網(wǎng)絡安全信息共享：為什么和怎么做

網(wǎng)絡安全信息共享：為什么和怎么做？網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第1頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第1頁。網(wǎng)絡安全信息共享，顧名思義就是政府把關于網(wǎng)絡安全的信息、情報、研判等分享給私營部門，同時私營部門將其受到威脅、攻擊等有關信息報告給政府，以及私營部門之間互相交流有助于網(wǎng)絡安全防護工作的信息。我國《網(wǎng)絡安全法》第五十一條規(guī)定“國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調有關部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息”。該條明確要求政府和私營之間應當建立起信息共享的機制?！毒W(wǎng)絡安全法》第二十九條提出，“國家支持網(wǎng)絡運營者之間在網(wǎng)絡安全信息收集、分析、通報和應急處置等方面進行合作，提高網(wǎng)絡運營者的安全保障能力”，表明國家應當鼓勵、支持私營部門之間的網(wǎng)絡安全信息共享合作。美國被公認為當今世界網(wǎng)絡技術和網(wǎng)絡安全立法方面最為發(fā)達的國家，但近年來美國在網(wǎng)絡安全立法上一直停滯不前。在第111屆國會期間（2009—2010年），共有涉及網(wǎng)絡安全的法案、決議案逾60件。在第112屆（2011—2012年）和第113屆國會（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國會最后時刻，國會才通過四項法案。這也是自頂著“互聯(lián)網(wǎng)總統(tǒng)”稱號的奧巴馬2009年就任以來，美國國會首次就網(wǎng)絡安全通過了法案。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第2頁。美國政府和國會網(wǎng)絡安全綜合性立法的重點放在促進網(wǎng)絡安全信息共享，以及建立個人數(shù)據(jù)泄露竊取事件的強制披露機制。原因是在美國，90%的關鍵基礎設施為私人所有，美國法律又將這些私有關鍵基礎設施的安全防護責任放在設施所有人身上，而非政府。因此，美國政府增強基礎設施安全的最主要手段就是通過促進政府部門和私人部門之間的公私合作，實現(xiàn)網(wǎng)絡威脅的“群防群治”，同時借由事件強制公開，督促私人部門改進網(wǎng)絡安全措施。這兩個方面中，網(wǎng)絡安全的信息共享是公認的重中之重。一、信息共享意味著什么——安全防護理念的變化在過去，大多數(shù)的組織機構對于維護自身的網(wǎng)絡安全，抱著這樣一種思維定勢：“各家自掃門前雪，莫管他人瓦上霜”。與“高筑城墻，深挖護城河”相配合，組織機構的信息系統(tǒng)與其他組織機構的連接通道越少越好；信息系統(tǒng)的技術細節(jié)和安全防控布局要嚴格保密；一旦發(fā)生網(wǎng)絡安全事件，必須嚴格控制分析、處置等信息的擴散范圍，越少人知道越好，更別提對外透露了。許多組織機構滿足于通過此種孤立的自我防御（即最大程度的“隔離”和“藏著、掖著”）的方式來追求信息系統(tǒng)安全。但這樣的方式也導致了組織機構在開展安全防護工作時，只能依靠自己——極其局限的信息和情報、有限的人力和知識儲備，因而無法有效應對網(wǎng)絡攻擊。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第3頁。真正的安全防范能力應該覆蓋攻擊者的每個階段，安全信息共享可以讓防御方在更早的階段介入到防范工作中。例如，在實踐中，許多網(wǎng)絡攻擊者對大量目標采用了相似的攻擊工具和手法（即“殺傷鏈”前三階段），因此通過共享網(wǎng)絡安全信息，就能有效地分析、歸納得出關于攻擊者、攻擊工具和手法的信息和情報，從而為防御方在盡可能早的階段地阻斷“殺傷鏈”提供先機。而孤立的自我防御下，由于掌握的信息和情報十分有限，組織機構往往只能在突防利用及之后的階段，才具備檢測、防御的技術手段和能力。顯然，孤立的自我防御導致了防護工作的被動。其次，孤立的自我防御導致的局限性，還體現(xiàn)在開展安全規(guī)劃、部署等方面。