威胁情报:我有药,你有病吗?-华盟网

威胁情报:我有药,你有病吗?

华盟学院山东省第二期线下学习计划

威胁情报讲的先是格局,后才是方法。

格局在于,先有合作共享。这一点我觉得在国内做不到,至少从大面上来看是这样。但在局部,很多小团队反而在抱团取暖。大厂商方面,看似分享,但实际上都是A系、B系、C系……这样,每个系就是一个江湖,每个江湖都膜拜一个盟主,虽也未必都是真心膜拜。而江湖内,还免不了为争宠这二把交椅而内斗 —— 人人都喊着“我们需要更安全的互联网”,但少数人心里仍然是念叨着“‘只有我才能创造更安全的互联网,你不行、你不行、你也不行 …… ”。

方法在于,需要协同,但一个“协同”却很能让人浮想联翩。最早讲协同的历史已经太早了,但做协同看起来像那么回事的应该是从安全SaaS开始的。一点遭受攻击,全局联动防御。

不错,这看起来很协同。但,这玩意说到底还是没改变传统的那个套路 —— 我有上亿客户端,一个客户端发现病毒,全面推送病毒库。在云端只是这个过程变得更短、更迅速了而已。

所以现在看起来,真正的协同才是大问题,毕竟,合作共享的问题是利益体的问题,不是一朝一夕的事情。话说回来,如果有一天让我创业去选择,我也会选择一个有钱的干爹,然后慢慢的没入那个江湖,举着信仰的砍刀、拖行在安全的大道上、摩擦着火花、厮杀在娱乐版的头条之上 ……

哦,还是说说协同。

威胁情报与原来的安全产品不同,说到底还是一堆数据,即便再怎么包装还是离不开数据的本质。产品为了向其某几个行业甚至全部行业的通用性而屈服的时候,数据却显得更加冷静。数据,单就概念而言,可以说是无所不包,也可以说是一无是处 —— 所以威胁情报看起来像是:我有药,你有病吗?

前段时间某毛药酒横行于市,广告漫天。

我咳嗽去药房,药剂师说来点药酒吧。我说头还有点晕,药剂师说来点药酒吧。我说其实就是有口痰吐不出来,药剂师说来点药酒吧 ……

我特么又不是方世玉,天天泡药酒。

出门右转,祖传十八代老中医 —— Dr. Lee 。

坐下,号脉,老爷子说 :“小伙子,这病不难,不过我这儿没成药,得根据你这情况给你配、回去自己熬”。

回去两幅药下肚,果然,立马上吐下泻,哪还顾得了咳嗽、头晕?!

那个卖药酒的就是个半吊子销售(撑死了再算他0.3个售前),只能推销。

Dr. Lee这十八代的手艺就不是盖的了,贴合用户实际,从原始素材中挑选材料制作适合用户的解决方案 —— 虽然体验差了点。

这么多年了,我觉得最能贴近Dr. Lee的就是威胁情报了。

但还有一个问题没有解决,也是现在很多威胁情报纠结的问题 —— 协同的视角问题。

早些年说到协同,是自己和自己协同 —— 自家IDS报警了,然后给自家FW去推送策略。而本家产品的策略一致性必然导致这种协同的失败。

后来是多源汇总,分析后再协同 —— 然后出来了很多叫SOC的平台。里面汇集的不只是安全数据,还有很多原始数据,本是好思路,却被SOC这个概念给套路化了,最后却连SIEM都没做到。

现在谈协同多是威胁情报的协同 —— 我能杀毒、你能拦截入侵、他能做HIPS,一合体,基本上入侵者从进来到出去的一条路都清楚了。然后再合计合计,来点人肉,就攒出来一个TTP(Tactics, Techniques, andProcedures)。

当然,TTP虽好但还不足够描述问题。

所以在STIX里还定义了动机、目标、源头、行动 …… 等等。

多少团队为了追求一份漂亮而又完整的STIX几天不眠不休而累吐血 —— 最后却无用武之地。再说了,人家也没说非要都填满才叫STIX啊 …

CSDN引发圈内外数据外泄风的时候,我把一组@XXX.COM的邮箱发给了一个客户,XXX.COM是他们公司的邮箱后缀。

客户第一反应是把他们在外网开放的服务回了邮件给我,果不其然,@XXX.COM的前缀和密码把这些外网服务分分钟撸出血。

结果当然你好我好大家好。但一组邮箱密码的模样却是离我们理想中的TTP之美相距甚远。

所以,协同了这么多年,还是逃不了自己协同自己,再扩大点,也就是拉着圈内友商一切玩玩而已。

以前客户跟我说过:“你们厂商老是自己玩自己的,有机会也带我们玩玩”。

带上你的客户一起协同,大概率上讲,一个组邮箱加密码的价值很可能要强过一份描述详尽的STIX的价值。

一份完善的STIX可能要耗掉一个小团队几天甚至几周的时间,而一组邮箱和密码可能只要等待一个扫描任务的时间。

www.idc126.com

是的,有时候,威胁情报和用户价值,也许就真的只隔了一道扫描器的距离而已 ……

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

发表评论