最近，威脅情報共享的概念在企業安全領域逐漸流行起來，并已在行業大會和供應商的市場推廣活動中成為流行語。但是，威脅情報共享究竟指的是什么呢?我們真的可以利用它有效地防范網絡攻擊嗎?

關于威脅情報共享有許多有效的途徑來傳遞，如用戶到供應商、供應商到用戶、用戶到用戶、供應商到供應商。威脅情報共享的核心就是供應商從用戶那里收集信息，然后將這些信息再傳遞給用戶，以便使用戶們更好地應對網絡威脅和網絡攻擊。

另一種共享情境是針對同樣的情報，供應商對其改造再利用，如利用其創造出一種新的或者改良的檢測方法，或者屏蔽規則和其他的防護方式。這一防護信息被應用于供應商的商業產品和服務中，因此其用戶才能使用這一功能。

不過目前，關于威脅情報共享的應用，業界也出現了一些問題。英特爾安全(Intel Security，原McAfee現更名為Intel Security)端點安全業務單元(Endpoint Security Business Unit)的高級副總裁兼總經理Candace Worley指出：“一些用戶要求其公司保留這些威脅情報作為公司的私有“財產”，以致于這些情報不能被供應商用于更廣泛的商業用途。”不過這一點倒也是可以理解的，這使得一部分用戶可以借助別的力量和方法來解決相關問題，但是其他的用戶就得自己想辦法去解決了。

美國國土安全部(the Department of Homeland Security)高級技術官Richard Struse說：“具體來說，只有1%的最頂級的金融、醫療和保險公司才會有效地利用威脅情報。”而在另一方面，據賽門鐵克的消息，至少35%的企業沒有利用威脅情報。

這一情況引發了如下幾個問題：在剩下的64%的企業中，有多少企業在無效地利用威脅情報呢?為什么那35%的企業完全沒有利用威脅情報呢?還有最重要的一個問題，無論是64%的企業還是那35%的企業，他們在識別和應對安全威脅時會不會注定就失敗呢，只有那1%的企業實際上已經控制住了這些安全威脅。

增強威脅情報數據的有效性

NIST國家卓越網絡安全中心(National Cybersecurity Center of Excellence)副總監Nate Lesser說：“那些能夠并擅長收集和分析數據的企業是能夠獲得成功的企業，對于那些小公司來說，他們可以通過利用供應商的產品和服務來收集和分析數據。我現在也不確定，剩下的企業如何能夠從金字塔頂端那1%企業的滲漏效應中獲得收益。”

或許一些有效的解決方案可以幫助中間那64%的企業更加有效地的利用威脅情報，而無需考慮數據的數量、來源和傳遞機制。而這也需要企業發展得更加成熟，這種成熟不僅僅體現在產品、服務和供給的數量上。

威脅情報共享不應該是兩個獨立群體之間的單行道，本文列舉了以下幾個例子來說明威脅情報是如何，以及在哪被共享和應用的。

供應商到供應商：Sharon Vardi，Securonix公司的首席營銷官，他指出，他們引入了15個商業和開源威脅情報源，用來找出已知的不良網站。

供應商到用戶：為了避免向黑客或者網絡安全犯罪分子泄露公司的機密，Verisign(一個提供智能信息基礎設施服務的上市公司，總部在美國加利福尼亞州)開發了一個服務，能夠模仿各種不同類型的企業，如不同行業、國家、規模、用戶資料和相關文件等。Verisign的iDefense高級網絡犯罪研究員Kyle Maxwell說：“通過這項服務，我們可以看到攻擊者是何時進來的，他們在哪里得手，又是在哪里遇到麻煩，以及他們如何攻破障礙的。”將這些特定的黑客行為信息與用戶共享，可以有效地提升用戶企業的網絡安全。

用戶到用戶：行業之間共享的細節信息或數據也是非常重要的。據BalaBit IT安全公司(BalaBit IT Security)產品營銷經理James Luby說：“我們發現能源公司在利用情報信息時完全不同于那些金融機構或者石油行業，這些能源公司將他們自己的情報信息共享給他們的同行業者，這樣有效地減少了黑客針對這一行業環境攻擊的風險。”

用戶到供應商：Verizon企業解決方案(Verizon Enterprise Solutions)目前已充分利用他們從用戶那里收集來的威脅情報，用以制作年度“數據泄露調查報告”。

