洋葱式信息安全观察:网络威胁情报分享实践一瞥

发表评论 / 技术 / 作者: / 2018-10-29
打印 .PDF 电子书

 

楔子:so say we all

PESTPolitical, Economic, Social and Technological的缩写,指的是指政治、经济、社会和技术,常用于宏观环境分析。

 

网络威胁情报分享现状

在信息时代,企业和组织面临越来越高的网络安全风险,各种网络防护策略和技术也随着风险的增加而不断被创造出来或者改进,以抵御被入侵的可能性。威胁情报的应用即是这些新的网络防护方案之一,是“知己知彼”的典型应用。威胁情报方案的出现,为企业应对网络威胁注入了一股新鲜血液,应用企业和组织在防护、响应外部威胁能力上获得了明显的提高。然而,当前企业对网络威胁情报的应用模式一般是厂商+威胁情报商+纵深防御的组合,即仍然是单个企业与外部威胁作斗争,虽然也有企业间或行业内联合共防的案例,但规模相对较小,且处于探索阶段,系统机制有待提高。

在很多国家存在着跨行业的威胁情报组织,CERT就是这样的组织结构,例如:US-CERT、CN-CERT等。由于CERT的跨行业特性,其分享的网络威胁情报具有一定的普适性,从而在针对特定行业的网络威胁情报上不够丰富和细致。由此,在网络威胁情报分享较为领先的地区出现了基于行业的ISAC(情报分享和分析中心)组织,为网络安全防护带来了新的思路。

PEST分析

PEST分析常用于宏观环境分析,PEST是political, economic, social and technological的缩写,指的是指政治、经济、社会和技术(见下图)。

我们可以从驱动力(经济效益)、技术可行性(技术环境)、文化(行业、社会文化环境)、政策(政治基础)层面进行逐一分析。

E:经济效益

行业威胁情报分享的驱动力在于其产生的经济效益。如果我们不确定行业内的威胁情报是否得到充分、有效的分享,假设行业内的企业具有高度一致性,那么对于任何企业而言,其受到特定攻击的概率是随机的,但如果考虑到威胁者针对特定目标的攻击可能是先易后难,存在练习和积累经验的过程,那么防护能力弱的企业更容易被攻击。如果假设情报可以得到充分、有效的分享,我们将会看到行业内任一企业受到攻击时,其他企业均能获得告警,从而进行早期针对性防护,降低行业损失,同时目标企业可能得以避免失陷的可能性,而这种可能性对于行业内的任何企业而言,理论上是机会均等的。

T:技术环境

威胁情报分享需要技术环境。在行业内,IT更可能采用相同或相似的技术架构,包括硬件和软件架构,从而“一荣俱荣、一损俱损”的可能性更高,因此威胁情报存在广泛的技术基础。

目前,威胁情报表达、交换的标准已经被广泛使用,威胁情报的共享有着良好的技术基础,市场上也存在提供分享、管理威胁情报的专业厂商,为威胁情报分享提供了快速部署的可能性。

S:社会文化基础

不同的行业有不同的分享文化基础,例如:是否具有行业协会,行业中是否有“领头羊”来组织大家进行分享,各个企业分享的意愿,是不尽相同的,因此,要进行威胁情报分享,需要建立一个“分享文化”的氛围,鼓励分享行为,并进行适当的激励以促进企业共享的意愿。

P:政治环境

企业可能存在于弱监管到强监管的不同阶段,例如:金融业网络安全一般具有强监管的特征,其监管单位针对行业网络安全制定了更高的标准,同时也具有对分享的内容范围进行干预的责任和能力,而制造业的IT和金融业的监管要求相比则要弱一些,因此分享可能更多的需要行业的“领头羊”。

技术架构

笔者在之前的文章中就分享的技术架构进行了基本分析,可参见:

https://www.sec-un.org/洋葱式信息安全观察-威胁情报导向的安全防御思路/

(或linkedin链接

http://www.linkedin.com/pulse/洋葱式信息安全观察-初识威胁情报-广坤-刘-1d/

(更多关于网络威胁情报技术架构的讨论,欢迎来信交流)

红绿灯协议

TLP是一组确保敏感信息和合适受众共享的标记。TLP借鉴了交通灯信号,以红、黄、绿、白四种颜色来指示接收者对应信息的预期共享边界,每条信息对应的颜色一般会以标签形式随信息传输。

红色:对应的信息内容只允许定向共享和传递至指定的唯一用户,且该用户不应对外再次共享该信息。

黄色:对应的信息内容允许向平台和体系内指定的用户组共享和传递,且允许在该用户组内部进行共享,但不应对用户组之外的对象再次共享。

绿色:对应的信息内容允许向平台和体系内的所有用户共享和传递,并且允许用户再次向更广泛的关联平台或组织共享。

白色:对应的信息内容在共享和传递上不受任何限制,对所有人或组织完全开放。

红绿灯协议应用示例

某行业经过价值分析和红绿灯协议分析,制定了如下的行业规则,进行网络威胁情报分享。

红色:

  1. 企业特有资产信息,仅由企业内部使用,避免被攻击者获得用于攻击
  2. 企业资产漏洞,仅由企业内部使用,避免被攻击者获得用于攻击

黄色

  1. 行业应用软件同质化,分享漏洞信息有助于行业软件提升
  2. 针对行业的恶意威胁源信息,有利于行业内建立共同的防御机制

绿色

  1. 通用恶意软件信息,可协助消除传播源,降低被攻击风险
  2. 针对行业的恶意威胁源信息,有利于行业内建立共同的防御机制

白色

  1. 公开的僵尸网络信息,可协助消除传播源,降低被攻击风险
  2. 公开的恶意软件信息,可协助消除传播源,降低被攻击风险
  3. 公开漏洞信息,可协助消除传播源,降低被攻击风险

结语

网络威胁情报分享,是基于利他主义的思想,但从实践来看,是利人利己的具体表现。

来吧,一起分享网络威胁情报,让我们的网络更安全!

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注