缺乏相互溝通、相互借鑒，安全人員能看見、能分析的對象，只能是自家的系統(tǒng)，無法從其他組織機構經(jīng)歷的安全事件中獲得寶貴經(jīng)驗，包括那些安全事件中涉及的漏洞、被攻破的系統(tǒng)的安全部署方案及采用的具體安全措施和產(chǎn)品、能夠抵御攻擊的安全措施等等。安全人員僅能從“小樣本”中學習、改進。缺少從“大樣本”中提煉出來的安全信息、情報、知識，安全人員無法準確評估哪些工具、技術、做法在應對特定威脅時最為有效。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第4頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第4頁。再次，孤立的自我防御無法應對快速變化的網(wǎng)絡安全形勢。一方面，網(wǎng)絡和信息系統(tǒng)之間相互依賴程度不斷，在這樣不可逆轉的趨勢下，單個組織機構的安全越來越取決于其他與之相連的組織機構的安全，缺乏協(xié)同的防御效果難以令人滿意。另一方面，近年來，網(wǎng)絡攻守平衡逐漸被打破，攻擊方的能力有大幅上升，例如分布式攻擊（僵尸網(wǎng)絡、DDoS）日益數(shù)量猖獗、漏洞黑市交易漸成規(guī)模、惡意軟件和網(wǎng)絡武器越來越復雜、網(wǎng)絡犯罪組織化程度提高等。許多攻擊必須在綜合來自多方的信息后，才能被發(fā)現(xiàn)。因此，任何組織機構靠一己之力，已經(jīng)無法對抗攻擊。二、從孤立式的安全到協(xié)同式的安全（collaborativesecurity）協(xié)同式的安全，本質上是要匯集眾智，以指導組織機構的每個安全決策和行為。因此，與孤立式的自我防御最大的不同，在于協(xié)同式安全非常注重對外的溝通和合作。如下圖所示，組織機構內部除了監(jiān)控自身網(wǎng)絡、系統(tǒng)的部門，以及做出安全決策的部門之外，還專門設立合作部門開展對外的溝通合作。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第5頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第5頁。合作式安全基本示意圖合作部門一方面把自身系統(tǒng)產(chǎn)生的安全信息和情報，與合作伙伴共享，另一方面源源不斷地將從外界得到的安全信息和情報，提供給決策部門參考、借鑒。形成與外界制度化的信息溝通渠道、網(wǎng)絡，能夠給組織機構的安全防護帶來什么樣的好處？2016年10月，美國國家標準技術研究所（NIST）發(fā)布了《網(wǎng)絡威脅信息共享指南》(編號：NISTSP800-150)，以向社會征求意見。在《指南》中，NIST指出安全信息共享能夠：共享情景感知（SharedSituationalAwareness）：信息共享能夠有效動員、發(fā)揮共享伙伴們集體的知識、經(jīng)驗、分析能力，因而能夠增強所有組織機構的防御能力。共享網(wǎng)絡中的每一成員能受益于其他成員的知識和經(jīng)驗。每一成員對共享網(wǎng)絡的一點貢獻，都可以提高整個共享網(wǎng)絡對情景的感知和安全水平。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第6頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第6頁。提升知識成熟（KnowledgeMaturation）：通過共享和分析，原本看似互不相關的信息和觀測能相互關聯(lián)，并在此基礎上構建針對特定時間和威脅的指標，同時對指標之間的關系取得更深的認識。提高防守靈敏度（GreaterDefensiveAgility）：攻擊方持續(xù)根據(jù)防守方的保護和檢測方式，來修正攻擊的手段、技術、過程（Tactics,Techniques,andProcedures,TTP）。通過信息共享，組織機構能獲得對攻擊方TTPs的快速偵測、應對，使防御從被動變?yōu)橹鲃?。改進安全決策（ImprovedDecisionMaking）：通過信息共享，組織機構對安全態(tài)勢獲得了更完整、全面的認識。在做出安全決策時，更加高效，也更加自信。