至少10年前,隨著高階持續性威脅(APT)和定向攻擊被大家廣泛重視,威脅情報利用和共享的重要性也隨之被各界普遍認同。因為在網路空間的非對稱戰爭中,防守方如果想要獲得制勝先機,就必須依賴情報共享,來最大程度降低防守成本,並指數級提升攻擊者的成本。
然而,各國推進情報共享的程式卻並不平坦,網路安全領域各處都留存下“資訊共享倡議”的殘骸。即便是美國發展多年的ISAC(資訊共享和分析中心)體系,在其國內也是飽受質疑。
在今年的RSAC大會上,全球最重要的情報共享組織之一網路威脅聯盟(Cyber Threat Alliance)的CEO Michael Daniel 發表了《錯誤的假設:為什麼情報共享失敗》的主題演講,從一個情報共享實踐老兵的角度給出了自己的答案。
情報共享成攻防對抗制勝“金鑰”
三大誤解制約發展程式
在Daniel看來,情報共享之所以會挫折不斷,是因為在這個領域一直存在3個錯誤的假設:
1.認為網路威脅情報是一種純粹的技術資料
而實際中,情報當前的發展已經脫離檔案、IP、域名信譽的階段很久了,從情報價值角度看,更重要的是惡意屬性背後的業務風險、緩解措施、攻擊意圖、技戰術手法、組織能力和背景等資訊,而單純的黑白判定在安全運營中能發揮的價值非常低。這點在情報圈內也許覺得清楚明白,但在更廣闊的市場看,對不同層次的戰術、作戰、戰略情報的呈現內容和價值有了解的人還並不多。
2.認為所有組織都應該共享這些資料
現實的困難會造成這個假設不成立:首先很多企業沒有情報分析、生產能力,也就難以提供相關自身行業、網路的情報;其次不同行業業務(或地域、企業規模)不同,因此威脅相關性和需求也不同,彼此共享能得到的價值很不確定;再次從使用角度看,如果情報是為了支撐決策,那麼一個企業真正做的安全決策其實很少,那麼是否支撐了這些決策的情報資訊才是企業比較優勢的所在。
3.認為組織間建立共享通道後,共享就會很容易
實際上高質量的情報共享還需要更多保障:信任、金錢、時間和關注。首先,需要相信共享的接收方可以妥善的處理情報,這種信任必須隨著時間推移不斷增加;其次,免費的情報也許不錯,但不夠好,難以解決問題。只有保證透過資金的投入來確保回報,才能保障有足夠的價值;最後,共享活動是需要有穩定的人力投入,並獲得關注,否則難以為續。
360助力突圍情報共享困局
護航數字時代的騰飛中國
隨著全球數字化轉型的加速,以大資料、人工智慧、5G等為代表的新型數字技術,讓傳統業務的原有流程、環境以及架構體系完成迭代升級。與此同時,安全威脅無處不在、無孔不入。其中,高階持續性威脅(APT)由於具備定向性、長期持續、隱蔽潛伏等攻擊特點,安全人員運用傳統的檢測手段無法辨別和發現,情報共享更加顯得尤為重要。
作為數字經濟的守護者,360政企安全集團基於15年攻防實戰經驗及230億安全研發投入,打造出以360安全大腦為核心的數字安全能力體系,有效的解決了情報共享的難題。
首先,360政企安全集團認識到傳統的威脅情報平臺(TIP)僅是做威脅情報的匯聚和消費,並不足以支撐關鍵基礎設施的防護。因此,其提出了情報基礎設施解決方案,希望針對城市、行業及大型企業,能夠協助建立情報分析和生產能力和共享標準,並提供運營支撐,從而可以促進形成國家、城市、行業的情報共享生態,提高網路彈性,以應對數字時代的新威脅與大挑戰。
其次,針對國內大部分場景還侷限在為IP、域名、URL、HASH等戰術情報做檢測的情況,360政企安全集團提出了智慧情報的概念,希望讓市場瞭解情報除了可以讓檢測更及時外,還可以讓運營更高效、決策更智慧,並據此提供了更豐富的情報種類;同時也在情報中傾注更多精力去提供完善的上下文資訊,讓情報消費者對威脅可以有更詳盡的瞭解,以支撐報警排序和事件處置的運營決策。
結合以上解決方案所產出的關聯威脅情報,不僅可以對攻擊方進行組織畫像和溯源;利用威脅情報構建的攻擊知識庫,還能夠實現對APT攻擊的智慧化攻擊意圖推理及樣本變種自動化跟蹤。在資訊共享和事件應急場景下,根據威脅情報反映的網際網路安全態勢,更是有助於預判後續可能的安全風險,使得響應網路威脅的速度更快,高效塑立了“預防、抵禦、恢復、適應”的網路彈性。
這套流程讓360政企安全集團目前已累計發現CIA 、海蓮花、摩訶草、美人魚等境外APT組織40餘個,以“看見”網路攻擊、威脅的能力,嚴守國家第一道網路安全防線。
值得一提的是,從當前國內推進情報共享的進展來看,已經實施的相關舉措和時代對於這一輩中國網安人的希冀相比,依舊顯得遠遠不夠;從情報共享生態對國家網路空間戰略的價值來看,為應對數字時代更多有組織的專業網路犯罪團伙,針對情報共享的投入也亟待提升。只有有效建立國家、行業、城市不同層次,互成體系的情報共享機制,才能進一步形成具備足夠縱深、高度韌性的安全能力,為數字時代的騰飛中國保駕護航。