顶级威胁情报公司Norse为什么倒闭?数据不是情报 _威胁情报

还记得那个酷炫无比的，可实时显示全球网络攻击地图的威胁情报公司Norse不？这家公司创建于2011年，后来逐渐成长为最知名的网络安全公司之一，该公司的实时攻击地图为很多新闻媒体报道帮了大忙。
但现在它濒临倒闭了。

文章插图
上周六，有熟悉情况的知情人向媒体透露，Norse的首席执行官山姆.格林斯被董事会要求下台。公司职员被要求在这周一来公司报到上班，但工资却没有保证。
几个星期前，Norse刚裁员30% 。同时，公司的网站也已离线，著名的实时网络攻击地图已停止显示任何信息，这家公司在全球50多个国家放置了超过800万个攻击传感器，它们伪装成PC、Mac电脑，或者ATM等最容易受到网络攻击的设备，当受到攻击的时候，数据就通过专用网络传回Norse公司后台，并映射在实时攻击地图上。
知情人还表示，Norse的资产将与合并。但后者的首席执行官鲁塞尔.斯特恩却表示，“Norse和没有任何交易。”
Norse公司曾经是媒体宠儿，在2014年索尼影业被攻击事件中经常上国际新闻的头条，并且对伊朗攻击美国工控系统所做的分析报告更是频繁的被引用，因此而声名大噪。但实际上，每当Norse被媒体抬出时，总会遭到安全社区专业人士的猛烈抨击，指责Norse的判断和支撑数据是有问题的。
究其原因：2015年Norse发布的一份假报告

文章插图
Krebs试图解释了Norse会有如此下场的原因，该公司进行了反向并购、伪造安全威胁报告、非法运作空壳公司，这些在美国都是明令禁止的行为。
安全公司的CEO罗伯特·李认为伪造安全报告的败露导致了该公司的衰亡。早在2015年4月，罗伯特·李阐明了Norse公司怎样通过蜜罐服务器收集数据，并将收集到的数据展现为来自现实生活的攻击，部分虚假数据被写入一份报告，将美国ICS/SCADA系统遭受攻击事件归咎于伊朗黑客。
他在其博客中写道：
“该公司把基于他们传感器的互联网扫描数据解释为攻击情报，而大多数威胁情报公司依靠丰富的数据并辅以实际入侵的应急响应数据，不是扫描活动。而且，Norse是在并不具备可证实的工控系统能力的情况下，快速地做出对系统的结论……
简而言之，他们把数据解释为情报，而数据、信息和情报之间有着很大的不同。尽管Norse的产品和互联网级别的扫描数据有着很大的研究价值，但，这些数据依然不是情报。因此，虽然他们标榜自己是威胁情报社区的重要一员，但实际上他们一直就没有被社区中领先的分析人员和公司所认可。
威胁情报社区的圈子非常小，一旦犯下战略性的错误，带来的不良影响是巨大而持久的。信任，在这个社区无比的重要。”
实际上，早在2016年开始Norse就进行了一轮裁员。调查显示，公司经历了一系列的失败模式，包括业务、反并购、空壳公司和产品严重没有达到预期。公司的高级数据科学家玛丽.兰德斯曼表示，公司使用的数据质量并不怎样，“几乎和自动爬虫和扫描工具形成的Web服务器日志一样。”

文章插图
数据造就了Norse，数据是该公司的立足之本。一旦数据发生问题，对于依赖数据做出安全决策和风险分析的用户来说问题就大了。目前，Norse的关张究竟对其客户产生什么样的影响还不得而知。
Norse带来的教训
首先，信任在威胁情报工作中有着极其重要的意义，威胁情报公司要意识到自己是整个安全生态系统的一员，无法独立于之外。正式的或非正式的业务伙伴关系和信息共享，都有助于公司快速的发展。威胁情报更多的需要开放共享，而不是与其他安全产品互相竞争。它可以帮助好的安全项目做的更好，并通过有用的信息支持企业战略决策。更直接的说，威胁情报不是想取代之前不好的安全项目，也并不能成为一劳永逸的安全解决方案。