信息化觀察網(wǎng)

企業(yè)對(duì)威脅情報(bào)分享以及威脅情報(bào)在各個(gè)網(wǎng)絡(luò)安全領(lǐng)域融合應(yīng)用的熱情，源自威脅情報(bào)日益凸顯的價(jià)值，以下是IDC對(duì)威脅情報(bào)給企業(yè)安全運(yùn)營帶來的價(jià)值分析：

可以看出，威脅情報(bào)項(xiàng)目對(duì)于企業(yè)IT安全團(tuán)隊(duì)的效率提升和數(shù)字風(fēng)險(xiǎn)降低有著立竿見影的效果。

隨著企業(yè)對(duì)威脅情報(bào)在漏洞管理、安全運(yùn)營SOC、事件檢測(cè)與響應(yīng)、風(fēng)險(xiǎn)分析、防欺詐、供應(yīng)鏈風(fēng)險(xiǎn)等等領(lǐng)域應(yīng)用的關(guān)注度不斷上升，開源威脅情報(bào)平臺(tái)成為企業(yè)安全界的熱門話題。開源威脅情報(bào)與商業(yè)威脅情報(bào)有何區(qū)別？開源威脅情報(bào)的優(yōu)點(diǎn)是什么？未來的路怎么走？

帶著上述問題，我們整理了開源威脅情報(bào)平臺(tái)Bandura Cyber的首席戰(zhàn)略官Todd Weller在RSAC2020大會(huì)上主持的研討會(huì)錄音內(nèi)容（部分），供大家參考：

什么是開源威脅情報(bào)，它的驅(qū)動(dòng)力是什么？

這是一個(gè)很好的問題。首先來說一下它是由什么驅(qū)動(dòng)的？我們看到的是，各種規(guī)模和復(fù)雜程度的組織都在增加對(duì)威脅情報(bào)的使用。促使他們這樣做的原因是：僅從現(xiàn)有安全控制中獲得的威脅情報(bào)是不夠的。究其原因，是因?yàn)橥{情報(bào)往往是專有的，由供應(yīng)商驅(qū)動(dòng)，由其威脅情報(bào)團(tuán)隊(duì)驅(qū)動(dòng)，并由他們?cè)诳蛻羧褐锌吹降膬?nèi)容進(jìn)一步加劇。而組織發(fā)現(xiàn)他們需要更廣泛的威脅情報(bào)視野。它必須涵蓋多個(gè)商業(yè)來源、開源行業(yè)和政府。這確實(shí)是推動(dòng)這一運(yùn)動(dòng)的動(dòng)力，那就是擁有更廣泛、更開放的威脅情報(bào)視野。

第一個(gè)問題，什么是開源威脅情報(bào)？我用三個(gè)特征來概括一下開源威脅情報(bào)。首先是開源，我在Google上進(jìn)行了搜索，結(jié)果發(fā)現(xiàn)大量開源威脅情報(bào)平臺(tái)和服務(wù)，它們并不完全相同，但是這些概念之間存在一些相似之處——開源，對(duì)嗎？它不受任何一個(gè)實(shí)體控制。采用社區(qū)方式，任何人都可以做出貢獻(xiàn)。這和企業(yè)或行業(yè)安全聯(lián)盟合作類似，情報(bào)這事不能單槍匹馬去干。

開源威脅情報(bào)的第二特征是靈活，威脅情報(bào)可以輕松更改。您可以按需獲取所需威脅情報(bào)。最后，我認(rèn)為開源威脅情報(bào)的第三個(gè)特征是可移植性。這種威脅情報(bào)很容易移動(dòng)，很容易將其集成到您選擇的任何環(huán)境中。

這是與傳統(tǒng)威脅情報(bào)平臺(tái)的一個(gè)非常有趣的區(qū)別。由此引出的下一個(gè)問題是，為什么（開源）威脅情報(bào)很難集成到現(xiàn)有的安全控制中？

