安全行业一直在寻求更好的网络安全信息共享做法,但很多问题阻碍着共享做法的进展。在年度高级网络安全中心(ACSC)大会上,来自政府、教育和私营行业的安全领导人再一次针对信息共享进行了探讨。
在波士顿联邦储备银行举办的为期一天的ACSC会议主要侧重于安全信息共享做法面临的诸多挑战,包括从法律障碍到简单的信任缺乏等。美国国土安全部的国家保护和计划司(NPPD)网络安全副部长Phyllis Schneck呼吁安全专家共同努力。
“我们面临的对手没有律师、没有法律,但有着大量的资金,”Schneck表示,“我们如何反击?我们需要携手合作。”
Schneck此前担任安全供应商McAfee公共业务副总裁兼首席技术官,自8月以来才在政府部门工作,她强调,她的首要工作是建立政府和私营部门之间的信任。
Schneck承认在过去政府机构和各行业之间的信息共享所面临的挑战。例如,当企业发送信息给政府时,企业永远不会收到任何回复,或者如果与回复有关的一些信息是机密信息,这个回复不一定是可操作的。另外,当私有公司共享敏感信息,随后信息被公开时,该公司可能会遭遇股价下跌以及股东对潜在过失的诉讼。
“我来自行业,我想知道如何建立这个桥梁,”她说道,“我们必须通过建立信任来击败这个对手。”
至于如何提升信息共享,Schneck的设想是,在企业网络部署轻量级传感器,该传感器可以向政府发送信息,并将数据传回私有企业。这就像是人体不需要获得许可就会抵抗病毒一样,这种做法可以为企业提供近实时的威胁信息,以便他们能够更好地保护自己。
“当机器交谈时,它们完全能够告诉对方有不好的事情发生了,”Schneck说道,“全球态势感知是我们的梦想,我们希望通过获得人们的信任并激励企业构建一些东西到其网络与这些协议通信来实现这个梦想。”
专家组深入探讨信息共享面临的挑战
在由美国退役海军少将Mike Brown主持的小组会议中,几位专家深入探讨了他们在过去遭遇过的威胁信息共享的问题,并讨论了能够改善现状的模式。
MITRE公司首席安全官兼小组成员Gary Gagnon表示,他遇到过的主要问题之一是希望信息共享伙伴保持匿名。虽然他承认这样做有着合理的原因,但匿名化让我们无法拿起电话与对方讨论某位合作伙伴正在遭受怎样的攻击。
“我并不是说匿名不好,”他表示,“但是这样做减缓了这个过程。”
Gagnon还鼓励供应商推出更多托管安全服务,尤其是针对较小型企业的服务,因为这些企业通常缺乏资金和技能来完全利用网络安全信息共享程序。托管服务可以帮助企业筛选政府以及其他实体发送的海量的数据,这适用于较小型企业。
EMC公司全球首席安全架构师兼小组成员Kathleen Moriarty提倡“运营商驱动模式”的信息共享,即威胁信息直接被发送到这些企业,在威胁攻击网络之前,帮助企业阻止攻击。
这种模式的成功例子是,反网络钓鱼工作组(APWG),该小组负责收集潜在钓鱼网站的信息并进行分析,然后将这些信息发送给互联网服务提供商,以让他们采取必要的行动来阻止攻击源头,所有这些过程都不需要涉及用户。
乔治城大学安全通信中心主管兼小组成员Eric Burger暗示,对于在ACSC会议上提出的很多问题,除了查明和逮捕攻击者外,政府其实不能做什么工作。如果想要共享重要威胁信息,企业应该加强彼此之间的沟通,其实在很多行业这方面工作已经在改进,例如通过ISACS国民议会,这里取得了不同程度的成功。
同样地,Burger及其团队在私营行业安全信息共享方面遇到了很多挑战。例如,他指出在世界各地,关于IP地址是否被认为是个人身份信息(PII)有着不同的法律裁决。在伊利诺伊州法庭裁定IP地址不是PII ,但各种欧盟成员可能不同意这种观点。如果美国公司的德国分公司共享关于来自某个IP地址的攻击信息,这个信息可以在该公司共享吗?
“我们意识到信息共享遇到的障碍不是对协议的需要,”Burger表示,“而是法律。”
虽然安全信息共享障碍是这次大会的主题,所有人都认同信息共享的优势是巨大的,这些问题需要得到更多的关注。
总结这些人的看法,Brown对比了信息共享的需要与最近波士顿红袜队世界大赛的胜利。在经过2012年的惨败后,通过共同努力,2013年的团队从美联东区最后一名进入第一名,这可以为安全行业带来启示。
“如果你的团队都是个人主义者,你就会失败,”Brown表示,“如果你们当中有些人在那里不认为信息共享是非常重要的,你肯定不是红袜队的粉丝,你知道门在哪里。”