目前威胁情报环境还是一个“群岛”，虽然已经构建了一些桥梁，但大部分这些岛屿仍然保持着隔离状态。

然而，一些安全供应商正在试图构建更多桥梁，他们在推动安全生态系统概念以及将API提供给第三方供应商用于产品整合。到目前为止，这些举措只在产品之间建立了零碎的关联，在第三方供应商采取行动来实行双向共享实时数据的过程中，仍然处于早期阶段。

在2015年RSA大会中，Intel Security宣布扩展其数据交换层（DXL）安全通信架构，其中包括与Intel Security产品更深度的整合，例如McAfee Threat Intelligence Exchange（TIE）平台（其去年推出的安全信息共享控制中心）。

在2013年，思科推出了自己的安全信息共享产品：Platform Exchange Grid（pxGrid）。最近，思科扩展了其安全信息共享功能，同时增加了支持该框架的合作伙伴供应商。pxGrid包含一个API，可与思科的身份服务引擎（ISE）整合，这是验证和证明网络身份的门户网站。通过pxGrid，安全产品能够与ISE共享威胁情报。但是，在这种情况下，安全通信并不是双向的。

虽然一些较小的供应商可能会依赖并支持较大型的（例如思科和英特尔），但更成熟的供应商（特别是与他们抢占相同市场份额的卡巴斯基和赛门铁克等供应商）不太可能会加入其威胁共享。这会在安全供应商之间造成分裂，迫使终端用户最终做出选择，而这种选择会带来一定程度的供应商锁定。

FortSacle Security公司产品管理主管Guy Mordecai表示：“生态系统的意思是，从本质上讲，你让你的解决方案更加适用。”

用户行为分析公司Fortscale已经在很大程度上整合到大型供应商的生态系统中，Fortscale只是少数这样做的供应商之一。“如果你有一个生态系统，并且你有围绕该生态系统的卫星产品：首先，你将为你的客户提供更多价值，”Mordecai表示，“第二，你让转换成本变得略高一些，因为现在你有一整套产品，它们很好地运作并相互整合，否则你需要切换到另一组不一定可协同工作的产品。”

优势何在？

Intel Security公司产品管理高级主管Roger Wood将DXL称为“信息经纪人”，其中进行的消息交换会增加内容到每个产品的分析中。不同的实体和消费者可以从TIE服务器订阅不同的消息源，通过DXL接收消息。DXL作为TIE这个免疫系统的神经系统。

“这是确保DXL的开放性的作用，”Wood表示，“下一个阶段是确保我们有一个通用的声誉提供商的能力，这样你可以映射几乎任何你想要的AV产品。”

根据Wood表示，McAfee的DXL可开放给很多第三方供应商，这些供应商可以通过DXL共享信息，而不一定要通过TIE。这让DXL具有架构般的性质。

“这是一个真正的安全交换总线，”整合到DXL框架之一的网络安全公司ForeScout Technologies的主要解决方案营销经理Sandeep Kumar表示，“这里的概念是：不同的产品可以在这里与其他产品共享情报信息，让其他产品可以利用这些信息，这是供应商订阅模式。”

虽然可以使用DXL，但供应商必须成为Intel Security官方安全合作伙伴，思科的产品也是同样的要求。

思科ISE提供一个门户网站，其中会验证你访问网络的身份。例如，ISE可以确定一个人的身份、他或她用于访问该网络的设备以及该设备中的操作系统和应用。

“通过结合这些信息，我可以给你一种身份指纹，并可基于此分配政策，”思科安全访问和移动部门高级产品营销经理Dave D’Aprile表示，“然后我们开始思考，如果我们可以获取所有这些信息并共享呢，这就是pxGrid的起源。”

pxGrid获取ISE用于分配安全政策的这些信息，并与其合作伙伴供应商共享。然后这些合作伙伴供应商就可以从网络的角度提高其能力。

例如，一台打印机连接到网络，它会被标记为打印机。如果ISE看到这台打印机突然发送数百封电子邮件到公司CEO，该行为让ISE了解这个网络连接可能不是真正的打印机。ISE会提供该打印机的IP地址和名称（打印机H）以及物理位置（在二楼），然后该打印机会被隔离以避免这个问题在网络中传播。

“你可能会花五六个月试图找到企业中特定的IP地址，试图确定，‘这个东西在哪里，我一定要阻止它，我不知道它在哪里，’”D’Aprile表示，“新增信息显示：这是Dave的笔记本；他在这栋楼里面；我们可以隔离他，让他不会造成更多伤害；我们还可以收拾他或者自动重定向他到服务器，让他可以修复自己的笔记本电脑。这是通过这两种不同的解决方案你可以创建和使用的所有政策，这也是pxGrid整合如何帮助提高安全性的一个例子。”