這里有兩個(gè)關(guān)鍵因素。正如我所提到的，首先，開源威脅情報(bào)與傳統(tǒng)安全解決方案的基本出發(fā)點(diǎn)就有分歧。傳統(tǒng)安全解決方案提供的價(jià)值在于它們檢測(cè)和阻止威脅的能力，他們通過自己專有的威脅情報(bào)來做到這一點(diǎn)，從而增強(qiáng)了其核心價(jià)值主張。因此，他們確實(shí)沒有動(dòng)力去分享或公開（威脅情報(bào)），也沒有動(dòng)力真正將其他人的威脅情報(bào)整合到自己的解決方案中。這是第一個(gè)因素。

我要說的第二個(gè)因素是技術(shù)限制。同樣，傳統(tǒng)安全解決方案旨在執(zhí)行特定操作。我們傾向于在網(wǎng)絡(luò)安全方面發(fā)揮作用或獲得更大的曝光度。例如，下一代防火墻，如今所做的不僅僅是防火墻，而是整合了入侵防御。他們正在進(jìn)行深度數(shù)據(jù)包檢查和URL相關(guān)檢測(cè)工作；他們正在做沙箱。此外，在這個(gè)基礎(chǔ)上加密流量也在不斷增加。下一代防火墻變得越來越肥，做了很多工作，資源負(fù)擔(dān)也越來越重。

因此，這種方式存在很大的局限性。許多下一代防火墻直接限制了你可以整合第三方威脅情報(bào)的空間。我們已經(jīng)看到的另一種因素，即使您消除了容量限制，在很多情況下，下一代防火墻的策略管理也很麻煩。這屬于另一種限制。

回到開源威脅情報(bào)領(lǐng)域，您如何看待行業(yè)正在掀起開源威脅情報(bào)運(yùn)動(dòng)的說法？

我看到了兩點(diǎn)。首先，幾年前一些供應(yīng)商組團(tuán)成立了網(wǎng)絡(luò)威脅聯(lián)盟（CTA）。我認(rèn)為Palo Alto Networks是一個(gè)關(guān)鍵創(chuàng)始會(huì)員，還有Symantec 等其他廠商，他們的目標(biāo)是業(yè)界能夠共享威脅指標(biāo)。

但我認(rèn)為CTA不算特別成功，坦白說，我們對(duì)網(wǎng)絡(luò)威脅聯(lián)盟知之甚少，甚至不清楚這個(gè)組織是否還存在？總之,正如剛才提到的，CTA的企業(yè)會(huì)員提供的都是專有網(wǎng)絡(luò)安全方案，配套的威脅情報(bào)服務(wù)也是各自專有的，你讓這些廠商慷慨無私地分享威脅情報(bào)，這事聽上去很有情懷，但是缺少激勵(lì)機(jī)制。

但有些安全方案供應(yīng)商（特定的供應(yīng)商）確實(shí)采取了行動(dòng)來嘗試實(shí)現(xiàn)第三方威脅情報(bào)的集成，并試圖使他們的系統(tǒng)更加開放。我將重點(diǎn)介紹一些例子。例如Palo Alto Networks有一個(gè)名為MineMeld的開源項(xiàng)目，該項(xiàng)目將匯總來自多個(gè)來源的威脅情報(bào)，他們正在幫助實(shí)現(xiàn)自動(dòng)化。

我認(rèn)為McAfee在他們所謂的DXL方面也已經(jīng)取得了很大的進(jìn)步，這不僅是將整個(gè)McAfee解決方案組合在一起的一種方法，而且還使我們這樣的第三方解決方案也可以輕松集成。這里需要考慮的其他方面是安全編排、自動(dòng)響應(yīng)（SOAR）。這些廠商正在努力促進(jìn)威脅情報(bào)在不同系統(tǒng)之間的移動(dòng)。

