美國國土安全部負責追蹤所有涉及美國國家安全的信息安全威脅,然而這里的大樓卻顯得平平無奇。大樓外觀很普通,有著圓形的廣場。直到看見新聞聯絡官站在大廳里之前,我都不能確定是否來對了地方。與周圍的寫字樓相比,這里沒有任何不同,而門衛甚至也不能確認,國土安全部在這里是否有辦公室。
美國國家信息安全和通信集成中心(NCCIC)于2009年成立。在這里,國土安全部監控針對政府部門,以及電網和水壩等關鍵基礎設施的信息安全威脅。如果有黑客攻擊美國農業部網絡,或是一名政府雇員訪問了惡意網站,那么NCCIC就能做出探測。直到最近,美國政府一方面自行完成信息收集,一方面也依靠外部公司去監控其網絡,及時發現安全威脅。然而,由于去年12月通過的《網絡安全信息共享法》,國土安全部正在重組這方面的工作。這項法律要求國土安全部建設更復雜的信息安全威脅探測系統,其中的信息來自多家公司與政府分享的數據。
來到大廳,搭電梯上樓之后,熒光燈照亮了一間辦公室的大門。旁邊的標志為每周辦公室甜甜圈做廣告。國土安全部負責信息安全和通信的副部長菲利斯·史奈克(Phyllis Schneck)在歡迎我們,并帶領我們前往NCCIC的辦公室里。
NCCIC的辦公室看起來就像是電影里美國宇航局(NASA)的任務控制大廳。這里有長長的桌子,上面放著計算機和顯示器。這里的工作人員包括前軍方人員和IT專家。在工作中,他們相互交流,就像是普通公司里的同事,但不同的是他們正負責美國的信息安全防務。每臺工作站配備了4塊大型顯示屏,顯示屏上有多個窗口。這些窗口顯示了不同的指標,例如有多少個不安全的關鍵基礎設施中樞正在啟動,以及每個部門的網絡狀況。
史奈克表示,如果有可疑流量出現在屏幕上,那么相應人員就會立刻做出反應,并告知其他所有人。屏幕會通過顏色的改變去報警:綠色表明一切正常,紅色表明情況可能有問題。在我們到來時,整個中心進入了“非保密模式”,因此我們沒有看到任何實時的信息安全威脅。
除政府部門之外,國土安全部門還會協助海外的調查。例如,在烏克蘭電網遭到黑客攻擊之后,國土安全部就向烏克蘭派出人員進行調查。隨后,該部門就這起事件發表了報告。
國土安全部關心的并不僅僅是人類的威脅,同時也會關注某些自然現象,例如太陽黑子、火災、洪水和臺風。史奈克表示,國土安全部對太陽的追蹤是因為,太陽活動產生的輻射可能會影響衛星通信。
在執行《網絡安全信息共享法》的過程中,NCCIC正在向惡意軟件預防系統整合民營公司關于信息安全的經驗。盡管國土安全部表示,這有利于保護美國政府及相關組織應對黑客攻擊,但并不是所有人都支持這種觀點。隱私保護組織擔心,企業會將個人信息分享給政府。還有人擔心,這將干擾企業的工作流程。如果在不知情的情況下,個人信息就被提供給國土安全部,那么用戶個人也會感覺不滿。
史奈克表示,如果能正確執行,那么信息共享將極大地加強美國的信息安全防務。例如,如果有公司發現員工遭到了釣魚攻擊,那么可以向國土安全部提供郵件發送者的信息和郵件內容,隨后全球的信息安全監管部門都將知道此類威脅的存在,并對攻擊者進行防御和打擊。對于信息共享計劃,國土安全部長杰·約翰遜(Jeh Johnson)表示,這就好比是“看見某些東西,隨后判斷其信息安全意義”。
