目前威脅情報環境還是一個“群島”，雖然已經構建了一些橋梁，但大部分這些島嶼仍然保持著隔離狀態。

然而，一些安全供應商正在試圖構建更多橋梁，他們在推動安全生態系統概念以及將API提供給第三方供應商用于產品整合。到目前為止，這些舉措只在產品之間建立了零碎的關聯，在第三方供應商采取行動來實行雙向共享實時數據的過程中，仍然處于早期階段。

在2015年RSA大會中，Intel Security宣布擴展其數據交換層(DXL)安全通信架構，其中包括與Intel Security產品更深度的整合，例如McAfee Threat Intelligence Exchange(TIE)平臺(其去年推出的安全信息共享控制中心)。

在2013年，思科推出了自己的安全信息共享產品：Platform Exchange Grid(pxGrid)。最近，思科擴展了其安全信息共享功能，同時增加了支持該框架的合作伙伴供應商。pxGrid包含一個API，可與思科的身份服務引擎(ISE)整合，這是驗證和證明網絡身份的門戶網站。通過pxGrid，安全產品能夠與ISE共享威脅情報。但是，在這種情況下，安全通信并不是雙向的。

雖然一些較小的供應商可能會依賴并支持較大型的(例如思科和英特爾)，但更成熟的供應商(特別是與他們搶占相同市場份額的卡巴斯基和賽門鐵克等供應商)不太可能會加入其威脅共享。這會在安全供應商之間造成分裂，迫使終端用戶最終做出選擇，而這種選擇會帶來一定程度的供應商鎖定。

FortSacle Security公司產品管理主管Guy Mordecai表示：“生態系統的意思是，從本質上講，你讓你的解決方案更加適用。”

用戶行為分析公司Fortscale已經在很大程度上整合到大型供應商的生態系統中，Fortscale只是少數這樣做的供應商之一。“如果你有一個生態系統，并且你有圍繞該生態系統的衛星產品：首先，你將為你的客戶提供更多價值，”Mordecai表示，“第二，你讓轉換成本變得略高一些，因為現在你有一整套產品，它們很好地運作并相互整合，否則你需要切換到另一組不一定可協同工作的產品。”

優勢何在?

Intel Security公司產品管理高級主管Roger Wood將DXL稱為“信息經紀人”，其中進行的消息交換會增加內容到每個產品的分析中。不同的實體和消費者可以從TIE服務器訂閱不同的消息源，通過DXL接收消息。DXL作為TIE這個免疫系統的神經系統。

“這是確保DXL的開放性的作用，”Wood表示，“下一個階段是確保我們有一個通用的聲譽提供商的能力，這樣你可以映射幾乎任何你想要的AV產品。”

根據Wood表示，McAfee的DXL可開放給很多第三方供應商，這些供應商可以通過DXL共享信息，而不一定要通過TIE。這讓DXL具有架構般的性質。

“這是一個真正的安全交換總線，”整合到DXL框架之一的網絡安全公司ForeScout Technologies的主要解決方案營銷經理Sandeep Kumar表示，“這里的概念是：不同的產品可以在這里與其他產品共享情報信息，讓其他產品可以利用這些信息，這是供應商訂閱模式。”

雖然可以使用DXL，但供應商必須成為Intel Security官方安全合作伙伴，思科的產品也是同樣的要求。

思科ISE提供一個門戶網站，其中會驗證你訪問網絡的身份。例如，ISE可以確定一個人的身份、他或她用于訪問該網絡的設備以及該設備中的操作系統和應用。

“通過結合這些信息，我可以給你一種身份指紋，并可基于此分配政策，”思科安全訪問和移動部門高級產品營銷經理Dave D’Aprile表示，“然后我們開始思考，如果我們可以獲取所有這些信息并共享呢，這就是pxGrid的起源。”

pxGrid獲取ISE用于分配安全政策的這些信息，并與其合作伙伴供應商共享。然后這些合作伙伴供應商就可以從網絡的角度提高其能力。

例如，一臺打印機連接到網絡，它會被標記為打印機。如果ISE看到這臺打印機突然發送數百封電子郵件到公司CEO，該行為讓ISE了解這個網絡連接可能不是真正的打印機。ISE會提供該打印機的IP地址和名稱(打印機H)以及物理位置(在二樓)，然后該打印機會被隔離以避免這個問題在網絡中傳播。

“你可能會花五六個月試圖找到企業中特定的IP地址，試圖確定，‘這個東西在哪里，我一定要阻止它，我不知道它在哪里，’”D’Aprile表示，“新增信息顯示：這是Dave的筆記本;他在這棟樓里面;我們可以隔離他，讓他不會造成更多傷害;我們還可以收拾他或者自動重定向他到服務器，讓他可以修復自己的筆記本電腦。這是通過這兩種不同的解決方案你可以創建和使用的所有政策，這也是pxGrid整合如何幫助提高安全性的一個例子。”