對單個組織機構來說，參與安全信息共享，能對攻擊者有更多、更深的了解，縮短對網(wǎng)絡攻擊的反應時間；能夠效仿別的組織機構部署的行之有效的安全措施，提高總體安全水平。美國學者的一項研究還表明，參與安全信息共享的組織機構，只需更少的投入，就能取得與沒有參與信息共享的組織機構相同的安全水平。原因正是，安全信息共享能夠讓組織機構聰明地做出投資決定，事半功倍。另一項針對金融機構的研究表明，隨著系統(tǒng)之間相互依存程度的上升，安全信息共享能帶來的好處就更多；同時，共享得越多，對安全的投資就越高效。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第7頁。事實上，除了提高組織機構安全水平，信息共享還能推動網(wǎng)絡安全市場的健康發(fā)展。在著名經(jīng)濟學家阿克洛夫（GeorgeAkerlof網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第7頁。在很大程度上，網(wǎng)絡安全市場中買賣雙方間恰恰存在嚴重的信息不對稱。例如，信息系統(tǒng)和網(wǎng)絡沒有發(fā)生安全事件，很多時候我們很難分清到底是購買的安全產(chǎn)品和服務確實有效，還是因為沒有被厲害的黑客盯上。缺乏安全信息共享，導致購買安全產(chǎn)品和服務的一方因“樣本”信息過少，而無法準確地評估功效。網(wǎng)絡安全市場中的信息不對稱得不到糾正，就很會導致“劣幣驅逐良幣”的現(xiàn)象，進而加劇買方對賣方的不信任。購買意愿降低，市場就會進一步萎縮，創(chuàng)新進步也就無從談起。對政府主管部門來說，組織機構間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來，并開始流通。安全大數(shù)據(jù)得以成為可能。主管部門能借此在宏觀層面，更全面地掌握威脅和安全防護方面的全局性情況，分析出未來可能的發(fā)展趨勢，為在國家層面制定戰(zhàn)略和行動計劃、開展專項行動，有針對性地協(xié)調各部門、各行業(yè)進行防護工作等打下堅實的基礎。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第8頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第8頁。三、共享哪些安全信息每一類的信息都具有潛在的用途。例如有些信息能夠幫助政府主管部門或者組織機構評估所處的威脅環(huán)境，包括攻擊者都有哪些、他們的規(guī)模和組織化程度、感興趣的目標、希望達到的目的等。通過信息共享，綜合大量的案例，并加以分析和跟蹤，形成對攻擊者行為模式、攻擊成本的描述，最終形成攻擊組織的畫像（Profiling）。有些信息經(jīng)過共享、綜合，則能夠幫助組織機構重構單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來源、攻擊目標等特征。還有一些信息提供了應對某類威脅或攻擊的指南。共享這類信息能夠使組織機構相互借鑒，提高安全防護水平。2015年年初，美國微軟公司發(fā)布《網(wǎng)絡安全信息共享和風險降低框架》（Aframeworkforcybersecurityinformationsharingandriskreduction）。在《框架》中，可供共享的網(wǎng)絡安全信息可分做以下7類：安全事件信息（incidents）：關于成功的或未遂的網(wǎng)絡攻擊的細節(jié)信息，具體包括丟失的信息、攻擊中使用的技術、攻擊意圖、造成的影響等。安全事件所囊括的范圍從一次被成功封阻的攻擊，到造成嚴重國家安全危機的攻擊。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第9頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第9頁。漏洞信息（vulnerabilities）：軟件、硬件、商業(yè)流程中可被惡意利用的漏洞。緩解措施信息（mitigations）：包括修補漏洞、封阻或遏制威脅、安全事件響應和恢復的方法。此類信息一般以漏洞補丁、殺毒軟件升級、從網(wǎng)絡中清除惡意行為者的方向等形式存在。情景感知信息（Situationalawareness）：此類信息包括對被利用漏洞、活躍的威脅、攻擊的實時遙測，還包括攻擊目標、網(wǎng)絡狀況等信息，能夠幫助決策人員響應安全事件。