目前威脅情報環(huán)境還是一個“群島”，雖然已經(jīng)構(gòu)建了一些橋梁，但大部分這些島嶼仍然保持著隔離狀態(tài)。

然而，一些安全供應(yīng)商正在試圖構(gòu)建更多橋梁，他們在推動安全生態(tài)系統(tǒng)概念以及將API提供給第三方供應(yīng)商用于產(chǎn)品整合。到目前為止，這些舉措只在產(chǎn)品之間建立了零碎的關(guān)聯(lián)，在第三方供應(yīng)商采取行動來實行雙向共享實時數(shù)據(jù)的過程中，仍然處于早期階段。

在2015年RSA大會中，Intel Security宣布擴展其數(shù)據(jù)交換層(DXL)安全通信架構(gòu)，其中包括與Intel Security產(chǎn)品更深度的整合，例如McAfee Threat Intelligence Exchange(TIE)平臺(其去年推出的安全信息共享控制中心)。

在2013年，思科推出了自己的安全信息共享產(chǎn)品：Platform Exchange Grid(pxGrid)。最近，思科擴展了其安全信息共享功能，同時增加了支持該框架的合作伙伴供應(yīng)商。pxGrid包含一個API，可與思科的身份服務(wù)引擎(ISE)整合，這是驗證和證明網(wǎng)絡(luò)身份的門戶網(wǎng)站。通過pxGrid，安全產(chǎn)品能夠與ISE共享威脅情報。但是，在這種情況下，安全通信并不是雙向的。

雖然一些較小的供應(yīng)商可能會依賴并支持較大型的(例如思科和英特爾)，但更成熟的供應(yīng)商(特別是與他們搶占相同市場份額的卡巴斯基和賽門鐵克等供應(yīng)商)不太可能會加入其威脅共享。這會在安全供應(yīng)商之間造成分裂，迫使終端用戶最終做出選擇，而這種選擇會帶來一定程度的供應(yīng)商鎖定。

FortSacle Security公司產(chǎn)品管理主管Guy Mordecai表示：“生態(tài)系統(tǒng)的意思是，從本質(zhì)上講，你讓你的解決方案更加適用。”

用戶行為分析公司Fortscale已經(jīng)在很大程度上整合到大型供應(yīng)商的生態(tài)系統(tǒng)中，F(xiàn)ortscale只是少數(shù)這樣做的供應(yīng)商之一。“如果你有一個生態(tài)系統(tǒng)，并且你有圍繞該生態(tài)系統(tǒng)的衛(wèi)星產(chǎn)品：首先，你將為你的客戶提供更多價值，”Mordecai表示，“第二，你讓轉(zhuǎn)換成本變得略高一些，因為現(xiàn)在你有一整套產(chǎn)品，它們很好地運作并相互整合，否則你需要切換到另一組不一定可協(xié)同工作的產(chǎn)品。”

優(yōu)勢何在?

Intel Security公司產(chǎn)品管理高級主管Roger Wood將DXL稱為“信息經(jīng)紀人”，其中進行的消息交換會增加內(nèi)容到每個產(chǎn)品的分析中。不同的實體和消費者可以從TIE服務(wù)器訂閱不同的消息源，通過DXL接收消息。DXL作為TIE這個免疫系統(tǒng)的神經(jīng)系統(tǒng)。

“這是確保DXL的開放性的作用，”Wood表示，“下一個階段是確保我們有一個通用的聲譽提供商的能力，這樣你可以映射幾乎任何你想要的AV產(chǎn)品。”

根據(jù)Wood表示，McAfee的DXL可開放給很多第三方供應(yīng)商，這些供應(yīng)商可以通過DXL共享信息，而不一定要通過TIE。這讓DXL具有架構(gòu)般的性質(zhì)。

“這是一個真正的安全交換總線，”整合到DXL框架之一的網(wǎng)絡(luò)安全公司ForeScout Technologies的主要解決方案營銷經(jīng)理Sandeep Kumar表示，“這里的概念是：不同的產(chǎn)品可以在這里與其他產(chǎn)品共享情報信息，讓其他產(chǎn)品可以利用這些信息，這是供應(yīng)商訂閱模式。”

雖然可以使用DXL，但供應(yīng)商必須成為Intel Security官方安全合作伙伴，思科的產(chǎn)品也是同樣的要求。

思科ISE提供一個門戶網(wǎng)站，其中會驗證你訪問網(wǎng)絡(luò)的身份。例如，ISE可以確定一個人的身份、他或她用于訪問該網(wǎng)絡(luò)的設(shè)備以及該設(shè)備中的操作系統(tǒng)和應(yīng)用。

