安全行業(yè)一直在尋求更好的網(wǎng)絡(luò)安全信息共享做法，但很多問題阻礙著共享做法的進(jìn)展。在年度高級(jí)網(wǎng)絡(luò)安全中心(ACSC)大會(huì)上，來自政府、教育和私營行業(yè)的安全領(lǐng)導(dǎo)人再一次針對(duì)信息共享進(jìn)行了探討。

在波士頓聯(lián)邦儲(chǔ)備銀行舉辦的為期一天的ACSC會(huì)議主要側(cè)重于安全信息共享做法面臨的諸多挑戰(zhàn)，包括從法律障礙到簡單的信任缺乏等。美國國土安全部的國家保護(hù)和計(jì)劃司(NPPD)網(wǎng)絡(luò)安全副部長Phyllis Schneck呼吁安全專家共同努力。

“我們面臨的對(duì)手沒有律師、沒有法律，但有著大量的資金，”Schneck表示，“我們?nèi)绾畏磽?我們需要攜手合作。”

Schneck此前擔(dān)任安全供應(yīng)商McAfee公共業(yè)務(wù)副總裁兼首席技術(shù)官，自8月以來才在政府部門工作，她強(qiáng)調(diào)，她的首要工作是建立政府和私營部門之間的信任。

Schneck承認(rèn)在過去政府機(jī)構(gòu)和各行業(yè)之間的信息共享所面臨的挑戰(zhàn)。例如，當(dāng)企業(yè)發(fā)送信息給政府時(shí)，企業(yè)永遠(yuǎn)不會(huì)收到任何回復(fù)，或者如果與回復(fù)有關(guān)的一些信息是機(jī)密信息，這個(gè)回復(fù)不一定是可操作的。另外，當(dāng)私有公司共享敏感信息，隨后信息被公開時(shí)，該公司可能會(huì)遭遇股價(jià)下跌以及股東對(duì)潛在過失的訴訟。

“我來自行業(yè)，我想知道如何建立這個(gè)橋梁，”她說道，“我們必須通過建立信任來擊敗這個(gè)對(duì)手。”

至于如何提升信息共享，Schneck的設(shè)想是，在企業(yè)網(wǎng)絡(luò)部署輕量級(jí)傳感器，該傳感器可以向政府發(fā)送信息，并將數(shù)據(jù)傳回私有企業(yè)。這就像是人體不需要獲得許可就會(huì)抵抗病毒一樣，這種做法可以為企業(yè)提供近實(shí)時(shí)的威脅信息，以便他們能夠更好地保護(hù)自己。

“當(dāng)機(jī)器交談時(shí)，它們完全能夠告訴對(duì)方有不好的事情發(fā)生了，”Schneck說道，“全球態(tài)勢感知是我們的夢(mèng)想，我們希望通過獲得人們的信任并激勵(lì)企業(yè)構(gòu)建一些東西到其網(wǎng)絡(luò)與這些協(xié)議通信來實(shí)現(xiàn)這個(gè)夢(mèng)想。”

專家組深入探討信息共享面臨的挑戰(zhàn)

在由美國退役海軍少將Mike Brown主持的小組會(huì)議中，幾位專家深入探討了他們?cè)谶^去遭遇過的威脅信息共享的問題，并討論了能夠改善現(xiàn)狀的模式。

MITRE公司首席安全官兼小組成員Gary Gagnon表示，他遇到過的主要問題之一是希望信息共享伙伴保持匿名。雖然他承認(rèn)這樣做有著合理的原因，但匿名化讓我們無法拿起電話與對(duì)方討論某位合作伙伴正在遭受怎樣的攻擊。

“我并不是說匿名不好，”他表示，“但是這樣做減緩了這個(gè)過程。”

Gagnon還鼓勵(lì)供應(yīng)商推出更多托管安全服務(wù)，尤其是針對(duì)較小型企業(yè)的服務(wù)，因?yàn)檫@些企業(yè)通常缺乏資金和技能來完全利用網(wǎng)絡(luò)安全信息共享程序。托管服務(wù)可以幫助企業(yè)篩選政府以及其他實(shí)體發(fā)送的海量的數(shù)據(jù)，這適用于較小型企業(yè)。

EMC公司全球首席安全架構(gòu)師兼小組成員Kathleen Moriarty提倡“運(yùn)營商驅(qū)動(dòng)模式”的信息共享，即威脅信息直接被發(fā)送到這些企業(yè)，在威脅攻擊網(wǎng)絡(luò)之前，幫助企業(yè)阻止攻擊。

這種模式的成功例子是，反網(wǎng)絡(luò)釣魚工作組(APWG)，該小組負(fù)責(zé)收集潛在釣魚網(wǎng)站的信息并進(jìn)行分析，然后將這些信息發(fā)送給互聯(lián)網(wǎng)服務(wù)提供商，以讓他們采取必要的行動(dòng)來阻止攻擊源頭，所有這些過程都不需要涉及用戶。

喬治城大學(xué)安全通信中心主管兼小組成員Eric Burger暗示，對(duì)于在ACSC會(huì)議上提出的很多問題，除了查明和逮捕攻擊者外，政府其實(shí)不能做什么工作。如果想要共享重要威脅信息，企業(yè)應(yīng)該加強(qiáng)彼此之間的溝通，其實(shí)在很多行業(yè)這方面工作已經(jīng)在改進(jìn)，例如通過ISACS國民議會(huì)，這里取得了不同程度的成功。

同樣地，Burger及其團(tuán)隊(duì)在私營行業(yè)安全信息共享方面遇到了很多挑戰(zhàn)。例如，他指出在世界各地，關(guān)于IP地址是否被認(rèn)為是個(gè)人身份信息(PII)有著不同的法律裁決。在伊利諾伊州法庭裁定IP地址不是PII ，但各種歐盟成員可能不同意這種觀點(diǎn)。如果美國公司的德國分公司共享關(guān)于來自某個(gè)IP地址的攻擊信息，這個(gè)信息可以在該公司共享嗎?

“我們意識(shí)到信息共享遇到的障礙不是對(duì)協(xié)議的需要，”Burger表示，“而是法律。”

雖然安全信息共享障礙是這次大會(huì)的主題，所有人都認(rèn)同信息共享的優(yōu)勢是巨大的，這些問題需要得到更多的關(guān)注。

總結(jié)這些人的看法，Brown對(duì)比了信息共享的需要與最近波士頓紅襪隊(duì)世界大賽的勝利。在經(jīng)過2012年的慘敗后，通過共同努力，2013年的團(tuán)隊(duì)從美聯(lián)東區(qū)最后一名進(jìn)入第一名，這可以為安全行業(yè)帶來啟示。

“如果你的團(tuán)隊(duì)都是個(gè)人主義者，你就會(huì)失敗，”Brown表示，“如果你們當(dāng)中有些人在那里不認(rèn)為信息共享是非常重要的，你肯定不是紅襪隊(duì)的粉絲，你知道門在哪里。”