玩威胁情报的门槛有多高?

围观次数:461 views

facebook-threat-exchange

题图是Facebook的ThreatExchange头六个月的成绩。居然没吹吹产生了多少条威胁情报?! 奇怪吗?有11k+的组织申请,居然成员只有90+?每个月300多万的API交互到底什么概念?这些云里雾里的数据委实令人费解。于是新的问题出现:那些想参与威胁情报的安全厂商,有没有想过门槛有多高?

威胁情报既然是大势所趋,每个厂商都想进场,可有几个掂量过自己的实力究竟够不够?让我们看一些著名情报厂商的宣传数字。Webroot情报服务体系里最重要的Web Classification,每秒可以处理2,500条URL,也就是每天2亿多条。Cisco的Threat Grid每天处理1.1百万个恶意程序样本。McAfee号称有超过400个威胁分析师。好吧,人有多大胆地有多大产,国外厂商也是吹,咱们也可以吹。还是让我们看看实际有参考价值的数据吧。

Cyber Threat Alliance是一个包含Fortinet、Intel/McAfee、Palo Alto Networks、Symantec的威胁情报联盟,高大上吧?来看看这个组织公布的一些关键信息:

什么类型的威胁情报将被共享?

为了有效应对先进威胁,CTA将首先专注在威胁生命周期中的重要个体元素,如:漏洞、新恶意软件样本、和僵尸网络的指挥和控制设施。在未来,有关何时何地发生攻击的情境数据将被添加,以提高识别攻击趋势的能力。

加入联盟的最低要求是什么?

每个成员必须每天至少分享1000个新PE恶意软件样本,且在分享时间向前48小时内没有在VirusTotal上观测到,并且至少满足下列三条标准中的一条:

1、移动恶意软件:至少50个新移动恶意软件,包括APK、DEX、或其他流行的移动恶意软件的文件格式,且在分享时间向前48小时内没有在VirusTotal上观测到。

2、僵尸网络的命令和控制服务器:每周至少100个僵尸网络的C2服务器、和/或p2p节点,不能在公共论坛如zeus tracker等出现过,必须不同于前一周联盟成员的分享;在提交时服务器必须处于活跃状态。

3、漏洞和漏洞利用网站:每星期至少分享100个攻击网站,不能在公共论坛上出现过,必须不同于前一周联盟成员的分享;在提交时网站必须处于活跃状态。

这个标准可是货真价实的参考门槛!原因很简单,CTA联盟希望广泛接收参与伙伴增加影响力的同时,又担心标准过松吸收了能力不够的成员,造成实际管理成本增高或者是贡献多的成员不满,此标准必然是权衡很久的结论,颇具参考价值。

好吧,据说处理一个新病毒样本平均需要4小时,为一条网址分类平均需要5分钟,长期监控C2设施除了耗时多多的逆向就是持续沙箱监控网络连接加人工分析确认。

简单的算术我就不帮大家做了。企业老总心里都有一本账。按这个标准,不采用机器学习等新技术,靠国内惯用的人海战术,雇佣大量薪水高训练有素的安全分析师堆上去,预期收入能抵消成本吗?

 

1人评论了“玩威胁情报的门槛有多高?”

驭龙进行回复 取消回复

电子邮件地址不会被公开。 必填项已用*标注

广告赞助