直擊RSAC 2021 |三大誤解制約情報共享發展程式，看360數字安全能力體系如何破局

至少10年前，隨著高階持續性威脅（APT）和定向攻擊被大家廣泛重視，威脅情報利用和共享的重要性也隨之被各界普遍認同。因為在網路空間的非對稱戰爭中，防守方如果想要獲得制勝先機，就必須依賴情報共享，來最大程度降低防守成本，並指數級提升攻擊者的成本。

然而，各國推進情報共享的程式卻並不平坦，網路安全領域各處都留存下“資訊共享倡議”的殘骸。即便是美國發展多年的ISAC（資訊共享和分析中心）體系，在其國內也是飽受質疑。

在今年的RSAC大會上，全球最重要的情報共享組織之一網路威脅聯盟（Cyber Threat Alliance）的CEO  Michael Daniel  發表了《錯誤的假設：為什麼情報共享失敗》的主題演講，從一個情報共享實踐老兵的角度給出了自己的答案。

情報共享成攻防對抗制勝“金鑰”

三大誤解制約發展程式

在Daniel看來，情報共享之所以會挫折不斷，是因為在這個領域一直存在3個錯誤的假設：

1.認為網路威脅情報是一種純粹的技術資料

而實際中，情報當前的發展已經脫離檔案、IP、域名信譽的階段很久了，從情報價值角度看，更重要的是惡意屬性背後的業務風險、緩解措施、攻擊意圖、技戰術手法、組織能力和背景等資訊，而單純的黑白判定在安全運營中能發揮的價值非常低。這點在情報圈內也許覺得清楚明白，但在更廣闊的市場看，對不同層次的戰術、作戰、戰略情報的呈現內容和價值有了解的人還並不多。

2.認為所有組織都應該共享這些資料

現實的困難會造成這個假設不成立：首先很多企業沒有情報分析、生產能力，也就難以提供相關自身行業、網路的情報；其次不同行業業務（或地域、企業規模）不同，因此威脅相關性和需求也不同，彼此共享能得到的價值很不確定；再次從使用角度看，如果情報是為了支撐決策，那麼一個企業真正做的安全決策其實很少，那麼是否支撐了這些決策的情報資訊才是企業比較優勢的所在。

3.認為組織間建立共享通道後，共享就會很容易

實際上高質量的情報共享還需要更多保障：信任、金錢、時間和關注。首先，需要相信共享的接收方可以妥善的處理情報，這種信任必須隨著時間推移不斷增加；其次，免費的情報也許不錯，但不夠好，難以解決問題。只有保證透過資金的投入來確保回報，才能保障有足夠的價值；最後，共享活動是需要有穩定的人力投入，並獲得關注，否則難以為續。

360助力突圍情報共享困局

護航數字時代的騰飛中國

隨著全球數字化轉型的加速，以大資料、人工智慧、5G等為代表的新型數字技術，讓傳統業務的原有流程、環境以及架構體系完成迭代升級。與此同時，安全威脅無處不在、無孔不入。其中，高階持續性威脅（APT）由於具備定向性、長期持續、隱蔽潛伏等攻擊特點，安全人員運用傳統的檢測手段無法辨別和發現，情報共享更加顯得尤為重要。

作為數字經濟的守護者，360政企安全集團基於15年攻防實戰經驗及230億安全研發投入，打造出以360安全大腦為核心的數字安全能力體系，有效的解決了情報共享的難題。

首先，360政企安全集團認識到傳統的威脅情報平臺（TIP）僅是做威脅情報的匯聚和消費，並不足以支撐關鍵基礎設施的防護。因此，其提出了情報基礎設施解決方案，希望針對城市、行業及大型企業，能夠協助建立情報分析和生產能力和共享標準，並提供運營支撐，從而可以促進形成國家、城市、行業的情報共享生態，提高網路彈性，以應對數字時代的新威脅與大挑戰。

其次，針對國內大部分場景還侷限在為IP、域名、URL、HASH等戰術情報做檢測的情況，360政企安全集團提出了智慧情報的概念，希望讓市場瞭解情報除了可以讓檢測更及時外，還可以讓運營更高效、決策更智慧，並據此提供了更豐富的情報種類；同時也在情報中傾注更多精力去提供完善的上下文資訊，讓情報消費者對威脅可以有更詳盡的瞭解，以支撐報警排序和事件處置的運營決策。

結合以上解決方案所產出的關聯威脅情報，不僅可以對攻擊方進行組織畫像和溯源；利用威脅情報構建的攻擊知識庫，還能夠實現對APT攻擊的智慧化攻擊意圖推理及樣本變種自動化跟蹤。在資訊共享和事件應急場景下，根據威脅情報反映的網際網路安全態勢，更是有助於預判後續可能的安全風險，使得響應網路威脅的速度更快，高效塑立了“預防、抵禦、恢復、適應”的網路彈性。

這套流程讓360政企安全集團目前已累計發現CIA 、海蓮花、摩訶草、美人魚等境外APT組織40餘個，以“看見”網路攻擊、威脅的能力，嚴守國家第一道網路安全防線。

值得一提的是，從當前國內推進情報共享的進展來看，已經實施的相關舉措和時代對於這一輩中國網安人的希冀相比，依舊顯得遠遠不夠；從情報共享生態對國家網路空間戰略的價值來看，為應對數字時代更多有組織的專業網路犯罪團伙，針對情報共享的投入也亟待提升。只有有效建立國家、行業、城市不同層次，互成體系的情報共享機制，才能進一步形成具備足夠縱深、高度韌性的安全能力，為數字時代的騰飛中國保駕護航。