黑客联盟正在崛起 安全厂商需要互联

黑客现在已经建立联盟合作了，有的人进行销赃，有的人负责发展新的业务，他们的产业链已经是分工合作，非常井井有条。如果安全厂商不合作的话，如何跟黑客进行抗衡?

我们时常听到一句话，“道高一尺，魔高一丈”，意指为正义而奋斗，必定会受到邪恶势力的巨大压制。在网络安全防护领域，信息安全提供商的目标誓要将前面这句话反过来，也就是做到“魔高一尺，道高一丈”。黑客的本领高一招，安全防范的技术就大一层，不管攻击者如何变化，都跳不出安全的防御圈。

说起来容易，做起来难!总结安全威胁态势的发展，一是攻击形态愈发复杂;二是攻防时间失衡，企业一旦遭受攻击，往往数分钟之内即沦陷，伴随着的缺是过长的响应时间;叁是专业的安全人员和技能缺乏，以及有限的预算等导致安全防护不能匹配响应的资源投入。

还有另外一个重要塬因，攻击者正形成一个产业链，也就是我们常听到的“黑产”，再加上攻击在暗、防护在明，更加剧了攻击威胁防御的难度。

而对应的防御方呢，坦白地说，在防御阵营不乏出色的安全防护厂商。可是这就够了吗?黑客攻击的渠道是多样的，邮件攻击、Web攻击、网页欺诈、恶意软件植入等不胜枚举。可是，这么多攻击威胁的“口子”绝不是一两家安全厂商能够“堵”上的!

纵观国内外安全产业环境，安全厂商之间是否和黑产那样“团结”呢?显然差得很多，因为竞争和利益的关系，安全防御犹如一个个孤岛!国内安全产业环境尤其不理想，同行之间合作少，缺乏全局安全的应对之策。

不得不说，安全业的联盟与合作在国际安全厂商中走得靠前一些，无论是各种各样的安全联盟还是联合解决方案的开发，都值得国内安全从业者学习和思考。

安全互联替代孤立防护

我们不妨来看看，Intel Security(迈克菲)到底是如何思考这一问题，携手同行应对传统孤立防护的。

“我们可以把黑客的攻击过程拆分成不同的环节，如果某一个安全设备或安全技术，能够发现其中一个环节的活动，并很快地把威胁情报提炼并共享给其他的安全设备，这种情报的共享可以形成对威胁的有效防范，扩展开来，对黑客的入侵是一个致命打击。” 英特尔安全事业部北亚区售前技术总监郑林表示。

这里面的关键问题有两个，一是如何用现有的安全设备和手段提取威胁情报，不管攻击中的哪一个环节发现了它的蛛丝马迹。二是发现威胁情报后，怎么样快速在几秒钟之内把情报共享给其他的安全设备，让它能够防范对其来讲还是未知的攻击活动。

Intel Security推出安全互联的架构已有几年，基于这个理念，其发布数据交换层(DXL)。郑林指出，DXL可以想象成人的神经网络，以前我们有防火墙、IPS、防病毒，它在人的身体里面就像手和脚、胳膊、腿等不同的肢体。“以前没有神经网络时，这些肢体例如手、脚都很有力量，但是没有协调。所以在应对威胁时，手忙脚乱。”

在安全发展的历史上，存在同类的基于API集成的理念。不过，API的集成有一个非常大的不足，现在动辄上百个的安全产品，还是通过点到点不同产品间的API进行集成，效率非常差。并且，其中任何一个产品有改动和技术更新，这个API就面临着要重写。

DXL是一个新的通信架构，“简单讲它是一个高效率的通讯协议，只要遵循这钟标准，产品之间都可以互联互通，而且这个框架是一个开放的框架。不论哪家产品，都可以加入生态系统里面去，共享和接受信息。” 郑林说。

重要的是，DXL生态里的产品进行通讯，从发起通讯到接收通信只需要几毫秒，也就意味着共享威胁情报后几毫秒就可以对威胁进行遏制。

不区分厂商 安全资源互补共赢安全

Intel Security安全互联生态系统的愿景是，无论厂商和底层架构，各个安全部件都可以集成在一起形成一个统一互联系统。

这些安全互联的集成来自于包括Intel Security主导的SIA联盟，这里面有100多家合作厂商。以及第叁方厂商，哪怕是竞争关系的厂商，都可以加进来。还包括第叁方威胁情报，威胁情报近年来是一个热门的领域，安全互联可以通过一些标准的接口把这些情报收纳进来。当然，其中还包括Intel Security的安全解决方案，无论是网关层、端点层、数据层，Intel Security都有一系列的保护措施。

“Intel Security希望通过这种开放的生态系统，包括这套威胁情报交换的机制，和Intel Security塬来已经具备的针对未知威胁分析的技术，能够形成一个开放集成的安全系统。不管企业系统是部署在云端还是在本地，也不管他们采用了什么样的端点或者哪些公司的安全产品和设备，我们都能够把它统一的进行威胁情报交换，形成联防的体系。”郑林说。

说了这么多威胁情报共享，我们不妨再回顾一个背景，在今年2月份斯坦福大学举办的白宫网络安全和消费者保护峰会上，美国总统奥巴马宣布成立一个新的政府部门，致力于在政府机构之间共享威胁情报，以便检测网络威胁并更为快速的采取措施。他签署了一项行政命令，旨在进一步促进公共机构与私立部门之间对网络威胁的信息共享。

这项措施表明共享网络威胁情报对于提升国家安全至关重要。通过共享威胁情报，企业和政府可以联手利用内部证据和外部信息，从而锁定攻击并采取相应的措施。

在政府及国家安全上可以看出威胁情报的重要性，说开来，这不都是想通的吗!在企业安全防护上，网络安全提供商更应该把眼光放长远，安全资源的互补是一个共赢的结果，更符合企业安全防护的需求。