目前威胁情报环境还是一个“群岛”,虽然已经构建了一些桥梁,但大部分这些岛屿仍然保持着隔离状态。
然而,一些安全供应商正在试图构建更多桥梁,他们在推动安全生态系统概念以及将API提供给第三方供应商用于产品整合。到目前为止,这些举措只在产品之间建立了零碎的关联,在第三方供应商采取行动来实行双向共享实时数据的过程中,仍然处于早期阶段。
在2015年RSA大会中,Intel Security宣布扩展其数据交换层(DXL)安全通信架构,其中包括与Intel Security产品更深度的整合,例如McAfee Threat Intelligence Exchange(TIE)平台(其去年推出的安全信息共享控制中心)。
在2013年,思科推出了自己的安全信息共享产品:Platform Exchange Grid(pxGrid)。最近,思科扩展了其安全信息共享功能,同时增加了支持该框架的合作伙伴供应商。pxGrid包含一个API,可与思科的身份服务引擎(ISE)整合,这是验证和证明网络身份的门户网站。通过pxGrid,安全产品能够与ISE共享威胁情报。但是,在这种情况下,安全通信并不是双向的。
虽然一些较小的供应商可能会依赖并支持较大型的(例如思科和英特尔),但更成熟的供应商(特别是与他们抢占相同市场份额的卡巴斯基和赛门铁克等供应商)不太可能会加入其威胁共享。这会在安全供应商之间造成分裂,迫使终端用户最终做出选择,而这种选择会带来一定程度的供应商锁定。
FortSacle Security公司产品管理主管Guy Mordecai表示:“生态系统的意思是,从本质上讲,你让你的解决方案更加适用。”
用户行为分析公司Fortscale已经在很大程度上整合到大型供应商的生态系统中,Fortscale只是少数这样做的供应商之一。“如果你有一个生态系统,并且你有围绕该生态系统的卫星产品:首先,你将为你的客户提供更多价值,”Mordecai表示,“第二,你让转换成本变得略高一些,因为现在你有一整套产品,它们很好地运作并相互整合,否则你需要切换到另一组不一定可协同工作的产品。”
优势何在?
Intel Security公司产品管理高级主管Roger Wood将DXL称为“信息经纪人”,其中进行的消息交换会增加内容到每个产品的分析中。不同的实体和消费者可以从TIE服务器订阅不同的消息源,通过DXL接收消息。DXL作为TIE这个免疫系统的神经系统。
“这是确保DXL的开放性的作用,”Wood表示,“下一个阶段是确保我们有一个通用的声誉提供商的能力,这样你可以映射几乎任何你想要的AV产品。”
根据Wood表示,McAfee的DXL可开放给很多第三方供应商,这些供应商可以通过DXL共享信息,而不一定要通过TIE。这让DXL具有架构般的性质。
“这是一个真正的安全交换总线,”整合到DXL框架之一的网络安全公司ForeScout Technologies的主要解决方案营销经理Sandeep Kumar表示,“这里的概念是:不同的产品可以在这里与其他产品共享情报信息,让其他产品可以利用这些信息,这是供应商订阅模式。”
虽然可以使用DXL,但供应商必须成为Intel Security官方安全合作伙伴,思科的产品也是同样的要求。
思科ISE提供一个门户网站,其中会验证你访问网络的身份。例如,ISE可以确定一个人的身份、他或她用于访问该网络的设备以及该设备中的操作系统和应用。
“通过结合这些信息,我可以给你一种身份指纹,并可基于此分配政策,”思科安全访问和移动部门高级产品营销经理Dave D’Aprile表示,“然后我们开始思考,如果我们可以获取所有这些信息并共享呢,这就是pxGrid的起源。”
pxGrid获取ISE用于分配安全政策的这些信息,并与其合作伙伴供应商共享。然后这些合作伙伴供应商就可以从网络的角度提高其能力。
例如,一台打印机连接到网络,它会被标记为打印机。如果ISE看到这台打印机突然发送数百封电子邮件到公司CEO,该行为让ISE了解这个网络连接可能不是真正的打印机。ISE会提供该打印机的IP地址和名称(打印机H)以及物理位置(在二楼),然后该打印机会被隔离以避免这个问题在网络中传播。
“你可能会花五六个月试图找到企业中特定的IP地址,试图确定,‘这个东西在哪里,我一定要阻止它,我不知道它在哪里,’”D’Aprile表示,“新增信息显示:这是Dave的笔记本;他在这栋楼里面;我们可以隔离他,让他不会造成更多伤害;我们还可以收拾他或者自动重定向他到服务器,让他可以修复自己的笔记本电脑。这是通过这两种不同的解决方案你可以创建和使用的所有政策,这也是pxGrid整合如何帮助提高安全性的一个例子。”
