最近，威脅情報(bào)共享的概念在企業(yè)安全領(lǐng)域逐漸流行起來，并已在行業(yè)大會(huì)和供應(yīng)商的市場(chǎng)推廣活動(dòng)中成為流行語。但是，威脅情報(bào)共享究竟指的是什么呢?我們真的可以利用它有效地防范網(wǎng)絡(luò)攻擊嗎?

關(guān)于威脅情報(bào)共享有許多有效的途徑來傳遞，如用戶到供應(yīng)商、供應(yīng)商到用戶、用戶到用戶、供應(yīng)商到供應(yīng)商。威脅情報(bào)共享的核心就是供應(yīng)商從用戶那里收集信息，然后將這些信息再傳遞給用戶，以便使用戶們更好地應(yīng)對(duì)網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊。

另一種共享情境是針對(duì)同樣的情報(bào)，供應(yīng)商對(duì)其改造再利用，如利用其創(chuàng)造出一種新的或者改良的檢測(cè)方法，或者屏蔽規(guī)則和其他的防護(hù)方式。這一防護(hù)信息被應(yīng)用于供應(yīng)商的商業(yè)產(chǎn)品和服務(wù)中，因此其用戶才能使用這一功能。

不過目前，關(guān)于威脅情報(bào)共享的應(yīng)用，業(yè)界也出現(xiàn)了一些問題。英特爾安全(Intel Security，原McAfee現(xiàn)更名為Intel Security)端點(diǎn)安全業(yè)務(wù)單元(Endpoint Security Business Unit)的高級(jí)副總裁兼總經(jīng)理Candace Worley指出：“一些用戶要求其公司保留這些威脅情報(bào)作為公司的私有“財(cái)產(chǎn)”，以致于這些情報(bào)不能被供應(yīng)商用于更廣泛的商業(yè)用途。”不過這一點(diǎn)倒也是可以理解的，這使得一部分用戶可以借助別的力量和方法來解決相關(guān)問題，但是其他的用戶就得自己想辦法去解決了。

美國(guó)國(guó)土安全部(the Department of Homeland Security)高級(jí)技術(shù)官Richard Struse說：“具體來說，只有1%的最頂級(jí)的金融、醫(yī)療和保險(xiǎn)公司才會(huì)有效地利用威脅情報(bào)。”而在另一方面，據(jù)賽門鐵克的消息，至少35%的企業(yè)沒有利用威脅情報(bào)。

這一情況引發(fā)了如下幾個(gè)問題：在剩下的64%的企業(yè)中，有多少企業(yè)在無效地利用威脅情報(bào)呢?為什么那35%的企業(yè)完全沒有利用威脅情報(bào)呢?還有最重要的一個(gè)問題，無論是64%的企業(yè)還是那35%的企業(yè)，他們?cè)谧R(shí)別和應(yīng)對(duì)安全威脅時(shí)會(huì)不會(huì)注定就失敗呢，只有那1%的企業(yè)實(shí)際上已經(jīng)控制住了這些安全威脅。

增強(qiáng)威脅情報(bào)數(shù)據(jù)的有效性

NIST國(guó)家卓越網(wǎng)絡(luò)安全中心(National Cybersecurity Center of Excellence)副總監(jiān)Nate Lesser說：“那些能夠并擅長(zhǎng)收集和分析數(shù)據(jù)的企業(yè)是能夠獲得成功的企業(yè)，對(duì)于那些小公司來說，他們可以通過利用供應(yīng)商的產(chǎn)品和服務(wù)來收集和分析數(shù)據(jù)。我現(xiàn)在也不確定，剩下的企業(yè)如何能夠從金字塔頂端那1%企業(yè)的滲漏效應(yīng)中獲得收益。”

或許一些有效的解決方案可以幫助中間那64%的企業(yè)更加有效地的利用威脅情報(bào)，而無需考慮數(shù)據(jù)的數(shù)量、來源和傳遞機(jī)制。而這也需要企業(yè)發(fā)展得更加成熟，這種成熟不僅僅體現(xiàn)在產(chǎn)品、服務(wù)和供給的數(shù)量上。

威脅情報(bào)共享不應(yīng)該是兩個(gè)獨(dú)立群體之間的單行道，本文列舉了以下幾個(gè)例子來說明威脅情報(bào)是如何，以及在哪被共享和應(yīng)用的。

