關於網路安全領域威脅情報共享問答Fortinet全球安全戰略官DerekManky

資訊共享仍然是全球網路安全中永恆的重要話題。作為一個行業，我們應該明白遏制網路犯罪的勢頭需要在網路、邊界和供應商之間共享可執行威脅情報資訊。在近期舉辦的RSA 2017大會上，Fortinet 的 Derek Manky 提出了一些觀點。

為什麼當前資訊共享如此重要？

在所有領域和公共或私有組織之間主動共享資訊是產業發展的必要條件。企業組織持續面對不斷髮展的威脅、日益擴大的攻擊表面和安全技術匱乏所帶來的挑戰。可執行資訊是當前從被動轉為主動、將網路罪犯繩之以法並進行懲罰的最佳方法。

為什麼資訊共享說時容易做時難?

問題在於資訊完整性的環境。難以將原始資訊置於圍繞攻擊者的更廣泛的資訊環境，比如攻擊者的身份、目的和攻擊的時間、地點和方法。在當前的大資料世界中，共享資訊需要適合自動執行，而且不是每個人都擁有共享適合自動執行的資訊方面的經驗。資訊共享同樣講究快速，不應低於黑帽攻擊者的行動速度。– 共享資訊必須真實可靠，特別是涉及自動化執行時。最後，保密性和隱私問題使得形勢更加複雜，但是可以通過只共享非個人可識別資訊加以解決。

對於當前的安全供應商，資訊共享意味著什麼？

安全控制必須能夠自動信任和吸收威脅情報，並根據威脅情報採取行動。否則，將無法管理當前存在的大量威脅情報（以後還會有更多的威脅情報）。面臨的挑戰：目前一般的安全團隊通過監控獨立的安全控制檯，力圖對部署在其混合與分散式網路範圍內日益增多的裝置和技術進行管理、評估並提供安全防護。很多時候，為了應對威脅，他們最終不得不對比日誌檔案、人工關聯資料和手動更改裝置之間的策略。這就意味著太多的威脅將成為漏網之魚，即使能夠檢測到一兩個威脅，這樣的響應時間對於以機器速度進行的攻擊顯得太過緩慢。這實際上是當前網路安全所面臨的日益嚴重的大資料問題。直到最近，在不同實體之間交換資訊的嘗試因所採用的特別方法變得更加複雜。這也將成為本年度 RSA 大會的熱議話題。

人們通常所說的資訊共享是雙向的。是否屬實？

既然資訊的消費、整合和關聯可以帶來明顯好處，請時刻思考您和您的組織怎樣才能對這些資訊反饋進行回饋。這樣做可以為您的組織帶來實實在在的利益——特別是考慮到攻擊趨勢從針對特定平臺的廣泛攻擊演變為如今高度複雜、多重向量的針對性攻擊。所以，可見性範圍越廣闊（通過共享威脅資訊實現），我們檢測並緩解這些威脅的能力就越強。

網路威脅聯盟（CTA：Cyber Threat Alliance）是供應商攜手提高資訊共享效果、共創行業美好未來的成功範例。即使是競爭對手，我們也一起努力通過情報協作與共享將我們的願景付諸實踐。

Fortinet採取什麼措施推動進一步資訊共享？

Fortinet‘Security Fabric’可關聯威脅情報以確定風險等級並自動同步協調一致的響應。該技術還可以動態隔離感染病毒的裝置、劃分網段、更新規則、推送新策略和刪除惡意軟體。

Fortinet 還在該領域與全球執法機構、政府部門和行業組織持續合作，積極引領威脅情報標準和協議的未來發展方向。

一年多來，Fortinet 積極參加國際刑警組織專家工作組並於去年協助抓獲一個全球網路犯罪團伙。

此外，作為網路威脅聯盟（CTA）的創始成員，我們致力於與業界合作伙伴和執法機構密切合作以檢測和打擊網路犯罪活動。CTA 發起的“Cryptowall 程式碼破解”活動對造成3.25億美元損失的Cryptowall勒索軟體進行關鍵研究，就是一個很好的例子。Fortinet還是OASIS網路威脅情報（CTI）組織成員，致力於推動協作性威脅情報與資訊共享以促進全球社會安寧與經濟發展。

每個安全供應商都肩負一個艱鉅使命——讓世界變得更加安全，使人們能夠放心地進行互動、做生意、交流思想。共享關鍵威脅情報就是該責任的重要組成部分。公共和私營部門在該領域的合作將繼續成為 Fortinet 未來的主要關注點。

原文釋出時間為： 2017年3月1日

本文來自雲棲社群合作伙伴至頂網，瞭解相關資訊可以關注至頂網。