安全领域有成百上千的安全厂商。云、电子邮件、网络和终端安全、威胁、恶意软件和DDoS防护方面都有各种提供商供选用,另外还有网络钓鱼和钓鲸防护、内部人威胁检测等等一大堆服务。
问题是,这一大堆解决方案之间互不理睬,让采用这些技术的安全团队头疼不已。同时,这些安全团队还必须跟上不断变化的威胁态势,以跟上创新速度比大部分财富500强企业都快的罪犯。
一、虽然有困难 但必须协同合作
Magnum Consulting 咨询公司分析师弗兰克·J·欧霍斯特在去年的一篇评论文章中准确抓住了该协作问题。
IT安全已成为现代IT环境中最复杂元素之一,要求有多层防护,有封锁攻击、阻挡入侵者和保护数据安全的高级分析。然而,当前的各个安全层次还是会时不时地失效,而这通常都是由于这些安全层都是单一厂商所设导致的。
“当然,不能把所有的责任都归到厂商身上,只除了一点:无论安装了多少层,这些安全厂商之间协作和技术交流的缺乏,十分有效地创建了防护孤岛。”
“简单说,今天的威胁不是单一厂商能对付的,安全技术之间的隔绝必须成为过去式。”
二、为了更大的利益
不过,安全专家相信,厂商在协作上正走向正确的方向,主要是因为这就是“正确的事”。
“理想主义地说,我的回复是‘协作’就是让系统尽可能安全的正确做法,它铺平了用多家厂商的产品构建协同系统的道路。”渗透测试机构 First Base Technologies 首席执行官皮特·伍德说。
相比几年前,厂商之间的协作已经明显增多。比如,在技术层面,多家厂商开放其平台API互传数据。而从研究层面更是如此,很多厂商已经协同开展调查、发现,甚至共同对网络犯罪进行毁灭性打击。
2016年,Novetta集团联合包括AlienVault和卡巴斯基全球研究分析团队在内的多家安全供应商联盟,开展了一次名为(Operation BlockBuster)的行动。目的是摧毁活跃多年的数个金融、媒体和制造业网络间谍活动。
三、安全技术无法通用,厂商不能成为孤岛
威胁情报公司 Digital shadows 共同创始人兼CTO詹姆斯·查佩尔认为,在技术、标准和威胁情报之类的领域,协作一直在发展。
“信息安全行业的厂商认识到,没有哪种技术可以像扑热息痛治疗一切头疼那样通用——厂商不是孤岛。”
安全是个广义的话题,需要投入很多方面的能力而不仅仅只是一种。这意味着该产品领域的生态系统天然就是相互联系的。比如说,我们就与内部安全监视和事件分诊系统紧密合作,这样我们产生的警报和提供的服务才能增强和改善事件响应过程。
拉吉·萨玛尼,英特尔安全CTO兼欧洲刑警组织顾问,或许对厂商间的合作层级没那么有信心,但被厂商与安全机构间在打击犯罪基础设施上的紧密合作鼓舞。
美国司法工作组和欧洲的欧洲网络犯罪中心(EC3)与私营产业公司合作开展打击犯罪组织的行动,对此,萨玛尼评价道:“这是前所未有的协作程度。”
“明显走在了正确的方向上,我们可以看到垂直协调、产品互操作性和共营及私营产业间更好的协作。”
四、理想很丰满 现实却骨感
很多方面看来,2020年将增值到1700亿美元的安全市场上,仍将出现厂商孤岛。
技术供应商很自然地希望自己的产品能独树一帜,而不断改变的安全态势则意味着,解决方案、标准,乃至协议,都可在一夜之间颠覆。
而且,除了特异性的需求,业内还有个明显的认知:传统安全产品需要更好的互操作性以改善终端用户防护。目前出现了一种意识,认为传统安全产品,比如防火墙和IDS系统,仅凭自身是挡不住愈趋复杂的攻击的。
业界领头羊们期待协作,寄希望于通过API集成和SaaS,以及基于云的业务模式,来提升互操作性。尤其是API集成,可使威胁、漏洞或安全事件数据信息,跨不同产品进行交换。
尼克·威特菲尔德,大数据分析软件提供商Panaseer首席执行官,称其公司集成了来自Qualys和赛门铁克的数据。“传统上,安全厂商在连接不同安全系统上对客户支持甚少。”
事实上,有些厂商认为这对他们的业务是一个威胁。不过,随着企业认识到隔绝看待安全工具是无意义的,只有集结了所有防御的整体视图才能给他们带来所需的富上下文视野,厂商生态系统也迈开了集成的脚步。
英特尔安全的萨玛尼同意此观点,但也承认,厂商社区不是每个人都认同这种看法。
“若说解决方案总能互通,那大面上看不是这样的。互操作性总是大多数公司的棘手难题。”
“我与无数不想协作的厂商通过电话,合不合作取决于他们。但整个市场、整个行业,肯定不是朝那个方向走的。”
同时,伍德还为自己工作中的主要问题就是互操作性的欠缺而哀叹,埋怨“孤立”的厂商不理解安全堆栈其他部分的技术。他认为,对解决方案该如何啮合的理解不足,往往造成“联合协作的分崩离析”。
“大多数安全厂商对安全没有全面的认识。所以他们中很多都不理解涉及到的平行技术。”
很多厂商仅仅是“深化他们自己的日常”,向CISO们推送几乎不需要的产品,在帮助终端用户建立安全的测试环境上做得不够。
“我的建议就是,通观全局,查看你客户实现解决方案的用例。不要局限在自家解决方案的思考框框里。在厂商的帮助下,找出系统联合中存在的裂缝。”
“要勇于投资建设恰当的实验室测试环境,让安全人员可以在生产环境之外恰当地攻击系统。”
不过,马利克争辩称,协作在技术上肯会很难:“纯技术角度上存在有一些难点,大多归结于企业衔接或定制后端以提供有意义的报告或指标上所需的大量时间及精力。”
“这就是能跨不同基础设施(云,内部)整合安全能力的厂商占优势的地方——所有集成都在后端完成。”
然而,还有其他的障碍横亘在协作之路上,比如文化。
“专注和偏执,”威特菲尔德说,“厂商太过关注自己的产品,有时候甚至忘记了客户及其需求。”
五、威胁情报和数据共享打头阵
与安全研究并行,威胁情报或许是行业协作中势头最好的领域了。之前的例子中已经包括了网络威胁联盟(CTA)、全球网络联盟(GCA)和威胁预防联盟(TPA),以及其他一些联盟。
查佩尔相信,政府和行业间威胁情报共享,比如美国的情报共享和分析中心(ISAC),以及英国的网络安全信息共享伙伴关系(CISP),将会大踏步前进。他和萨玛尼还提到了“没有勒索”项目,作为行业、司法和政府机构协同对抗勒索软件威胁的例子。
“这都是前所未见的。在过去,协作都是台面上的扯皮,或者针对某种特定恶意软件的特定行动,而如今,有了长期存在的形式。”
马利克称,威胁情报共享几乎已成常态。
“威胁共享,是厂商历史上参与最多的康庄大道。我们也见证了很多企业加入到活跃的威胁数据共享中,因此,开放威胁共享平台,比如OTX,真心是帮助提升协作程度的流行趋势。”
查佩尔认为,标准已辅助提升了威胁情报协作,这很大程度上归功于Mitre.com和Oasis所做的努力,以及通过STIX和TAXXI等项目对指标信息的标准化。他还相信,随着(ISC)²、SANS、CREST、ISACA和ISSP之类组织被业内认可,不断扩大的安全技术人才缺口将会受到抑制。
相关阅读
