目前威脅情報(bào)環(huán)境還是一個“群島”，雖然已經(jīng)構(gòu)建了一些橋梁，但大部分這些島嶼仍然保持著隔離狀態(tài)。

然而，一些安全供應(yīng)商正在試圖構(gòu)建更多橋梁，他們在推動安全生態(tài)系統(tǒng)概念以及將API提供給第三方供應(yīng)商用于產(chǎn)品整合。到目前為止，這些舉措只在產(chǎn)品之間建立了零碎的關(guān)聯(lián)，在第三方供應(yīng)商采取行動來實(shí)行雙向共享實(shí)時數(shù)據(jù)的過程中，仍然處于早期階段。

在2015年RSA大會中，Intel Security宣布擴(kuò)展其數(shù)據(jù)交換層(DXL)安全通信架構(gòu)，其中包括與Intel Security產(chǎn)品更深度的整合，例如McAfee Threat Intelligence Exchange(TIE)平臺(其去年推出的安全信息共享控制中心)。

在2013年，思科推出了自己的安全信息共享產(chǎn)品：Platform Exchange Grid(pxGrid)。最近，思科擴(kuò)展了其安全信息共享功能，同時增加了支持該框架的合作伙伴供應(yīng)商。pxGrid包含一個API，可與思科的身份服務(wù)引擎(ISE)整合，這是驗(yàn)證和證明網(wǎng)絡(luò)身份的門戶網(wǎng)站。通過pxGrid，安全產(chǎn)品能夠與ISE共享威脅情報(bào)。但是，在這種情況下，安全通信并不是雙向的。

雖然一些較小的供應(yīng)商可能會依賴并支持較大型的(例如思科和英特爾)，但更成熟的供應(yīng)商(特別是與他們搶占相同市場份額的卡巴斯基和賽門鐵克等供應(yīng)商)不太可能會加入其威脅共享。這會在安全供應(yīng)商之間造成分裂，迫使終端用戶最終做出選擇，而這種選擇會帶來一定程度的供應(yīng)商鎖定。

FortSacle Security公司產(chǎn)品管理主管Guy Mordecai表示：“生態(tài)系統(tǒng)的意思是，從本質(zhì)上講，你讓你的解決方案更加適用。”

用戶行為分析公司Fortscale已經(jīng)在很大程度上整合到大型供應(yīng)商的生態(tài)系統(tǒng)中，F(xiàn)ortscale只是少數(shù)這樣做的供應(yīng)商之一。“如果你有一個生態(tài)系統(tǒng)，并且你有圍繞該生態(tài)系統(tǒng)的衛(wèi)星產(chǎn)品：首先，你將為你的客戶提供更多價值，”Mordecai表示，“第二，你讓轉(zhuǎn)換成本變得略高一些，因?yàn)楝F(xiàn)在你有一整套產(chǎn)品，它們很好地運(yùn)作并相互整合，否則你需要切換到另一組不一定可協(xié)同工作的產(chǎn)品。”

優(yōu)勢何在?

Intel Security公司產(chǎn)品管理高級主管Roger Wood將DXL稱為“信息經(jīng)紀(jì)人”，其中進(jìn)行的消息交換會增加內(nèi)容到每個產(chǎn)品的分析中。不同的實(shí)體和消費(fèi)者可以從TIE服務(wù)器訂閱不同的消息源，通過DXL接收消息。DXL作為TIE這個免疫系統(tǒng)的神經(jīng)系統(tǒng)。

“這是確保DXL的開放性的作用，”Wood表示，“下一個階段是確保我們有一個通用的聲譽(yù)提供商的能力，這樣你可以映射幾乎任何你想要的AV產(chǎn)品。”

根據(jù)Wood表示，McAfee的DXL可開放給很多第三方供應(yīng)商，這些供應(yīng)商可以通過DXL共享信息，而不一定要通過TIE。這讓DXL具有架構(gòu)般的性質(zhì)。

“這是一個真正的安全交換總線，”整合到DXL框架之一的網(wǎng)絡(luò)安全公司ForeScout Technologies的主要解決方案營銷經(jīng)理Sandeep Kumar表示，“這里的概念是：不同的產(chǎn)品可以在這里與其他產(chǎn)品共享情報(bào)信息，讓其他產(chǎn)品可以利用這些信息，這是供應(yīng)商訂閱模式。”