最佳做法信息（Bestpractices）：關于安全產(chǎn)品和服務的開發(fā)和部署的信息，包括安全控制、時間響應流程、軟件漏洞修補等。戰(zhàn)略分析信息（Strategicanalysis）：綜合、提煉、分析來自各方面的信息，以構建度量體系、描繪趨勢、開展預測，幫助政府和私營部門決策者為未來的風險提前做準備。四、安全信息共享網(wǎng)絡的基本模式網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第10頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第10頁。在集中式下，中心從端點接收安全信息，經(jīng)過綜合、分析后，再將結果傳回端點。一般來說，集中式的中心需要具備強大的信息存儲、處理、加工、分析能力，才能滿足信息共享網(wǎng)絡的不斷變化的需求。該模式的缺點是，整個信息共享網(wǎng)絡依賴于中心作為安全信息交換樞紐，如果該中心發(fā)生信息處理延遲，甚至于遭遇安全事件，則整個信息共享網(wǎng)絡的功能就會大打折扣，并有可能完全癱瘓。在同儕模式下，每個端點自主向其他端點推送網(wǎng)絡安全信息，或直接向整個信息共享網(wǎng)絡廣播。由于不存在一個信息交換中心，因此同儕模式對各個端點的安全信息接收、分析能力提出了較高的要求?；旌鲜絼t綜合了集中式和同儕式。每個端點向中心發(fā)送安全信息的同時，端點和端點之間也建立直接的信息共享渠道。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第11頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第11頁。自動化共享模式則強制要求信息共享網(wǎng)絡的各個端點采用統(tǒng)一的信息傳輸格式，安裝用于收集安全信息的傳感器，能夠接收預警信息的監(jiān)控系統(tǒng)，以及避免敏感安全信息泄露的安全機制。自動化共享模式克服因人的因素造成的局限，但其高度的自動化卻也導致遭受網(wǎng)絡攻擊的風險。五、消除妨礙安全信息共享網(wǎng)絡運行的三大障礙上文介紹了協(xié)同式安全理念的興起、安全信息共享帶來的好處、共享的安全信息的分類，以及共享網(wǎng)絡的基本結構和信息傳遞方式等，主要屬于一種抽象式、理論化的描述。現(xiàn)在讓我們進入到紛繁復雜的現(xiàn)實中去，探究如何建立一個有實效、可持續(xù)、有序的安全信息共享機制。從紙面上的設計，映射到現(xiàn)實中的制度建設，再到運行流程的信息共享網(wǎng)絡，主要是消除三大運行中的障礙。障礙之一：成員的發(fā)現(xiàn)能力顯然，不能發(fā)現(xiàn)網(wǎng)絡安全事件，后續(xù)的分析和共享也就無從談起。如果信息共享網(wǎng)絡中的成員發(fā)現(xiàn)安全事件的能力高低差距明顯，將會直接導致大部分共享的信息，主要由發(fā)現(xiàn)能力強的成員單方面提供。長此以往，信息共享網(wǎng)絡網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第12頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第12頁。光具備發(fā)現(xiàn)安全事件的能力還不夠。如果有成員考慮到共享的成本、風險等原因，刻意隱瞞發(fā)現(xiàn)的安全事件，不將有關信息共享出來，“搭便車”的問題還是沒法解決。因此，信息共享網(wǎng)絡還需要采取一定的措施，或是通過激勵（incentives），或是通過強制（mandates）手段[8]，解決這個問題。障礙之二：成員的分析能力如果信息共享網(wǎng)絡中的成員僅僅是把與安全事件有關的各種信息全部共享出去，而未加任何分析，顯然會造成整個共享網(wǎng)絡信息過剩的問題。面對大量的“雜音”，信息接收方需要自己開展過濾、分析，工作量大幅增加的同時，“收獲”卻寥寥無幾。這樣的信息共享網(wǎng)絡終將不可持續(xù)。因此，許多信息共享網(wǎng)絡會要求成員應該首先對安全事件作出分析；有些信息共享網(wǎng)絡還專門列出指導分析安全事件的幾類問題：安全措施的影響系統(tǒng)發(fā)生安全事件時使用了哪些安全措施，為什么這些措施不足以防御威脅入侵？