安全厂商间真的能“数据共享,协同合作”吗?

2018-02-23 15:26:48 浏览数 (1)

随着网络技术的不断发展,安全厂商也如雨后春笋般涌现出来。从云主机、电子邮件服务器和终端设备的安全,到恶意软件、网络威胁、网络钓鱼以及DDoS攻击保护,几乎各种与互联网以及计算机有关的行业内都有数百家相关的安全厂商正在为他们各自所处的领域而战斗着。

虽然现在针对不同的服务和设备都有着大量的安全解决方案,但问题就在于这些方案并不具备广泛的适用性。也就是说,这个方案可能在你的身上可以完美发挥其功效,但在我身上则毫无实用性,这也给各个安全团队的工作带来了非常大的麻烦。与此同时,网络技术无时无刻都处于不断发展的状态,再加上某些网络犯罪分子的创新能力甚至比财富500强企业还要厉害,这就使得安全人员的日子更加难过了。

针对这种新出现的“合作问题”,Magnum Consulting的分析师Frank J.Ohlhorst表示有话要说:

“IT安全已经成为了现代IT环境中最复杂的元素之一,现代IT的每个环节和每一层都需要安全保护,我们不仅需要先进的分析技术来阻止网络攻击,而且还需要先进的防护技术来保护数据的安全。尽管很多企业拥有这样的条件,但这些年来仍然有很多企业无法避免遭到攻击的厄运。 简单来说,之所以会出现这种情况,主要是因为这些安全保护技术全部是由单一的一家厂商提供和部署的,而当今时代的这些网络威胁并非是单独某一家安全厂商可以独自应对的,这也就意味着孤立的安全技术将成为过去。”

安全厂商合作显得理想化,但这是时代的要求

很多安全专家认为,现在大多数安全厂商正在朝着正确的方向来实现行业内的合作。这种“合作”表示的是在理想情况下,我们应该尽自己可能来让某个系统变得更加安全。与此同时,“合作”也会大大降低开发一套系统的难度,因为开发人员在该系统内部署多种安全产品时就不用再花大量的时间去进行包括兼容性在内的各种测试了。

与几年前相比,现在安全厂商之间的合作也越来越常见了。从技术层面上来看,很多厂商开始开放自己平台的API接口,其他厂商可以通过这些API接口来访问或传输数据。从研究的角度来看,很多厂商也开始在调查和识别网络攻击上有着越来越密切的合作了,有些厂商甚至已经开始合作打击网络犯罪活动了。

威胁情报公司Digital Shadows的首席技术官James Chappell认为,在信息技术、安全标准和威胁情报等领域的厂商合作已经是一件再常见不过的事情了。他在接收CSO Online采访时表示:

“信息安全领域的各大厂商已经意识到了,几乎没有哪项技术能够像“万金油”一样放到哪儿都实用,而且也没有哪一家厂商能够永远保持“一家独大”。

安全是一个非常宽泛的话题,如果我们想要保证安全,那就得在各个方面进行努力,而并非只在一个方面下功夫。所以,这自然而然地就会形成一个成员之间会产生相互联系的生态系统。比如说,我们需要与提供内部安全监控服务以及事件分类服务的公司进行密切合作,这样才能保证我们所生成的警报以及提供的服务能够有效地提升客户事件响应处理的整体效率。”

Raj Samani是英特尔的首席技术官兼欧洲刑警组织的顾问,虽然他对安全厂商之间目前的合作情况不太满意,但他仍然非常看好目前的发展趋势,因为厂商和安全机构在打击网络犯罪和破坏犯罪基础设施的活动中展现出了非常好的合作前景。Samani指出:“在此之前,美国执法工作组与欧洲网络犯罪中心(EC3)就曾在调查网络犯罪组织的过程中与多家私营企业展开了密切的合作,而且合作的密切程度也达到了一种前所未有的等级。”

合作领域虽然非常广泛,但产品协同仍是大问题

很多技术提供商都是以自身产品中的某些独特功能而屹立于市场的,但安全领域的千变万化意味着某些安全解决方案、安全标准、甚至是安全协议可以在一夜之间变成“废品”。虽然这种专业化仍是我们所需要的,但我们也不得不承认,仅仅依靠类似防火墙和IDS系统这样的传统安全产品已经无法抵御日趋复杂的网络攻击了。因此,传统安全产品之间需要更好的协同工作能力才可以更好地保护终端用户的安全。

很多业内领先的厂商都在需求合作机会,并且正在通过API整合、SaaS、以及基于云计算的商业模型来提升协同工作的能力。更具体来说,他们会交换威胁情报信息和不同产品中存在的安全漏洞。

大数据分析软件供应商Panaseer的首席执行官Nik Whitfield表示,他的公司目前正在对Qualys和赛门铁克提交的数据进行分析和整合,他说到:

“回顾整个安全行业的发展史,在不同安全系统之间的交互方面,安全厂商几乎没有给用户提供任何的帮助。实际上,有些人甚至还认为这将对他们的企业构成威胁。但是,安全生态系统正在朝着一体化的趋势发展,很多供应商也知道开发一款独立的安全产品是没有任何意义的。每一个厂商就像一块拼图一样,只有拼凑起来才能成为一张完整的图画。”

英特尔的Samani也认同这一观点,但他也表示并非安全社区的每一个人都是这样想的。他表示:“总体来说,还是有很多厂商不愿意合作的,这完全取决于他们自己,但整个市场和安全社区还是朝着好的方向在发展。”

威胁情报与数据共享将成主流

实际上,与安全研究相似,威胁情报也是安全厂商可以展开合作的另一领域。之前也有很多合作的例子,比如说网络威胁联盟(CTA)、全球网络联盟(GCA)和威胁防御联盟(TPA)等等。

除此之外,政府和企业之间在威胁情报共享方面的合作也在逐步加深,美国的ISAC和英国的CISP之间的合作就是一个很好的范例。Samani还指出,The No More Ransom项目(旨在彻底消灭勒索软件)已经给安全社区提供了一个非常好的例子,我们也可以看到执法部门、政府机构、以及安全厂商的确可以共同努力来对抗勒索软件威胁。

随着行业合作的不断加深,威胁情报共享也将会成为常态。除此之爱,行业标准的出台也会让更多的企业积极加入到威胁数据共享这一大环境之中。类似ICS2、SANS、CREST、ISACA和ISSP这样的机构不仅会促成安全厂商间更广泛的合作,而且也可以改善全球信息安全人才匮乏以及安全技术差距较大的情况。

0 人点赞