首席信息安全官Chad Kliewer于2020年12月聽到了有關(guān)SolarWinds網(wǎng)絡(luò)攻擊的最初報道,他對那些遭遇黑客攻擊的公司表示同情。
不久之后,他開始收到同事發(fā)來的消息,希望確保他能看到最新的一些消息:Kliewer所在的Pioneer Telephone Cooperative公司是一家總部位于俄克拉荷馬州Kingfisher市的小型電信商,并且已經(jīng)上市。
對于Kliewer來說,那些來自其他安全領(lǐng)導(dǎo)者的提示提醒他及早采取措施,明確地證明了在行業(yè)內(nèi)建立信息共享社區(qū)的價值。
Kliewer是面向小型寬帶提供商的信息共享和分析中心(ISAC)Cyber??Share的成員,也是俄克拉荷馬州信部門協(xié)調(diào)委員會(CSCC)成員。他還與其他信息安全領(lǐng)導(dǎo)人建立了非正式社區(qū)。
他承認(rèn),他當(dāng)時曾經(jīng)忽略了這些團體的重要性,由于太忙沒有時間與團隊成員更多地接觸,也沒有看到他們所能提供的價值。
但隨著他開始參與并親身體驗了他們可以提供的幫助(就像SolarWinds活動中的情況一樣),Kliewer成為了一名倡導(dǎo)者。
他說,“我多年來一直在分享安全方面的信息,并將這些信息公之于眾。我們都面臨同樣的痛苦,問題只是是否愿意分擔(dān)這些痛苦,并在值得信賴的團隊中篩選信息,以使其他人免于遭受同樣的事情。”
攜手前行
網(wǎng)絡(luò)安全從業(yè)人員之間共享信息的趨勢很難量化,衡量參與此類活動的意愿的數(shù)據(jù)并不容易獲得。
但Kliewer和其他信息安全領(lǐng)導(dǎo)者表示,他們已經(jīng)看到首席信息安全官思想的演變,他們曾經(jīng)對他們的措施、內(nèi)部的威脅,甚至是整體威脅情況諱莫如深。
這種情況近年來有所緩和。現(xiàn)在,許多首席信息安全官都是多個信息共享小組的成員,如今他們提倡同行也這樣做,并表示這是幫助每個人應(yīng)對網(wǎng)絡(luò)攻擊者的策略之一。
德勤公司在其2021年網(wǎng)絡(luò)未來調(diào)查報告中指出:“意識到所有行業(yè)都易受網(wǎng)絡(luò)攻擊,這導(dǎo)致了更廣泛的知識共享。學(xué)習(xí)和了解其他行業(yè)的有效方法將變得越來越重要。
雖然沒有單一的簡單解決方案來管理網(wǎng)絡(luò)安全,但企業(yè)在數(shù)字化轉(zhuǎn)型道路上面臨的許多威脅是共同的。隨著網(wǎng)絡(luò)攻擊變得越來越普遍,任何行業(yè)或地區(qū)都無法幸免,但可以互相學(xué)習(xí)在攻擊事件發(fā)生時如何有效處理。為此,與同行分享經(jīng)驗和知識是全面改善安全環(huán)境的基本要素。”
更加開放,但障礙依然存在
當(dāng)然,與其他高管一樣,首席信息安全官多年來一直擁有社交機會和其他活動,使他們能夠交換意見并尋求建議。
ISAC并不是新鮮事物。ISAC的概念來自1998年發(fā)布的美國政府指令,該指令促使每個關(guān)鍵基礎(chǔ)設(shè)施部門建立組織來共享有關(guān)威脅和漏洞的信息。
Aviation ISAC總裁兼首席執(zhí)行官Jeffrey Troy表示,近年來,人們越來越愿意分享,也越來越需要分享。
Troy說,“這需要很長時間才能發(fā)生。”
Aviation ISAC成立于2014年,已從七家創(chuàng)始成員公司發(fā)展到包括五大洲的88家成員公司。其成員資格向航空公司、機場、工業(yè)制造商和其他服務(wù)該行業(yè)的公司開放。
Aviation ISAC在其發(fā)布的2021年制定商業(yè)案例報告中指出,“航空行業(yè)仍然是網(wǎng)絡(luò)威脅參與者的一個高度可見的目標(biāo),并且該行業(yè)在2020年看到勒索軟件攻擊、網(wǎng)絡(luò)入侵、商業(yè)電子郵件泄露、DDoS攻擊、欺詐等。”
即便如此,要實現(xiàn)持續(xù)、廣泛的合作,障礙依然存在。
Troy指出,“我們發(fā)現(xiàn)有更多的信息可以分享,但在討論重大網(wǎng)絡(luò)攻擊行為方面存在一些猶豫。”
他承認(rèn),即使在ISAC等受信任的網(wǎng)絡(luò)中,一些企業(yè)也不愿意共享信息。一些人由于遭遇黑客攻擊之后可能引發(fā)訴訟而猶豫不決;而在沒有通知政府或法律機構(gòu)的情況下解決勒索軟件攻擊的人員并不想告訴其他人發(fā)生了什么。
然而Troy表示,他并不完全支持這種觀點。他將此類行為比作搶劫未報案的受害者,這使得其他人容易受到網(wǎng)絡(luò)攻擊。