這種方法面臨的挑戰(zhàn)再次回到安全控件本身的局限性。因此，如果我們選擇了Palo Alto Networks，那么他們是市場(chǎng)領(lǐng)先的防火墻提供商，對(duì)嗎？他們已經(jīng)采取行動(dòng)來整合第三方威脅情報(bào)。但是，您依然只能將少量的第三方威脅指標(biāo)放到Palo Alto Networks防火墻中，這一事實(shí)問題并沒有解決。因此，無論是由MineMeld完成還是以SOAR完成，都存在很大的局限性。

歸根結(jié)底，最大的問題是，專有安全方案之間的差異是情報(bào)分享最大阻力。再強(qiáng)調(diào)一下，這些專有安全解決方案的體系結(jié)構(gòu)已經(jīng)非常飽滿自洽，它們真的只適合做自己在做的事情。

您提到Bandura Cyber已集成到其他一些產(chǎn)品和解決方案中。那么Bandura在開源威脅情報(bào)運(yùn)動(dòng)的作用是什么？

開放是我們所做工作的核心，對(duì)嗎？因此，我們提供了所謂的威脅情報(bào)保護(hù)平臺(tái)。在那里，我們匯總了來自多個(gè)來源的威脅情報(bào)。我們正在與許多商業(yè)威脅情報(bào)提供商合作。我們正在開源，我們正在通過ISEC、ISAO集成引入政府行業(yè)。

對(duì)于我們來說，我們今天不生產(chǎn)自己的威脅情報(bào)，我們并不依賴于此。我們正在合作，希望客戶能夠使用他們想要的威脅情報(bào)。因此，我們正在采取積極措施，以匯總和提供領(lǐng)先提供商和所有這些來源的威脅情報(bào)。但隨后，我們還將集成來自任何來源的威脅情報(bào)。我們看到不少大型企業(yè)在整合多來源威脅情報(bào)上花費(fèi)了數(shù)百萬美元，更多的企業(yè)將考慮使用ThreatQuotient之類的解決方案來匯總威脅情報(bào)平臺(tái)。

我們正在做這樣的集成。我們與ThreatQuotient合作，與Anomali合作，與Recorded Future合作，ThreatConnect，SOAR，SIEM系統(tǒng)將成為重要的集成。然后，關(guān)鍵部分就是對(duì)威脅情報(bào)采取行動(dòng)。

我們聚集在一起，整合在一起，但是接下來我們要采取行動(dòng)，這就是我認(rèn)為對(duì)我們非常有趣的地方。您可以將我們真正視為一個(gè)開放的威脅情報(bào)執(zhí)行平臺(tái)。同樣，我們將能夠從任何來源對(duì)威脅情報(bào)采取行動(dòng)。我們不偏向自己的威脅情報(bào)，我們想保持開放和靈活，但這并不意味著隨著時(shí)間的流逝我們不會(huì)擁有一些自己的威脅情報(bào)，但核心競(jìng)爭(zhēng)力始終是提供開放靈活的威脅情報(bào)。讓客戶獲得他們想要的信息。因?yàn)榫W(wǎng)絡(luò)是動(dòng)態(tài)的，當(dāng)下的威脅情報(bào)來源與明天、未來五年和十年都將大不相同。

Bandura網(wǎng)絡(luò)威脅情報(bào)平臺(tái)的主要特點(diǎn)是什么？

1、聚合來自多個(gè)來源的IP和域威脅情報(bào)，包括領(lǐng)先的商業(yè)提供商、開源、政府和行業(yè)來源。

2、實(shí)時(shí)集成來自任何來源的IP和域威脅情報(bào)，包括來自威脅情報(bào)提供商和平臺(tái)（TIP）、SIEM、SOAR、端點(diǎn)和網(wǎng)絡(luò)安全解決方案的情報(bào)。

3、基于IP和域等威脅情報(bào)，以近實(shí)時(shí)速度主動(dòng)過濾網(wǎng)絡(luò)流量。