金融业网络威胁情报共享导论

楔子：PEST分析常用于宏观环境分析，PEST是political, economic, socio-cultural and technological的缩写，指的是指政治、经济、社会和技术。

网络威胁情报共享现状

在信息时代，企业和组织面临越来越高的网络安全风险，各种网络防护策略和技术也随着风险的增加而不断被创造出来或者改进，以抵御被入侵的可能性。威胁情报的应用即是这些新的网络防护方案之一，是“知己知彼”的典型应用。威胁情报方案的出现，为企业应对网络威胁注入了一股新鲜血液，应用企业和组织在防护、响应外部威胁能力上获得了明显的提高。然而，当前企业对网络威胁情报的应用模式一般是厂商+威胁情报商+纵深防御的组合，即仍然是单个企业与外部威胁作斗争，虽然也有企业间或行业内联合共防的案例，但规模相对较小，且处于探索阶段，系统机制有待提高。

在很多国家存在着跨行业的威胁情报组织，CERT就是这样的组织结构，例如：US-CERT、CN-CERT等。由于CERT的跨行业特性，其共享的网络威胁情报具有一定的普适性，从而在针对特定行业的网络威胁情报上不够丰富和细致。由此，在网络威胁情报共享较为领先的地区出现了基于行业的ISAC（情报共享和分析中心）组织，为网络安全防护带来了新的思路。

国际金融业网络威胁情报共享实例

关于威胁情报应用，美国“网络安全威胁和脆弱性监测和共享声明”要求每个金融机构应该有收集、分析、解读和共享漏洞和威胁信息的程序，并鼓励金融机构参与金融服务信息共享和分析中心(FS-ISAC)。FS-ISAC还提供了额外的服务，包括参与在线研讨会、威胁演习、协助创建信息过滤器以防信息超载。当前FS-ISAC拥有分布在约70个国家的15,000左右用户[1]，其行业包括：

• 银行
• 经纪公司或证券公司
• 信用社
• 金融行业协会
• 保险公司
• 投资公司
• MSSP 或银行服务提供商
• 支付处理商

从美国的相关实践可以看出，行业级的情报共享与整合中心在遵守相关隐私保护政策的前提下，以多种机制实现行业内部或多个行业之间对威胁、漏洞、事件等安全信息的快速共享与相关安全知识的快速传递，从而起到“牵一发而动全身”的作用，以更精准的检测能力、更智能的防护能力和更快速的响应能力来提升行业整体及单个企业的网络安全保障水平。

然而，为什么金融行业成为了威胁情报共享的急先锋？我们可以采用PEST模型来进行解读。

PEST分析

PEST分析常用于宏观环境分析，PEST是political, economic, socio-cultural and technological的缩写，指的是指政治、经济、社会和技术（见下图）。

针对金融行业，我们可以从驱动力（经济效益）、技术可行性（技术环境）、文化（行业、社会文化环境）、政策（政治基础）层面进行逐一分析。通过PEST分析，可以知晓金融业采用威胁情报的收益、合规因素，以及宏观的可行性因素。分类分析如下：

E：经济效益

行业威胁情报共享的驱动力在于其产生的经济效益。如果我们不确定行业内的威胁情报是否得到充分、有效的共享，假设行业内的企业具有高度一致性，那么对于任何企业而言，其受到特定攻击的概率是随机的，但如果考虑到威胁者针对特定目标的攻击可能是先易后难，存在练习和积累经验的过程，那么防护能力弱的企业更容易被攻击。如果假设情报可以得到充分、有效的共享，我们将会看到行业内任一企业受到攻击时，其他企业均能获得告警，从而进行早期针对性防护，降低行业损失，同时目标企业可能得以避免失陷的可能性，而这种可能性对于行业内的任何企业而言，理论上是机会均等的。

因此，在金融行业内进行威胁情报的共享，可以充分提高企业、行业，以及社会整体经济效益。这些经济效益包括：

1. 可避免或降低的直接经济损失，例如：
   • 2015年1月，黑客通过SWIFT系统将厄瓜多尔银行约 1,200 万美元转移到境外;
   • 2015年底，黑客试图使用类似的手法转移越南先锋银行 110 万美元未成功;
   • 2016年2月，黑客入侵孟加拉国央行转走8,100万美元，成为2016年有史以来最大规模网络盗窃案件。

可以肯定的是，虽然无法得知确切的被黑客利用SWIFT系统脆弱性入侵的银行数量和盗窃的金额，金融业仍然可以通过关注黑客的攻击手法以及借助威胁情报共享，可以使得行业的整体损失得到大幅度的遏制。

2. 可避免或降低的间接经济支出，例如：
   • 民事、刑事或合同罚款和判决
   • 通知费用
   • 信用监控
   • 弥补二级利益相关者的金钱损失
   • 公共关系费用
   • 法律辩护费
   • 处置成本，由一线人员、公关、法务、其他相关人员的薪酬构成
   • 监管制裁的影响
   • 失去的市场份额
   • 股价下跌
   • 资金成本增加

基于以上分析，可以看到经济效益是金融业采用威胁的重要驱动力。

T：技术环境

威胁情报共享需要技术环境。在细分金融行业内，IT更可能采用相同或相似的技术架构，在细分金融行业间，也存在标准的业务交换系统，包括硬件和软件架构，从而“一荣俱荣、一损俱损”的可能性更高，因此威胁情报存在广泛的技术基础。

