網(wǎng)絡(luò)安全行業(yè)一直存在著信息共享的問題。雖然眾包這一概念很了不起，我們也形成了一些威脅情報社區(qū)，但回顧過往歷史，仍少有成功經(jīng)驗證明這是一個切實可行的主意，目前，眾包數(shù)據(jù)的來源仍以大量開源項目或第三方威脅情報供應(yīng)商為主。有必要將這些高價值信息源進行整合，并對其給予相應(yīng)的回報。對企業(yè)安全團隊來說，眾包的概念并不算新——很短時間內(nèi)，我們的情報就可以在朋友圈、郵件、即時消息和其他信息平臺上完成共享。

隨著技術(shù)的發(fā)展與融合，我們也迫切希望能利用新技術(shù)助力情報分享得更多更快。我們希望能夠跟上每天不斷上漲的攻擊數(shù)量。但目前眾包威脅情報共享還遠未達到我們的預(yù)期。當看到攻擊者們出于利益、破壞或其他共同的邪惡目的迅速共享信息時，我們也會受到刺激，想要把協(xié)同防御做的更好。

協(xié)同防御的挑戰(zhàn)

即便“眾包威脅情報”是網(wǎng)絡(luò)安全社區(qū)一次不錯的嘗試，但距離其真正達成“協(xié)同防御”仍然有非常多的挑戰(zhàn)要克服。我把這些挑戰(zhàn)總結(jié)成四點，如下圖所示：

缺少情報指征不再是威脅情報利用的挑戰(zhàn)，相反，安全團隊被大量的威脅情報淹沒已經(jīng)成為常態(tài)。這里缺少的是高質(zhì)量的指征，即如何從噪音中獲取有價值的信號。當然，將關(guān)注點從“數(shù)量”轉(zhuǎn)移到“質(zhì)量”并不容易。情報“質(zhì)量”的提升需要成熟的安全團隊憑借技術(shù)能力對數(shù)據(jù)進行深度挖掘，而不是簡單籠統(tǒng)地接受所有傳進來的指征。

還有不少安全團隊在缺少上下文的情況下使用情報——這樣做是不正確的。上下文指的是圍繞指征的一系列有價值的數(shù)據(jù)。這不單單是眾包或某家供應(yīng)商能夠解決的問題。每家公司都是根據(jù)自家情況為指征提供上下文，然而單獨一個指征在不同的業(yè)務(wù)場景下可以表示完全不同的結(jié)果，更何況將不同的公司提供的所有指征都整合在一起了。在威脅情報中增加上下文，這是使威脅情報發(fā)揮實用價值的基礎(chǔ)。特別在眾包模式下，貢獻情報的同時提供上下文更加有必要。

另一個安全團隊必須要考慮的問題是數(shù)據(jù)分享背后的法規(guī)風(fēng)險。對于上述提到的信息分享過程中的各類其他問題，已經(jīng)有企業(yè)級安全團隊具備了解決能力，這不足為奇。但很多時候，這么做還存在著法律合規(guī)層面的敏感與風(fēng)險。法規(guī)風(fēng)險雖然可以借助法務(wù)團隊，根據(jù)數(shù)據(jù)的業(yè)務(wù)場景、數(shù)據(jù)類型等等拆解成許多不同的細項問題加以規(guī)避，但是在很多公司，分享數(shù)據(jù)仍然是被嚴令禁止的。這樣的法規(guī)風(fēng)險會讓人沮喪，因為攻擊者并不存在這樣的限制，我們只能眼睜睜地看著他們?nèi)绱恕俺晒Α钡仳炞C著情報共享的價值。

最后，為了正確地實現(xiàn)眾包威脅情報，企業(yè)安全團隊需要從情報消費者轉(zhuǎn)變?yōu)榍閳筘暙I者。對于“眾包”來說，這一點尤為重要。多年來，很多公司都只是消費情報卻從不回饋。如果只有小部分公司為社區(qū)貢獻情報，這樣的社區(qū)是很難維持的。回饋社區(qū)的典型做法是，通過工具或腳本，從系統(tǒng)內(nèi)部拉取數(shù)據(jù)，再提交給情報提供者。企業(yè)安全團隊中具備此種技能的人已經(jīng)不多見了，因為這類人大多都在軟件工程師團隊中。越來越多成熟的企業(yè)安全團隊已經(jīng)意識到了他們的價值，正在招收這類專家建立這方面能力。