目前,當(dāng)企業(yè)遭到安全突破的時(shí)候,他們面臨一個(gè)核心的進(jìn)退兩難的問題:告訴世界并且希望這種誠(chéng)實(shí)會(huì)幫助其他人,或者掩蓋這個(gè)秘密以避免破壞公司品牌和可能的法律訴訟。業(yè)界專家對(duì)此展開了爭(zhēng)論。從以下爭(zhēng)論的觀點(diǎn)中可以看到有一個(gè)問題是明確的:現(xiàn)在是政府消除這個(gè)等式中的疑問的時(shí)候了。
觀點(diǎn)1:披露安全漏洞信息是保護(hù)我們自己的重要的第一步
Fidelis公司總裁兼首席執(zhí)行官彼得·喬治(PeterGeorge)發(fā)表如下觀點(diǎn)稱,是的,應(yīng)該要求企業(yè)共享安全漏洞信息。這是保護(hù)企業(yè)的第一步。
在網(wǎng)絡(luò)世界,我們有一系列較小的報(bào)警信號(hào)。我們并不需要出現(xiàn)珍珠港式的暴雨性襲擊之后才開始防范。
在2011年5月,五位民主黨參議員聯(lián)名寫信給美國(guó)證券交易委員會(huì)主席瑪莉·夏皮羅(MarySchapiro),提出了一項(xiàng)動(dòng)議,要求企業(yè)披露他們的網(wǎng)絡(luò)風(fēng)險(xiǎn),意圖在于保護(hù)投資者。通過披露安全漏洞信息可以讓投資者做出更符合實(shí)際的決策。“對(duì)于安全漏洞,我們需要類似的要求以幫助加強(qiáng)我們的防御。”
最近的安全漏洞是有針對(duì)性的攻擊結(jié)果。這種攻擊首先是注入惡意軟件進(jìn)行初步感染。一旦進(jìn)入系統(tǒng),這個(gè)程序就開始呼叫指揮與控制系統(tǒng),然后進(jìn)入企業(yè),感染更多的主機(jī)并且尋求更高水平的權(quán)限和直接訪問有價(jià)值的信息。目前信息是在網(wǎng)絡(luò)周圍分階段的和悄悄地竊取的。
按照定義,有針對(duì)性的攻擊是獨(dú)特的、專門設(shè)計(jì)的滲透到企業(yè)并且竊取信息的攻擊。但是,這種攻擊都采取類似方式并且會(huì)留下一些痕跡。收集這些痕跡,我們就能夠跟蹤這些腳印,監(jiān)視壞人使用的路徑。但是,我們需要共享每一次安全漏洞的信息以防止未來的攻擊。
因?yàn)闈撛诘慕?jīng)濟(jì)利益,我們知道,即使我們阻止一個(gè)攻擊,這個(gè)攻擊還會(huì)轉(zhuǎn)向另一個(gè)目標(biāo)。對(duì)付這些敵人的唯一方法是采取防御措施。這就需要共享有關(guān)攻擊的知識(shí)。這種知識(shí)共享必須擴(kuò)展到聯(lián)邦機(jī)構(gòu)和私營(yíng)部門。
作為一個(gè)初步步驟,美國(guó)政府需要?jiǎng)?chuàng)建一個(gè)信息交換中心。如果企業(yè)同意遵守一套嚴(yán)格的報(bào)告要求就可以訪問這些信息。我們還需要強(qiáng)制規(guī)定企業(yè)向這個(gè)信息交換中心提供有關(guān)網(wǎng)絡(luò)安全漏洞信息。所有這些信息將集中匯總,并且將制定一個(gè)溝通和協(xié)作的流程以便跟蹤在一個(gè)企業(yè)網(wǎng)絡(luò)中的每一個(gè)國(guó)外的腳印。
企業(yè)應(yīng)該披露網(wǎng)絡(luò)入侵和這種入侵的法律證據(jù)。這對(duì)于防止這些攻擊破壞我們的企業(yè)的生存能力和我們的國(guó)家安全利益是非常重要的。
雖然聯(lián)邦政府和私營(yíng)企業(yè)的合作已經(jīng)有一段時(shí)間,但是,這種協(xié)作需要標(biāo)準(zhǔn)化。目前,政府可能警告一個(gè)企業(yè)有關(guān)可疑的活動(dòng),讓企業(yè)發(fā)現(xiàn)在其網(wǎng)絡(luò)上在發(fā)生什么事情。但是,沒有要求企業(yè)證實(shí)這個(gè)活動(dòng)和共享企業(yè)所了解的信息。
2011年將是值得紀(jì)念的,因?yàn)锳nonymous、LulzSec和黑客合伙采取了行動(dòng)。黑客組織是聰明的。他們相互協(xié)作。我們也需要這樣做。
雖然在這方面看到團(tuán)隊(duì)的協(xié)作是令人興奮的,但是,現(xiàn)在是把這種努力放在動(dòng)議中的時(shí)候了?,F(xiàn)在,壞人擁有優(yōu)勢(shì)。
改變這種力量的平衡需要更好的協(xié)作,共享信息并且通過技術(shù)創(chuàng)新和改善流程達(dá)到更好的安全態(tài)勢(shì)。我們不能再把安全突破看作是單獨(dú)的威脅。作為更大的難題的一部分,這些單獨(dú)的威脅總有一天會(huì)使我們能在這些威脅進(jìn)入我們的網(wǎng)絡(luò)之前就發(fā)現(xiàn)它們。
珍珠港是一個(gè)典型事件,證明了需要共享軍事情報(bào)的重要性。美國(guó)政府事后認(rèn)識(shí)到,這個(gè)獨(dú)立的事件是重大情報(bào)過失的結(jié)果:誤導(dǎo)的分析、協(xié)作的漏洞和敵人提供虛假信息進(jìn)行欺騙等綜合因素的結(jié)果。