供應(yīng)商到供應(yīng)商：Sharon Vardi，Securonix公司的首席營(yíng)銷官，他指出，他們引入了15個(gè)商業(yè)和開源威脅情報(bào)源，用來找出已知的不良網(wǎng)站。

供應(yīng)商到用戶：為了避免向黑客或者網(wǎng)絡(luò)安全犯罪分子泄露公司的機(jī)密，Verisign(一個(gè)提供智能信息基礎(chǔ)設(shè)施服務(wù)的上市公司，總部在美國(guó)加利福尼亞州)開發(fā)了一個(gè)服務(wù)，能夠模仿各種不同類型的企業(yè)，如不同行業(yè)、國(guó)家、規(guī)模、用戶資料和相關(guān)文件等。Verisign的iDefense高級(jí)網(wǎng)絡(luò)犯罪研究員Kyle Maxwell說：“通過這項(xiàng)服務(wù)，我們可以看到攻擊者是何時(shí)進(jìn)來的，他們?cè)谀睦锏檬?，又是在哪里遇到麻煩，以及他們?nèi)绾喂テ普系K的。”將這些特定的黑客行為信息與用戶共享，可以有效地提升用戶企業(yè)的網(wǎng)絡(luò)安全。

用戶到用戶：行業(yè)之間共享的細(xì)節(jié)信息或數(shù)據(jù)也是非常重要的。據(jù)BalaBit IT安全公司(BalaBit IT Security)產(chǎn)品營(yíng)銷經(jīng)理James Luby說：“我們發(fā)現(xiàn)能源公司在利用情報(bào)信息時(shí)完全不同于那些金融機(jī)構(gòu)或者石油行業(yè)，這些能源公司將他們自己的情報(bào)信息共享給他們的同行業(yè)者，這樣有效地減少了黑客針對(duì)這一行業(yè)環(huán)境攻擊的風(fēng)險(xiǎn)。”

用戶到供應(yīng)商：Verizon企業(yè)解決方案(Verizon Enterprise Solutions)目前已充分利用他們從用戶那里收集來的威脅情報(bào)，用以制作年度“數(shù)據(jù)泄露調(diào)查報(bào)告”。

信息共享

人們似乎只關(guān)注于實(shí)際的共享信息的行為，卻忽略了他們這樣做而從中獲得的優(yōu)勢(shì)。Struse說：“情報(bào)共享只是一種為達(dá)到目的所采用的手段或方法，而實(shí)際的目的是要積極地檢測(cè)，并將惡意攻擊攔截在外，以防止攻擊給企業(yè)帶來的不良影響。”換句話說，擁有更多的數(shù)據(jù)，并不見得擁有更聰明或更好的裝備。

為進(jìn)一步闡明這一觀點(diǎn)，F(xiàn)orrester研究公司的首席分析師Rick Holland說：“企業(yè)最好先利用其內(nèi)部的資源和供給來解決問題，這比花費(fèi)數(shù)萬塊錢去購(gòu)買商業(yè)資源更好些。”企業(yè)通常能夠引進(jìn)他們所需的情報(bào)數(shù)據(jù)，但是如果這些企業(yè)不具備核心的安全措施來利用這些數(shù)據(jù)，那么這些情報(bào)數(shù)據(jù)也起不到任何良好的作用。對(duì)此，企業(yè)在安全上還是需要有一定的想法和支撐的，然后充分消化吸收這些威脅情報(bào)數(shù)據(jù)，但是要遵守底線，不能以簡(jiǎn)單的打補(bǔ)丁的方式去解決企業(yè)的安全問題。

減少雙重泄露的風(fēng)險(xiǎn)

企業(yè)可能還會(huì)遇到一些其他比較麻煩的問題。Verizon數(shù)據(jù)泄露調(diào)查報(bào)告顯示，70%的數(shù)據(jù)泄露的比例表明在除了黑客攻擊的最終目標(biāo)之外，數(shù)據(jù)泄露也已成為一個(gè)嚴(yán)重的安全問題，這種雙重的安全風(fēng)險(xiǎn)正在困擾著企業(yè)。

