威脅情報的深度和廣度是安全廠商的主要區(qū)分因素這一概念已經(jīng)是安全行業(yè)廣為接受的認(rèn)知，而我們需要打破并改變這一看法。

[[151887]]

當(dāng)廠商和個人試圖將威脅情報秘而不宣，他們就限制了整個團隊在新威脅醞釀和爆發(fā)之初發(fā)現(xiàn)并減輕之的能力。入侵防御系統(tǒng)(IPS)簽名和基于主機的反惡意軟件產(chǎn)品就足以保證你網(wǎng)絡(luò)安全的時代早已遠(yuǎn)去。高端對手總在不斷部署逃避檢測的新方法。無論這些方法是以新漏洞利用、快速變形的惡意軟件還是新攻擊方法的形式出現(xiàn)，成功的數(shù)據(jù)泄露持續(xù)升級是不爭的事實。

攻擊的速率，無論在規(guī)模還是方法上，都在持續(xù)增長——意味著你的安全解決方案越快得到相關(guān)情報你就越安全。具體來講，你的解決方案必須有能力將攻擊活動和惡意組織特征集轉(zhuǎn)化為新的防御機制來阻止攻擊。這是很重要的特性，因為惡意軟件太容易改頭換面了，僅僅簡單地添加新病毒簽名查找特定文件遠(yuǎn)遠(yuǎn)不夠。相反，像攻擊者的命令與控制通信基礎(chǔ)設(shè)施的IP地址這樣的攻擊指示器(IOC)，卻在所有攻擊行動或攻擊團伙中非常常見。

威脅信息共享

觀察一下威脅情報通用語就會發(fā)現(xiàn)，安全廠商時常落入“大數(shù)字”陷阱，總在吹噓自己有“幾十億”甚至“上萬億”事件。這通常是條簡單出路，實際上給不出有關(guān)事件價值的深刻理解。在會議期間呈現(xiàn)在大屏幕上時，這些數(shù)字顯然聽起來很是令人印象深刻，但其中很多都是大家已經(jīng)知道的常見攻擊，不過是商品指標(biāo)而已。盡管情報廣度很重要，卻連全球最大的傳感器網(wǎng)絡(luò)都受制于其本質(zhì)。它只能洞察從單個網(wǎng)絡(luò)節(jié)點身上直接觀察到的事件。

為說明這一點，我們來做做數(shù)學(xué)題：

中型安全廠商每家有3萬客戶。簡單起見，我們假設(shè)全球有20家中型安全廠商吧。這就意味著這20家廠商有從60萬用戶收集威脅情報的可能性。

大型安全廠商每家有10萬客戶，假設(shè)有5家大型安全廠商。這些大型廠商總計能從50萬客戶那里收集數(shù)據(jù)。

這種情況下，有110萬潛在客戶可以貢獻(xiàn)威脅情報來幫助保護其他公司企業(yè)。問題在于，沒有哪家安全廠商能獲取到全部威脅情報的11%以上!現(xiàn)實世界中，提供安全解決方案的廠商當(dāng)然遠(yuǎn)遠(yuǎn)不止我們假設(shè)的那么點兒，意味著這些數(shù)字要比我們假設(shè)的大上幾個數(shù)量級。

作為安全領(lǐng)導(dǎo)者，如果你的廠商告訴你他們只能阻止10%可能的攻擊，你作何感想?對此感到滿意?但這一數(shù)字確實是迄今為止安全行業(yè)所能做出的回答?，F(xiàn)在，讓我們想想，如果安全廠商以自由開放的方式共享威脅情報，他們可以為安全社區(qū)提供什么價值?攻擊者不會關(guān)心你采用什么產(chǎn)品來保護你的網(wǎng)絡(luò)，你的安全態(tài)勢也不應(yīng)該受限于此。這并不是說每家安全廠商在創(chuàng)新方面和實現(xiàn)這一公共情報以阻止攻擊的方法上都是同等的，但我們應(yīng)該以這些標(biāo)準(zhǔn)而不是用他們數(shù)據(jù)庫的規(guī)模來衡量安全廠商。

為改變這一成見，我們必須為改變再加一把推力。下次你再與備選廠商談判時，問他們以下問題：

與同行同行威脅情報么?

可以通過共享情報構(gòu)建新防護措施么?

是不是工業(yè)級威脅情報共享組織的成員?

是怎樣與政府部門合作在公共部門和私營產(chǎn)業(yè)中共享數(shù)據(jù)的?

有些企業(yè)正在嘗試開拓威脅情報共享這一新途徑，國外的包括美國飛塔公司發(fā)起的網(wǎng)絡(luò)威脅聯(lián)盟、英特爾安全、Palo Alto Networks和賽門鐵克，信息共享與分析中心(ISAC)也在業(yè)界同行層級有參與。國內(nèi)比較有影響力的則是360的威脅情報共享中心，全世界幾十個國家的CERT共超過200多家企業(yè)和機構(gòu)申請分享360的威脅情報數(shù)據(jù)。

除了幫助廠商進行改變，或許應(yīng)該考慮一下怎樣聯(lián)合這些不同類型的組織，并與同行分享威脅情報。