近来谈安全威胁情报的厂商越来越多,都在标榜海量独有漏洞、恶意软件、攻击网络等信息,但这些情报真的对企业有用吗?参加过几次交流后,笔者最近不禁总是在想,如果站在企业购买决策的角度上看,如何评估安全威胁情报的价值?什么样的情报产品才是企业需要的?
是的,现实情况很严峻:大多数企业没有足够的人员、时间、资金、和精力来应对威胁。企业安全投入资源有限,而有组织的专业黑客总是可能会领先几步。层出不穷的数据泄漏事件对企业声誉和财务的影响十分恶劣。因此,威胁情报在频繁受到攻击的高风险的重点行业大企业中,作用是显而易见可以预期的。
但是,盲目上马安全威胁情报并不可取。企业可以投资购买世界上最好的情报信息,部署最好的技术来抵御威胁,然而其信息系统仍有可能受安全管理程序错过的简单漏洞的影响。因此,要有意识地忽略部分厂商的夸夸其谈,要明白在基本信息安全体系不完整的情形下,安全威胁情报作用十分有限。即使企业已经积累了较完善的安全系统部署,也应谨慎评估威胁情报的价值,选取最适合自身特点和需求的产品和服务。
笔者简单分析和总结了用于评估威胁情报服务价值的五个方面:关联性、行动性、预测性、及时性、和商业价值,分几次与大家分享讨论。
1、关联性
适合自己的才是最好的。一个互联网金融公司订阅大量工控机漏洞和针对重工业的C&C服务器IP列表能有帮助吗?一个本土民用汽车制造企业搞个栩栩如生的全球动态攻击3D可视化展现能有帮助吗?放弃那些好高骛远的市场推广忽悠吧。明确企业自身需要面对的实质威胁是什么,询问并调研厂商是否拥有对应解决方案才是正途。例如,零售企业应该重点购买有关盗取信用卡的黑客组织的情报,而不应该收集致力于瘫痪核基础设施的黑客网络的信息。
企业应询问厂商威胁情报数据的确切来源,从互联网上收集的未经过分类和验证的漏洞和攻击足迹等毫无用处。针对这种情报“Garbage in, garbage out”就是最贴切的描述。错误的情报有概率阻断正常业务的开展!情报提供厂商至少要能够先清洗垃圾,确保情报的准确与有效。厂商把全网流量和攻击分析给企业又有什么用处呢,CISO没有打掉C&C网络的能力和义务,管理层也不会允许这种四处树敌且没有任何回报的行为。既然企业资源有限,就更应该购买具有直接关联性的情报,否则光情报处理就需要单独组团队。如果威胁情报是从相同行业的可比公司中采集的,CISO无需犹豫应立即决策购买,因为这些情报对企业防御攻击的价值是无法估量的。
此外,虽然APT攻击周期长且手法复杂,利用威胁情报间的相互关联,可以挖掘出多种潜在攻击方式,但往往企业并不具备这样的分析能力和员工,堆砌海量情报可能会适得其反,造成情报利用率不够。因此,安全负责人最好首先从业务需求角度出发进行梳理,明确首要面对的威胁,再寻找能提供此类情报的厂商。例如,拥有大量客户信息的企业,隐私保护是头等重要的业务需求,亟须获取数据泄漏相关的威胁情报,这不仅仅节约大量的用户时间和精力,更有利于取得早期成功,利于向管理层争取大规模推广的机会。当然,在分享威胁情报时,厂商也应隐去客户信息,这也是美国刚刚通过的Cybersecurity Information Sharing Act中的重要组成部分。
下次继续聊“行动性”、“预测性”等对评估安全威胁情报的意义。