目前,当企业遭到安全突破的时候,他们面临一个核心的进退两难的问题:告诉世界并且希望这种诚实会帮助其他人,或者掩盖这个秘密以避免破坏公司品牌和可能的法律诉讼。业界专家对此展开了争论。从以下争论的观点中可以看到有一个问题是明确的:现在是政府消除这个等式中的疑问的时候了。
观点1:披露安全漏洞信息是保护我们自己的重要的第一步
Fidelis公司总裁兼首席执行官彼得·乔治(PeterGeorge)发表如下观点称,是的,应该要求企业共享安全漏洞信息。这是保护企业的第一步。
在网络世界,我们有一系列较小的报警信号。我们并不需要出现珍珠港式的暴雨性袭击之后才开始防范。
在2011年5月,五位民主党参议员联名写信给美国证券交易委员会主席玛莉·夏皮罗(MarySchapiro),提出了一项动议,要求企业披露他们的网络风险,意图在于保护投资者。通过披露安全漏洞信息可以让投资者做出更符合实际的决策。“对于安全漏洞,我们需要类似的要求以帮助加强我们的防御。”
最近的安全漏洞是有针对性的攻击结果。这种攻击首先是注入恶意软件进行初步感染。一旦进入系统,这个程序就开始呼叫指挥与控制系统,然后进入企业,感染更多的主机并且寻求更高水平的权限和直接访问有价值的信息。目前信息是在网络周围分阶段的和悄悄地窃取的。
按照定义,有针对性的攻击是独特的、专门设计的渗透到企业并且窃取信息的攻击。但是,这种攻击都采取类似方式并且会留下一些痕迹。收集这些痕迹,我们就能够跟踪这些脚印,监视坏人使用的路径。但是,我们需要共享每一次安全漏洞的信息以防止未来的攻击。
因为潜在的经济利益,我们知道,即使我们阻止一个攻击,这个攻击还会转向另一个目标。对付这些敌人的唯一方法是采取防御措施。这就需要共享有关攻击的知识。这种知识共享必须扩展到联邦机构和私营部门。
作为一个初步步骤,美国政府需要创建一个信息交换中心。如果企业同意遵守一套严格的报告要求就可以访问这些信息。我们还需要强制规定企业向这个信息交换中心提供有关网络安全漏洞信息。所有这些信息将集中汇总,并且将制定一个沟通和协作的流程以便跟踪在一个企业网络中的每一个国外的脚印。
企业应该披露网络入侵和这种入侵的法律证据。这对于防止这些攻击破坏我们的企业的生存能力和我们的国家安全利益是非常重要的。
虽然联邦政府和私营企业的合作已经有一段时间,但是,这种协作需要标准化。目前,政府可能警告一个企业有关可疑的活动,让企业发现在其网络上在发生什么事情。但是,没有要求企业证实这个活动和共享企业所了解的信息。
2011年将是值得纪念的,因为Anonymous、LulzSec和黑客合伙采取了行动。黑客组织是聪明的。他们相互协作。我们也需要这样做。
虽然在这方面看到团队的协作是令人兴奋的,但是,现在是把这种努力放在动议中的时候了。现在,坏人拥有优势。
改变这种力量的平衡需要更好的协作,共享信息并且通过技术创新和改善流程达到更好的安全态势。我们不能再把安全突破看作是单独的威胁。作为更大的难题的一部分,这些单独的威胁总有一天会使我们能在这些威胁进入我们的网络之前就发现它们。
珍珠港是一个典型事件,证明了需要共享军事情报的重要性。美国政府事后认识到,这个独立的事件是重大情报过失的结果:误导的分析、协作的漏洞和敌人提供虚假信息进行欺骗等综合因素的结果。
我们可以找到一些蛛丝马迹,因此,我们不能坐以待毙。采用适当的分析、信息和协作等措施可以防止数据突破。共享信息是理解和防止未来突破的第一步。
自从2002年以来,Fidelis安全系统一直向机构提供控制高级威胁和防止数据突破所需要的网络可见性、分析和控制。
(责任编辑:)