信息共享

人們似乎只關注于實際的共享信息的行為，卻忽略了他們這樣做而從中獲得的優勢。Struse說：“情報共享只是一種為達到目的所采用的手段或方法，而實際的目的是要積極地檢測，并將惡意攻擊攔截在外，以防止攻擊給企業帶來的不良影響。”換句話說，擁有更多的數據，并不見得擁有更聰明或更好的裝備。

為進一步闡明這一觀點，Forrester研究公司的首席分析師Rick Holland說：“企業最好先利用其內部的資源和供給來解決問題，這比花費數萬塊錢去購買商業資源更好些。”企業通常能夠引進他們所需的情報數據，但是如果這些企業不具備核心的安全措施來利用這些數據，那么這些情報數據也起不到任何良好的作用。對此，企業在安全上還是需要有一定的想法和支撐的，然后充分消化吸收這些威脅情報數據，但是要遵守底線，不能以簡單的打補丁的方式去解決企業的安全問題。

減少雙重泄露的風險

企業可能還會遇到一些其他比較麻煩的問題。Verizon數據泄露調查報告顯示，70%的數據泄露的比例表明在除了黑客攻擊的最終目標之外，數據泄露也已成為一個嚴重的安全問題，這種雙重的安全風險正在困擾著企業。

Verizon企業解決方案網絡安全研究與創新部門的安全數據科學家Bob Rudis表示(+本站微信networkworldweixin)，這種雙重的數據泄露大多是通過釣魚攻擊實施的，這種釣魚攻擊指的是攻擊者通過追蹤連接兩個企業的有效的證書實現的。Rudis說：“我們的研究數據顯示，25%的雙重數據泄露可以通過雙重認證或者簡單地阻止攻擊者的行為來避免。”

Datum Securitys公司的首席執行官Jonathan Niednagel也指出，諸如共享安全漏洞信息給企業所支持的供應商，無論是企業還是供應商都能夠幫助他們修繕漏洞，降低或避免風險，從而有效地減少這些雙重數據泄露的事情發生。

是什么阻礙威脅情報數據的共享呢?

供應商和企業都在共享威脅情報數據，其中一些可能成功了，但是大部分都沒有成功。正如Niednagel和其他幾位業界專家所指出的一樣，就算業界一直極力宣傳貢獻威脅情報的必要性和重要性，其最終的共享結果也不盡如人意。

據Struse表示：“某種意義上，情報共享也需要反壟斷。”企業通常與固定的組織共享情報，而排出另外一些企業，那么這些企業將會陷入麻煩中，而不能利用這些情報獲得利益。ThreatStream公司的首席執行官Hugh Njemanze也指出：“在過去，這種排外的情報共享行為可以看成是兩家企業之前的碰撞。”

目前，受政府監管的FS-ISAC(金融)和NH-ISAC(醫療)兩大組織已經克服了這種反壟斷和對抗的挑戰和問題。但是，那些在一個封閉的群體中想要共享情報的商業公司又是怎么樣的呢?他們如何面對這種法律風險呢?

反共享可能一般只出現在企業之間的商業協議中，用來約束協議雙方的行為，防止彼此之間的情報信息共享給第三方。ViewFinity公司的首席技術官Leonid Shtilman說：“即使我們的客戶認識到共享情報的價值所在，而且可能其中的一些客戶允許我們有選擇性地共享一些情報信息，如應用黑名單，但是受我們與客戶之間的保密協議的限制，我們不可能大量地共享我們收集來的情報信息。”

一些想法

不論目前情報數據信息共享發展得更加成熟與否，有一點可以肯定的是，它是目前業界討論的比較熱點的話題，正迅速地發展著，并且變得越來越相關、越來越重要。

如果有1%的企業一直保守著其情報信息而不共享給其他人，那么可能這1%的企業也不可能做成任何事。而99%愿意共享情報信息、愿意與其他人合作的企業，會想方設法地尋找一種方法去共享他們收集來的信息，而不是獨立地去實施安全措施。更為諷刺的是，攻擊者社區要比防御攻擊的企業更明白情報信息共享的重要性。

Tripwire公司的首席技術官兼高級安全分析師Ken Westin說：“企業一定要非常清楚地了解其自身的環境，以便更好地利用威脅情報信息，使其在企業的安全戰略中發揮作用。”