威胁情报：共享与否并非问题所在

自创立之初，网络威胁情报这门学科一直以共享为核心，包括向网络安全团队、工具以及最佳实践提供有关攻击者及其战术、技术和程序（tactics, techniques and procedures， TTP)）的相关信息，旨在帮助其强化防御。反过来，安全工具所发现的威胁和事件相关数据，以及利用外部威胁源的经验也能够在一定程度上帮助提升整体的威胁情报水平。这是一个良性循环。因此，不难理解在过去的25年里，涌现出了一系列的兴趣群体，他们之间缔结了无数公共或私人的合作伙伴关系，最终形成了网络安全行业一个专注于共享威胁情报的完整领域。

但本文的主旨并非是要讨论威胁情报共享的重要性。最近，在与FS-ISAC和SecAlliance的专家进行的座谈会上，观众投票显示，受访者一致认同“威胁情报共享是有益的，它能够结合技术细节以及上下文信息提供出最大价值。”

但令人担忧的是，仅有17%的受访者对其组织在网络威胁情报共享方面的水平充满信心，而17%的受访者持相反的态度——表示十分不自信。更令人担忧的是，这项调查针对的是金融服务业内的安全专业人员，而这一领域被认为是威胁情报共享的早期采纳者。对于缩小信心差距并促使更多安全专业人员积极参与共享，需要采取一系列的措施。

自2020年以来，威胁情报逐渐地再次成为人们所关注的焦点。这缘于机会主义攻击者越来越频繁地利用新冠疫情、灾难性天气以及地缘政治环境等事件来发动复杂攻击，危及组织及其所提供的关键服务。因此，对于复杂网络威胁的深入了解变得尤为重要，以至于在2021年，一项白宫行政命令关于提升国家网络安全性的文件中，将“消除信息共享障碍”列为首要要求。

更多相关的法规也即将出台，例如，预计于2025年1月生效的《数字运营韧性法案（DORA）》，其针对的是填补欧盟金融监管中有关运营韧性的空白。新法案下的支柱之一侧重于网络威胁和漏洞相关信息与情报的共享。

法规通常被视为一种强制执行期望行为的手段，起到了“棍棒”的督促作用。然而，当越来越多的组织满足这些共享要求时，一种奖励机制的“胡萝卜”效应开始发挥作用，这种效应被描述为群体免疫。

如今，大多数组织都在相互依赖的复杂生态系统中运作。这意味着行业的韧性是组织韧性的前提。

此外，仅仅由市场中的大型参与者（无论是最大的金融机构、医疗服务提供商、零售商、制造商还是能源提供商）共享威胁情报是远远不够的。组织与各类大小的第三方之间都存在着相互连接。因此，每个组织都需要积极参与到共享社区，进行情报、最佳实践和工作流程的交流，这是实践效果最好的情况。为了共同的利益而合作创造的协同效应，使参与者能够获取自己在其他情况下无法获得的信息，通过资源的集中利用，更快、更低成本地强化自己的防御。

组织对其威胁情报共享能力缺乏信心的原因来自多个方面。对于任何一个共享社区来说，有三个关键要素被认为是能够提高威胁情报共享的可行性和影响力。

共享还是不共享并非问题所在。关键在于如何共享、共享什么、在何处共享以及与谁共享。尽早找到这些答案将有助于使整个行业在集体和个体层面上更加安全。

* 本文为茉泠编译，原文地址：https://www.securityweek.com/threat-intel-to-share-or-not-to-share-is-not-the-question/
注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。