他說,“如果你將信息告訴了其他人,那將為他們提供幫助。網(wǎng)絡(luò)安全也是如此,每一點網(wǎng)絡(luò)情報都會有所幫助。”
沒有人可以獨自成功
這種推理在有關(guān)ISAC和其他信息共享渠道的對話中反復(fù)出現(xiàn)。支持者一致認(rèn)為,如果首席信息安全官與同事和其他安全行業(yè)官員(如供應(yīng)商高管和政府官員)隔離開來,網(wǎng)絡(luò)攻擊的數(shù)量和速度不斷增加,并且網(wǎng)絡(luò)攻擊的復(fù)雜性不斷提高,這使得首席信息安全官無法在工作中取得成功。
凱捷公司北美市場網(wǎng)絡(luò)安全卓越中心負(fù)責(zé)人David O'Berry說:“這一點至關(guān)重要,因為問題已經(jīng)變得如此嚴(yán)重,以至于規(guī)模最大的組織都無法作為孤島獨立存在。ISAC創(chuàng)建了一個偉大的信息共享網(wǎng)絡(luò),企業(yè)可以參與其中,使其更加強大,而無需自己完成所有工作,這幾乎是不可能的。”
Health ISAC總裁兼首席執(zhí)行官丹Denise Anderso表示已經(jīng)看到了這一價值。
當(dāng)Petya/NotPetya網(wǎng)絡(luò)攻擊于2017年6月首次浮出水面時,該組織在48小時內(nèi)讓來自30多個組織的60多名人員合作,找出攻擊向量是什么、攻擊如何在網(wǎng)絡(luò)中傳播以及如何阻止它。
Anderso說,“我們不僅在會員內(nèi)部分享,還在我們的網(wǎng)站上對外公布,這樣每個人都可以從這項偉大的工作中受益。這一點尤其重要,因為當(dāng)時共享了很多不正確的信息,我們能夠提供基本事實和可行的緩解措施。我們目前正在對Log4j漏洞做很多相同的事情。”
可信數(shù)據(jù),直截了當(dāng)?shù)拇鸢?/strong>
全球企業(yè)集團Danaher公司首席信息安全官、治理協(xié)會ISACA的前任董事Marc Vael也有類似的觀點。
Vael說,他也看到很多首席信息安全官變得更愿意參加ISAC和其他此類團體,他認(rèn)為這是增強他們保護自己組織能力的一種方式。
他的公司隸屬于ISAC,,也是其中的積極參與者,并且他是當(dāng)?shù)厥紫畔踩傩〗M的成員,該小組定期通過安全通信平臺交換信息和建議。
Vael表示,他看到了參與的價值。他喜歡詢問其他人在具體解決方案方面的經(jīng)驗,聽取他們應(yīng)對某些挑戰(zhàn)的策略細(xì)節(jié),并快速獲得直截了當(dāng)?shù)拇鸢浮?/div>
他說,他們圍繞最近的Log4j漏洞進行的交流進一步證明了信息共享的價值,因為ISAC和一些首席信息安全官都提供了一系列與他和他的公司相關(guān)的安全漏洞的可信數(shù)據(jù)。
Vael說,他很樂意提出問題和分享想法,因為他的ISAC和其他人一樣,都有保密協(xié)議,而非正式的首席信息安全官小組則受查塔姆研究所規(guī)則的約束,該規(guī)則保護參與者及其披露的內(nèi)容。
此外,他知道成員之間共享的信息來自可信的、經(jīng)過審查的來源。
他補充道,“如果你想成為一名成功的首席信息安全官,必須擁有多個可以接觸到的優(yōu)質(zhì)渠道。”
最大化信息共享的價值
事實上,首席信息安全官從ISAC和類似團體中獲得價值的最佳方式就是加入并積極參與其中。首席信息安全官應(yīng)提供有關(guān)他們正在使用的策略、技術(shù)和程序(TTP)的詳細(xì)信息;他們看到的威脅活動、遇到的挑戰(zhàn),以及哪些策略和解決方案取得了最大的成功。
此外,安全領(lǐng)導(dǎo)者表示,首席信息安全官不僅應(yīng)參與其行業(yè)ISAC,還應(yīng)參與其他團體,例如由區(qū)域?qū)嶓w、政府機構(gòu)、供應(yīng)商和技術(shù)社區(qū)組織的團體。
然后,首席信息安全官必須找到一種方法,將他們獲得的信息帶回他們的團隊和他們自己的運營中。
O’Berry說,“所以需要采取實際行動。”
這意味著自動獲取許多ISAC生成的威脅情報源,向團隊成員傳播安全要點,根據(jù)新信息調(diào)整策略等。
負(fù)責(zé)管理網(wǎng)絡(luò)共享的NTCA的法律總顧問兼政策副總裁Jill Canfield說,“我們可以發(fā)布世界上所有的信息,但除非人們將其付諸實踐,否則它不會帶來很多好處。關(guān)鍵是獲取信息并將其付諸實施。它正在獲取人們需要學(xué)習(xí)的信息并加以應(yīng)用。”
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號