但是合作伙伴供应商无法从ISE接收ISE从其他地方接收的信息，换句话说，这个过程不是双向的。

“pxGrid和ISE完全连接在一起。现在，你将有一个独立的合作伙伴来共享信息；ISE会分享其信息。”

“我们对未来的想法是，多个合作伙伴可以通过pxGrid共享信息，因为他们已经在pxGrid上开发，随后所有这些信息可以关联到ISE，”思科高级产品营销经理Beth Barach表示，“现在还没有完全实现，但这是pxGrid的终极理念。理想情况下，因为我们所有合作伙伴都在pxGrid开发与ISE交互，未来的目标是让他们与ISE交互以及相互交互。”

Barach称，她不会将pxGrid称为消息架构或总线。

“它更像是一个API，”Barach解释说，“在开发pxGrid之前，我们通过API进行共享功能。然后，pxGrid被开发成一个更先进的API来取代之前的API。”

思科的做法似乎对合作伙伴相互分享信息较为放任。ISE在那里，接收所有合作伙伴的信息，如果其他合作伙伴没有相互分享信息，思科并不关心。

Barach称：“请记住，他们的大部分时间和精力都用在开发他们与ISE的整合，这是第一步。”

SIEM并不够

安全信息和事件管理（SIEM）系统会从其他产品收集信息，获得环境的整体视图。如果出现恶意软件网络钓鱼攻击或可疑URL，这些数据会传递到SIEM系统。

“SIEM将这些信息整合到单个仪表板，”网络安全供应商Palo Alto Networks公司产品营销、行业和项目副总裁Scott Gainey表示，“如果我在防火墙内看到一些特定的警报，并且，我在我的终端设备和核心网络看到一些东西，我看到这些信息后，我可以推断发生了一些严重的事情，并需要进行深度调查。”

SIEM系统需要分析来确保信息被读取，并且在危险的情况下，会采取相应的行动。IT分析公司Gartner研究副总裁Anton Chuvakin非常支持SIEM，但他担心企业对这项技术不屑一顾，因为他们并没有利用得当。Chuvakin表示，SIEM的主要问题在于人们如何使用它或者更确切地说，不使用它。Chuvakin强调说，SIEM并不是让企业可以“一劳永逸”的自动运行产品，它需要安全管理人员的密切关注。

“人们希望有一个产品可以神奇地告诉他们发生了什么事，在很多情况下，这是不可能实现的目标，”Chuvakin表示，“这就像让微波炉烹制你喜欢的菜肴。你买来微波炉，它就可以马上烹饪你喜欢的菜，它怎么会知道怎么做？”

DXL和pxGrid背后的想法是，信息收集和随后的响应可以实现自动化。IT专业人员不需要筛选庞大的警报信息和误报信息。

在试图实现整合的过程中，供应商在代码行中添加代码来整合其系统。而Palo Alto公司的Gainey表示，太多添加代码会减慢网络，让其运行效率低下。

“如果你真的开始打开一些安全功能，20 Gbps会下降到5 Gbps每秒，”Gainey表示，“你会失去整个性能水平。现在，作为安全专业人员，你会与网络团队意见完全不一致，你会说，‘把那个东西关闭，因为这完全拖慢了网络’。”

而赛门铁克公司技术战略副总裁Kenneth Schneider并不认同这种产品整合会给网络带来这样的影响。赛门铁克去年推出了Synapse，这个安全通信服务旨在关联端点、电子邮件系统和网关之间的安全信息。赛门铁克称其与很多下一代防火墙（NGFW）供应商合作来解决恶意软件出现后带来的问题，以减少对网络的影响。

“对于这些类型的交互，实际并没有涉及庞大的数据量，”Schneider表示，“你可以仔细想想，NGFW会获取大量数据，但随后它会抓住恶意软件，分析它，并获取相关的信息。在我们谈论的这种整合中，实际并没有这么大的网络影响。只有分析后的信息会在网络中传输，而不是原始数据。”

ISE或TIE系统与终端、网络、云计算及其他产品结合可以实现快速响应。而SIEM系统与ISE或TIE结合不仅允许发现和警报信息，还可以发送解决方案来应对威胁。思科的D’Aprile表示，其目标是希望推动更快的修复以及减少响应时间，这是非常关键的因素。

请继续阅读《开放安全：英特尔、思科致力推动行业安全通信与整合（下）》