但是合作伙伴供应商无法从ISE接收ISE从其他地方接收的信息,换句话说,这个过程不是双向的。
“pxGrid和ISE完全连接在一起。现在,你将有一个独立的合作伙伴来共享信息;ISE会分享其信息。”
“我们对未来的想法是,多个合作伙伴可以通过pxGrid共享信息,因为他们已经在pxGrid上开发,随后所有这些信息可以关联到ISE,”思科高级产品营销经理Beth Barach表示,“现在还没有完全实现,但这是pxGrid的终极理念。理想情况下,因为我们所有合作伙伴都在pxGrid开发与ISE交互,未来的目标是让他们与ISE交互以及相互交互。”
Barach称,她不会将pxGrid称为消息架构或总线。
“它更像是一个API,”Barach解释说,“在开发pxGrid之前,我们通过API进行共享功能。然后,pxGrid被开发成一个更先进的API来取代之前的API。”
思科的做法似乎对合作伙伴相互分享信息较为放任。ISE在那里,接收所有合作伙伴的信息,如果其他合作伙伴没有相互分享信息,思科并不关心。
Barach称:“请记住,他们的大部分时间和精力都用在开发他们与ISE的整合,这是第一步。”
SIEM并不够
安全信息和事件管理(SIEM)系统会从其他产品收集信息,获得环境的整体视图。如果出现恶意软件网络钓鱼攻击或可疑URL,这些数据会传递到SIEM系统。
“SIEM将这些信息整合到单个仪表板,”网络安全供应商Palo Alto Networks公司产品营销、行业和项目副总裁Scott Gainey表示,“如果我在防火墙内看到一些特定的警报,并且,我在我的终端设备和核心网络看到一些东西,我看到这些信息后,我可以推断发生了一些严重的事情,并需要进行深度调查。”
SIEM系统需要分析来确保信息被读取,并且在危险的情况下,会采取相应的行动。IT分析公司Gartner研究副总裁Anton Chuvakin非常支持SIEM,但他担心企业对这项技术不屑一顾,因为他们并没有利用得当。Chuvakin表示,SIEM的主要问题在于人们如何使用它或者更确切地说,不使用它。Chuvakin强调说,SIEM并不是让企业可以“一劳永逸”的自动运行产品,它需要安全管理人员的密切关注。
“人们希望有一个产品可以神奇地告诉他们发生了什么事,在很多情况下,这是不可能实现的目标,”Chuvakin表示,“这就像让微波炉烹制你喜欢的菜肴。你买来微波炉,它就可以马上烹饪你喜欢的菜,它怎么会知道怎么做?”
DXL和pxGrid背后的想法是,信息收集和随后的响应可以实现自动化。IT专业人员不需要筛选庞大的警报信息和误报信息。
在试图实现整合的过程中,供应商在代码行中添加代码来整合其系统。而Palo Alto公司的Gainey表示,太多添加代码会减慢网络,让其运行效率低下。
“如果你真的开始打开一些安全功能,20 Gbps会下降到5 Gbps每秒,”Gainey表示,“你会失去整个性能水平。现在,作为安全专业人员,你会与网络团队意见完全不一致,你会说,‘把那个东西关闭,因为这完全拖慢了网络’。”
而赛门铁克公司技术战略副总裁Kenneth Schneider并不认同这种产品整合会给网络带来这样的影响。赛门铁克去年推出了Synapse,这个安全通信服务旨在关联端点、电子邮件系统和网关之间的安全信息。赛门铁克称其与很多下一代防火墙(NGFW)供应商合作来解决恶意软件出现后带来的问题,以减少对网络的影响。
“对于这些类型的交互,实际并没有涉及庞大的数据量,”Schneider表示,“你可以仔细想想,NGFW会获取大量数据,但随后它会抓住恶意软件,分析它,并获取相关的信息。在我们谈论的这种整合中,实际并没有这么大的网络影响。只有分析后的信息会在网络中传输,而不是原始数据。”
ISE或TIE系统与终端、网络、云计算及其他产品结合可以实现快速响应。而SIEM系统与ISE或TIE结合不仅允许发现和警报信息,还可以发送解决方案来应对威胁。思科的D’Aprile表示,其目标是希望推动更快的修复以及减少响应时间,这是非常关键的因素。#p#
开放
D’Aprile表示,pxGrid旨在成为一个开放标准。“我们已经在IETF开放它,”他表示,“它可以供人们查看和使用。”
ISE是一个开放的API,人们可以用它来与Intel Security访问控制产品进行基本通信。但是他们需要成为合作伙伴并使用pxGrid,这不禁让人怀疑该标准到底有多开放。
供应商都可以联系Intel Security以加入安全创新联盟(SIA),该组织已经做了一些努力以实现双向信息共享,包括招募了ForeScout和FortScale等供应商。根据Intel Security公司的Wood表示,约170个合作伙伴已经整合了Intel Security技术的不同方面。DXL是上述合作伙伴提供的功能之一。
