对威胁情报正确估值,无论对用户还是厂商,都是非常重要的工作。本系列第一篇写了企业需要经过验证的、按行业和特征等分类的、与用户密切相关的、能帮助企业实现既定安全目标的情报,这篇主要讲讲提供可行动建议并自动触发防护行动的重要性。
2、行动性
不能付诸行动的情报是摆设。正如电影The Imitation Game里图灵和团队拿着破解Enigma得到的情报却由于种种原因不能阻止攻击的痛苦一样,如果情报里没有具体针对威胁行动的建议,那CISO将体会到相同的痛苦。获得情报后必须立即转化为行动,才能赢取竞争优势并创造价值。只披露黑客攻击的场景、机制、和手段等信息,对企业基本无用。通常企业安全团队并无经过专业训练的对抗高手,即使知道漏洞仍无法自行研究并实施修补。只止步于分享信息,给企业用户增加的价值极其有限。对企业真正有吸引力的做法是:厂商提供的威胁情报包含明确的、可机读的、能自动部署的、经过测试和验证的应对方案。
可行动的情报(Actionable Intelligence)所代表的“数据-分析-情报-行动-竞争优势”这一重要价值链条早已在商业智能和企业运营中占据显著位置,安全威胁情报也遵循同样规律。
即使情报满足可行动要求,具体实现仍需要其它安全产品的配合。最理想的场景是多个安全组件能自动响应。CISO应事先调查清楚已部署的系统是否能支持不同格式的情报并相互协作。例如,阻断与C&C服务器的连接,需要防火墙或IPS的配合;防止含有钓鱼URL的邮件被用户打开,需要邮件安全系统的支持;已经落到终端上的木马等恶意程序需要杀毒软件的清理;窃取关键数据的行为需要数据防泄漏软件的阻断。显而易见的,由于现在市面上存在多种情报格式,如果企业购买的格式与现有安全系统不匹配,也难以看到实际效果。如果不能自动响应,情报也应至少提供企业员工可理解的具体指示,人工操作配置相关系统,以达到防范威胁的目标。后者虽然会增加运维成本,但也比不能付诸行动的情报强得太多。
笔者认为,“可行动”将会成为安全威胁情报市场致胜关键因素之一,达不到这一要求的厂商迟早会被淘汰。这需要厂商拥有稳定的专家团队、和持续研究分析能力,以及与其它产品厂商长期良好的合作关系,而这些都需要资金的支撑。而经验和知识的积累,又将成为这些有能力厂商的有效竞争壁垒。
那么什么样的“行动”最适合威胁情报自动触发呢?针对基础设施、操作系统、和应用程序漏洞的补丁之类的行动显然并不是首选,因为此类补丁的发布需要时间,厂商反应慢且需要大量测试,空白期内黑客很可能早已利用并入侵成功。这也与情报价值评估中“预测性”和“及时性”两个方面有关。笔者认为,首选触发的“行动”是处在关键业务路径上、能立即生效安全策略、行动不需要依赖其它系统的安全组件,如身份认证、数据防泄漏、和下一代防火墙等。而这也需要产品有一定的智能,只判断并阻止异常行为,不能全部阻断,否则会给业务带来极大不便。可以触发并自动实施的行动实例包含:禁止异常账号登入重要业务系统,禁止网络连接异常网址,禁止使用关键数据等。在某些场景下,拥有异常行为分析、可以应对常见黑客操作手法的安全产品,使用起来会有显著效果。例如,能识别并阻止使用压缩软件打包大量敏感数据的行为,能随时停止异常特权账号进入重要系统,能实时阻断从业务网向办公网传输业务数据等。
下篇会谈“预测性”也是重要评估因素的原因。