网络安全信息共享,顾名思义就是政府把关于网络安全的信息、情报、研判等分享给私营部门,同时私营部门将其受到威胁、攻击等有关信息报告给政府,以及私营部门之间互相交流有助于网络安全防护工作的信息。
我国《网络安全法》第五十一条规定“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息”。该条明确要求政府和私营之间应当建立起信息共享的机制。《网络安全法》第二十九条提出,“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力”,表明国家应当鼓励、支持私营部门之间的网络安全信息共享合作。
美国被公认为当今世界网络技术和网络安全立法方面最为发达的国家,但近年来美国在网络安全立法上一直停滞不前。在第111 届国会期间(2009—2010年),共有涉及网络安全的法案、决议案逾60件。在第112 届(2011—2012年)和第113届国会(2013—2014年)期间均有逾40件法案、决议案。但直到第113届国会最后时刻,国会才通过四项法案。这也是自顶着“互联网总统”称号的奥巴马2009年就任以来,美国国会首次就网络安全通过了法案。
即便如此,事实表明,自2002年通过《联邦信息安全管理法》以来,美国没有通过任何重要的综合性网络安全立法。2014年年末通过的四项法案也仅是对已有法律的修正案或者是就人员和机构等局部事项作出规定。
美国政府和国会网络安全综合性立法的重点放在促进网络安全信息共享,以及建立个人数据泄露窃取事件的强制披露机制。原因是在美国,90%的关键基础设施为私人所有,美国法律又将这些私有关键基础设施的安全防护责任放在设施所有人身上,而非政府。因此,美国政府增强基础设施安全的最主要手段就是通过促进政府部门和私人部门之间的公私合作,实现网络威胁的“群防群治”,同时借由事件强制公开,督促私人部门改进网络安全措施。这两个方面中,网络安全的信息共享是公认的重中之重。
信息共享意味着什么——安全防护理念的变化
在过去,大多数的组织机构对于维护自身的网络安全,抱着这样一种思维定势:“各家自扫门前雪,莫管他人瓦上霜”。与“高筑城墙,深挖护城河”相配合,组织机构的信息系统与其他组织机构的连接通道越少越好;信息系统的技术细节和安全防控布局要严格保密;一旦发生网络安全事件,必须严格控制分析、处置等信息的扩散范围,越少人知道越好,更别提对外透露了。
许多组织机构满足于通过此种孤立的自我防御(即最大程度的“隔离”和“藏着、掖着”)的方式来追求信息系统安全。但这样的方式也导致了组织机构在开展安全防护工作时,只能依靠自己——极其局限的信息和情报、有限的人力和知识储备,因而无法有效应对网络攻击。
首先,孤立的自我防御导致的局限性,体现在防御和处置网络攻击、发现安全漏洞等方面。借用“杀伤链”模型,网络攻击可大致划分为七个阶段:侦查跟踪(reconnaissance)、武器构建(weaponization)、载荷投递(delivery)、突防利用(exploitation)、安装植入(installation)、通信控制(command and control)、达成目标(actions on objective)。
真正的安全防范能力应该覆盖攻击者的每个阶段,安全信息共享可以让防御方在更早的阶段介入到防范工作中。例如,在实践中,许多网络攻击者对大量目标采用了相似的攻击工具和手法(即“杀伤链”前三阶段),因此通过共享网络安全信息,就能有效地分析、归纳得出关于攻击者、攻击工具和手法的信息和情报,从而为防御方在尽可能早的阶段地阻断“杀伤链”提供先机。
而孤立的自我防御下,由于掌握的信息和情报十分有限,组织机构往往只能在突防利用及之后的阶段,才具备检测、防御的技术手段和能力。显然,孤立的自我防御导致了防护工作的被动。
其次,孤立的自我防御导致的局限性,还体现在开展安全规划、部署等方面。缺乏相互沟通、相互借鉴,安全人员能看见、能分析的对象,只能是自家的系统,无法从其他组织机构经历的安全事件中获得宝贵经验,包括那些安全事件中涉及的漏洞、被攻破的系统的安全部署方案及采用的具体安全措施和产品、能够抵御攻击的安全措施等等。安全人员仅能从“小样本”中学习、改进。缺少从“大样本”中提炼出来的安全信息、情报、知识,安全人员无法准确评估哪些工具、技术、做法在应对特定威胁时最为有效。
极其有限、单薄、碎片的信息和情报,让组织机构的安全人员在决定购买、部署安全措施和产品时,只能依靠泛泛的一般性建议和教科书上通行的做法,甚至于道听途说和直觉,很大程度上困于“盲人摸象”的局面。
再次,孤立的自我防御无法应对快速变化的网络安全形势。一方面,网络和信息系统之间相互依赖程度不断,在这样不可逆转的趋势下,单个组织机构的安全越来越取决于其他与之相连的组织机构的安全,缺乏协同的防御效果难以令人满意。