“我们正在试图实现更广泛的开放化,”Wood称,“英特尔喜欢做的事情之一是制定标准,目前我们正在评估我们应该如何去做。让它完全开放化是很好的事情。”
英特尔确实喜欢制定标准,该公司参与了全球范围的以太网、USB和蓝牙标准的制定。现在,他们正在计划制定消息总线标准。
Wood解释说,过渡到完全开放化会很慢,因为Intel Security需要确保该过渡过程中最终用户的安全性,毕竟,安全是该公司的全部意义所在。
“基于消息总线技术,让我们不必像过去那样进行完整的API式的整合,这样做问题是想要整合的任何人都需要与其他人整合,”Wood表示,“DXL开放化意味着第三方供应商可以整合到DXL并订阅TIE。他们会通过我们的合作伙伴计划得到DXL开发套件,然后整合到其产品,让他们可以监听适当的渠道。”
制定标准
行业标准很难制定,但最终,我们会看到单个安全通信标准,它不会偏袒任何供应商。例如,思科不必让步于Intel Security来使用共同安全生态系统或威胁情报交换。
“在我看来,在RSA大会应该会有很多关于开放标准、API和网络安全中间件的讨论,”ESG安全分析师Jon Oltsik表示,“在这些领域的行业范围的合作努力将会让所有人受益,特别是网络安全供应商的客户。”
在千禧年初,行业曾努力构建企业服务总线(ESB)作为标准消息总线,让各种应用可以进行通信。ESB最终告吹,因为行业未能认识到ESB是什么的单一定义。
很多供应商同意,信息共享的共同形式将最适合最终用户,并可提高企业的安全性。但没有供应商希望与其竞争对手协商来建议这样的共同标准或甚至是准确定义这种标准。这似乎是重蹈ESB问题。
与此同时,小型供应商正在努力建立连接。Fortscale提供与思科、Splunk和McAfee的整合。Forescout提供与Splunk、McAfee与Palo Alto的整合。RSA则与McAfee、Palo Alto和思科整合。Gigamon与Citrix都与Palo Alto、思科和Splunk整合。IXIA是唯一整合所有者四个供应商的公司。还有很多公司整合了上述两个供应商。因此,在选择大型供应商产品时,消费者可以选择大量较小型供应商产品以进行整合。
开放标准:为什么不呢?
“恶意软件攻击者总是试图在创新方面超越我们,而我们总是希望不会落后于攻击者,所以共享数据肯定会有益于所有人,”卡巴斯基公司全球B2B营销总监Mark Bermingham表示,“唯一的问题是,这个市场的每个人都在试图赚钱,所有供应商必须能够通过自己的产品组合来有效地赚钱,以确保他们能够真正地发展。”
除了阻碍赚钱外,还有让共享消息总线锁定和可信赖的问题。“随着命令和控制结构可在50毫秒内真正地改变企业中每台计算机的行为,并作为非常值得信赖的安全支柱,我们想要确保管理基础设施、流量控制、认证能力、撤销能力以及与保护基础设施相关的所有事物都得到很好地确定,”Wood解释说,“这样,我们的客户可以完全信任他们可以控制自己的环境,无论他们使用了多少供应商的产品。”
此外,标准通道会创建一个架构,让恶意攻击者可以学会避免。换句话说,真正开放的威胁情报交换平台可以被攻击者访问,然后他们可以利用这些信息来攻击系统。
“这是标准面对的很大问题,”Bermingham表示,“从现在已经部署的标准来看,标准不仅可以让卡巴斯基等供应商来构建,而且恶意软件编写者也可以访问标准来学习如何绕过标准。”
“所以,制定标准可能有趣且有用,但这也有些危险,”Bermingham表示,“因为标准的本质意味着它们是公开可用的,而攻击者总是在想方设法来避开恶意软件检测功能。”
安全链是否无坚不摧?
在大多数情况下,安全供应商似乎对通过威胁情报交换中心共享信息以及通过虚拟管道和消息总线等线路整合产品感到兴奋,但他们对此也有所犹豫,他们担心失去其专利产品,这是目前安全供应商面临的困境。
“安全领域的老话说,网络安全链是否强大取决于其最薄弱环节,”ESG的Oltsik表示,“然而,在过去企业安全还没有类似的安全链,只有不一致的金属环。鉴于当前的威胁环境,连接这些环节变得非常重要,而不是挑选最优秀的单个安全产品。”
虽然每个供应商似乎认为共享信息是保护其客户的最佳方式,即使是那些对通用标准有意见的供应商,但到目前为止,这种想法还没有带来明确的解决办法。
“如果整个行业共同应对这个问题,客户肯定会受益,”Bermingham表示,“但这样做具有挑战性,因为这意味着15年到20年的竞争对手突然需要决定是否合作,这是个很艰难的决定。”
