Google TAG全称Threat Analysis Group,业界最有名的威胁情报团队之一。
Stairwell首席执行官兼创始人Mike Wiacek以解决最大的网络安全难题为职业,他在威胁研究和网络安全工具领域取得了突破性成就,重新定义了企业对待网络安全的方式。他的安全事业早在大学期间就开始了,在NSA(美国国家安全局)研究威胁。他曾在互联网服务提供商和美国政府工作,并加入谷歌公司,在识别“极光行动”(Operation Aurora)作为一个国家级攻击方面发挥了重要作用,并开创了APT(高级持续性威胁)现代入侵调查技术。他创建并管理着谷歌的威胁分析团队,这个部门拥有之前只存在于政府情报和防御机构中的能力。他是Chronicle公司的联合创始人兼首席安全官,该公司是Alphabet旗下X实验室孵化出来的一家企业。2019年,他创立了Stairwell,并致力于赋予组织智胜任何攻击者的使命。
网络威胁情报业务正在迅速扩展并且利润颇丰,很少有大型企业没有订阅至少一个,可能是几个情报源。但是这些订阅服务不便宜,因此不总是小型组织能够负担得起的,尽管它们面临着与大公司同样的威胁和攻击者。
即使对于成熟的安全组织来说,应对顶级攻击者也是一个艰巨的挑战,对于资源较少的团队来说这可能是一个不可掌控的任务。这是一个机警的攻击者可以利用的差距,Stairwell这家初创公司计划要解决这个问题。Stairwell于周三结束了隐身状态,其创始人兼首席执行官Mike Wiacek是Google的资深员工,也是Alphabet(Google的母公司)旗下Chronicle的创始人之一,他说他希望通过使任何组织都能够抵御所有类型的威胁角色,从而将战术优势从攻击者转移到防御者。
“如果我们认为我们永远不会抓住A队,我们只关注B队和C队,那么我们就永远不会抓住那些顶级掠夺者。我们接受失败。但是我不认为这是解决问题的方法。我们从这个问题是可以解决的角度来看这个问题,那么应该如何解决?”他说。
Stairwell希望回答这个问题,但是Wiacek现在并不愿透露公司的具体方法或产品会是什么样子。他表示,2021年年中是面向公众推出产品的目标,并补充说Stairwell现在正在与潜在客户进行讨论。根据Wiacek自己在Google TAG和后来作为Chronicle的首席安全官和联合创始人的经验,Stairwell可能会弥补主要CTI产品和服务可能未能解决的空白。
TAG是最早的私人威胁情报团队之一,并从事保护Google本身以及该公司数十亿客户免受有针对性攻击的最敏感工作。该小组源于Google对2009年Operation Aurora攻击的响应,这是一场为期几个月的APT组织对Google、Adobe和许多其他技术公司的渗透活动。在此后的几个月和几年中,Google开始构建许多新的内部安全团队,包括TAG,Wiacek说,Aurora事件帮助改变了公司对安全的态度。
“大量威胁情报被大公司锁在内部。其他人怎么办?”
“在Google早期的时候,它在安全方面是一个正常的公司。但是之后发生了极光事件(Operation Aurora),一切都改变了。”你看到零信任(BeyondCorp)的概念出现了,硬件安全密钥出现了。我们能够相对快速地使如此多的人使用双因素身份验证是神奇的。这里出现了关于我们如何重新思考这些问题的文艺复兴。我有幸将它们看作巨大的数据问题,这些问题有答案。”
从保护世界上最有吸引力的目标免受最具攻击性和资源最充足的攻击者的经历中,Wiacek明白没有任何一方有魔法。
“那些顶级选手的神话为他们的优势效劳,而不是我们的。但是说到底,无论他们墙上挂着什么旗帜,或者如果他们是网络犯罪分子,只是为了赚钱,他们仍然是人。他们既不是半神,也不是什么。用实际的方式来看待这个问题很重要。我们不应该神化另一边的操作员。”
安全不是一个纯技术问题。如果我们认为一些神奇的盒子会解决它,那我们就错了。
TAG所做的许多工作必然是在后台完成的,该团队的发现和产品并不总是公之于众。这也适用于许多CTI团队,特别是内部企业小组,这些小组没有面向公众的产品或服务,这正是Wiacek想要改变的。
“我们刚启动TAG的时候,私人威胁情报还不存在。它刚好只存在于三字母机构内部。我一直非常高兴Google批准了这个疯狂的想法,但是大量威胁情报被大公司锁在内部。其他人怎么办?一家150人的律师事务所根本无力配备一支情报团队。”
“因此它变得商品化。它是一种有价值的做法,CISO将其视为一种行动,但没有太大的投资回报。我们需要将这些信息交到其他人手中。我们必须有更大的目标。”
参考资料:
https://duo.com/decipher/if-catching-all-attackers-is-the-goal-a-new-path-is-needed