例如，我们可以看到金融业的核心系统供应商高度集中，例如：

• Temenos Transact是Temenos的核心银行解决方案, 全球约 1080家金融机构安装该系统，其中Top50的银行中有41家采用了该系统。[2]

一旦某以金融机构被利用某个广为使用地系统的脆弱性所突破，如果没有威胁情报共享机制，则可以预想可能所有使用该系统的机构均存在同类风险。

而2013年以来，威胁情报、威胁情报管理平台、威胁情报网关被多个国际第三方安全机构密切关注，使得威胁情报也从概念走向了成熟应用的道路。

在威胁情报应用技术层面，则需要关注：

• 可筛选性，可筛选要求威胁情报厂商可根据使用者自定义的范围提供承诺的威胁情报，如果无筛选条件，将输出其全部情报；
• 免回传性，避免间接地透露使用者的信息，例如：塔吉特（Target）孕妇事件，即是由消费者查询消费物品（上传信息）引发的隐私泄露问题。
• 主动防御协同，防火墙、NGFW、WAF、xDR等设备通过预置的威胁情报可以在第一时间对潜在威胁进行拦截和预警，能够有效地降低被渗入和被渗入后的横向移动的概率。

目前，威胁情报表达、交换的标准也已经被广泛使用，威胁情报的共享有着良好的技术基础，市场上也存在提供共享、管理威胁情报的专业厂商，为威胁情报共享提供了快速部署的可行性。

S：社会文化基础

金融行业通常具有行业协会，行业中有“领头羊”来组织大家进行共享。因此，要进行威胁情报共享，在金融行业内已经存在 “共享文化”的氛围，这有利于鼓励威胁情报的共享行为，辅之以适当的激励策略可以更能够促进企业共享的意愿。

P：政治环境

金融业网络安全一般具有强监管的特征，其监管单位针对行业网络安全制定了更高的标准，同时也具有对共享的内容范围进行干预的责任和能力。

《中华人民共和国网络安全法》第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。金融行业赫然在列，因此需要满足关键信息基础设施的相关安全要求。

《中华人民共和国网络安全法》第二十一条规定，国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列全保护义务：保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。在等保2.0体系中，等级保护推荐2级系统采用威胁情报对入侵进行防范，3级系统应能够对威胁情报定期更新进行有效管理。作为关键信息基础设施的一部分，金融行业的大量系统处于等级保护所要求的2级以上，核心系统多处于3级，甚至个别系统需要满足4级的要求。

《中华人民共和国网络安全法》还提出网络运营者之间进行合作，促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构之间的网络安全信息共享。根据定义和普遍认知，金融企业所运营的业务网络属于网络安全法所规定网络之一，因此金融企业属于网络运营者，需要响应网络安全信息共享的提议。

综合以上PEST分析，我们可以看到金融业采用威胁情报进行主动防御、分类防御和前置防御，即有其自身经济利益的驱动，又有合规的压力和追求标杆成就的动力，在技术上具有高度可行性。

然而，在威胁情报共享中，需要遵循怎样的标准和协议呢？

威胁情报共享标准和协议

遵循统一的威胁情报标准和协议，可以提高威胁情报共享的效率，控制威胁情报的传递范围，避免威胁情报的过度扩散。常用的威胁情报协议包括STIX和TAXII，在国内采用的是GBT36643-2018。其中，红绿灯协议（TLP）被写进了STIX，值得单独了解一下。

STIX&TAXII

STIX和TAXII均为OASIS（结构化信息标准促进组织）所收录的国际标准。通过对上述标准的使用，可实现对威胁情报信息的共享与应用。其中，STIX用于实现威胁信息的结构化表达；TAXII则是通过构建一套信息交互协议，完成多节点间威胁信息的交换与共享。通过对国际标准的支持，可以实现与国际安全厂商和行业用户之间的威胁情报交换。

GBT36643-2018《信息安全技术 网络安全威胁信息格式规范》

该标准由中国电子技术标准化研究院牵头制定，定义一种通用的网络安全威胁信息表达模型，从对象、方法和事件三个维度建立描述体系，对网络安全威胁信息进行划分，采用包括可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施在内的八个组件，构建整个网络安全威胁信息表达模型。

自2018年该标准发布以来，国内安全厂商纷纷加入该标准序列，宣布其产品对该标准的支持。金融行业可基于该标准制定行业级威胁情报标准，以满足金融行业所特有的需求。

红绿灯协议

TLP是一组确保敏感信息和合适受众共享的标记。TLP借鉴了交通灯信号，以红、黄、绿、白四种颜色来指示接收者对应信息的预期共享边界，每条信息对应的颜色一般会以标签形式随信息传输。金融行业可以借鉴TLP形成独有的威胁情报共享策略，形成有效的威胁情报共享与控制。

红色：对应的信息内容只允许定向共享和传递至指定的唯一用户，且该用户不应对外再次共享该信息。

黄色：对应的信息内容允许向平台和体系内指定的用户组共享和传递，且允许在该用户组内部进行共享，但不应对用户组之外的对象再次共享。

绿色：对应的信息内容允许向平台和体系内的所有用户共享和传递，并且允许用户再次向更广泛的关联平台或组织共享。

白色：对应的信息内容在共享和传递上不受任何限制，对所有人或组织完全开放。

结语

网络威胁情报分享，是基于利他主义的思想，但从实践来看，是利人利己的具体表现。在金融行业，存在着良好的PEST环境驱动企业进行威胁情报共享机制。我们可以看到不远的将来，金融行业通过威胁情报共享，更加高效、安全地履行企业的使命、实现企业的愿景。