“通過結(jié)合這些信息，我可以給你一種身份指紋，并可基于此分配政策，”思科安全訪問和移動部門高級產(chǎn)品營銷經(jīng)理Dave D’Aprile表示，“然后我們開始思考，如果我們可以獲取所有這些信息并共享呢，這就是pxGrid的起源。”

pxGrid獲取ISE用于分配安全政策的這些信息，并與其合作伙伴供應(yīng)商共享。然后這些合作伙伴供應(yīng)商就可以從網(wǎng)絡(luò)的角度提高其能力。

例如，一臺打印機連接到網(wǎng)絡(luò)，它會被標記為打印機。如果ISE看到這臺打印機突然發(fā)送數(shù)百封電子郵件到公司CEO，該行為讓ISE了解這個網(wǎng)絡(luò)連接可能不是真正的打印機。ISE會提供該打印機的IP地址和名稱(打印機H)以及物理位置(在二樓)，然后該打印機會被隔離以避免這個問題在網(wǎng)絡(luò)中傳播。

“你可能會花五六個月試圖找到企業(yè)中特定的IP地址，試圖確定，‘這個東西在哪里，我一定要阻止它，我不知道它在哪里，’”D’Aprile表示，“新增信息顯示：這是Dave的筆記本;他在這棟樓里面;我們可以隔離他，讓他不會造成更多傷害;我們還可以收拾他或者自動重定向他到服務(wù)器，讓他可以修復(fù)自己的筆記本電腦。這是通過這兩種不同的解決方案你可以創(chuàng)建和使用的所有政策，這也是pxGrid整合如何幫助提高安全性的一個例子。”

但是合作伙伴供應(yīng)商無法從ISE接收ISE從其他地方接收的信息，換句話說，這個過程不是雙向的。

“pxGrid和ISE完全連接在一起。現(xiàn)在，你將有一個獨立的合作伙伴來共享信息;ISE會分享其信息。”

“我們對未來的想法是，多個合作伙伴可以通過pxGrid共享信息，因為他們已經(jīng)在pxGrid上開發(fā)，隨后所有這些信息可以關(guān)聯(lián)到ISE，”思科高級產(chǎn)品營銷經(jīng)理Beth Barach表示，“現(xiàn)在還沒有完全實現(xiàn)，但這是pxGrid的終極理念。理想情況下，因為我們所有合作伙伴都在pxGrid開發(fā)與ISE交互，未來的目標是讓他們與ISE交互以及相互交互。”

Barach稱，她不會將pxGrid稱為消息架構(gòu)或總線。

“它更像是一個API，”Barach解釋說，“在開發(fā)pxGrid之前，我們通過API進行共享功能。然后，pxGrid被開發(fā)成一個更先進的API來取代之前的API。”

思科的做法似乎對合作伙伴相互分享信息較為放任。ISE在那里，接收所有合作伙伴的信息，如果其他合作伙伴沒有相互分享信息，思科并不關(guān)心。

Barach稱：“請記住，他們的大部分時間和精力都用在開發(fā)他們與ISE的整合，這是第一步。”

SIEM并不夠

安全信息和事件管理(SIEM)系統(tǒng)會從其他產(chǎn)品收集信息，獲得環(huán)境的整體視圖。如果出現(xiàn)惡意軟件網(wǎng)絡(luò)釣魚攻擊或可疑URL，這些數(shù)據(jù)會傳遞到SIEM系統(tǒng)。

“SIEM將這些信息整合到單個儀表板，”網(wǎng)絡(luò)安全供應(yīng)商Palo Alto Networks公司產(chǎn)品營銷、行業(yè)和項目副總裁Scott Gainey表示，“如果我在防火墻內(nèi)看到一些特定的警報，并且，我在我的終端設(shè)備和核心網(wǎng)絡(luò)看到一些東西，我看到這些信息后，我可以推斷發(fā)生了一些嚴重的事情，并需要進行深度調(diào)查。”

SIEM系統(tǒng)需要分析來確保信息被讀取，并且在危險的情況下，會采取相應(yīng)的行動。IT分析公司Gartner研究副總裁Anton Chuvakin非常支持SIEM，但他擔心企業(yè)對這項技術(shù)不屑一顧，因為他們并沒有利用得當。Chuvakin表示，SIEM的主要問題在于人們?nèi)绾问褂盟蛘吒_切地說，不使用它。Chuvakin強調(diào)說，SIEM并不是讓企業(yè)可以“一勞永逸”的自動運行產(chǎn)品，它需要安全管理人員的密切關(guān)注。

“人們希望有一個產(chǎn)品可以神奇地告訴他們發(fā)生了什么事，在很多情況下，這是不可能實現(xiàn)的目標，”Chuvakin表示，“這就像讓微波爐烹制你喜歡的菜肴。你買來微波爐，它就可以馬上烹飪你喜歡的菜，它怎么會知道怎么做?”

