https://static.jiayezz.com/4d/d693d8a43af7497b05602805bf1a9c

在威胁和攻击的不断变化升级的网络环境下,能及时获得信息和情报至关重要,这样才能保护组织和企业免遭数据破坏和安全事故。恶意行为者的组织越来越聪明且复杂,传统的防御方法和工具在应对不断出现的新威胁时经常败下阵来。

一个解决方法是威胁情报,以共享的方式报警新的攻击和数据泄露,以避免更多的受害者受到威胁。威胁情报共享的手段正在逐步成熟,衍生出网络威胁联盟来共同分享信息,保护客户安全并为供应商和研究人员提供解决方案。我们也看到政府主导参与其中,比如网络安全信息共享法案(CISA)的产生 。

网络威胁情报共享不断演化,最终形成平台和标准以帮助企业收集、整理、共享并识别威胁情报源。网络威胁情报也有助于缩短攻击的时间 。

处理不断变化的威胁形式

从内部网络和病毒定义库收集的信息可以作为威胁情报的来源,但还需要应对恶意IP地址和各种域,以发现黑客攻击、被劫持的网站、受感染的文件和虚假网页。

Webroot网络安全公司的安全情报总监Milbourne说:“当今网络威胁环境是不断变化的,还使用传统的安全方法检测已经不可能了 。”该公司的2016年威胁报告发现,2015年有97%的恶意软件连接到单独的终点,每天有超过10万个新的恶意IP地址产生。Milbourne强调有必要领先目前的威胁,并能够预测未来的攻击,这可以通过威胁情报生态系统来实现。

现在,许多高科技公司都开始提供建立在网络威胁情报共享概念上的安全解决方案。 Webroot公司的专有智能共享平台BrightCloud,可以从端点中收集威胁情报,并与安全厂商合作,提供有价值的实时威胁和可视性攻击行为。

威胁情报共享应该成为所有安全计划的一个重要方面。

去年,IBM公司宣布了自己的威胁情报共享的倡议,基于云的X-Force平台,允许客户分享情报,以对抗黑客的攻击。

“这种以社区为基础的方法使安全团队和实时威胁彼此关联,只要在一个端点检测到威胁,使用该平台的所有其他端点都立即通过这种方式来加以应对。”

威胁情报共享面临的挑战

 火眼网络安全公司的系统工程师说:“大量的原始的,未计算的原始数据最终会增加额外的负担,为安全团队增加了工作难度。“

业界同行之间的合作可以帮助提高共享情报的质量,因为威胁和攻击通常针对特定行业,如金融,银行或零售。这样一来,行业领导者能够更好地了解威胁状况并深入了解同行的处理方式,从而更好地调整自己的做法。

产业层面的威胁分享的实例有最近推出的国家间ICS / SCADA威胁共享,这发生在对乌克兰电网的一个门户网站的攻击之后。

FireEye火眼公司的已经实施了这种威胁共享平台模式,使客户能够开发出可信赖的威胁共享社区。最近与Visa合作开发共同威胁情报平台专注于发现对Visa客户的网络威胁。

业务,隐私和法律问题也是在共享威胁信息的障碍。正如Palo Alto Networks高级威胁情报经理Scott Simkin在专栏文章中指出,安全厂商此前已不愿共享信息,因为害怕失去竞争优势,私营企业怕无意中共享出客户敏感信息和政府机构的敏感信息。

其中一些问题可以通过使用STIX,TAXII和CyBox等标准来解决,这是一组标准化的威胁信息,并参考IOC指标提供的规格和其他经过处理的数据避免泄露个人身份信息(PII)。CISA法案也有助于解除一些企业和组织对于暴露敏感信息的担心 。

至于业务方面,鉴于每天出现的新威胁数量如此之多,应该慢慢说服供应商共享威胁信息可能是他们保护自己利益的唯一途径。

威胁情报共享的背后

各种各样的网络威胁迫在眉睫, 任何个人或组织的利益都面临受损的威胁。Carbonite  Global Sales的高级副总裁Chris Doggett建议,这个问题只有通过各个不同的领域参与处理网络威胁加以解决,其中应包括“共享网络威胁情报合作,以最大限度地减少漏洞,对网络空间的可接受行为的全球标准达成共识,和国际合作,加强地方法律和国际标准。“

最近的勒索威胁不断增加,已经开始以爆炸式的速度增长,导致受害者们高达数百万美元的损失。一个正在实施的应对方法是,政府机构、网络安全公司和执法部门联合起来打击勒索软件,并提供有效保护和恢复解决方案,逮捕的攻击背后的罪犯。

在防御级别,高科技企业也在不断分享有关勒索攻击的信息,以更好地了解如何避免它,提高安全工具和反恶意软件工具的有效性。公司正联合起来改进数据保护和恢复的解决方案,例如云备份和数据完整性工具,安全厂商正在努力破解特定类型的勒索的加密算法,并升级安全防御方案和工具。

安全研究人员与地区和国家的执法机构合作,参与跟踪和逮捕网络罪犯。一个例子是卡巴斯基实验室与荷兰科技罪案组合作缉拿CoinVault和BitCryptor活动背后的罪犯。

Carbonite公司正在努力开发自己的专有工具,以帮助更快更有效地追踪恶意软件攻击。 Doggett 说:“根据我们所收集到的数据,我们研究其中的信息并与他人分享,我们现在是从思想领导力的角度积极参与,尽自己的力量来集结所有用户和组织的知识,我们相信这将保证用户避免成为今后勒索攻击的受害者。“

共享是一种关怀

网络犯罪分子已经分享彼此的知识、工具和经验很长一段时间了,这给他们带来了巨大的成功,在过去的几个月和几年里,都有发生过重大的数据泄露事件。而反威胁的各大技术社区也应该加强共享来进行应对。

威胁情报共享已经有效地帮助实时检测威胁和保护用户免受恶意攻击。所以对于应对未来的威胁,它应该成为任何组织安全计划的一个重要方面 。

文章原文链接:https://www.anquanke.com/post/id/83918