[[424494]]

在世界數(shù)據(jù)中心大會(Data Center World)的閉幕主題演講中，捷藍(lán)航空CISO建議安全專家專注威脅行為者而非合規(guī)性。

今年8月，在美國佛羅里達(dá)州奧蘭多舉行的世界數(shù)據(jù)中心大會的閉幕主題演講中，捷藍(lán)航空的首席信息安全官Timothy Rohrbaugh 強(qiáng)調(diào)了信息共享的重要性，并表示，共享的對象不僅包括團(tuán)隊(duì)的其他組成部分，還包括企業(yè)所在行業(yè)的其他安全團(tuán)隊(duì)，即便他們屬于競爭對手陣營。

為什么?因?yàn)槟切┰噲D破壞企業(yè)系統(tǒng)的人也在試圖破壞企業(yè)的競爭對手的系統(tǒng)，而且他們很可能使用了相同的技術(shù)。了解攻擊者的入侵策略可以幫助企業(yè)在攻擊發(fā)生之前緩解威脅。

他還用體育項(xiàng)目做了一個(gè)類比，例如在職業(yè)足球賽中，王牌戰(zhàn)術(shù)永遠(yuǎn)無法取得像第一次亮相時(shí)如此驚艷和震懾性的效果。如果沒有電視轉(zhuǎn)播比賽，而且比賽只在兩支球隊(duì)間進(jìn)行，其他人都看不到，那么你能獲取的信息只有最終的比分。這種情況下，對一方球隊(duì)的優(yōu)勢是他們每個(gè)人都能觀察到對方的戰(zhàn)術(shù)，并在接下來的比賽中有針對性地防御。

換句話說，如果一場足球比賽被全球轉(zhuǎn)播，并通過多種不同的角度慢動(dòng)作回放，向觀眾展示這場比賽是如何進(jìn)行的，那么其他球隊(duì)也能掌握對手的戰(zhàn)術(shù)，以此制定防御策略。這就是信息共享的意義，IT安全領(lǐng)域亦是如此。

他補(bǔ)充道，“我們要求信息共享實(shí)際上是在試圖分享威脅行為者在做什么，并對此做出回應(yīng)。事實(shí)上，如今的許多企業(yè)正在做分享這件事，我們需要的是充分利用它。這就是威脅情報(bào)團(tuán)隊(duì)?wèi)?yīng)該努力完成的事情。”

如今，許多行業(yè)已經(jīng)建立了這樣的共享組織，主要以非營利性信息共享和分析中心(ISAC)的形式存在，它不僅提供了收集網(wǎng)絡(luò)威脅信息的資源，而且還提供了一種共享特定事件和威脅信息的方式。

Rohrbaugh表示，“我在離開軍隊(duì)和政府之后，長期從事金融服務(wù)工作，我們有金融服務(wù)信息共享和分析中心(FS-ISAC)。我們切實(shí)落實(shí)了共享策略，它實(shí)際上成為了一種極好的資源。幾年前，我來到捷藍(lán)航空，并為其建立了與金融服務(wù)ISAC一樣好的信息共享和分析中心。”

安全工作的問題出在哪里?

Rohrbaugh說，共享很重要——尤其當(dāng)它是有關(guān)針對某個(gè)行業(yè)的威脅信息時(shí)——的原因是，安全團(tuán)隊(duì)的主要重點(diǎn)應(yīng)該放在威脅行為者身上，但現(xiàn)在安全工作通常并非如此。

現(xiàn)在，他們大多將自己投身于沒有參與設(shè)計(jì)的框架、復(fù)選框以及合規(guī)性等等問題上，這會增加IT成本、影響業(yè)務(wù)效率以及延緩員工獲取所需物品的速度。這種方法的問題在于，它無法準(zhǔn)確了解威脅是什么?誰在鎖定你的客戶?誰在覬覦你的基礎(chǔ)設(shè)施?

Rohrbaugh表示，在捷藍(lán)航空，他希望改變處理安全問題的方式。他說，“我想將威脅情報(bào)放在安全計(jì)劃的核心位置，以推動(dòng)投資和變革。這就意味著我們需要弄清楚誰在針對我們，他們的目標(biāo)是什么以及他們使用何種技術(shù)策略。然后我們的防御端(也稱為‘藍(lán)隊(duì)’)才能決定做出何種應(yīng)對策略。”

Rohrbaugh稱這種方法為“威脅形式防御”。這意味著我們不用花錢，不用專注某一領(lǐng)域，除非是歸因于有真正的威脅行為者正在鎖定我們。

每個(gè)人都聽說過“好高騖遠(yuǎn)”這個(gè)詞。我們可以好高騖遠(yuǎn)，但最重要的還是鎖定會發(fā)生的事情，如果我們不知道威脅行為者是誰以及使用何種技術(shù)策略，我們的防御部署就會分散，無法發(fā)揮最大效用，同時(shí)還浪費(fèi)了大量資金。結(jié)果也將注定是一場失敗的防御賽。

最后，他補(bǔ)充說，“這就是我看待來自政府或第三方的合規(guī)計(jì)劃的方式。他們沒有考慮到業(yè)務(wù)背景、威脅行為者以及他們所追求的目標(biāo)等等因素。”