美國政府試圖以此前美國人事管理局的信息安全事故為例,證明《網絡安全信息共享法》的優點。去年,美國健康保險公司Anthem遭到了黑客攻擊,導致數百萬美國人的信息泄露。調查人員發現,美國人事管理局遭遇的黑客攻擊也是由同一批黑客所為。如果Anthem能提前向政府部門分享當時的安全事故信息,例如IP地址和攻擊者使用的惡意鏈接,那么人事管理局可以將這些信息納入監控范圍內,從而避免遭到攻擊,至少是更快地判斷出攻擊。(在被發現前,黑客在人事管理局的網絡里已經潛伏幾個月時間。)美國政府官員表示,這正是《網絡安全信息共享法》制定的理念。在人事管理局信息安全事故發生的幾周到幾個月之后,立法部門開始大力推進安全信息共享計劃。
國土安全部認為,《網絡安全信息共享法》是美國所需的立法解決方案。這一法案鼓勵企業自愿與政府部門分享關于信息安全攻擊的信息,同時保護企業不受可能的訴訟。因此,企業在分享用戶數據時不必擔心可能遭到用戶的隱私侵權訴訟。
盡管這樣做有利于企業對國家安全的參與,但隱私保護組織表示,這導致用戶處于“兩眼一抹黑”的處境。電子前線基金會公民自由立法負責人馬克·杰伊考克斯(Mark Jaycox)表示,關于應對信息安全攻擊,政府只需要少量的數據即可。信息的過度分享很容易出現,而公眾可能對此并不知情。除此以外,分享信息的企業名單也將保密。
杰伊考克斯表示:“我們并不清楚,哪些企業參加了這一項目,或是被要求參加這一項目。我們正在觸及這項法案的另一面,也是糟糕的一面,即透明度問題。”HackerOne前首席政策官凱蒂·莫蘇里斯(Katie Moussouris)表示,如果知道自己的信息,包括個人信息將會進入國土安全部的威脅情報庫,那么沒有用戶愿意使用相應的服務。只要看看愛德華·斯諾登(Edward Snowden)泄密案之后發生的情況就能清楚這一點。皮尤研究中心2014年的一項研究顯示,91%的美國成年人認為,他們的個人信息已失去給了公司。
盡管存在隱私保護方面的爭議,但這項法案已獲得通過。美聯社今年3月報道稱,當時只有6家公司簽訂協議,全面參與這一項目。
在我們前往NCCIC的旅程中,史奈克帶我們前往了她的辦公室。她堅持認為,隱私保護仍將是一項重要考量。在企業分享信息安全信息時,NCCIC只會要求獲得最基本的技術細節。
她表示:“我們一直會向隱私保護組織進行通報。如果我們需要放棄作為美國人的權利,那么這件事就不值得捍衛。”
那么,NCCIC會收集什么樣的信息?NCCIC于今年2月公布了一份指南,做出了澄清。企業應當分享有助于事故調查,或是關于漏洞的信息。如果對于協助他人探測、預防或減輕威脅并不必要,那么這樣的信息就與信息安全威脅無關。例如,關于釣魚郵件,企業應當向國土安全部提供郵件發送者、惡意鏈接、惡意文件附件、電子郵件內容,以及其他有助于應對未來攻擊的信息,而電子郵件收件人的姓名和郵件地址不應被包括在內。目前尚不清楚,企業是否會遵循這些指南,而系統的保密措施意味著公眾很難進行檢查。
史奈克表示,這些信息的分享將確保美國的實體和利益安全。她認為,這樣的機制就像是流感疫苗,能幫助NCCIC更快地探測惡意軟件和其他信息安全威脅。
盡管情況或許確實如此,但如果企業過度分享用戶的數據,而用戶不清楚這樣的事件是否發生,那么企業的信譽將受到影響。一些公司表示,關于政府搜查令已經設置了專門系統,只在合法情況下分享用戶信息。
史奈克仍然充滿理想主義。她希望,更好的信息分享將幫助NCCIC探測并應對威脅,而這甚至不必人工參與,尤其是對有其他國家政府支持的黑客活動。
她的理想甚至比聽起來更遠大。但目前,國土安全部需要鼓勵更多企業去分享數據,優化技術,從而更好地探測不斷變化的威脅。當存在敏感數據的情況下,人工介入仍是必要的。未來全自動的威脅探測系統仍需要很長時間的發展。
京公網安備 11010502049343號