雖然可以使用DXL，但供應(yīng)商必須成為Intel Security官方安全合作伙伴，思科的產(chǎn)品也是同樣的要求。

思科ISE提供一個門戶網(wǎng)站，其中會驗(yàn)證你訪問網(wǎng)絡(luò)的身份。例如，ISE可以確定一個人的身份、他或她用于訪問該網(wǎng)絡(luò)的設(shè)備以及該設(shè)備中的操作系統(tǒng)和應(yīng)用。

“通過結(jié)合這些信息，我可以給你一種身份指紋，并可基于此分配政策，”思科安全訪問和移動部門高級產(chǎn)品營銷經(jīng)理Dave D’Aprile表示，“然后我們開始思考，如果我們可以獲取所有這些信息并共享呢，這就是pxGrid的起源。”

pxGrid獲取ISE用于分配安全政策的這些信息，并與其合作伙伴供應(yīng)商共享。然后這些合作伙伴供應(yīng)商就可以從網(wǎng)絡(luò)的角度提高其能力。

例如，一臺打印機(jī)連接到網(wǎng)絡(luò)，它會被標(biāo)記為打印機(jī)。如果ISE看到這臺打印機(jī)突然發(fā)送數(shù)百封電子郵件到公司CEO，該行為讓ISE了解這個網(wǎng)絡(luò)連接可能不是真正的打印機(jī)。ISE會提供該打印機(jī)的IP地址和名稱(打印機(jī)H)以及物理位置(在二樓)，然后該打印機(jī)會被隔離以避免這個問題在網(wǎng)絡(luò)中傳播。

“你可能會花五六個月試圖找到企業(yè)中特定的IP地址，試圖確定，‘這個東西在哪里，我一定要阻止它，我不知道它在哪里，’”D’Aprile表示，“新增信息顯示：這是Dave的筆記本;他在這棟樓里面;我們可以隔離他，讓他不會造成更多傷害;我們還可以收拾他或者自動重定向他到服務(wù)器，讓他可以修復(fù)自己的筆記本電腦。這是通過這兩種不同的解決方案你可以創(chuàng)建和使用的所有政策，這也是pxGrid整合如何幫助提高安全性的一個例子。”

但是合作伙伴供應(yīng)商無法從ISE接收ISE從其他地方接收的信息，換句話說，這個過程不是雙向的。

“pxGrid和ISE完全連接在一起。現(xiàn)在，你將有一個獨(dú)立的合作伙伴來共享信息;ISE會分享其信息。”

“我們對未來的想法是，多個合作伙伴可以通過pxGrid共享信息，因?yàn)樗麄円呀?jīng)在pxGrid上開發(fā)，隨后所有這些信息可以關(guān)聯(lián)到ISE，”思科高級產(chǎn)品營銷經(jīng)理Beth Barach表示，“現(xiàn)在還沒有完全實(shí)現(xiàn)，但這是pxGrid的終極理念。理想情況下，因?yàn)槲覀兯泻献骰锇槎荚趐xGrid開發(fā)與ISE交互，未來的目標(biāo)是讓他們與ISE交互以及相互交互。”

Barach稱，她不會將pxGrid稱為消息架構(gòu)或總線。

“它更像是一個API，”Barach解釋說，“在開發(fā)pxGrid之前，我們通過API進(jìn)行共享功能。然后，pxGrid被開發(fā)成一個更先進(jìn)的API來取代之前的API。”

思科的做法似乎對合作伙伴相互分享信息較為放任。ISE在那里，接收所有合作伙伴的信息，如果其他合作伙伴沒有相互分享信息，思科并不關(guān)心。

Barach稱：“請記住，他們的大部分時間和精力都用在開發(fā)他們與ISE的整合，這是第一步。”

SIEM并不夠

安全信息和事件管理(SIEM)系統(tǒng)會從其他產(chǎn)品收集信息，獲得環(huán)境的整體視圖。如果出現(xiàn)惡意軟件網(wǎng)絡(luò)釣魚攻擊或可疑URL，這些數(shù)據(jù)會傳遞到SIEM系統(tǒng)。

