什么时候才能真正实现威胁情报共享?

FreeBuf 2024-04-18 16:06:21

当谈论情报共享时,我们会不由自主的想到间谍、双重间谍、间谍活动以及其它秘密行动。 但今天,分享情报、与行业同行合作可能没有以前想象的那么隐蔽,更像是一种商业上的“当务之急”。特别是在与网络犯罪分子的斗智斗勇过程中,分享有关网络安全威胁和漏洞的信息至关重要。

事实上,从目前来看,共享部分盗取数据的“机会”和可利用漏洞的情报早已成为了网络犯罪分子更有效地实施攻击的必要手段。因此,无论是供应商还是企业组织都必须尽快开展合作,建立起情报网络系统、社区。

这里就要说一下五眼联盟(FVEY)了,该组织无疑是世界上最大、最持久的多国情报共享网络之一,联盟成立于二战后,是一个错综复杂的全球情报网,由美国、英国、加拿大、澳大利亚和新西兰五个国家组成,是最早的信息共享情报组织之一。

威胁情报共享与协作已成为大多数大型企业的首要任务。

多年来,客户和供应商一直是信息共享团体 ISAC 的成员,其中一些最重要、最活跃的团体更是与国家关键基础设施息息相关。

举个简单的例子,电力信息共享与分析中心(E-ISAC)为电力行业提供高质量的分析和快速的安全信息共享,帮助其减轻复杂、不断变化的电网网络和物理安全威胁。运营商和选定的合作伙伴致力于通过提供独特的见解、领导力和协作,大大降低了整个北美地区电力行业面临的网络和物理安全威胁的风险。

此外,数字化已经改变了很多国家的关键国家基础设施部门,使其在服务提供、可靠性和灵活性方面取得了进步,从而更好地为公民服务并推动经济增长。然而,出于经济或意识形态动机,大量的网络威胁犯罪分子不断的利用各种漏洞,寻求破坏基础关键基础服务。

目前,网络战频出、APT 组织猖獗,给关键基础设施组织带来了巨大的安全风险。事实上,大批的威胁攻击者一直在不断开发专门针对支撑关键基础设施的工业控制系统的定制化工具,其目标是获得“持久性”的完全系统访问权。

因此,保护关键基础设施免受网络威胁攻击者的攻击,需要加强安全控制、提高意识和促进合作,以最大化保护关键基础设施。

值得一提的是,企业当下必须了解更多复杂网络威胁,早在 2021 年,美国白宫就在改善国家网络安全的行政命令中将 "消除信息共享障碍 "列为首要要求。如今,很多国家和组织陆续发布了更多的网络安全法律法规。

数据共享的要点分析

企业必须保持对其数据的主权,确保数据归其所有、受其控制,并存放在一个私有实例中,该实例可以自主运行并保密。与此同时,企业还需要一个允许外部实体(如联合行动和合作伙伴网络)受控访问这些情报的平台,以确保协作不会危及其内部安全。

此外,现代网络安全的复杂性要求支持多样化的共享模式,从适应各种语言和格式的机器对机器交换到人类可读数据的分发,访问以用户为中心的仪表板、综合报告和复杂的分析工具。平台还必须满足外部团队的不同成熟度,确保其可用性和可访问性,能够与不同的基础设施和架构无缝集成,从而在整个网络安全生态系统中实现威胁情报共享的多功能性和包容性。

有趣的是,当人们想到威胁情报共享时,通常认为这是人与人之间的共享。然而,如上所述,共享也可以是机器对机器,或者机器可读和人类可读。

机器可读格式是专门为设备和机器设计的,因此格式复杂,人类难以理解。,但机器可读格式对机器来说更容易编码,速度也更快。因此,威胁情报传输的整个概念就像一座金字塔,由数据为基础,通过信息上升到知识,最后达到“智慧”的顶峰。

威胁情报共享的主要目标是帮助企业更好地了解最常见和最严重问题的风险,如零日漏洞带来的安全威胁、高级持续性威胁和漏洞利用,并使其能够在应对这些安全威胁时,快速的做出明智的决策。

不仅如此,如果企业有了自动、详细、情景化的威胁情报,就能更好、更快速地预测恶意活动,并利用情报加快对已证实攻击的检测。

参考文章:

https://www.securityweek.com/why-intelligence-sharing-is-vital-to-building-a-robust-collective-cyber-defense-program/

0 阅读:4

FreeBuf

简介:国内头部网络安全媒体。