用威胁情报重构安全盔甲
2017-03-08
引言:不少安全专家认为,复杂性是安全性的敌人。很多人认为,在深度的分层防御中,如果有一层失效,其他层就可能阻止攻击,其实未必。事实上,威胁情报就可以成为深度防御策略中将不同层次的产品整合在一起的最佳“粘合剂”,而且可以减少碎片化。
不少安全专家认为,复杂性是安全性的敌人,这句话的正确性已经被反复证明。很多人认为,在深度的分层防御中,如果有一层失效,其他层就可能阻止攻击。其实未必,这是因为当今的事实是,每一层防御都是一种与众不同的产品,每种不同的产品都有其自己的情报并在自己的范围内运行,因而产生碎片化,或称分裂。由于碎片化会带来复杂性,所以,为改善安全性,我们需要减少碎片。但是,如何将已经破裂的或碎片化的组件粘合在一起呢?最佳的方法是,找到将不同组件粘合起来的“粘合剂”。事实上,威胁情报就可以成为深度防御策略中将不同层次的产品整合在一起的最佳“粘合剂”,而且可以减少碎片化。
但碎片化并不仅仅是深度防御的一个问题。在外部的威胁情报源中,在维护企业安全性的不同团队中,也存在这个问题。下面讨论的是在这些领域中存在的碎片化,以及威胁情报如何帮助解决问题。
某安全机构分析了很长时间的黑名单生态系统,发现黑名单的内容一般并不重叠,多数内容仅出现在某个黑名单中。无疑,存在大量的数据过载问题。而且,这些黑名单带来了一种关于互联网上恶意基础架构的碎片化表述,从业者应该清楚这点。威瑞森(Verizon)的数据泄露调查报告也得出了同样的结论,并且指出,公司需要能够以一种更聪明的方法将威胁情报应用到其环境中。
一般说来,在企业构建最佳的威胁防御体系时,多数企业被迫使用多种数据源,其中有的来自商业源,有的是开源的,有的来自行业,还有一些来自现有的安全厂商,每种数据源都有其不同的格式。由于缺乏自动筛选和审查不同的海量数据的工具和能力,并且不能聚合信息进行分析和采取行动,数据仍是碎片化的,并且往往没有什么相关背景,因而只会成为更强的噪音。威胁情报的正确路线应从将外部数据聚合到一个威胁情报平台开始。
然而,威胁情报平台远不止聚合那么简单,还必须是可运维的,并且能够将威胁情报作为一种减少碎片的“粘合剂”。对于存储在一个可管理位置的各种结构化和非结构化的综合数据,威胁情报平台必须将其转换为一种统一的格式,并且用内部和外部的威胁数据和事件数据进行丰富和强化。通过将企业环境中的事件、相关黑名单特征与外部数据进行关联,安全团队就可以获得额外的关键环境数据,从而理解哪些是与企业有关的,哪些对企业来说是需要优先处理的。如此,安全团队就可以利用这些威胁数据,自动地在深度防御的所有不同层次中发布关键的情报,从而改善安全状况并减少数据暴露和泄露的机会。
但是,团队之间的这种碎片化状态怎么办?此处的关键是找到一种利用威胁情报作出更好决策和行动的方法。对于一个协作性不强的企业结构中,这确实是一个挑战。企业可能有一个安全运营中心,有一个网络团队,还有事件响应团队和恶意软件团队。通常,这些团队并不一起工作,很少共享信息或情报。强制性的直接通信往往无效,所以,企业如何使这些团队以一种明智的方式来协作呢?如果企业能够为所有有关联的和有不同优先次序的威胁情报建立一个仓库,那么,无需这些团队知道如何协作就可以更好地培育协作。随着仓库存储数据的时间越来越长,就可以成为此过程的一个核心组件。随着不同的团队使用和更新这个仓库,就可以在其他团队中实现即时的信息共享,从而使决策更快更明智。
再进一步,就是将这个仓库整合到其他已有的系统中,其中包括但不限于SIEM、日志仓库、事件响应平台等,这可以使不同的团队使用早已了解的工具和界面,并仍能够从情报中获益和采取行动。例如,事件响应团队使用取证工具。恶意软件团队使用沙箱。安全运营中心使用SIEM。网络团队使用网络监视工具和防火墙。而这仅仅是开始。大家通过不断地直接从自己维护和更新的仓库中获得情报,就可以从唯一的可信情报源进行运维和工作,减少碎片化和复杂性,从而加速决策和响应。
无疑,复杂性是安全性的大敌。但是,企业可以在减少复杂性方面有所作为。通过从所有外部和内部的有关联的有优先次序的情报源中来丰富威胁数据,威胁情报就可以成为减少企业安全环境(异构的内部系统、不同的外部源和不同的团队)碎片化的“粘贴剂”。复杂性减少了,企业的现有团队使用已有的工具进行工作就能使企业更安全。