哪些安全措施可能能夠防御此次威脅入侵？安全事件發(fā)生后，系統(tǒng)對安全部署和防御做了哪些調整？入侵發(fā)生的根本原因及第三方因素系統(tǒng)的軟、硬件、服務中的哪些因素（例如配置或漏洞）使得入侵得以成功？網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第13頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第13頁。安全事件造成的損失及后續(xù)清理安全事件造成了什么損失（金錢、信息泄露、服務中斷等）？采用了何種止損措施？需要指出的是，并不是說對所有這些問題分析的結果都要共享出去。因為對其中很多問題的回答，往往包含了成員的商業(yè)秘密或者其他私有信息。列出這些問題的意義在于，發(fā)生安全事件后，成員應當試圖從這些方面做出分析、得到初步答案后，再將部分結論共享給其他成員。至于哪些信息需要共享、哪些信息可以保留，主要根據(jù)信息共享網(wǎng)絡的目的，以及信息共享網(wǎng)絡成員間的相互約定。障礙之三：共享的風險共享網(wǎng)絡安全信息，一定程度上是向外界透露關于組織的安全信息，存在各種風險。舉例說明如下：聲譽和經(jīng)濟受損的風險：遭到黑客攻擊，本來就是不光彩的事。防住了還好，沒防住還要將有關情況共享出來，好比是家丑外揚。如果這些信息泄露到信息共享網(wǎng)絡之外，全社會都知道了，組織機構的聲譽將受重大損失，還可能造成股價的下跌；被起訴或被主管部門問責處罰的風險：被外界知道沒能防住黑客攻擊，造成經(jīng)濟損失或者信息泄露，有可能被有關權利人起訴；泄露內部安全部署的風險：別有用心的人可以從共享出去的網(wǎng)絡安全信息中逆向推導，借此掌握組織機構的內部安全機制和部署；網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第14頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第14頁。違背顧客、用戶的隱私保護的風險：網(wǎng)絡安全信息中如果包含組織機構掌握的顧客、用戶的個人身份信息、通訊信息等，共享出去可能會導致顧客、用戶認為組織機構違背信息保護約定，侵犯了他們的隱私。與政府主管部門共享信息存在風險：首先，政府主管部門可能因組織機構沒有盡到安全保護義務而問責或處罰；其次，顧客、用戶不愿意政府部門掌握其信息；再次，共享到政府的信息可能受到政府信息公開要求的約束，向社會公開。違反有關法律規(guī)定的風險：例如《反壟斷法》規(guī)定“經(jīng)營者達成壟斷協(xié)議”，組織機構共享網(wǎng)絡安全信息的行為，有可能被當成壟斷行為，引來反壟斷機構的調查。安全信息被二次使用的風險：安全信息一旦共享出去，就離開了組織機構的掌控；獲得信息的一方會如何使用這些信息無從保證；競爭對手會如何使用這些信息更難以防范。信息真實性存疑的風險：組織機構可能擔心，即便自身克服這些風險，與其他方面共享了網(wǎng)絡安全信息，別的組織機構會這么做嗎？它們會不會故意提供錯誤的信息？國家秘密泄露風險：政府向組織機構共享其掌握的網(wǎng)絡安全信息，如果信息擴散范圍失控，則有可能導致國家安全風險。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第15頁。網(wǎng)絡安全信息共享：為什么和怎么做？全文共16頁，當前為第15頁。六、現(xiàn)實運行中的安全信息共享網(wǎng)絡如何克服障礙歸納實踐，我們大致可以看到有四類信息共享網(wǎng)絡：成員驅動型、數(shù)據(jù)驅動型、事件驅動型、風險驅動型。成員驅動型：例如美國覆蓋重要行業(yè)和關鍵基礎設施部門的信息共享與分析中心（ISAC），包括金融服務、通信、電力、應急服務行業(yè)、醫(yī)療和公共衛(wèi)生、信息技術、海事、公共交通、教育、供應鏈、運輸、水利以及房地產(chǎn)等。每個ISAC的成員主要來自于同一個行業(yè)。數(shù)據(jù)驅動型：例如采用統(tǒng)一的傳輸格式或工具自動共享網(wǎng)絡安全信息的網(wǎng)絡。其中類型的典型是由美國電力行業(yè)的信息共