“SIEM將這些信息整合到單個儀表板，”網(wǎng)絡(luò)安全供應(yīng)商Palo Alto Networks公司產(chǎn)品營銷、行業(yè)和項(xiàng)目副總裁Scott Gainey表示，“如果我在防火墻內(nèi)看到一些特定的警報(bào)，并且，我在我的終端設(shè)備和核心網(wǎng)絡(luò)看到一些東西，我看到這些信息后，我可以推斷發(fā)生了一些嚴(yán)重的事情，并需要進(jìn)行深度調(diào)查。”

SIEM系統(tǒng)需要分析來確保信息被讀取，并且在危險的情況下，會采取相應(yīng)的行動。IT分析公司Gartner研究副總裁Anton Chuvakin非常支持SIEM，但他擔(dān)心企業(yè)對這項(xiàng)技術(shù)不屑一顧，因?yàn)樗麄儾]有利用得當(dāng)。Chuvakin表示，SIEM的主要問題在于人們?nèi)绾问褂盟蛘吒_切地說，不使用它。Chuvakin強(qiáng)調(diào)說，SIEM并不是讓企業(yè)可以“一勞永逸”的自動運(yùn)行產(chǎn)品，它需要安全管理人員的密切關(guān)注。

“人們希望有一個產(chǎn)品可以神奇地告訴他們發(fā)生了什么事，在很多情況下，這是不可能實(shí)現(xiàn)的目標(biāo)，”Chuvakin表示，“這就像讓微波爐烹制你喜歡的菜肴。你買來微波爐，它就可以馬上烹飪你喜歡的菜，它怎么會知道怎么做?”

DXL和pxGrid背后的想法是，信息收集和隨后的響應(yīng)可以實(shí)現(xiàn)自動化。IT專業(yè)人員不需要篩選龐大的警報(bào)信息和誤報(bào)信息。

在試圖實(shí)現(xiàn)整合的過程中，供應(yīng)商在代碼行中添加代碼來整合其系統(tǒng)。而Palo Alto公司的Gainey表示，太多添加代碼會減慢網(wǎng)絡(luò)，讓其運(yùn)行效率低下。

“如果你真的開始打開一些安全功能，20 Gbps會下降到5 Gbps每秒，”Gainey表示，“你會失去整個性能水平?，F(xiàn)在，作為安全專業(yè)人員，你會與網(wǎng)絡(luò)團(tuán)隊(duì)意見完全不一致，你會說，‘把那個東西關(guān)閉，因?yàn)檫@完全拖慢了網(wǎng)絡(luò)’。”

而賽門鐵克公司技術(shù)戰(zhàn)略副總裁Kenneth Schneider并不認(rèn)同這種產(chǎn)品整合會給網(wǎng)絡(luò)帶來這樣的影響。賽門鐵克去年推出了Synapse，這個安全通信服務(wù)旨在關(guān)聯(lián)端點(diǎn)、電子郵件系統(tǒng)和網(wǎng)關(guān)之間的安全信息。賽門鐵克稱其與很多下一代防火墻(NGFW)供應(yīng)商合作來解決惡意軟件出現(xiàn)后帶來的問題，以減少對網(wǎng)絡(luò)的影響。

“對于這些類型的交互，實(shí)際并沒有涉及龐大的數(shù)據(jù)量，”Schneider表示，“你可以仔細(xì)想想，NGFW會獲取大量數(shù)據(jù)，但隨后它會抓住惡意軟件，分析它，并獲取相關(guān)的信息。在我們談?wù)摰倪@種整合中，實(shí)際并沒有這么大的網(wǎng)絡(luò)影響。只有分析后的信息會在網(wǎng)絡(luò)中傳輸，而不是原始數(shù)據(jù)。”

ISE或TIE系統(tǒng)與終端、網(wǎng)絡(luò)、云計(jì)算及其他產(chǎn)品結(jié)合可以實(shí)現(xiàn)快速響應(yīng)。而SIEM系統(tǒng)與ISE或TIE結(jié)合不僅允許發(fā)現(xiàn)和警報(bào)信息，還可以發(fā)送解決方案來應(yīng)對威脅。思科的D’Aprile表示，其目標(biāo)是希望推動更快的修復(fù)以及減少響應(yīng)時間，這是非常關(guān)鍵的因素。#p#