但是合作伙伴供應商無法從ISE接收ISE從其他地方接收的信息，換句話說，這個過程不是雙向的。

“pxGrid和ISE完全連接在一起。現在，你將有一個獨立的合作伙伴來共享信息;ISE會分享其信息。”

“我們對未來的想法是，多個合作伙伴可以通過pxGrid共享信息，因為他們已經在pxGrid上開發，隨后所有這些信息可以關聯到ISE，”思科高級產品營銷經理Beth Barach表示，“現在還沒有完全實現，但這是pxGrid的終極理念。理想情況下，因為我們所有合作伙伴都在pxGrid開發與ISE交互，未來的目標是讓他們與ISE交互以及相互交互。”

Barach稱，她不會將pxGrid稱為消息架構或總線。

“它更像是一個API，”Barach解釋說，“在開發pxGrid之前，我們通過API進行共享功能。然后，pxGrid被開發成一個更先進的API來取代之前的API。”

思科的做法似乎對合作伙伴相互分享信息較為放任。ISE在那里，接收所有合作伙伴的信息，如果其他合作伙伴沒有相互分享信息，思科并不關心。

Barach稱：“請記住，他們的大部分時間和精力都用在開發他們與ISE的整合，這是第一步。”

SIEM并不夠

 

安全信息和事件管理(SIEM)系統會從其他產品收集信息，獲得環境的整體視圖。如果出現惡意軟件網絡釣魚攻擊或可疑URL，這些數據會傳遞到SIEM系統。

“SIEM將這些信息整合到單個儀表板，”網絡安全供應商Palo Alto Networks公司產品營銷、行業和項目副總裁Scott Gainey表示，“如果我在防火墻內看到一些特定的警報，并且，我在我的終端設備和核心網絡看到一些東西，我看到這些信息后，我可以推斷發生了一些嚴重的事情，并需要進行深度調查。”

SIEM系統需要分析來確保信息被讀取，并且在危險的情況下，會采取相應的行動。IT分析公司Gartner研究副總裁Anton Chuvakin非常支持SIEM，但他擔心企業對這項技術不屑一顧，因為他們并沒有利用得當。Chuvakin表示，SIEM的主要問題在于人們如何使用它或者更確切地說，不使用它。Chuvakin強調說，SIEM并不是讓企業可以“一勞永逸”的自動運行產品，它需要安全管理人員的密切關注。

“人們希望有一個產品可以神奇地告訴他們發生了什么事，在很多情況下，這是不可能實現的目標，”Chuvakin表示，“這就像讓微波爐烹制你喜歡的菜肴。你買來微波爐，它就可以馬上烹飪你喜歡的菜，它怎么會知道怎么做?”

DXL和pxGrid背后的想法是，信息收集和隨后的響應可以實現自動化。IT專業人員不需要篩選龐大的警報信息和誤報信息。

在試圖實現整合的過程中，供應商在代碼行中添加代碼來整合其系統。而Palo Alto公司的Gainey表示，太多添加代碼會減慢網絡，讓其運行效率低下。

“如果你真的開始打開一些安全功能，20 Gbps會下降到5 Gbps每秒，”Gainey表示，“你會失去整個性能水平。現在，作為安全專業人員，你會與網絡團隊意見完全不一致，你會說，‘把那個東西關閉，因為這完全拖慢了網絡’。”

而賽門鐵克公司技術戰略副總裁Kenneth Schneider并不認同這種產品整合會給網絡帶來這樣的影響。賽門鐵克去年推出了Synapse，這個安全通信服務旨在關聯端點、電子郵件系統和網關之間的安全信息。賽門鐵克稱其與很多下一代防火墻(NGFW)供應商合作來解決惡意軟件出現后帶來的問題，以減少對網絡的影響。

“對于這些類型的交互，實際并沒有涉及龐大的數據量，”Schneider表示，“你可以仔細想想，NGFW會獲取大量數據，但隨后它會抓住惡意軟件，分析它，并獲取相關的信息。在我們談論的這種整合中，實際并沒有這么大的網絡影響。只有分析后的信息會在網絡中傳輸，而不是原始數據。”

ISE或TIE系統與終端、網絡、云計算及其他產品結合可以實現快速響應。而SIEM系統與ISE或TIE結合不僅允許發現和警報信息，還可以發送解決方案來應對威脅。思科的D’Aprile表示，其目標是希望推動更快的修復以及減少響應時間，這是非常關鍵的因素。#p#

開放

D’Aprile表示，pxGrid旨在成為一個開放標準。“我們已經在IETF開放它，”他表示，“它可以供人們查看和使用。”

ISE是一個開放的API，人們可以用它來與Intel Security訪問控制產品進行基本通信。但是他們需要成為合作伙伴并使用pxGrid，這不禁讓人懷疑該標準到底有多開放。

供應商都可以聯系Intel Security以加入安全創新聯盟(SIA)，該組織已經做了一些努力以實現雙向信息共享，包括招募了ForeScout和FortScale等供應商。根據Intel Security公司的Wood表示，約170個合作伙伴已經整合了Intel Security技術的不同方面。DXL是上述合作伙伴提供的功能之一。

