統(Automated Indicator Sharing),無論是私人組織還是公共組織都可以在該系統中進行威脅情報的交換。可以看出美國國土安全部的初衷是好的,在這樣的系統中可以加快信息分享和傳播的速度,幫助各種類型的企業和組織在威脅剛出現時做好及時的防護工作。
有很多信息安全專家也表示,網絡威脅情報信息給組織帶來很大的價值。但如果去探究共享過程中大家對此的態度以及執行中遇到的障礙,就會發現,事情并非像想象中進行的那般順利。
企業愿意共享哪些威脅情報?
我們一起來分析下人們愿意或不愿意分享的威脅和信譽數據有哪些。英特爾安防調查了全球500名專業人士,發現3/4的人愿意共享關于發現的惡意軟件行為的信息。其實惡意軟件細節的共享已經持續了很長時間,通常共享者都是一些供應商和不結盟的安全公司。不過讓我們吃驚的是,這項意愿的人數竟然不是100%。
在被調查安全研究人員中, 58%愿意共享URL 信譽 、54%愿意共享外部 IP 地址信譽 、證書信譽和文件信譽分別占到43%和37%。
當詢問受訪者為什么未在企業內實施共享的網絡威脅情報時,54%的受訪者表示原因在于公司政策,24%表示是由于行業規范,其余沒有共享數據的受訪者表示,雖然對它感興趣,但需要了解更多的信息,也有人表示擔心共享的數據會被用于追溯到其公司或個人。
威脅情報共享攻不破的壁壘
網絡威脅情報的內容包括可疑和惡意活動的詳細信息以及元數據,也包含了攻擊媒介,使用的方法,可以采取的遏制措施。但即使分享了信譽文件,它不包含任何個人身份信息。理論上,共享威脅情報對于打擊犯罪時很有意義的,但在互聯網安全領域面臨的問題是,我們去處理和應對的不是一個已知的人,而是一個可以不斷變化的ID。
在賭場中常常用葛里芬名冊( Griffin Book)和黑名單來識別那些騙子的身份。大家會共享可疑者的信息,方便進行身份識別,也可疑阻止騙子們進入賭場。但在網絡安全中,我們沒有照片,沒有名字,也沒有其他關于個人特征的線索,我們能提供的是攻擊類型(惡意軟件、釣魚、勒索軟件)、IP范圍或是郵箱地址。所以我們互相分享的是散列文件、封鎖的IP和可能的郵箱地址,但是根據這些信息,我們還是很難像人臉識別技術那樣去評斷出對方的生物特征。
另一個壁壘是網絡威脅的來源可以以很快改變和調整它的攻擊方向與對象。在數字化形式下,新威脅與可能的攻擊向量數不勝數。企業在檢測和阻斷威脅的有效性和之前相比已經差很多了。如果犯罪分子也可以得到類似我們這種共享威脅情報的話,他們就可以來判斷什么樣的行為容易被抓住,這樣他們就可以及時調整策略。事實上,他們正得到這樣的共享信息——即我們給他們提供的反饋。根據我們提供的共享威脅情報,他們可以知道做的哪部分工作是有效的,那部分是沒有效果的,并且可以及時去調整攻擊方法。
來自企業的憂慮
為何企業才參與度上差強人意呢?
毫無疑問,當我們開始談論惡意軟件系統而不是人的時候,威脅情報共享呈現了新的復雜性。很多企業想從共享威脅情報中獲益,但是自己卻不想提供太多的情報信息。其實這也可以理解,因為一旦你向他人公布自己發現的威脅情報,就表示你告訴大家:
1.我司現在可能是被攻擊的對象
2.我司這有一個漏洞正好給大家開了個大門
如何更好使用威脅情報共享?
隨著網絡威脅發展和演變,很多企業把關注點放在“做什么”上。糾結于我們想分享什么樣的信息,知道對手可能用什么方式來打擊我們。
但也許我們應該把關注點放在“如何分享”上,我們怎樣分享信息可以使我們的組織在對抗被攻擊方面會更有力量?
雖然我也沒有答案,但這有一些思考供大家參考:
1.在這些威脅情報之間實現機器對機器訪問。例如威脅情報在一個機器可讀模式上進行共享,再傳到到SIEM上,這樣只有具有檢測系統的公司可以使用該信息。對于騙子們來說他們是不太可能花錢買昂貴的系統只為核查自己工作的。那么問題就變成了系統如何把信息匯報給負責人。
2.當公司需要選擇共享數據時,多提示一些警告可能是更好的方式。如果他們已經共享信息(盡管匿名),說不定這些警告會讓他們改變想法。
*原文鏈接:darkread,FB小編Sophia編譯,轉載請注明來自FreeBuf黑客與極客(FreeBuf.COM)
京公網安備 11010502049343號