威胁信息共享

  • 时间:
  • 浏览:24
  • 来源:it300
威胁信息共享

安全行业必须围绕同一类大规模信息共享模式进行集会“坏人”只能使用 - 更好......

我最近看到一个电视商业戏剧化一个网络犯罪集市。你卖的是什么?简单:您的信息和获取它的各种方法。但这不是街头小贩的临时收藏。这是一个有组织的计算销售。

虽然许多网络犯罪是由个人或小团体犯下的,但已经出现了大型有组织犯罪网络。这些“专业”犯罪分子找到了犯下旧罪行的新方法,将网络犯罪视为企业并形成全球犯罪团体。共享,交换和销售战略和工具的犯罪社区,可以结合力量发动协同攻击。他们甚至有一个地下市场,他们可以买卖被盗的信息和身份。

重点是,大多数网络犯罪分子都躲在妈妈的地下室里,蹲在一台试图闯入大型企业或政府机构的计算机上。不,今天,大量有效的网络犯罪是通过复杂,有组织的信息共享网络进行的。

为什么这些操作员网络成功地渗透到世界上最大的,据说最安全的企业和政府?简单。网络犯罪分子实际上比合法的企业和政府更有效地在彼此之间共享信息。在大多数情况下,“好人”在他们自己的孤岛中运作。当然他们正在跟上他最近的攻击方法,但往往他们获得的信息a)是不可行的b)不够及时和c)需要大量的人力资本来获得。

为了保持领先于最新威胁,出现了一些非常有限的安全信息共享小组。但是这些群体通常仅限于非常紧张的行业和同行圈子和/或临时电子邮件通信列表。因此,这些群体的有效性是有限的;它们是孤立的,缺乏与当今不断发展的,高度组织的网络犯罪网络作斗争所需的大规模结构化协作。

简单地说,网络威胁今天发展得如此之快,以至于传统的安全工具和当前的信息共享网络无法跟上。

分享行业

今天,有一些运营安全社区专门从事具有某些前景的特定行业的信息共享。以金融业的FS-ISAC为例。 FS-ISAC成立于1999年,是由金融服务部门根据1998年的总统指令63建立的。该指令要求公共和私营部门共享有关物理和网络安全威胁和漏洞的信息,以帮助保护美国的关键基础设施。

FS-ISAC的关键基础设施通知系统(CINS)在提供用户身份验证和传递确认的同时发送安全警报。 FS-ISAC还提供跨金融服务的匿名信息共享功能ustry。收到提交后,成员专家可以在警告其他FS-ISAC成员之前验证并分析威胁并确定任何建议的解决方案。这可以确保成员公司获得最新的经过验证的程序和最佳实践,以防范已知和新出现的安全威胁。

虽然FS-ISAC是一个很好的起点,但问题是这些信息主要只是收集并传播给金融行业公司,并且在有限的基础上传播给他们的安全供应商。它并不是所有行业都可以共享的。因此,金融公司并不知道对电子商务公司的最新威胁,这些威胁无疑会对他们造成打击。此外,这些通常仅作为警报发送给电子邮件组。虽然拥有最新信息非常重要,同时还有一些关于数据可能意味着什么的讨论,但很难使信息具有可扩展性和可操作性,因为它通常与发送给个人的电子邮件附件捆绑在一起。最后,FS-中的成员ISAC可能会谨慎分享他们的所有信息,因为直接利益并不总是很明确,而且“竞争”就在那里。

通过同行小组共享

虽然FS-ISAC仅限于金融行业,但有许多一次性论坛可以深入到IT安全同行群体中。一个这样的例子是NSP-SEC。根据NSP-SEC网站,它定义了论坛:“nsp-security论坛是一个志愿者事件响应邮件列表,协调ISP之间的互动(互联网服务提供商)和NSP(网络服务提供商)近乎实时地跟踪攻击和受损系统,并减轻这些攻击对ISP网络的影响。“虽然通过电子邮件发送攻击媒介是NSP的一个很好的初始步骤-SEC是在当今不断发展的威胁形势下创建的,这种工具不是自动化的,也不能提供可操作的情报是不够的。

NSP-SEC和其他类似团体的另一个缺陷:NSP-SEC成员资格仅限于积极参与缓解NSP安全事件的人员。因此,它仅限于运营商,供应商,研究人员和其他致力于阻止NSP安全事件的人员。这意味着成为“安全大师”或“来自政府”并不符合NSP-SEC会员资格。乙ottom line,你需要成为触及ISP / SP骨干网路由器的人,或者告诉别人触摸路由器。这是非常有限的,并且再次有助于筒仓效应。

此外,在主要的NSP-SEC名单之外的“点对点”合作确实发生并且得到了强有力的推动。如此有价值的信息可能会使整个成员受益,因此会从分支讨论中消失。如果你足够信任它进入其中一个突破组,那么你将获得真正的污垢。

NSP-SEC已经并将继续挫败网络攻击并且是一个很好的资源。然而问题仍然存在:鉴于网络犯罪分子今天如何运作,它是否以最有效和最有效的方式实现?我的答案是肯定的“不”。这种批评不应被解释为siNSP-SEC或其他任何人提到的。实际上,NSP-SEC的这些限制不是例外,而是安全行业信息共享组的标准。以DNS-OARC为例,作为将人们聚集在一起解决问题的伟大组织的进一步范例。他们和大多数其他这样的团体在他们自己的同伴群体中运作,他们是松散的,并且没有有效的协作平台或统一的实时数据共享通过电子邮件进行通信。

有一些有趣的努力在克服其中一些挑战方面取得了进展。特别值得注意的是,研究和教育网络信息共享和分析中心REN-ISAC正在成员大学之间大规模共享实时威胁指标数据。这允许一个univ快速检测攻击并自动通知网络中的其他所有人以保护整个生态系统。除数据外,成员还可以协作解决问题。虽然今天的重点是高等教育系统,但REN-ISAC的人们正在寻求与其他团体合作,以扩大有效的集体智慧。

信任与组织

问题归结为两个问题:信任一个群体中的成员,缺乏组织庞大,有组织的信息共享网络的资源。这里的关键词是有组织的。如果有一个信息共享组在一个有一种威胁的圈子中运行,你可以用一个圈子分享你的所有数据,用另一个圈子分享你的一些数据,用另一个圈子分享少量数据,对共享信息会有更多的信任。

虽然安全行业在信息共享方面取得了很大进展,但为了保持领先于高度组织化的不良行为者,行业必须围绕同样的大规模共享模式“坏人”使用的只是更好。作为一个集体,“好人”拥有比坏人更多的资源。但是,这些资源通常不是针对安全性的,当它们存在时,每个人都在忙于建立自己的组织或行业组织孤岛。这是非常低效的,并且提示了歹徒的利益。

看到公共和私人圈子的语气发生变化令人耳目一新。最新的国家信息共享战略和Sa白宫于2012年12月发布的保护措施为联邦政府和关键行业成员提供了明确的改革路线图。欧洲网络和信息安全局或ENISA在欧洲开展工作以规范欧盟国家之间的信息,欧盟新的欧洲网络犯罪中心也致力于在整个非洲大陆分享信息,这也是受欢迎的发展。

这些由政府主导的努力是否能够突破先前举措中的障碍,使这些信息保持紧密?时间会证明,但作为一个行业,我们都必须努力鼓励这些努力包容一个更广泛但更值得信赖的社区。

相关阅读:通过安全协作应对新出现的威胁

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01