“我們正在試圖實現更廣泛的開放化，”Wood稱，“英特爾喜歡做的事情之一是制定標準，目前我們正在評估我們應該如何去做。讓它完全開放化是很好的事情。”

英特爾確實喜歡制定標準，該公司參與了全球范圍的以太網、USB和藍牙標準的制定。現在，他們正在計劃制定消息總線標準。

Wood解釋說，過渡到完全開放化會很慢，因為Intel Security需要確保該過渡過程中最終用戶的安全性，畢竟，安全是該公司的全部意義所在。

“基于消息總線技術，讓我們不必像過去那樣進行完整的API式的整合，這樣做問題是想要整合的任何人都需要與其他人整合，”Wood表示，“DXL開放化意味著第三方供應商可以整合到DXL并訂閱TIE。他們會通過我們的合作伙伴計劃得到DXL開發套件，然后整合到其產品，讓他們可以監聽適當的渠道。”

制定標準

行業標準很難制定，但最終，我們會看到單個安全通信標準，它不會偏袒任何供應商。例如，思科不必讓步于Intel Security來使用共同安全生態系統或威脅情報交換。

“在我看來，在RSA大會應該會有很多關于開放標準、API和網絡安全中間件的討論，”ESG安全分析師Jon Oltsik表示，“在這些領域的行業范圍的合作努力將會讓所有人受益，特別是網絡安全供應商的客戶。”

在千禧年初，行業曾努力構建企業服務總線(ESB)作為標準消息總線，讓各種應用可以進行通信。ESB最終告吹，因為行業未能認識到ESB是什么的單一定義。

很多供應商同意，信息共享的共同形式將最適合最終用戶，并可提高企業的安全性。但沒有供應商希望與其競爭對手協商來建議這樣的共同標準或甚至是準確定義這種標準。這似乎是重蹈ESB問題。

與此同時，小型供應商正在努力建立連接。Fortscale提供與思科、Splunk和McAfee的整合。Forescout提供與Splunk、McAfee與Palo Alto的整合。RSA則與McAfee、Palo Alto和思科整合。Gigamon與Citrix都與Palo Alto、思科和Splunk整合。IXIA是唯一整合所有者四個供應商的公司。還有很多公司整合了上述兩個供應商。因此，在選擇大型供應商產品時，消費者可以選擇大量較小型供應商產品以進行整合。

開放標準：為什么不呢?

“惡意軟件攻擊者總是試圖在創新方面超越我們，而我們總是希望不會落后于攻擊者，所以共享數據肯定會有益于所有人，”卡巴斯基公司全球B2B營銷總監Mark Bermingham表示，“唯一的問題是，這個市場的每個人都在試圖賺錢，所有供應商必須能夠通過自己的產品組合來有效地賺錢，以確保他們能夠真正地發展。”

除了阻礙賺錢外，還有讓共享消息總線鎖定和可信賴的問題。“隨著命令和控制結構可在50毫秒內真正地改變企業中每臺計算機的行為，并作為非常值得信賴的安全支柱，我們想要確保管理基礎設施、流量控制、認證能力、撤銷能力以及與保護基礎設施相關的所有事物都得到很好地確定，”Wood解釋說，“這樣，我們的客戶可以完全信任他們可以控制自己的環境，無論他們使用了多少供應商的產品。”

此外，標準通道會創建一個架構，讓惡意攻擊者可以學會避免。換句話說，真正開放的威脅情報交換平臺可以被攻擊者訪問，然后他們可以利用這些信息來攻擊系統。

“這是標準面對的很大問題，”Bermingham表示，“從現在已經部署的標準來看，標準不僅可以讓卡巴斯基等供應商來構建，而且惡意軟件編寫者也可以訪問標準來學習如何繞過標準。”

“所以，制定標準可能有趣且有用，但這也有些危險，”Bermingham表示，“因為標準的本質意味著它們是公開可用的，而攻擊者總是在想方設法來避開惡意軟件檢測功能。”

安全鏈是否無堅不摧?

在大多數情況下，安全供應商似乎對通過威脅情報交換中心共享信息以及通過虛擬管道和消息總線等線路整合產品感到興奮，但他們對此也有所猶豫，他們擔心失去其專利產品，這是目前安全供應商面臨的困境。

“安全領域的老話說，網絡安全鏈是否強大取決于其最薄弱環節，”ESG的Oltsik表示，“然而，在過去企業安全還沒有類似的安全鏈，只有不一致的金屬環。鑒于當前的威脅環境，連接這些環節變得非常重要，而不是挑選最優秀的單個安全產品。”

雖然每個供應商似乎認為共享信息是保護其客戶的最佳方式，即使是那些對通用標準有意見的供應商，但到目前為止，這種想法還沒有帶來明確的解決辦法。

“如果整個行業共同應對這個問題，客戶肯定會受益，”Bermingham表示，“但這樣做具有挑戰性，因為這意味著15年到20年的競爭對手突然需要決定是否合作，這是個很艱難的決定。”