CMU起草了一份评估安全威胁情报的方法,基于米国DNI发布的关于情报分析的标准。但由于是DoD资助的研究,结论必然与企业实用环境有差异。至少笔者认为,其中将actionable放在timely条目下,就是明显迎合政府已有标准、忽视信息安全和传统情报之间差异的做法。另外还有一些评价点,或者企业实际上不重视,或者企业根本就无法评估。无论如何,参考价值还是有的,有兴趣的读者可以去看看。
对安全威胁情报厂商来说,可行动与可预测实现起来困难重重。前一篇也引起了一些争议。本次谈谈预测性,引用了一些触目惊心的数据。笔者认为,威胁情报十分重要,但只有真正满足企业需求,才能在市场上站稳脚跟并快速发展。
3、预测性
让我们现实点,企业花钱购买威胁情报,目的是什么?显然不是审计过往遭受攻击的历史,也不是研究盘点曾经失窃的关键数据,而是需要防范未来可能发生的入侵。相信大部分读者都会赞同:缺乏预测能力并不能指导防范的产品,并不会带来多少价值。
但是预测能力真的很难。让我们一起看看现状。还是CMU给CERT做的2014年黑名单信誉库分析,18个供应商提供的恶意域名列表中,拥有30,784,571条不同域名,而其中96%(29,602,108条)只出现在一个供应商的情报中,同时出现在两个厂商情报中的只有2.5%;67个供应商提供的恶意IP列表中,拥有121,921,509条不同IP,同时出现在两个厂商情报中的只有8.5%。这意味着如果CISO只订购了1家厂商的情报,覆盖恶意服务器百分比很有可能小到只有个位数!
让我们再看一组数据。Bit.ly提供短域名服务,在twitter等社交媒体中被广泛使用,深受恶意URL的困扰。Bit.ly用广受赞扬的信誉库APWG和VirusTotal检查恶意域名,各有86%和71.5%识别不出!
那么是不是信誉库越大越好呢?Bit.ly的研究表明,83.06%的恶意域名在5个月内消失!那些动辄上百万条的黑名单中,有多少条域名是早已不存在的?还有效果的有多少条?这又支持了本系列第一篇中的论点,如果厂商不做清洗,堆砌过时数据,只会给企业带来负担,并不会改善防御效果。
这里必须澄清,虽然上面的数据不好看,但笔者认为威胁情报在目前信息安全对抗中仍是必不可少的重要手段,如果没有情形会更糟。另一方面,上面的数据也是情报厂商联盟和交换体系流行的根本原因。在当前的环境下,只靠单一厂商提供有价值的威胁情报,基本上是不可能完成的任务。厂商应意识到自身的局限,积极参与情报分享与获取,如下图几种模式:
对企业来说,CISO应抛除从单一厂商订阅情报服务的想法,转向更大的平台,在购买决策前询问有关情报联盟事宜。企业也应酌情参与分享情报,正如第一篇中所述,相同行业中采集的情报最有价值。
在预测中还应重视“有组织的入侵”。这类攻击往往频率密集、重复性高、且危害巨大,例如针对金融和零售企业发起大规模入侵以盗取隐私信息,其背后往往是一个团队,手法特征相对明显,也容易总结应对防御措施。如果厂商能针对性识别并提供防范建议,则防御效果会很明显,对同行业企业用户意义巨大,相信用户也愿意付高价购买。
此外,企业和厂商必须要做到情报数据尽量多样化,不应仅是信誉库,还应重视诸如数据泄漏、异常行为、情景分析等情报来源,重视新技术如数据挖掘和机器学习在特征提取、归纳、预测等方面带来的显著提升。在恶意URL识别、新木马发现、入侵侦测、和异常行为分析上,国外安全厂商已经有很多成功案例,稍后笔者再讲讲自己的实践。