网络防御的下一次飞跃：采取行动共同击败对手

常言道，攻击者具有优势，因为防御者必须时刻保护系统的每一部分，而攻击者只需找到一种入侵方式即可。这一论点过于简化了安全形势以及防御者通过合作所能实现的真正实力。虽然针对单一受害者的对手确实难以防御，但大多数恶意行为者并非如此行事。对恶意行为者来说，重用技术、基础设施和工具更为容易且成本更低。大多数恶意行为者构建适用于多个目标的能力，并对其进行修改和重用。

这正是行业最有进化机会的地方。行业协作和信息共享是解决方案的一部分，但真正的关键在于找到协调行动的方式。当针对数十、数百或数千个系统的攻击发生时，识别该攻击的相似方面可以开始在所有地方瓦解它。攻击者在许多地方使用相同或相似的方法论实际上可能使他们处于劣势。

想想野生动物如何应对攻击。有些动物作为个体响应，向各个方向散开。这使得捕食者能够集中攻击一个个体并进行追逐。然而，同样的攻击在面对那些通过形成圆圈并集体坚守阵地的动物时会瓦解。只要它们团结一致，捕食者就处于劣势——无法分离并追捕单个个体。

这种协调的防御，尤其是行动，是我们行业在对抗网络攻击中实现下一次大飞跃的关键。仅仅共享威胁指标（如yara签名、IP地址和恶意软件哈希）是不够的。我们真正想做的是推动防御者采取行动，既保护自己又削弱对手的攻击。作为行业，我们必须团结起来，制定一套标准或原则，不仅用于共享信息，还要利用这些信息。

那么，为什么行业尚未转向可操作的信息共享？在我看来，我们需要推进当前类别的信息共享工具、流程和技术。想想交通灯协议（TLP）。TLP告诉我们信息的敏感程度以及是否可以共享。但它并未说明是否可以将IP地址纳入网络防御系统，或是否可以ping该地址，或是否尝试让该地址被关闭。

作为行业，我们必须努力设计和采用促进双向对话并实现可操作信息共享的技术和计划。这应该是伙伴关系的开始，而不是终点。我们的工具不能再仅仅是事后数据的流，以各种形式和格式从一个地方流向另一个地方。适当的行动需要成为对话的一部分，成为我们合作的一部分。

这种转变的一部分正在微软通过我们的微软主动保护计划（MAPP）进行。虽然MAPP最初是作为安全供应商之间的信息共享努力开始的，但它正在转向为防御者提供一套保护自己的指南。要真正进化到下一个级别，将意味着从单向共享信息转向采取协调行动。微软恶意软件保护中心（MMPC）最近在一篇博客文章中讨论了这一概念，并呼吁采取协调的恶意软件根除方法。

当我们达到那个点时，将不仅仅是安全供应商在努力保护每个人的安全。将是网络、服务提供商、政府实体、零售商、银行，以及世界上所有企业齐心协力，共享击败对手所需的可操作威胁信息——持续且永久地。

这将需要比仅仅信息共享更高程度的信任。但为了在增强我们对网络攻击的防御中实现下一次大飞跃，这是我们必须开始的地方。

Chris Betz
高级总监
微软安全响应中心（MSRC）