開放

D’Aprile表示，pxGrid旨在成為一個開放標(biāo)準(zhǔn)。“我們已經(jīng)在IETF開放它，”他表示，“它可以供人們查看和使用。”

ISE是一個開放的API，人們可以用它來與Intel Security訪問控制產(chǎn)品進(jìn)行基本通信。但是他們需要成為合作伙伴并使用pxGrid，這不禁讓人懷疑該標(biāo)準(zhǔn)到底有多開放。

供應(yīng)商都可以聯(lián)系Intel Security以加入安全創(chuàng)新聯(lián)盟(SIA)，該組織已經(jīng)做了一些努力以實(shí)現(xiàn)雙向信息共享，包括招募了ForeScout和FortScale等供應(yīng)商。根據(jù)Intel Security公司的Wood表示，約170個合作伙伴已經(jīng)整合了Intel Security技術(shù)的不同方面。DXL是上述合作伙伴提供的功能之一。

“我們正在試圖實(shí)現(xiàn)更廣泛的開放化，”Wood稱，“英特爾喜歡做的事情之一是制定標(biāo)準(zhǔn)，目前我們正在評估我們應(yīng)該如何去做。讓它完全開放化是很好的事情。”

英特爾確實(shí)喜歡制定標(biāo)準(zhǔn)，該公司參與了全球范圍的以太網(wǎng)、USB和藍(lán)牙標(biāo)準(zhǔn)的制定?，F(xiàn)在，他們正在計(jì)劃制定消息總線標(biāo)準(zhǔn)。

Wood解釋說，過渡到完全開放化會很慢，因?yàn)镮ntel Security需要確保該過渡過程中最終用戶的安全性，畢竟，安全是該公司的全部意義所在。

“基于消息總線技術(shù)，讓我們不必像過去那樣進(jìn)行完整的API式的整合，這樣做問題是想要整合的任何人都需要與其他人整合，”Wood表示，“DXL開放化意味著第三方供應(yīng)商可以整合到DXL并訂閱TIE。他們會通過我們的合作伙伴計(jì)劃得到DXL開發(fā)套件，然后整合到其產(chǎn)品，讓他們可以監(jiān)聽適當(dāng)?shù)那馈?rdquo;

制定標(biāo)準(zhǔn)

行業(yè)標(biāo)準(zhǔn)很難制定，但最終，我們會看到單個安全通信標(biāo)準(zhǔn)，它不會偏袒任何供應(yīng)商。例如，思科不必讓步于Intel Security來使用共同安全生態(tài)系統(tǒng)或威脅情報(bào)交換。

“在我看來，在RSA大會應(yīng)該會有很多關(guān)于開放標(biāo)準(zhǔn)、API和網(wǎng)絡(luò)安全中間件的討論，”ESG安全分析師Jon Oltsik表示，“在這些領(lǐng)域的行業(yè)范圍的合作努力將會讓所有人受益，特別是網(wǎng)絡(luò)安全供應(yīng)商的客戶。”

在千禧年初，行業(yè)曾努力構(gòu)建企業(yè)服務(wù)總線(ESB)作為標(biāo)準(zhǔn)消息總線，讓各種應(yīng)用可以進(jìn)行通信。ESB最終告吹，因?yàn)樾袠I(yè)未能認(rèn)識到ESB是什么的單一定義。

很多供應(yīng)商同意，信息共享的共同形式將最適合最終用戶，并可提高企業(yè)的安全性。但沒有供應(yīng)商希望與其競爭對手協(xié)商來建議這樣的共同標(biāo)準(zhǔn)或甚至是準(zhǔn)確定義這種標(biāo)準(zhǔn)。這似乎是重蹈ESB問題。

與此同時，小型供應(yīng)商正在努力建立連接。Fortscale提供與思科、Splunk和McAfee的整合。Forescout提供與Splunk、McAfee與Palo Alto的整合。RSA則與McAfee、Palo Alto和思科整合。Gigamon與Citrix都與Palo Alto、思科和Splunk整合。IXIA是唯一整合所有者四個供應(yīng)商的公司。還有很多公司整合了上述兩個供應(yīng)商。因此，在選擇大型供應(yīng)商產(chǎn)品時，消費(fèi)者可以選擇大量較小型供應(yīng)商產(chǎn)品以進(jìn)行整合。

開放標(biāo)準(zhǔn)：為什么不呢?

