协作与共享:释放威胁情报价值的最佳途径
作者: 日期:2018年03月21日 阅:3,392

在当今的数字经济中,速度和效率至关重要,那么从任何地方和任何设备访问数据的能力皆是速度与效率的体现。 这些要求迫使网络发生变化,网络中需要管理的数据量及连接到网络的设备激增,这也是当今网络威胁与攻击激增的原因。

安全挑战远不止是网络的扩展。 通过应用程序,共享服务和分布式资源,一切都由连接而联系起来。 数据与资源总是混合而生,基于此的攻击向量不断被创建;对安全的挑战也随之增加。

数据和资源需要受到保护,特别是在从远程设备,网络,以及多云迁移时。企业无法保护他们看不到的东西。 因此,除了提高性能和集成安全设备外,IT团队还需要获取实时威胁情报。 通过协作与共享,来自安全专家的高级威胁情报可以帮助IT团队快速检测并识别威胁,并最终实现高速的自动化响应。

组建网络威胁联盟保护全球数字生态系统

从多个来源收集威胁情报,然后进行分析处理和关联,这是最有效,最有价值和最可用的情报。不过,这是拥有巨大安全资源的组织才能做好的事情。 问题在于,这种高级威胁情报,大多数公司都无法独立实现。 因此,在2014年,Fortinet采取了组建网络威胁联盟(CTA:Cyber Threats Alliance)的方式。 Fortinet和包括McAfee,Symantec和Palo Alto Networks在内的其他创始成员对威胁情报的重要性达成了普遍的共识。 Fortinet知道用户需要使用这些威胁情报信息来切断攻击链。

网络威胁联盟(来源:https://www.cyberthreatalliance.org)

像Fortinet这样积极参与威胁研究的安全公司,深知用户需要依靠可执行的威胁情报来对抗动态变化的威胁,提升专业的安全能力与水平。

组建威胁联盟,汇集来自整个网络安全行业的参与者,以尽可能接近实时地关联和共享可操作的威胁情报。 用户不仅需要这种类型的威胁情报来更好地抵御网络攻击,而且共享威胁情报还有助于提高互联网的整体安全性。

在过去一年中,CTA新加入了Cisco与CheckPoint公司;CTA已经扩大成为拥有保护世界各地客户的能力。 它通过增加共享威胁情报的组织数量以及改进用于收集,处理和关联情报的工具来保护数百万的客户。

CTA正在努力改善其全球数字生态系统的网络安全,缩短检测时间并缩短检测到部署生命周期的差距。 CTA正在通过近乎实时,高质量的网络威胁信息共享以及网络安全领域中公司与组织之间的运营协调来实现这一目标。 这种方法将具有不同利益的公司聚集在一起,一起为更大的客户的利益而合作。

CTA:全球网络安全阵线的“英雄联盟”

虽然共享威胁情报是任何安全战略的重要组成部分,但这只是战斗的一半。 外部威胁情报提供了明显的好处,但它也需要成为综合威胁情报战略的一部分。

  • 良好的威胁情报在更清晰的网络环境中才能最大化发挥效力。例如清点公司网络上的所有设备,包括列出制造商,设备,操作系统版本,补丁级别等。这些数据将帮助客户识别易受攻击的设备,以及看清楚智能威胁情报如何更好的帮助客户的网络。
  • 一旦公司正在跟踪网络上的所有物理和虚拟设备,他们需要开始从日志文件和管理控制台收集和关联威胁情报,这些数据需要包括端点和物联网设备,虚拟化数据中心以及SaaS和IaaS 多云设备和流量,这需要一个集中式收集和分析系统。
  • 接下来,组织需要评估和更新日志记录和分析平台,以确保本地数据可以与外部智能相结合。关联本地和全球情报提供了重要的威胁信息与洞察,但由于当今攻击的速度,这需要情报能够快速的被利用 。这意味着威胁情报必须提供可操作的信息而不仅仅是原始数据,因为这需要大量的人工处理,公司必须使用开放标准来有效地组合和关联不同的数据集,这样有助于有效识别被攻陷的设备以及作出潜在威胁的优先级回应。这是CTA的关键价值所在。
  • 它使网络安全提供商能够分享情报,并在事件响应中进行合作。 每个CTA的成员都可以访问并研究智能化防御威胁与攻击手段的不同部分, CTA成员能够快速查看到本来不具备的信息,从而使他们能够更好地保护客户。这种策略让网络安全公司在WannaCry和NotPetya等大规模网络事件期间并肩合作,或者解决新发现的漏洞(如Meltdown),大大提高了我们应对工作的效率和有效性。
  • 最后,威胁情报的生产者或消费者应该考虑加入CTA,集中收集、分析和分发成员之间的可操作威胁信息,使参与者更安全。最终用户公司应考虑加入与其地区或行业相关的ISAC(信息共享和分析中心)小组;同行企业之间的数据共享提供了另一层面的分析,更好的利用行业性的威胁与攻击特点进行比较并作出合理的预判性防御。

威胁情报需要是一个闭环。 例如, FortiGuard全球威胁研究与响应团队使用我们从参与客户收集的情报来改进威胁数据库。Fortinet将这些情报分享给CTA,然后由客户使用。 因此,威胁情报不断被提炼。

任何参与收集,处理和共享威胁情报的组织都会受益匪浅。 其中最重要的一点是,我们可以创建的威胁可见性范围和规模越广泛,就越有能力检测新的威胁并做出及时的响应。因此,网络威胁联盟在其使命和模式上都是独一无二的。 这是网络安全阵线上真正的“英雄联盟”,即使是相互竞争的组织也可以通过合作,在对抗全球网络新兴威胁,特别是那些对社会和经济影响巨大的网络攻击与威胁上,贡献自己的力量。

作者:Fortinet创始人兼CEO 谢青

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章