从理论上来说,共享威胁情报是一件很有意义的事情。但在互联网安全领域,这件「美好的事情」要实现并非那么容易。

1.jpg 

美国国土安全部三月份的时候部署了自动指示共享系统(Automated Indicator Sharing),无论是私人组织还是公共组织都可以在该系统中进行威胁情报的交换。可以看出美国国土安全部的初衷是好的,在这样的系统中可以加快信息分享和传播的速度,帮助各种类型的企业和组织在威胁刚出现时做好及时的防护工作。

有很多信息安全专家也表示,网络威胁情报信息给组织带来很大的价值。但如果去探究共享过程中大家对此的态度以及执行中遇到的障碍,就会发现,事情并非像想象中进行的那般顺利。

企业愿意共享哪些威胁情报?

我们一起来分析下人们愿意或不愿意分享的威胁和信誉数据有哪些。英特尔安防调查了全球500名专业人士,发现3/4的人愿意共享关于发现的恶意软件行为的信息。其实恶意软件细节的共享已经持续了很长时间,通常共享者都是一些供应商和不结盟的安全公司。不过让我们吃惊的是,这项意愿的人数竟然不是100%。

在被调查安全研究人员中, 58%愿意共享URL 信誉 、54%愿意共享外部 IP 地址信誉 、证书信誉和文件信誉分别占到43%和37%。

当询问受访者为什么未在企业内实施共享的网络威胁情报时,54%的受访者表示原因在于公司政策,24%表示是由于行业规范,其余没有共享数据的受访者表示,虽然对它感兴趣,但需要了解更多的信息,也有人表示担心共享的数据会被用于追溯到其公司或个人。

威胁情报共享攻不破的壁垒

网络威胁情报的内容包括可疑和恶意活动的详细信息以及元数据,也包含了攻击媒介,使用的方法,可以采取的遏制措施。但即使分享了信誉文件,它不包含任何个人身份信息。理论上,共享威胁情报对于打击犯罪时很有意义的,但在互联网安全领域面临的问题是,我们去处理和应对的不是一个已知的人,而是一个可以不断变化的ID。

usa.jpg

在赌场中常常用葛里芬名冊( Griffin Book)和黑名单来识别那些骗子的身份。大家会共享可疑者的信息,方便进行身份识别,也可疑阻止骗子们进入赌场。但在网络安全中,我们没有照片,没有名字,也没有其他关于个人特征的线索,我们能提供的是攻击类型(恶意软件、钓鱼、勒索软件)、IP范围或是邮箱地址。所以我们互相分享的是散列文件、封锁的IP和可能的邮箱地址,但是根据这些信息,我们还是很难像人脸识别技术那样去评断出对方的生物特征。

另一个壁垒是网络威胁的来源可以以很快改变和调整它的攻击方向与对象。在数字化形式下,新威胁与可能的攻击向量数不胜数。企业在检测和阻断威胁的有效性和之前相比已经差很多了。如果犯罪分子也可以得到类似我们这种共享威胁情报的话,他们就可以来判断什么样的行为容易被抓住,这样他们就可以及时调整策略。事实上,他们正得到这样的共享信息——即我们给他们提供的反馈。根据我们提供的共享威胁情报,他们可以知道做的哪部分工作是有效的,那部分是没有效果的,并且可以及时去调整攻击方法。

来自企业的忧虑

为何企业才参与度上拆强人意呢?

毫无疑问,当我们开始谈论恶意软件系统而不是人的时候,威胁情报共享呈现了新的复杂性。很多企业想从共享威胁情报中获益,但是自己却不想提供太多的情报信息。其实这也可以理解,因为一旦你向他人公布自己发现的威胁情报,就表示你告诉大家:

1.我司现在可能是被攻击的对象

2.我司这有一个漏洞正好给大家开了个大门

如何更好使用威胁情报共享?

随着网络威胁发展和演变,很多企业把关注点放在“做什么”上。纠结于我们想分享什么样的信息,知道对手可能用什么方式来打击我们。

但也许我们应该把关注点放在“如何分享”上,我们怎样分享信息可以使我们的组织在对抗被攻击方面会更有力量?

虽然我也没有答案,但这有一些思考供大家参考:

1.在这些威胁情报之间实现机器对机器访问。例如威胁情报在一个机器可读模式上进行共享,再传到到SIEM上,这样只有具有检测系统的公司可以使用该信息。对于骗子们来说他们是不太可能花钱买昂贵的系统只为核查自己工作的。那么问题就就变成了系统如何把信息汇报给负责人。

2.当公司需要选择共享数据时,多提示一些警告可能是更好的方式。如果他们已经共享信息(尽管匿名),说不定这些警告会让他们改变想法。