DXL和pxGrid背后的想法是，信息收集和隨后的響應(yīng)可以實現(xiàn)自動化。IT專業(yè)人員不需要篩選龐大的警報信息和誤報信息。

在試圖實現(xiàn)整合的過程中，供應(yīng)商在代碼行中添加代碼來整合其系統(tǒng)。而Palo Alto公司的Gainey表示，太多添加代碼會減慢網(wǎng)絡(luò)，讓其運行效率低下。

“如果你真的開始打開一些安全功能，20 Gbps會下降到5 Gbps每秒，”Gainey表示，“你會失去整個性能水平。現(xiàn)在，作為安全專業(yè)人員，你會與網(wǎng)絡(luò)團隊意見完全不一致，你會說，‘把那個東西關(guān)閉，因為這完全拖慢了網(wǎng)絡(luò)’。”

而賽門鐵克公司技術(shù)戰(zhàn)略副總裁Kenneth Schneider并不認同這種產(chǎn)品整合會給網(wǎng)絡(luò)帶來這樣的影響。賽門鐵克去年推出了Synapse，這個安全通信服務(wù)旨在關(guān)聯(lián)端點、電子郵件系統(tǒng)和網(wǎng)關(guān)之間的安全信息。賽門鐵克稱其與很多下一代防火墻(NGFW)供應(yīng)商合作來解決惡意軟件出現(xiàn)后帶來的問題，以減少對網(wǎng)絡(luò)的影響。

“對于這些類型的交互，實際并沒有涉及龐大的數(shù)據(jù)量，”Schneider表示，“你可以仔細想想，NGFW會獲取大量數(shù)據(jù)，但隨后它會抓住惡意軟件，分析它，并獲取相關(guān)的信息。在我們談?wù)摰倪@種整合中，實際并沒有這么大的網(wǎng)絡(luò)影響。只有分析后的信息會在網(wǎng)絡(luò)中傳輸，而不是原始數(shù)據(jù)。”

ISE或TIE系統(tǒng)與終端、網(wǎng)絡(luò)、云計算及其他產(chǎn)品結(jié)合可以實現(xiàn)快速響應(yīng)。而SIEM系統(tǒng)與ISE或TIE結(jié)合不僅允許發(fā)現(xiàn)和警報信息，還可以發(fā)送解決方案來應(yīng)對威脅。思科的D’Aprile表示，其目標是希望推動更快的修復(fù)以及減少響應(yīng)時間，這是非常關(guān)鍵的因素。#p#

開放

D’Aprile表示，pxGrid旨在成為一個開放標準。“我們已經(jīng)在IETF開放它，”他表示，“它可以供人們查看和使用。”

ISE是一個開放的API，人們可以用它來與Intel Security訪問控制產(chǎn)品進行基本通信。但是他們需要成為合作伙伴并使用pxGrid，這不禁讓人懷疑該標準到底有多開放。

供應(yīng)商都可以聯(lián)系Intel Security以加入安全創(chuàng)新聯(lián)盟(SIA)，該組織已經(jīng)做了一些努力以實現(xiàn)雙向信息共享，包括招募了ForeScout和FortScale等供應(yīng)商。根據(jù)Intel Security公司的Wood表示，約170個合作伙伴已經(jīng)整合了Intel Security技術(shù)的不同方面。DXL是上述合作伙伴提供的功能之一。

“我們正在試圖實現(xiàn)更廣泛的開放化，”Wood稱，“英特爾喜歡做的事情之一是制定標準，目前我們正在評估我們應(yīng)該如何去做。讓它完全開放化是很好的事情。”

英特爾確實喜歡制定標準，該公司參與了全球范圍的以太網(wǎng)、USB和藍牙標準的制定?，F(xiàn)在，他們正在計劃制定消息總線標準。

Wood解釋說，過渡到完全開放化會很慢，因為Intel Security需要確保該過渡過程中最終用戶的安全性，畢竟，安全是該公司的全部意義所在。

“基于消息總線技術(shù)，讓我們不必像過去那樣進行完整的API式的整合，這樣做問題是想要整合的任何人都需要與其他人整合，”Wood表示，“DXL開放化意味著第三方供應(yīng)商可以整合到DXL并訂閱TIE。他們會通過我們的合作伙伴計劃得到DXL開發(fā)套件，然后整合到其產(chǎn)品，讓他們可以監(jiān)聽適當?shù)那馈?rdquo;

制定標準

行業(yè)標準很難制定，但最終，我們會看到單個安全通信標準，它不會偏袒任何供應(yīng)商。例如，思科不必讓步于Intel Security來使用共同安全生態(tài)系統(tǒng)或威脅情報交換。

