与网络安全信息共享法案(CISA)联邦调查局正试图让共享威胁情报变得更有吸引力,但这对企业处理可能大量发生的安全事件以及找出哪些需要检查的高昂成本没有太大帮助。
专家表示,要决定分享哪些数据,订阅哪些威胁情报,以及需要什么工具来将可能有价值的信息转化为行动,需要大量资源。
451 research的信息安全研究主管斯科特•克劳福德(Scott Crawford)表示:“他们真的必须在其中加入一些人。”而这样做的成本可能很高,使得许多组织无法进行内部分析。但他表示,一些分类和汇总工作可以通过威胁情报平台实现自动化,这些平台由诸如此类的供应商提供BrightPoint安全,ThreatConnect和ThreatStream。
他们聚合feed并提供关于外部威胁的情报,同时也理解一个组织的安全基础设施已经在收集的内部威胁情报。虽然比人工筛选情报信息便宜,但它的价格仍然很高。他表示:“交易高达六位数,因此即便是自动化操作,成本也很高。”
这就导致了只有拥有最多资源的企业才能利用全面的威胁情报。克劳福德称之为1%的安全。
有大量的威胁信息,包括开源的和商业的,但不是所有的威胁情报信息都是平等的。例如,据研究人员Alex Pinto和AlexandreSieira(都是开源的)说,对开源提要的统计分析发现,它们维护得有很大差异机器学习安全项目(MLSec),他们在黑帽大会上展示了他们的研究结果。
他们进行了一项新颖的测试,以衡量每天有多少新的指示符到达和消失在订阅源中,并发现一些新的事件增加,但没有删除,一旦它们不再构成威胁。这意味着终端用户必须弄清楚哪些仍然有用。“他们不是在为你工作,”平托说。他说,健康的饲料会自我检讨,以跟上形势的变化。
研究人员观察了feed更新的频率,一个指标在被删除之前在feed上停留了多长时间,以及它们的内容与最终用户组织收集到的数据有多少重叠。
他们说,在他们分析的数据中,在一个饲料中发现的指标数量超过了95%。“它的独特性令人震惊,”平托说,所以要获得足够的feed、对所有指标进行分类并采取行动是一项艰巨的任务。
然而,许多安全专家建议使用更多的feed。例如,harry sverdlove +炭黑刚刚加入Facebook的ThreatExchange该网站由包括Dropbox、Pinterest、PayPal和微软在内的100多家提供威胁信息的公司提供。
提供更多的提要,一件好事,但客户仍然需要监测和评估其有效性决定是否他们想继续使用,本·约翰逊说,首席安全策略师harry sverdlove +炭黑,其威胁指标服务使用多个源识别攻击中收集的数据从客户端点。
企业需要问三件事。每天有多少feed是新的?每天有多少钱过期?有多少提要是由提供者直接创建的,有多少是聚合其他提要的?
他说,Facebook的“威胁交换”系统内的威胁信息是根据提交信息的实体对其重要性进行排名的,但这些排名是否有用仍要由使用该网站的企业来决定。这个过程可以与基于策略分析数据的自动化平台一起得到帮助。他表示:“手动操作不一定越多越好,但自动化操作会更好。”
他说,加入在会员中共享威胁情报的行业组织也是一种很好的策略,但它本身也会带来麻烦。
该公司的执行董事查理•本韦(Charlie Benway)表示,法律因素开始发挥作用高级网络安全中心(ACSC)这是一个致力于共享网络威胁信息的联盟。
加入共享组需要签署一份法律协议,该协议规定参与者必须获得c级批准才能加入共享组并共享信息。通常,参加会议的成员都是工程师和安全分析师——战壕里的人。他们正在寻找攻击者正在使用什么工具,他们在追求什么,以及如何补救攻击。他们分享了他们发现的威胁指标,这给了其他人找到针头的一个优势。
成员们已经从其他渠道获得了威胁情报,但发现这是压倒性的。“他们拿着一堆干草,发现很难找到与自己相关的针,也很难找到将其融入日常操作的方法,”本威说。
对该组织的调查显示,10名成员中有9人在ACSC收集了他们在其他地方无法获得的信息。他说,数据的数量不同,但质量不同。
他们还希望技术支持虚拟共享,这将是更及时的,并基于标准,如STX格式和出租车传输数据。其目标是标准化并使其更易于使用。
该组织每隔周二开会一次,在“非常信任的关系”中分享网络威胁信息。他们的“网络星期二”通常会在一个房间里聚集30个人,然后通过视频会议再聚集十几个人。它包括该地区以外的人,他们都是具体的实践者——没有销售主管或其他高管。他说,这些组织的有效性是建立在信任的基础上的,而高管们会削弱这种信任。
参与者包括初创公司(往往是网络安全供应商)、大银行、保险公司甚至美联储。其他与会者包括来自国防、制药、保健和律师事务所的代表。其中大多数是大中型企业,它们拥有足够的资源,能够把时间花在会议上。
被称为信息共享和分析中心(ISAC)的行业组织可能会对参与活动收取费用,但还有其他费用,LANcope的威胁情报总监Gavin Reid说。所有的选择要么花费金钱和时间,要么购买情报。
需要用其他需要花费时间和精力收集的数据来充实提要。例如,对标记为可疑的域进行WhoIs检查可以帮助分析人员对威胁进行分析。“这不是无关紧要的,”他说。
他说,一种帮助是自动整理来自外部的威胁情报,并将其与内部安全机构收集的情报混合在一起。
本威表示,人员配备也是一个资金问题,因为职位数量过多,人手不足,这意味着合格的人才可以拿到高薪。企业可以对员工进行培训,但这需要资金和时间,而且一旦培训完成,为了留住他们,就不得不支付更高的薪水。学校的课程设置需要解决这个问题,但这将需要更多的时间。
共享的一个主要问题是,如果共享的数据以某种方式泄露了本应保密的个人身份信息,那么就有承担法律责任的风险。公司法律办公室还担心,分享有关实际违规行为的数据可能会让他们面临被指控玩忽职守的诉讼。
“人们不信任彼此,害怕信息会公开泄露,”科比·弗里德曼,首席执行官说Comilion它提供了一个共享平台,让用户可以控制如何访问他们的信息、谁可以访问信息以及信息可用的时间。
他说,企业认为共享非常有价值,因此一些企业成立了由非常信任的同事组成的小型非正式小组,如果不与某些竞争对手共享数据,这些小组可能会违反数据保护和隐私法规,甚至违反反垄断法。这是一条很好的路线。他说:“所以,你既要保住饭碗,又要做好工作。”
451研究公司的克劳福德说,尽管存在这些障碍,但企业需要利用共享的威胁情报。“你必须了解你是如何成为目标的,以及你的弱点。“你需要从外部资源获得情报,了解对手是如何接近你的。”
我们需要的是更多预先聚合的、自动化的威胁情报,让更多的企业能够负担得起,因为这类信息极其宝贵。“市场是否能应对这些趋势更实惠的产品高质量的情报还有待观察,”他说,在一份书面的分析情况,“但很少其他证券市场的发展做更多的帮助很多,而不仅仅是几个,来帮助所有的人。”