“惡意軟件攻擊者總是試圖在創(chuàng)新方面超越我們，而我們總是希望不會落后于攻擊者，所以共享數(shù)據(jù)肯定會有益于所有人，”卡巴斯基公司全球B2B營銷總監(jiān)Mark Bermingham表示，“唯一的問題是，這個市場的每個人都在試圖賺錢，所有供應(yīng)商必須能夠通過自己的產(chǎn)品組合來有效地賺錢，以確保他們能夠真正地發(fā)展。”

除了阻礙賺錢外，還有讓共享消息總線鎖定和可信賴的問題。“隨著命令和控制結(jié)構(gòu)可在50毫秒內(nèi)真正地改變企業(yè)中每臺計(jì)算機(jī)的行為，并作為非常值得信賴的安全支柱，我們想要確保管理基礎(chǔ)設(shè)施、流量控制、認(rèn)證能力、撤銷能力以及與保護(hù)基礎(chǔ)設(shè)施相關(guān)的所有事物都得到很好地確定，”Wood解釋說，“這樣，我們的客戶可以完全信任他們可以控制自己的環(huán)境，無論他們使用了多少供應(yīng)商的產(chǎn)品。”

此外，標(biāo)準(zhǔn)通道會創(chuàng)建一個架構(gòu)，讓惡意攻擊者可以學(xué)會避免。換句話說，真正開放的威脅情報(bào)交換平臺可以被攻擊者訪問，然后他們可以利用這些信息來攻擊系統(tǒng)。

“這是標(biāo)準(zhǔn)面對的很大問題，”Bermingham表示，“從現(xiàn)在已經(jīng)部署的標(biāo)準(zhǔn)來看，標(biāo)準(zhǔn)不僅可以讓卡巴斯基等供應(yīng)商來構(gòu)建，而且惡意軟件編寫者也可以訪問標(biāo)準(zhǔn)來學(xué)習(xí)如何繞過標(biāo)準(zhǔn)。”

“所以，制定標(biāo)準(zhǔn)可能有趣且有用，但這也有些危險，”Bermingham表示，“因?yàn)闃?biāo)準(zhǔn)的本質(zhì)意味著它們是公開可用的，而攻擊者總是在想方設(shè)法來避開惡意軟件檢測功能。”

安全鏈?zhǔn)欠駸o堅(jiān)不摧?

在大多數(shù)情況下，安全供應(yīng)商似乎對通過威脅情報(bào)交換中心共享信息以及通過虛擬管道和消息總線等線路整合產(chǎn)品感到興奮，但他們對此也有所猶豫，他們擔(dān)心失去其專利產(chǎn)品，這是目前安全供應(yīng)商面臨的困境。

“安全領(lǐng)域的老話說，網(wǎng)絡(luò)安全鏈?zhǔn)欠駨?qiáng)大取決于其最薄弱環(huán)節(jié)，”ESG的Oltsik表示，“然而，在過去企業(yè)安全還沒有類似的安全鏈，只有不一致的金屬環(huán)。鑒于當(dāng)前的威脅環(huán)境，連接這些環(huán)節(jié)變得非常重要，而不是挑選最優(yōu)秀的單個安全產(chǎn)品。”

雖然每個供應(yīng)商似乎認(rèn)為共享信息是保護(hù)其客戶的最佳方式，即使是那些對通用標(biāo)準(zhǔn)有意見的供應(yīng)商，但到目前為止，這種想法還沒有帶來明確的解決辦法。

“如果整個行業(yè)共同應(yīng)對這個問題，客戶肯定會受益，”Bermingham表示，“但這樣做具有挑戰(zhàn)性，因?yàn)檫@意味著15年到20年的競爭對手突然需要決定是否合作，這是個很艱難的決定。”