卡巴斯基最近的一项调查研究发现,超过三分之二(69%)的威胁情报分析师活跃于各个专业社群,但其中48%从事IT和网络安全职业的分析师不能共享通过社群发现的威胁情报成果。
卡巴斯基长期倡导网络空间国际合作,致力于推进跨全球IT安全领域的联合倡议。这家安全公司认为,合作和共享才是对抗不断进化的网络威胁的最佳方式。因此,卡巴斯基问询了全球5200多位IT及网络安全从业人员,想要摸清其他公司企业是否准备协作和共享威胁情报。
研究发现,担负威胁情报分析职责的受访者更倾向于参与专业论坛和博客(41%)、暗网论坛(33%)或社交媒体讨论组(21%)。
但谈到共享自身发现时,仅50%的受访者实际公开过自己的发现。与之相反,在允许外部共享的公司里,79%的安全分析师确实公开分享过自己的发现。7%的情况下,安全分析师甚至顶着公司禁止共享的规定仍旧公开自己的威胁情报发现。
图:IT安全分析师共享过威胁情报的占比
卡巴斯基的专家指出,之所以会规定此类限制,有部分原因是出于安全考虑,怕一旦某些威胁情报在公司能够响应攻击之前公开了,网络罪犯就可能会意识到自己已被检测,进而改变战术。为帮助IT安全团队在不暴露调查行动的情况下分析可疑对象,卡巴斯基通过免费访问的卡巴斯基威胁情报门户提供私密提交模式选项。采用这种模式,网络罪犯就不会知道有人共享了样本,而分析师亦能继续收到所需数据。
卡巴斯基技术解决方案产品管理组经理Anatoly Simonenko表示:“任何信息,无论是新恶意软件或所用技术分析洞见,都是对抗高级威胁的宝贵资源。所以我们频繁通过我们的信息资源和威胁情报服务共享威胁研究发现。我们鼓励安全分析师也以同样的协作方式帮助他人。”
完整报告链接:
https://www.kaspersky.com/blog/it-security-economics-2020-part-4/
卡巴斯基威胁情报门户:
https://opentip.kaspersky.com/