Verizon企業(yè)解決方案網(wǎng)絡(luò)安全研究與創(chuàng)新部門的安全數(shù)據(jù)科學(xué)家Bob Rudis表示(+本站微信networkworldweixin)，這種雙重的數(shù)據(jù)泄露大多是通過釣魚攻擊實(shí)施的，這種釣魚攻擊指的是攻擊者通過追蹤連接兩個(gè)企業(yè)的有效的證書實(shí)現(xiàn)的。Rudis說：“我們的研究數(shù)據(jù)顯示，25%的雙重?cái)?shù)據(jù)泄露可以通過雙重認(rèn)證或者簡(jiǎn)單地阻止攻擊者的行為來避免。”

Datum Securitys公司的首席執(zhí)行官Jonathan Niednagel也指出，諸如共享安全漏洞信息給企業(yè)所支持的供應(yīng)商，無論是企業(yè)還是供應(yīng)商都能夠幫助他們修繕漏洞，降低或避免風(fēng)險(xiǎn)，從而有效地減少這些雙重?cái)?shù)據(jù)泄露的事情發(fā)生。

是什么阻礙威脅情報(bào)數(shù)據(jù)的共享呢?

供應(yīng)商和企業(yè)都在共享威脅情報(bào)數(shù)據(jù)，其中一些可能成功了，但是大部分都沒有成功。正如Niednagel和其他幾位業(yè)界專家所指出的一樣，就算業(yè)界一直極力宣傳貢獻(xiàn)威脅情報(bào)的必要性和重要性，其最終的共享結(jié)果也不盡如人意。

據(jù)Struse表示：“某種意義上，情報(bào)共享也需要反壟斷。”企業(yè)通常與固定的組織共享情報(bào)，而排出另外一些企業(yè)，那么這些企業(yè)將會(huì)陷入麻煩中，而不能利用這些情報(bào)獲得利益。ThreatStream公司的首席執(zhí)行官Hugh Njemanze也指出：“在過去，這種排外的情報(bào)共享行為可以看成是兩家企業(yè)之前的碰撞。”

目前，受政府監(jiān)管的FS-ISAC(金融)和NH-ISAC(醫(yī)療)兩大組織已經(jīng)克服了這種反壟斷和對(duì)抗的挑戰(zhàn)和問題。但是，那些在一個(gè)封閉的群體中想要共享情報(bào)的商業(yè)公司又是怎么樣的呢?他們?nèi)绾蚊鎸?duì)這種法律風(fēng)險(xiǎn)呢?

反共享可能一般只出現(xiàn)在企業(yè)之間的商業(yè)協(xié)議中，用來約束協(xié)議雙方的行為，防止彼此之間的情報(bào)信息共享給第三方。ViewFinity公司的首席技術(shù)官Leonid Shtilman說：“即使我們的客戶認(rèn)識(shí)到共享情報(bào)的價(jià)值所在，而且可能其中的一些客戶允許我們有選擇性地共享一些情報(bào)信息，如應(yīng)用黑名單，但是受我們與客戶之間的保密協(xié)議的限制，我們不可能大量地共享我們收集來的情報(bào)信息。”

一些想法

不論目前情報(bào)數(shù)據(jù)信息共享發(fā)展得更加成熟與否，有一點(diǎn)可以肯定的是，它是目前業(yè)界討論的比較熱點(diǎn)的話題，正迅速地發(fā)展著，并且變得越來越相關(guān)、越來越重要。

如果有1%的企業(yè)一直保守著其情報(bào)信息而不共享給其他人，那么可能這1%的企業(yè)也不可能做成任何事。而99%愿意共享情報(bào)信息、愿意與其他人合作的企業(yè)，會(huì)想方設(shè)法地尋找一種方法去共享他們收集來的信息，而不是獨(dú)立地去實(shí)施安全措施。更為諷刺的是，攻擊者社區(qū)要比防御攻擊的企業(yè)更明白情報(bào)信息共享的重要性。

Tripwire公司的首席技術(shù)官兼高級(jí)安全分析師Ken Westin說：“企業(yè)一定要非常清楚地了解其自身的環(huán)境，以便更好地利用威脅情報(bào)信息，使其在企業(yè)的安全戰(zhàn)略中發(fā)揮作用。”