从美国土安全部的AIS，简论网络威胁情报共享

xman

美国最近力推的“共享威胁情报”，听起来似乎是一件共赢的事情，但是这个事情实践起来往往不是那么容易的。

美国国土安全部今年三月部署了他们的AIS（Automated Indicator Sharing）系统，并且面向联邦政府和公共组织开放。



AIS致力于打造一个安全公司和政府机构之间的快速生态反应系统，各种威胁情报会第一时间通过AIS系统共享，这在理论上就大大增加了攻击者的攻击成本，攻击者面临着一步不慎，满盘皆输的攻击困境。

该系统和乌云漏洞平台不太一样的地方就是，各个组织或者公司都能够马上利用这些威胁情报来加强自己的防护。

以前各个赌场对很头疼怎么对付一些“超级老千”，所以各个赌场就联合起来建立了一个“Blacklist”，凡是出现在黑名单上的人，各个赌场都进不了，这就是威胁情报共享的最原始实践。



毫无疑问，很多企业或者组织都想从威胁情报中受益，实现“人人为我”。可是，根据DHS的内部反馈，AIS系统并没有发挥它们应有的地功能，很多组织的威胁情报共享能力非常差。

对于威胁情报的回馈，很多组织是怎么样做的呢？其实，一个组织在共享威胁情报的时候也同时跟所有人表明：我已经受到了攻击！企业或者组织也有顾虑，在这个生态链里面，会不会有人站在我的食物链上端，我上报的信息会不会被人组织起第二次攻击。



所以，AIS的出发点是好的，但是没有能够提供对组织身份的有效匿名，企业在共享威胁情报的时候，谨慎是最初的选择。