“在我看來，在RSA大會應(yīng)該會有很多關(guān)于開放標準、API和網(wǎng)絡(luò)安全中間件的討論，”ESG安全分析師Jon Oltsik表示，“在這些領(lǐng)域的行業(yè)范圍的合作努力將會讓所有人受益，特別是網(wǎng)絡(luò)安全供應(yīng)商的客戶。”

在千禧年初，行業(yè)曾努力構(gòu)建企業(yè)服務(wù)總線(ESB)作為標準消息總線，讓各種應(yīng)用可以進行通信。ESB最終告吹，因為行業(yè)未能認識到ESB是什么的單一定義。

很多供應(yīng)商同意，信息共享的共同形式將最適合最終用戶，并可提高企業(yè)的安全性。但沒有供應(yīng)商希望與其競爭對手協(xié)商來建議這樣的共同標準或甚至是準確定義這種標準。這似乎是重蹈ESB問題。

與此同時，小型供應(yīng)商正在努力建立連接。Fortscale提供與思科、Splunk和McAfee的整合。Forescout提供與Splunk、McAfee與Palo Alto的整合。RSA則與McAfee、Palo Alto和思科整合。Gigamon與Citrix都與Palo Alto、思科和Splunk整合。IXIA是唯一整合所有者四個供應(yīng)商的公司。還有很多公司整合了上述兩個供應(yīng)商。因此，在選擇大型供應(yīng)商產(chǎn)品時，消費者可以選擇大量較小型供應(yīng)商產(chǎn)品以進行整合。

開放標準：為什么不呢?

“惡意軟件攻擊者總是試圖在創(chuàng)新方面超越我們，而我們總是希望不會落后于攻擊者，所以共享數(shù)據(jù)肯定會有益于所有人，”卡巴斯基公司全球B2B營銷總監(jiān)Mark Bermingham表示，“唯一的問題是，這個市場的每個人都在試圖賺錢，所有供應(yīng)商必須能夠通過自己的產(chǎn)品組合來有效地賺錢，以確保他們能夠真正地發(fā)展。”

除了阻礙賺錢外，還有讓共享消息總線鎖定和可信賴的問題。“隨著命令和控制結(jié)構(gòu)可在50毫秒內(nèi)真正地改變企業(yè)中每臺計算機的行為，并作為非常值得信賴的安全支柱，我們想要確保管理基礎(chǔ)設(shè)施、流量控制、認證能力、撤銷能力以及與保護基礎(chǔ)設(shè)施相關(guān)的所有事物都得到很好地確定，”Wood解釋說，“這樣，我們的客戶可以完全信任他們可以控制自己的環(huán)境，無論他們使用了多少供應(yīng)商的產(chǎn)品。”

此外，標準通道會創(chuàng)建一個架構(gòu)，讓惡意攻擊者可以學(xué)會避免。換句話說，真正開放的威脅情報交換平臺可以被攻擊者訪問，然后他們可以利用這些信息來攻擊系統(tǒng)。

“這是標準面對的很大問題，”Bermingham表示，“從現(xiàn)在已經(jīng)部署的標準來看，標準不僅可以讓卡巴斯基等供應(yīng)商來構(gòu)建，而且惡意軟件編寫者也可以訪問標準來學(xué)習(xí)如何繞過標準。”

“所以，制定標準可能有趣且有用，但這也有些危險，”Bermingham表示，“因為標準的本質(zhì)意味著它們是公開可用的，而攻擊者總是在想方設(shè)法來避開惡意軟件檢測功能。”

安全鏈是否無堅不摧?

在大多數(shù)情況下，安全供應(yīng)商似乎對通過威脅情報交換中心共享信息以及通過虛擬管道和消息總線等線路整合產(chǎn)品感到興奮，但他們對此也有所猶豫，他們擔心失去其專利產(chǎn)品，這是目前安全供應(yīng)商面臨的困境。

“安全領(lǐng)域的老話說，網(wǎng)絡(luò)安全鏈是否強大取決于其最薄弱環(huán)節(jié)，”ESG的Oltsik表示，“然而，在過去企業(yè)安全還沒有類似的安全鏈，只有不一致的金屬環(huán)。鑒于當前的威脅環(huán)境，連接這些環(huán)節(jié)變得非常重要，而不是挑選最優(yōu)秀的單個安全產(chǎn)品。”

雖然每個供應(yīng)商似乎認為共享信息是保護其客戶的最佳方式，即使是那些對通用標準有意見的供應(yīng)商，但到目前為止，這種想法還沒有帶來明確的解決辦法。

“如果整個行業(yè)共同應(yīng)對這個問題，客戶肯定會受益，”Bermingham表示，“但這樣做具有挑戰(zhàn)性，因為這意味著15年到20年的競爭對手突然需要決定是否合作，這是個很艱難的決定。”