网络安全行业一直存在信息共享的问题。虽然众包的概念很好,我们也形成了一些威胁情报社区,但回顾过去,仍然很少有成功的经验证明这是一个切实可行的想法。目前,众包数据的来源仍然是大量的开源项目或第三方威胁情报厂商居多。需要整合这些高价值的信息源,并给予相应的回报。对于企业安全团队来说,众包的概念并不新鲜——在短时间内,我们的情报可以在朋友圈、邮件、即时通讯等信息平台上共享。随着技术的发展和融合,我们也渴望利用新技术来帮助分享更多更快的智能。我们希望能够跟上每天不断增加的攻击次数。但目前的众包威胁情报共享还远未达到我们的预期。当我们看到攻击者为了利润、破坏或其他常见的恶意目的而迅速共享信息时,我们也有动力更好地协调防御。协同防御的挑战尽管“众包威胁情报”是网络安全界的一个很好的尝试,但要真正实现“协同防御”,还有很多挑战需要克服。我将这些挑战总结为四点,如下图所示:缺乏情报指标不再是威胁情报利用的挑战。相反,安全团队被大量威胁情报淹没已成为常态。这里缺少的是如何从噪声中提取有价值信号的高质量指示。当然,将关注点从“量”转移到“质”上并不容易。情报“质量”的提升,需要成熟的安全团队利用技术能力深入挖掘数据,而不是简单地接受所有传入的迹象。还有相当多的安全团队在没有上下文的情况下使用情报——这不是正确的做法。上下文是指围绕指示的一组有价值的数据。这不是众包或一家供应商可以单独解决的问题。每个公司根据自己的情况为一个指标提供上下文,但一个指标在不同的业务场景下可能代表完全不同的结果,更不用说整合不同公司提供的所有指标了。为威胁情报添加上下文是使威胁情报有用的基础。尤其是在众包模式下,更需要在贡献智能的同时提供上下文。安全团队必须考虑的另一个问题是数据共享背后的监管风险。毫不奇怪,已经有企业级安全团队能够解决上述信息共享过程中的各种其他问题。但在很多情况下,仍然存在法律合规层面的敏感性和风险。虽然在法律团队的帮助下可以规避监管风险,根据数据的业务场景和数据类型,可以拆解成很多不同的细节问题来规避,但在很多公司,共享数据仍然是被严格禁止的。这样的监管风险可能会令人沮丧,因为攻击者没有这样的约束,我们只能看着他们如此“成功”地证明情报共享的价值。最后,为了正确实施众包威胁情报,企业安全团队需要从情报消费者转变为情报贡献者。这对于“众包”尤为重要。多年来,许多公司只是简单地消耗情报,却从不回馈任何东西。如果只有少数公司为社区贡献智慧,很难维持这样的社区。回馈社区的典型做法是通过工具或脚本从系统内部拉取数据,然后提交给情报提供者。在企业安全团队中很难找到具有这种技能的人,因为他们中的大多数人都在软件工程团队中。越来越多成熟的企业安全团队已经意识到自己的价值,正在招募这样的专家来构建这种能力。
