至少10年前,随着高级持续性威胁(APT)和定向攻击被大家广泛重视,威胁情报利用和共享的重要性也随之被各界普遍认同。因为在网络空间的非对称战争中,防守方如果想要获得制胜先机,就必须依赖情报共享,来最大程度降低防守成本,并指数级提升攻击者的成本。
然而,各国推进情报共享的进程却并不平坦,网络安全领域各处都留存下“信息共享倡议”的残骸。即便是美国发展多年的ISAC(信息共享和分析中心)体系,在其国内也是饱受质疑。
在今年的RSAC大会上,全球最重要的情报共享组织之一网络威胁联盟(Cyber Threat Alliance)的CEO Michael Daniel 发表了《错误的假设:为什么情报共享失败》的主题演讲,从一个情报共享实践老兵的角度给出了自己的答案。
情报共享成攻防对抗制胜“密钥” 三大误解制约发展进程
在Daniel看来,情报共享之所以会挫折不断,是因为在这个领域一直存在3个错误的假设:
1.认为网络威胁情报是一种纯粹的技术数据
而实际中,情报当前的发展已经脱离文件、IP、域名信誉的阶段很久了,从情报价值角度看,更重要的是恶意属性背后的业务风险、缓解措施、攻击意图、技战术手法、组织能力和背景等信息,而单纯的黑白判定在安全运营中能发挥的价值非常低。这点在情报圈内也许觉得清楚明白,但在更广阔的市场看,对不同层次的战术、作战、战略情报的呈现内容和价值有了解的人还并不多。
2.认为所有组织都应该共享这些数据
现实的困难会造成这个假设不成立:首先很多企业没有情报分析、生产能力,也就难以提供相关自身行业、网络的情报;其次不同行业业务(或地域、企业规模)不同,因此威胁相关性和需求也不同,彼此共享能得到的价值很不确定;再次从使用角度看,如果情报是为了支撑决策,那么一个企业真正做的安全决策其实很少,那么是否支撑了这些决策的情报信息才是企业比较优势的所在。
3.认为组织间建立共享通道后,共享就会很容易
实际上高质量的情报共享还需要更多保障:信任、金钱、时间和关注。首先,需要相信共享的接收方可以妥善的处理情报,这种信任必须随着时间推移不断增加;其次,免费的情报也许不错,但不够好,难以解决问题。只有保证通过资金的投入来确保回报,才能保障有足够的价值;最后,共享活动是需要有稳定的人力投入,并获得关注,否则难以为续。
护航数字时代的腾飞中国
随着全球数字化转型的加速,以大数据、人工智能、5G等为代表的新型数字技术,让传统业务的原有流程、环境以及架构体系完成迭代升级。与此同时,安全威胁无处不在、无孔不入。其中,高级持续性威胁(APT)由于具备定向性、长期持续、隐蔽潜伏等攻击特点,安全人员运用传统的检测手段无法辨别和发现,情报共享更加显得尤为重要。
作为数字经济的守护者,360政企安全集团基于15年攻防实战经验及230亿安全研发投入,打造出以360安全大脑为核心的数字安全能力体系,有效的解决了情报共享的难题。360政企安全集团目前已累计发现CIA 、海莲花、摩诃草、美人鱼等境外APT组织40余个,以“看见”网络攻击、威胁的能力,严守国家第一道网络安全防线。
值得一提的是,从当前国内推进情报共享的进展来看,已经实施的相关举措和时代对于这一辈中国网安人的希冀相比,依旧显得远远不够;从情报共享生态对国家网络空间战略的价值来看,为应对数字时代更多有组织的专业网络犯罪团伙,针对情报共享的投入也亟待提升。只有有效建立国家、行业、城市不同层次,互成体系的情报共享机制,才能进一步形成具备足够纵深、高度韧性的安全能力,为数字时代的腾飞中国保驾护航。
来源:freebuf.com 2021-05-19 12:05:21 by: 360安全
请登录后发表评论
注册