关于网络安全领域威胁情报共享 问答Fortinet 全球安全战略官Derek Manky

信息共享仍然是全球网络安全中永恒的重要话题。作为一个行业，我们应该明白遏制网络犯罪的势头需要在网络、边界和供应商之间共享可执行威胁情报信息。在近期举办的RSA 2017大会上，Fortinet 的 Derek Manky 提出了一些观点。

为什么当前信息共享如此重要？

在所有领域和公共或私有组织之间主动共享信息是产业发展的必要条件。企业组织持续面对不断发展的威胁、日益扩大的攻击表面和安全技术匮乏所带来的挑战。可执行信息是当前从被动转为主动、将网络罪犯绳之以法并进行惩罚的最佳方法。

为什么信息共享说时容易做时难?

问题在于信息完整性的环境。难以将原始信息置于围绕攻击者的更广泛的信息环境，比如攻击者的身份、目的和攻击的时间、地点和方法。在当前的大数据世界中，共享信息需要适合自动执行，而且不是每个人都拥有共享适合自动执行的信息方面的经验。信息共享同样讲究快速，不应低于黑帽攻击者的行动速度。– 共享信息必须真实可靠，特别是涉及自动化执行时。最后，保密性和隐私问题使得形势更加复杂，但是可以通过只共享非个人可识别信息加以解决。

对于当前的安全供应商，信息共享意味着什么？

安全控制必须能够自动信任和吸收威胁情报，并根据威胁情报采取行动。否则，将无法管理当前存在的大量威胁情报（以后还会有更多的威胁情报）。面临的挑战：目前一般的安全团队通过监控独立的安全控制台，力图对部署在其混合与分布式网络范围内日益增多的设备和技术进行管理、评估并提供安全防护。很多时候，为了应对威胁，他们最终不得不对比日志文件、人工关联数据和手动更改设备之间的策略。这就意味着太多的威胁将成为漏网之鱼，即使能够检测到一两个威胁，这样的响应时间对于以机器速度进行的攻击显得太过缓慢。这实际上是当前网络安全所面临的日益严重的大数据问题。直到最近，在不同实体之间交换信息的尝试因所采用的特别方法变得更加复杂。这也将成为本年度 RSA 大会的热议话题。

人们通常所说的信息共享是双向的。是否属实？

既然信息的消费、整合和关联可以带来明显好处，请时刻思考您和您的组织怎样才能对这些信息反馈进行回馈。这样做可以为您的组织带来实实在在的利益——特别是考虑到攻击趋势从针对特定平台的广泛攻击演变为如今高度复杂、多重向量的针对性攻击。所以，可见性范围越广阔（通过共享威胁信息实现），我们检测并缓解这些威胁的能力就越强。

网络威胁联盟（CTA：Cyber Threat Alliance）是供应商携手提高信息共享效果、共创行业美好未来的成功范例。即使是竞争对手，我们也一起努力通过情报协作与共享将我们的愿景付诸实践。

Fortinet采取什么措施推动进一步信息共享？

Fortinet‘Security Fabric’可关联威胁情报以确定风险等级并自动同步协调一致的响应。该技术还可以动态隔离感染病毒的设备、划分网段、更新规则、推送新策略和删除恶意软件。

Fortinet 还在该领域与全球执法机构、政府部门和行业组织持续合作，积极引领威胁情报标准和协议的未来发展方向。

一年多来，Fortinet 积极参加国际刑警组织专家工作组并于去年协助抓获一个全球网络犯罪团伙。

此外，作为网络威胁联盟（CTA）的创始成员，我们致力于与业界合作伙伴和执法机构密切合作以检测和打击网络犯罪活动。CTA 发起的“Cryptowall 代码破解”活动对造成3.25亿美元损失的Cryptowall勒索软件进行关键研究，就是一个很好的例子。Fortinet还是OASIS网络威胁情报（CTI）组织成员，致力于推动协作性威胁情报与信息共享以促进全球社会安宁与经济发展。

每个安全供应商都肩负一个艰巨使命——让世界变得更加安全，使人们能够放心地进行互动、做生意、交流思想。共享关键威胁情报就是该责任的重要组成部分。公共和私营部门在该领域的合作将继续成为 Fortinet 未来的主要关注点。