眾包威脅情報,企業安全團隊需要從消費者轉變為貢獻者
責編:gltian |2022-03-22 14:58:41
網絡安全行業一直存在著信息共享的問題。雖然眾包這一概念很了不起,我們也形成了一些威脅情報社區,但回顧過往歷史,仍少有成功經驗證明這是一個切實可行的主意,目前,眾包數據的來源仍以大量開源項目或第三方威脅情報供應商為主。有必要將這些高價值信息源進行整合,并對其給予相應的回報。對企業安全團隊來說,眾包的概念并不算新——很短時間內,我們的情報就可以在朋友圈、郵件、即時消息和其他信息平臺上完成共享。
隨著技術的發展與融合,我們也迫切希望能利用新技術助力情報分享得更多更快。我們希望能夠跟上每天不斷上漲的攻擊數量。但目前眾包威脅情報共享還遠未達到我們的預期。當看到攻擊者們出于利益、破壞或其他共同的邪惡目的迅速共享信息時,我們也會受到刺激,想要把協同防御做的更好。
協同防御的挑戰
即便“眾包威脅情報”是網絡安全社區一次不錯的嘗試,但距離其真正達成“協同防御”仍然有非常多的挑戰要克服。我把這些挑戰總結成四點,如下圖所示:
缺少情報指征不再是威脅情報利用的挑戰,相反,安全團隊被大量的威脅情報淹沒已經成為常態。這里缺少的是高質量的指征,即如何從噪音中獲取有價值的信號。當然,將關注點從“數量”轉移到“質量”并不容易。情報“質量”的提升需要成熟的安全團隊憑借技術能力對數據進行深度挖掘,而不是簡單籠統地接受所有傳進來的指征。
還有不少安全團隊在缺少上下文的情況下使用情報——這樣做是不正確的。上下文指的是圍繞指征的一系列有價值的數據。這不單單是眾包或某家供應商能夠解決的問題。每家公司都是根據自家情況為指征提供上下文,然而單獨一個指征在不同的業務場景下可以表示完全不同的結果,更何況將不同的公司提供的所有指征都整合在一起了。在威脅情報中增加上下文,這是使威脅情報發揮實用價值的基礎。特別在眾包模式下,貢獻情報的同時提供上下文更加有必要。
另一個安全團隊必須要考慮的問題是數據分享背后的法規風險。對于上述提到的信息分享過程中的各類其他問題,已經有企業級安全團隊具備了解決能力,這不足為奇。但很多時候,這么做還存在著法律合規層面的敏感與風險。法規風險雖然可以借助法務團隊,根據數據的業務場景、數據類型等等拆解成許多不同的細項問題加以規避,但是在很多公司,分享數據仍然是被嚴令禁止的。這樣的法規風險會讓人沮喪,因為攻擊者并不存在這樣的限制,我們只能眼睜睜地看著他們如此“成功”地驗證著情報共享的價值。
最后,為了正確地實現眾包威脅情報,企業安全團隊需要從情報消費者轉變為情報貢獻者。對于“眾包”來說,這一點尤為重要。多年來,很多公司都只是消費情報卻從不回饋。如果只有小部分公司為社區貢獻情報,這樣的社區是很難維持的。回饋社區的典型做法是,通過工具或腳本,從系統內部拉取數據,再提交給情報提供者。企業安全團隊中具備此種技能的人已經不多見了,因為這類人大多都在軟件工程師團隊中。越來越多成熟的企業安全團隊已經意識到了他們的價值,正在招收這類專家建立這方面能力。
來源:數世咨詢
上一篇:把握安全事件響應的黃金一小時
下一篇:低代碼開發會帶來更多安全問題嗎?