企业共享威胁情报?困难远远比想象中多

简介:

从理论上来说,共享威胁情报是一件很有意义的事情。但在互联网安全领域,这件「美好的事情」要实现并非那么容易。

美国国土安全部三月份的时候部署了自动指示共享系统(Automated Indicator Sharing),无论是私人组织还是公共组织都可以在该系统中进行威胁情报的交换。可以看出美国国土安全部的初衷是好的,在这样的系统中可以加快信息分享和传播的速度,帮助各种类型的企业和组织在威胁刚出现时做好及时的防护工作。

有很多信息安全专家也表示,网络威胁情报信息给组织带来很大的价值。但如果去探究共享过程中大家对此的态度以及执行中遇到的障碍,就会发现,事情并非像想象中进行的那般顺利。

企业愿意共享哪些威胁情报?

我们一起来分析下人们愿意或不愿意分享的威胁和信誉数据有哪些。英特尔安防调查了全球500名专业人士,发现3/4的人愿意共享关于发现的恶意软件行为的信息。其实恶意软件细节的共享已经持续了很长时间,通常共享者都是一些供应商和不结盟的安全公司。不过让我们吃惊的是,这项意愿的人数竟然不是100%。

在被调查安全研究人员中, 58%愿意共享URL 信誉 、54%愿意共享外部 IP 地址信誉 、证书信誉和文件信誉分别占到43%和37%。

当询问受访者为什么未在企业内实施共享的网络威胁情报时,54%的受访者表示原因在于公司政策,24%表示是由于行业规范,其余没有共享数据的受访者表示,虽然对它感兴趣,但需要了解更多的信息,也有人表示担心共享的数据会被用于追溯到其公司或个人。

威胁情报共享攻不破的壁垒

网络威胁情报的内容包括可疑和恶意活动的详细信息以及元数据,也包含了攻击媒介,使用的方法,可以采取的遏制措施。但即使分享了信誉文件,它不包含任何个人身份信息。理论上,共享威胁情报对于打击犯罪时很有意义的,但在互联网安全领域面临的问题是,我们去处理和应对的不是一个已知的人,而是一个可以不断变化的ID。

在赌场中常常用葛里芬名冊( Griffin Book)和黑名单来识别那些骗子的身份。大家会共享可疑者的信息,方便进行身份识别,也可疑阻止骗子们进入赌场。但在网络安全中,我们没有照片,没有名字,也没有其他关于个人特征的线索,我们能提供的是攻击类型(恶意软件、钓鱼、勒索软件)、IP范围或是邮箱地址。所以我们互相分享的是散列文件、封锁的IP和可能的邮箱地址,但是根据这些信息,我们还是很难像人脸识别技术那样去评断出对方的生物特征。

另一个壁垒是网络威胁的来源可以以很快改变和调整它的攻击方向与对象。在数字化形式下,新威胁与可能的攻击向量数不胜数。企业在检测和阻断威胁的有效性和之前相比已经差很多了。如果犯罪分子也可以得到类似我们这种共享威胁情报的话,他们就可以来判断什么样的行为容易被抓住,这样他们就可以及时调整策略。事实上,他们正得到这样的共享信息——即我们给他们提供的反馈。根据我们提供的共享威胁情报,他们可以知道做的哪部分工作是有效的,那部分是没有效果的,并且可以及时去调整攻击方法。

来自企业的忧虑

为何企业才参与度上差强人意呢?

毫无疑问,当我们开始谈论恶意软件系统而不是人的时候,威胁情报共享呈现了新的复杂性。很多企业想从共享威胁情报中获益,但是自己却不想提供太多的情报信息。其实这也可以理解,因为一旦你向他人公布自己发现的威胁情报,就表示你告诉大家:

1.我司现在可能是被攻击的对象

2.我司这有一个漏洞正好给大家开了个大门

如何更好使用威胁情报共享?

随着网络威胁发展和演变,很多企业把关注点放在“做什么”上。纠结于我们想分享什么样的信息,知道对手可能用什么方式来打击我们。

但也许我们应该把关注点放在“如何分享”上,我们怎样分享信息可以使我们的组织在对抗被攻击方面会更有力量?

虽然我也没有答案,但这有一些思考供大家参考:

1.在这些威胁情报之间实现机器对机器访问。例如威胁情报在一个机器可读模式上进行共享,再传到到SIEM上,这样只有具有检测系统的公司可以使用该信息。对于骗子们来说他们是不太可能花钱买昂贵的系统只为核查自己工作的。那么问题就变成了系统如何把信息汇报给负责人。

2.当公司需要选择共享数据时,多提示一些警告可能是更好的方式。如果他们已经共享信息(尽管匿名),说不定这些警告会让他们改变想法。
本文转自d1net(转载)

相关文章
透过现象看创本质的能力-从忒休斯之船到系统论
透过现象看创本质的能力-从忒休斯之船到系统论
|
7月前
|
人工智能 运维 安全
元宇宙概念跑得太快,企业网络怎样才能跟上
8月6日到8日,美国超人气歌手Ariana Grande两天时间在全球不同地点,举办了5场演唱会,上演现实版“时空穿梭”。 原来这背后是通过VR技术,配合时下火热的元宇宙概念打造的一场虚拟现实演唱会,演出举办地被放在了游戏《堡垒之夜》之中,全球上千万的玩家,通过自己的游戏分身盛装出席,在世界各地的家中、学校、公园、办公室里,参加这场沉浸式互动。
|
存储 人工智能 搜索推荐
优化Feed流遭遇拦路虎 是谁帮百度打破了“内存墙”?
优化Feed流遭遇拦路虎 是谁帮百度打破了“内存墙”?
|
存储 安全 数据管理
OushuDB 小课堂丨孤立数据迫在眉睫的威胁:废弃文件如何毁掉您的业务
OushuDB 小课堂丨孤立数据迫在眉睫的威胁:废弃文件如何毁掉您的业务
85 0
还在担心工作要被取代?现实却是机器人已经开始被开除了
短时间内,所谓的“机器人酒店”都是噱头。
351 0
|
存储 弹性计算 安全
传统媒体上线,如何安放海量内容?如何处理安全问题?
传统媒体上线,如何安放海量内容? 传媒行业由纸媒转向视频图片类(短视频,直播),需要面临海量存储,加速访问的问题。此外,媒体内容多而杂,整理起来太困难,怎么办? 山东云管家推荐你使用阿里云的几个工具,轻松解决上线难题。
|
监控 程序员
《程序员度量:改善软件团队的分析学》一关于软件采用、问题以及竞争的数据
本节书摘来华章计算机《程序员度量:改善软件团队的分析学》一书中的第3章 ,Jonathan Alexander 著 张燎原 周峰 张刚 宋励奋 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1281 0