威胁情报分享还是不分享不是问题

从一开始，网络威胁情报学科就一直致力于共享。向网络安全团队、工具和最佳实践通报威胁行为者及其策略、技术和程序 (TTP) 有助于加强防御。相反，我们的安全工具发现的威胁和事件数据以及使用外部威胁源学习的知识有助于增强威胁情报。这是一个良性循环。因此，理所当然的是，在过去 25 年里，利益共同体与公共和私人合作伙伴的结合不断涌现，在网络安全行业内创建了一个致力于威胁情报共享的整个部门。

这篇文章并不是为了让您相信威胁情报共享很重要。在最近与 FS-ISAC 和 SecAlliance 的专家举行的小组讨论中，观众民意调查显示，一致认为威胁情报共享是有益的，技术细节和上下文信息的结合可以提供最大的价值。

令人担忧的是，只有 17% 的受访者对其组织的网络威胁情报共享水平非常有信心，而 17% 的受访者则处于相反的一端——非常不自信。更重要的是，这项民意调查专门针对金融服务行业内的安全专业人员，该行业被认为是威胁情报共享的早期采用者。对于更多的安全专业人士（无论来自哪个行业）来说，如何才能缩小信心差距并积极参与共享？

监管合规性

自本世纪初以来，我们看到威胁情报重新受到关注，原因是机会主义威胁行为者的增加，他们利用流行病、毁灭性天气事件和地缘政治环境等事件发起复杂的攻击，损害组织和关键信息。他们提供的服务。更多地了解复杂网络威胁的需求变得如此重要，以至于 2021 年白宫关于改善国家网络安全的行政命令将“消除信息共享障碍”列为首要要求。

更多法规即将出台。例如，将于 2025 年 1 月生效的《数字运营弹性法案》(DORA)专门旨在解决欧盟金融监管在运营弹性方面的差距。新立法的支柱之一侧重于与网络威胁和漏洞相关的信息和情报共享。

法规通常被视为推动期望行为的“大棒”。但当更多的组织满足这些共享要求时，一个“胡萝卜”方面开始发挥作用——群体免疫。

群体免疫

如今，大多数组织在相互依赖的参与者组成的复杂生态系统中运营。这意味着部门弹性是组织弹性的先决条件。

此外，仅市场中的大型参与者（无论是最大的金融机构、医疗保健提供商、零售商、制造商还是能源提供商）共享威胁情报是不够的。组织与各种类型和规模的第三方相互关联。因此，每个组织都需要积极参与共享社区，不仅交流情报，还交流最佳实践和工作流程，因为此时实践效果最好。为了更大的利益而合作会产生协同效应，使参与者能够获得他们原本无法获得的信息，从而通过资源池以更低的成本更快地加强防御。

发展威胁情报共享实践时的关键考虑因素

组织对其威胁情报共享能力缺乏信心的原因有多种。在共享社区中需要注意以下三件事，这将使该过程更容易实现且更具影响力。

用户友好的技术平台：在集成方面已经取得了重大进展，以实现机器对机器的共享，包括与 STIX/TAXII 等标准的兼容性以及威胁情报本身的标准化。这些进步有助于使数据共享变得更加容易。此外，上下文使威胁情报具有相关性。因此，组织应该关注具有内置自动化功能的威胁情报工具和平台，这些工具和平台可以通过上下文丰富威胁数据，并实现优先级排序，以快速找到相关情报并消除噪音。
数据匿名化：每个组织都希望接收共享信息，但通常他们对自己做出贡献并让法律团队满意的能力没有信心。如今，许多社区都制定了流程，使参与者能够选择共享内容和格式，包括对敏感的、组织特定的数据进行匿名化的能力。信息可以足够通用，以免泄露个人身份信息或公司专有信息。数据匿名化有助于解决有关隐私和安全的法律问题，同时仍然帮助其他人保护自己并查看自己的网络，看看他们是否也成为目标并错过了您的组织所看到的威胁。
促进信任的机制：信任是共享的关键组成部分，每种类型的共享倡议往往结合多种机制来促进信任，包括创建较小的群体、全面审查成员、执行隐私和共享政策以及利用技术和流程来促进信任。保护并促进数据流动。例如，针对不同部门和组织（如 SecAlliance）的 ISAC 拥有丰富的经验，围绕情报分类、流量协议、共享频率以及成员如何使用该情报来提供执行良好且安全的环境来交换情报规则。智力。技术供应商提供的私人举措可能包括对成员的额外审查以及成员可以提名同事或同行考虑成为成员的流程。最终目标是提供一个培育环境，实现情境化威胁情报的持续流动，帮助安全团队和组织提高成熟度和能力。