網(wǎng)絡(luò)安全行業(yè)一直存在著信息共享的問題。雖然眾包這一概念很了不起，我們也形成了一些威脅情報(bào)社區(qū)，但回顧過往歷史，仍少有成功經(jīng)驗(yàn)證明這是一個(gè)切實(shí)可行的主意，目前，眾包數(shù)據(jù)的來源仍以大量開源項(xiàng)目或第三方威脅情報(bào)供應(yīng)商為主。有必要將這些高價(jià)值信息源進(jìn)行整合，并對(duì)其給予相應(yīng)的回報(bào)。對(duì)企業(yè)安全團(tuán)隊(duì)來說，眾包的概念并不算新——很短時(shí)間內(nèi)，我們的情報(bào)就可以在朋友圈、郵件、即時(shí)消息和其他信息平臺(tái)上完成共享。

隨著技術(shù)的發(fā)展與融合，我們也迫切希望能利用新技術(shù)助力情報(bào)分享得更多更快。我們希望能夠跟上每天不斷上漲的攻擊數(shù)量。但目前眾包威脅情報(bào)共享還遠(yuǎn)未達(dá)到我們的預(yù)期。當(dāng)看到攻擊者們出于利益、破壞或其他共同的邪惡目的迅速共享信息時(shí)，我們也會(huì)受到刺激，想要把協(xié)同防御做的更好。

協(xié)同防御的挑戰(zhàn)

即便“眾包威脅情報(bào)”是網(wǎng)絡(luò)安全社區(qū)一次不錯(cuò)的嘗試，但距離其真正達(dá)成“協(xié)同防御”仍然有非常多的挑戰(zhàn)要克服。我把這些挑戰(zhàn)總結(jié)成四點(diǎn)，如下圖所示：

缺少情報(bào)指征不再是威脅情報(bào)利用的挑戰(zhàn)，相反，安全團(tuán)隊(duì)被大量的威脅情報(bào)淹沒已經(jīng)成為常態(tài)。這里缺少的是高質(zhì)量的指征，即如何從噪音中獲取有價(jià)值的信號(hào)。當(dāng)然，將關(guān)注點(diǎn)從“數(shù)量”轉(zhuǎn)移到“質(zhì)量”并不容易。情報(bào)“質(zhì)量”的提升需要成熟的安全團(tuán)隊(duì)?wèi){借技術(shù)能力對(duì)數(shù)據(jù)進(jìn)行深度挖掘，而不是簡(jiǎn)單籠統(tǒng)地接受所有傳進(jìn)來的指征。

還有不少安全團(tuán)隊(duì)在缺少上下文的情況下使用情報(bào)——這樣做是不正確的。上下文指的是圍繞指征的一系列有價(jià)值的數(shù)據(jù)。這不單單是眾包或某家供應(yīng)商能夠解決的問題。每家公司都是根據(jù)自家情況為指征提供上下文，然而單獨(dú)一個(gè)指征在不同的業(yè)務(wù)場(chǎng)景下可以表示完全不同的結(jié)果，更何況將不同的公司提供的所有指征都整合在一起了。在威脅情報(bào)中增加上下文，這是使威脅情報(bào)發(fā)揮實(shí)用價(jià)值的基礎(chǔ)。特別在眾包模式下，貢獻(xiàn)情報(bào)的同時(shí)提供上下文更加有必要。

另一個(gè)安全團(tuán)隊(duì)必須要考慮的問題是數(shù)據(jù)分享背后的法規(guī)風(fēng)險(xiǎn)。對(duì)于上述提到的信息分享過程中的各類其他問題，已經(jīng)有企業(yè)級(jí)安全團(tuán)隊(duì)具備了解決能力，這不足為奇。但很多時(shí)候，這么做還存在著法律合規(guī)層面的敏感與風(fēng)險(xiǎn)。法規(guī)風(fēng)險(xiǎn)雖然可以借助法務(wù)團(tuán)隊(duì)，根據(jù)數(shù)據(jù)的業(yè)務(wù)場(chǎng)景、數(shù)據(jù)類型等等拆解成許多不同的細(xì)項(xiàng)問題加以規(guī)避，但是在很多公司，分享數(shù)據(jù)仍然是被嚴(yán)令禁止的。這樣的法規(guī)風(fēng)險(xiǎn)會(huì)讓人沮喪，因?yàn)楣粽卟⒉淮嬖谶@樣的限制，我們只能眼睜睜地看著他們?nèi)绱恕俺晒Α钡仳?yàn)證著情報(bào)共享的價(jià)值。

最后，為了正確地實(shí)現(xiàn)眾包威脅情報(bào)，企業(yè)安全團(tuán)隊(duì)需要從情報(bào)消費(fèi)者轉(zhuǎn)變?yōu)榍閳?bào)貢獻(xiàn)者。對(duì)于“眾包”來說，這一點(diǎn)尤為重要。多年來，很多公司都只是消費(fèi)情報(bào)卻從不回饋。如果只有小部分公司為社區(qū)貢獻(xiàn)情報(bào)，這樣的社區(qū)是很難維持的?；仞伾鐓^(qū)的典型做法是，通過工具或腳本，從系統(tǒng)內(nèi)部拉取數(shù)據(jù)，再提交給情報(bào)提供者。企業(yè)安全團(tuán)隊(duì)中具備此種技能的人已經(jīng)不多見了，因?yàn)檫@類人大多都在軟件工程師團(tuán)隊(duì)中。越來越多成熟的企業(yè)安全團(tuán)隊(duì)已經(jīng)意識(shí)到了他們的價(jià)值，正在招收這類專家建立這方面能力。