目前,当企业遭到安全突破的时候,他们面临一个核心的进退两难的问题:告诉世界并且希望这种诚实会帮助其他人,或者掩盖这个秘密以避免破坏公司品牌和可能的法律诉讼。业界专家对此展开了争论。从以下争论的观点中可以看到有一个问题是明确的:现在是政府消除这个等式中的疑问的时候了。
观点1:披露安全漏洞信息是保护我们自己的重要的第一步
Fidelis公司总裁兼首席执行官彼得·乔治(PeterGeorge)发表如下观点称,是的,应该要求企业共享安全漏洞信息。这是保护企业的第一步。
在网络世界,我们有一系列较小的报警信号。我们并不需要出现珍珠港式的暴雨性袭击之后才开始防范。
在2011年5月,五位民主党参议员联名写信给美国证券交易委员会主席玛莉·夏皮罗(MarySchapiro),提出了一项动议,要求企业披露他们的网络风险,意图在于保护投资者。通过披露安全漏洞信息可以让投资者做出更符合实际的决策。“对于安全漏洞,我们需要类似的要求以帮助加强我们的防御。”
最近的安全漏洞是有针对性的攻击结果。这种攻击首先是注入恶意软件进行初步感染。一旦进入系统,这个程序就开始呼叫指挥与控制系统,然后进入企业,感染更多的主机并且寻求更高水平的权限和直接访问有价值的信息。目前信息是在网络周围分阶段的和悄悄地窃取的。
按照定义,有针对性的攻击是独特的、专门设计的渗透到企业并且窃取信息的攻击。但是,这种攻击都采取类似方式并且会留下一些痕迹。收集这些痕迹,我们就能够跟踪这些脚印,监视坏人使用的路径。但是,我们需要共享每一次安全漏洞的信息以防止未来的攻击。
因为潜在的经济利益,我们知道,即使我们阻止一个攻击,这个攻击还会转向另一个目标。对付这些敌人的唯一方法是采取防御措施。这就需要共享有关攻击的知识。这种知识共享必须扩展到联邦机构和私营部门。
作为一个初步步骤,美国政府需要创建一个信息交换中心。如果企业同意遵守一套严格的报告要求就可以访问这些信息。我们还需要强制规定企业向这个信息交换中心提供有关网络安全漏洞信息。所有这些信息将集中汇总,并且将制定一个沟通和协作的流程以便跟踪在一个企业网络中的每一个国外的脚印。
企业应该披露网络入侵和这种入侵的法律证据。这对于防止这些攻击破坏我们的企业的生存能力和我们的国家安全利益是非常重要的。
虽然联邦政府和私营企业的合作已经有一段时间,但是,这种协作需要标准化。目前,政府可能警告一个企业有关可疑的活动,让企业发现在其网络上在发生什么事情。但是,没有要求企业证实这个活动和共享企业所了解的信息。
2011年将是值得纪念的,因为Anonymous、LulzSec和黑客合伙采取了行动。黑客组织是聪明的。他们相互协作。我们也需要这样做。
虽然在这方面看到团队的协作是令人兴奋的,但是,现在是把这种努力放在动议中的时候了。现在,坏人拥有优势。
改变这种力量的平衡需要更好的协作,共享信息并且通过技术创新和改善流程达到更好的安全态势。我们不能再把安全突破看作是单独的威胁。作为更大的难题的一部分,这些单独的威胁总有一天会使我们能在这些威胁进入我们的网络之前就发现它们。
珍珠港是一个典型事件,证明了需要共享军事情报的重要性。美国政府事后认识到,这个独立的事件是重大情报过失的结果:误导的分析、协作的漏洞和敌人提供虚假信息进行欺骗等综合因素的结果。
我们可以找到一些蛛丝马迹,因此,我们不能坐以待毙。采用适当的分析、信息和协作等措施可以防止数据突破。共享信息是理解和防止未来突破的第一步。
自从2002年以来,Fidelis安全系统一直向机构提供控制高级威胁和防止数据突破所需要的网络可见性、分析和控制。#p#
观点2:除非不得已,不要披露数据漏洞
Lieberman软件公司总裁兼CEO菲利普·利伯曼(PhilipLieberman)提出了上述观点。他说,如果一个企业要采取符合股东利益的行动,共享安全突破的细节没有任何好处,除非法律要求披露这些信息或者披露这些信息会减少客户、合作伙伴或者其他人的金融损失。至于披露安全突破的受托人责任,这仍然是法律的一个灰色区域。
如果披露安全突破信息将导致降低企业声誉或者引起罚款以及管理机构和行业组织的制裁,披露你的数据突破事件的细节会损害股东的价值。如果披露数据突破信息引起对该公司企业治理的疑问,这样的披露信息会阻止企业使用私有部门或者公共部门的资本。这种披露信息也许还会引起不重要的以及有充分根据的法律诉讼。
最近的重要新闻证明,任何机构都可能成为受害者,无论这些机构是否事先曾投资安全。由于目前许多引人瞩目的攻击的动机似乎都是政治、贪婪和自私等因素,披露这些信息可能引起更多的攻击。
向企业提供一个明确的报告安全突破的指南是美国政府的事情。这种报告的目的应该是向执法部门提供情报,帮助逮捕入侵者和起诉这种犯罪。另一个目的是适当地承担安全突破的责任,不进一步危害企业及其客户。
检察官似乎错误地认为保护隐私数据是企业的权利范围内的事情。实际上,目前的企业都期待着采用一个能够抵御所有攻击者入侵的防御措施。但是,没有一种措施证明能够击败一切入侵者。#p#
解决方案
联邦政府曾提出一些规则。根据这些规则,如果企业通知执法部门有关安全突破事件并且帮助捕获和起诉入侵者,企业会免除起诉。
州和联邦政府还应该做更好的工作,发布具体的和操作的安全标准,帮助保护遵守法规的企业避免受到攻击。
共识审计指南(ConsensusAuditGuidelines)等发展中的标准是一个开端。最近的美国证券交易委员会的指南是鼓舞人心的。然而,到目前为止,联邦和州政府几乎没有做任何事情来推广类似的标准。
对于企业来说,缺少可操作的、明确的网络安全标准意味着什么都不做和做一切可能做的事情在信息技术行业的司法裁决中都是一样的。
缺乏可操作的企业安全要求,以及没有一个披露数据突破并且配合调查的企业的安全港,就产生了这样一种环境。在这个环境中,除了法律要求的信息之外,披露任何多余的信息对于企业都是不利的。事实上,一位企业官员披露了超过法律最低要求的信息会被认为是忽略了机构对于股东的责任。
现在是联邦政府发布其指南的时候了。联邦政府应发布企业披露安全突破信息的指南,规定企业如何通过做正确的事情使自己免于起诉。
利伯曼说,我认为,起诉那些已经采取合理的措施保护自己的系统的公司(无论是公共的还是私营的行动)是非建设性的和伤脑筋的事情。但是,在模糊的指南仍在起作用的时候,要阻止检察官把事情搞乱是不可能的。
现在是联邦政府告诉那些不择手段的律师应该如何做的时候了。这些律师的抨击使一些企业破产。应该允许企业披露安全突破信息而不受到惩罚。然而,企业现在不应该共享安全突破信息。
Lieberman软件向全球用户提供有权限的身份管理和安全管理解决方案,其中包括40%的财富50强企业。
【编辑推荐】
