用威脅情報重構安全盔甲

引言：不少安全專家認為，復雜性是安全性的敵人。很多人認為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊，其實未必。事實上，威脅情報就可以成為深度防御策略中將不同層次的產品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

不少安全專家認為，復雜性是安全性的敵人，這句話的正確性已經被反復證明。很多人認為，在深度的分層防御中，如果有一層失效，其他層就可能阻止攻擊。其實未必，這是因為當今的事實是，每一層防御都是一種與眾不同的產品，每種不同的產品都有其自己的情報并在自己的范圍內運行，因而產生碎片化，或稱分裂。由于碎片化會帶來復雜性，所以，為改善安全性，我們需要減少碎片。但是，如何將已經破裂的或碎片化的組件粘合在一起呢？最佳的方法是，找到將不同組件粘合起來的“粘合劑”。事實上，威脅情報就可以成為深度防御策略中將不同層次的產品整合在一起的最佳“粘合劑”，而且可以減少碎片化。

但碎片化并不僅僅是深度防御的一個問題。在外部的威脅情報源中，在維護企業安全性的不同團隊中，也存在這個問題。下面討論的是在這些領域中存在的碎片化，以及威脅情報如何幫助解決問題。

某安全機構分析了很長時間的黑名單生態系統，發現黑名單的內容一般并不重疊，多數內容僅出現在某個黑名單中。無疑，存在大量的數據過載問題。而且，這些黑名單帶來了一種關于互聯網上惡意基礎架構的碎片化表述，從業者應該清楚這點。威瑞森（Verizon）的數據泄露調查報告也得出了同樣的結論，并且指出，公司需要能夠以一種更聰明的方法將威脅情報應用到其環境中。

一般說來，在企業構建最佳的威脅防御體系時，多數企業被迫使用多種數據源，其中有的來自商業源，有的是開源的，有的來自行業，還有一些來自現有的安全廠商，每種數據源都有其不同的格式。由于缺乏自動篩選和審查不同的海量數據的工具和能力，并且不能聚合信息進行分析和采取行動，數據仍是碎片化的，并且往往沒有什么相關背景，因而只會成為更強的噪音。威脅情報的正確路線應從將外部數據聚合到一個威脅情報平臺開始。

然而，威脅情報平臺遠不止聚合那么簡單，還必須是可運維的，并且能夠將威脅情報作為一種減少碎片的“粘合劑”。對于存儲在一個可管理位置的各種結構化和非結構化的綜合數據，威脅情報平臺必須將其轉換為一種統一的格式，并且用內部和外部的威脅數據和事件數據進行豐富和強化。通過將企業環境中的事件、相關黑名單特征與外部數據進行關聯，安全團隊就可以獲得額外的關鍵環境數據，從而理解哪些是與企業有關的，哪些對企業來說是需要優先處理的。如此，安全團隊就可以利用這些威脅數據，自動地在深度防御的所有不同層次中發布關鍵的情報，從而改善安全狀況并減少數據暴露和泄露的機會。

但是，團隊之間的這種碎片化狀態怎么辦？此處的關鍵是找到一種利用威脅情報作出更好決策和行動的方法。對于一個協作性不強的企業結構中，這確實是一個挑戰。企業可能有一個安全運營中心，有一個網絡團隊，還有事件響應團隊和惡意軟件團隊。通常，這些團隊并不一起工作，很少共享信息或情報。強制性的直接通信往往無效，所以，企業如何使這些團隊以一種明智的方式來協作呢？如果企業能夠為所有有關聯的和有不同優先次序的威脅情報建立一個倉庫，那么，無需這些團隊知道如何協作就可以更好地培育協作。隨著倉庫存儲數據的時間越來越長，就可以成為此過程的一個核心組件。隨著不同的團隊使用和更新這個倉庫，就可以在其他團隊中實現即時的信息共享，從而使決策更快更明智。

再進一步，就是將這個倉庫整合到其他已有的系統中，其中包括但不限于SIEM、日志倉庫、事件響應平臺等，這可以使不同的團隊使用早已了解的工具和界面，并仍能夠從情報中獲益和采取行動。例如，事件響應團隊使用取證工具。惡意軟件團隊使用沙箱。安全運營中心使用SIEM。網絡團隊使用網絡監視工具和防火墻。而這僅僅是開始。大家通過不斷地直接從自己維護和更新的倉庫中獲得情報，就可以從唯一的可信情報源進行運維和工作，減少碎片化和復雜性，從而加速決策和響應。

無疑，復雜性是安全性的大敵。但是，企業可以在減少復雜性方面有所作為。通過從所有外部和內部的有關聯的有優先次序的情報源中來豐富威脅數據，威脅情報就可以成為減少企業安全環境（異構的內部系統、不同的外部源和不同的團隊）碎片化的“粘貼劑”。復雜性減少了，企業的現有團隊使用已有的工具進行工作就能使企業更安全。