我們可以找到一些蛛絲馬跡,因此,我們不能坐以待斃。采用適當(dāng)?shù)姆治?、信息和協(xié)作等措施可以防止數(shù)據(jù)突破。共享信息是理解和防止未來突破的第一步。
自從2002年以來,F(xiàn)idelis安全系統(tǒng)一直向機(jī)構(gòu)提供控制高級(jí)威脅和防止數(shù)據(jù)突破所需要的網(wǎng)絡(luò)可見性、分析和控制。
觀點(diǎn)2:除非不得已,不要披露數(shù)據(jù)漏洞
Lieberman軟件公司總裁兼CEO菲利普·利伯曼(PhilipLieberman)提出了上述觀點(diǎn)。他說,如果一個(gè)企業(yè)要采取符合股東利益的行動(dòng),共享安全突破的細(xì)節(jié)沒有任何好處,除非法律要求披露這些信息或者披露這些信息會(huì)減少客戶、合作伙伴或者其他人的金融損失。至于披露安全突破的受托人責(zé)任,這仍然是法律的一個(gè)灰色區(qū)域。
如果披露安全突破信息將導(dǎo)致降低企業(yè)聲譽(yù)或者引起罰款以及管理機(jī)構(gòu)和行業(yè)組織的制裁,披露你的數(shù)據(jù)突破事件的細(xì)節(jié)會(huì)損害股東的價(jià)值。如果披露數(shù)據(jù)突破信息引起對(duì)該公司企業(yè)治理的疑問,這樣的披露信息會(huì)阻止企業(yè)使用私有部門或者公共部門的資本。這種披露信息也許還會(huì)引起不重要的以及有充分根據(jù)的法律訴訟。
最近的重要新聞證明,任何機(jī)構(gòu)都可能成為受害者,無論這些機(jī)構(gòu)是否事先曾投資安全。由于目前許多引人矚目的攻擊的動(dòng)機(jī)似乎都是政治、貪婪和自私等因素,披露這些信息可能引起更多的攻擊。
向企業(yè)提供一個(gè)明確的報(bào)告安全突破的指南是美國(guó)政府的事情。這種報(bào)告的目的應(yīng)該是向執(zhí)法部門提供情報(bào),幫助逮捕入侵者和起訴這種犯罪。另一個(gè)目的是適當(dāng)?shù)爻袚?dān)安全突破的責(zé)任,不進(jìn)一步危害企業(yè)及其客戶。
檢察官似乎錯(cuò)誤地認(rèn)為保護(hù)隱私數(shù)據(jù)是企業(yè)的權(quán)利范圍內(nèi)的事情。實(shí)際上,目前的企業(yè)都期待著采用一個(gè)能夠抵御所有攻擊者入侵的防御措施。但是,沒有一種措施證明能夠擊敗一切入侵者。
解決方案
聯(lián)邦政府曾提出一些規(guī)則。根據(jù)這些規(guī)則,如果企業(yè)通知執(zhí)法部門有關(guān)安全突破事件并且?guī)椭东@和起訴入侵者,企業(yè)會(huì)免除起訴。
州和聯(lián)邦政府還應(yīng)該做更好的工作,發(fā)布具體的和操作的安全標(biāo)準(zhǔn),幫助保護(hù)遵守法規(guī)的企業(yè)避免受到攻擊。
共識(shí)審計(jì)指南(ConsensusAuditGuidelines)等發(fā)展中的標(biāo)準(zhǔn)是一個(gè)開端。最近的美國(guó)證券交易委員會(huì)的指南是鼓舞人心的。然而,到目前為止,聯(lián)邦和州政府幾乎沒有做任何事情來推廣類似的標(biāo)準(zhǔn)。
對(duì)于企業(yè)來說,缺少可操作的、明確的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)意味著什么都不做和做一切可能做的事情在信息技術(shù)行業(yè)的司法裁決中都是一樣的。
缺乏可操作的企業(yè)安全要求,以及沒有一個(gè)披露數(shù)據(jù)突破并且配合調(diào)查的企業(yè)的安全港,就產(chǎn)生了這樣一種環(huán)境。在這個(gè)環(huán)境中,除了法律要求的信息之外,披露任何多余的信息對(duì)于企業(yè)都是不利的。事實(shí)上,一位企業(yè)官員披露了超過法律最低要求的信息會(huì)被認(rèn)為是忽略了機(jī)構(gòu)對(duì)于股東的責(zé)任。
現(xiàn)在是聯(lián)邦政府發(fā)布其指南的時(shí)候了。聯(lián)邦政府應(yīng)發(fā)布企業(yè)披露安全突破信息的指南,規(guī)定企業(yè)如何通過做正確的事情使自己免于起訴。
利伯曼說,我認(rèn)為,起訴那些已經(jīng)采取合理的措施保護(hù)自己的系統(tǒng)的公司(無論是公共的還是私營(yíng)的行動(dòng))是非建設(shè)性的和傷腦筋的事情。但是,在模糊的指南仍在起作用的時(shí)候,要阻止檢察官把事情搞亂是不可能的。
現(xiàn)在是聯(lián)邦政府告訴那些不擇手段的律師應(yīng)該如何做的時(shí)候了。這些律師的抨擊使一些企業(yè)破產(chǎn)。應(yīng)該允許企業(yè)披露安全突破信息而不受到懲罰。然而,企業(yè)現(xiàn)在不應(yīng)該共享安全突破信息。
Lieberman軟件向全球用戶提供有權(quán)限的身份管理和安全管理解決方案,其中包括40%的財(cái)富50強(qiáng)企業(yè)。