另一方面,近年来,网络攻守平衡逐渐被打破,攻击方的能力有大幅上升,例如分布式攻击(僵尸网络、DDoS)日益数量猖獗、漏洞黑市交易渐成规模、恶意软件和网络武器越来越复杂、网络犯罪组织化程度提高等。许多攻击必须在综合来自多方的信息后,才能被发现。因此,任何组织机构靠一己之力,已经无法对抗攻击。
从孤立式的安全到协同式的安全(collaborative security)
协同式的安全,本质上是要汇集众智,以指导组织机构的每个安全决策和行为。因此,与孤立式的自我防御最大的不同,在于协同式安全非常注重对外的沟通和合作。如下图所示,组织机构内部除了监控自身网络、系统的部门,以及做出安全决策的部门之外,还专门设立合作部门开展对外的沟通合作。
合作式安全基本示意图[1]
合作部门一方面把自身系统产生的安全信息和情报,与合作伙伴共享,另一方面源源不断地将从外界得到的安全信息和情报,提供给决策部门参考、借鉴。
形成与外界制度化的信息沟通渠道、网络,能够给组织机构的安全防护带来什么样的好处?2016年10月,美国国家标准技术研究所(NIST)发布了《网络威胁信息共享指南》(编号:NIST SP 800-150)[2],以向社会征求意见。在《指南》中,NIST指出安全信息共享能够:
-
共享情景感知(Shared Situational Awareness):信息共享能够有效动员、发挥共享伙伴们集体的知识、经验、分析能力,因而能够增强所有组织机构的防御能力。共享网络中的每一成员能受益于其他成员的知识和经验。每一成员对共享网络的一点贡献,都可以提高整个共享网络对情景的感知和安全水平。
-
增强对威胁的认知(Enhanced Threat Understanding):通过共享威胁情报,组织机构能获得对威胁环境更加完整的认识,从而能够根据威胁环境的实时变化,有针对性地设计和部署安全措施、检测方式等。
-
提升知识成熟(Knowledge Maturation):通过共享和分析,原本看似互不相关的信息和观测能相互关联,并在此基础上构建针对特定时间和威胁的指标,同时对指标之间的关系取得更深的认识。
-
提高防守灵敏度(Greater Defensive Agility):攻击方持续根据防守方的保护和检测方式,来修正攻击的手段、技术、过程(Tactics, Techniques, and Procedures, TTP)。通过信息共享,组织机构能获得对攻击方TTPs的快速侦测、应对,使防御从被动变为主动。
-
改进安全决策(Improved Decision Making):通过信息共享,组织机构对安全态势获得了更完整、全面的认识。在做出安全决策时,更加高效,也更加自信。
对单个组织机构来说,参与安全信息共享,能对攻击者有更多、更深的了解,缩短对网络攻击的反应时间;能够效仿别的组织机构部署的行之有效的安全措施,提高总体安全水平。[3]
美国学者的一项研究还表明,参与安全信息共享的组织机构,只需更少的投入,就能取得与没有参与信息共享的组织机构相同的安全水平。[4]原因正是,安全信息共享能够让组织机构聪明地做出投资决定,事半功倍。另一项针对金融机构的研究表明,随着系统之间相互依存程度的上升,安全信息共享能带来的好处就更多;同时,共享得越多,对安全的投资就越高效。[5]
事实上,除了提高组织机构安全水平,信息共享还能推动网络安全市场的健康发展。在著名经济学家阿克洛夫(George Akerlof)提出的“酸柠檬市场”中,显著的信息不对称,导致一方面买方难以分清商品的真正价值和好坏,另一方面卖方可以“安全”地夸大商品质量。此时,买方只愿意通过市场上的平均价格来判断商品的平均质量,因此也只愿意付出平均价格。由于商品有好有坏,买方只愿意付出平均价格,就会使提供好商品的吃亏,提供坏商品的得益。于是好商品便会逐步退出市场。由于平均质量下降,导致平均价格进一步下降,真实价值处于平均价格以上的商品也逐渐退出市场。最后,“酸柠檬市场”就只剩下坏商品。
在很大程度上,网络安全市场中买卖双方间恰恰存在严重的信息不对称。例如,信息系统和网络没有发生安全事件,很多时候我们很难分清到底是购买的安全产品和服务确实有效,还是因为没有被厉害的黑客盯上。缺乏安全信息共享,导致购买安全产品和服务的一方因“样本”信息过少,而无法准确地评估功效。网络安全市场中的信息不对称得不到纠正,就很会导致“劣币驱逐良币”的现象,进而加剧买方对卖方的不信任。购买意愿降低,市场就会进一步萎缩,创新进步也就无从谈起。
对政府主管部门来说,组织机构间更大程度的安全信息共享,意味着有更多的安全信息和数据被“生产”出来,并开始流通。安全大数据得以成为可能。主管部门能借此在宏观层面,更全面地掌握威胁和安全防护方面的全局性情况,分析出未来可能的发展趋势,为在国家层面制定战略和行动计划、开展专项行动,有针对性地协调各部门、各行业进行防护工作等打下坚实的基础。
另一方面,主管部门参与到安全信息共享中去,把自己掌握的情况通过共享网络做到快速、广泛发布,通过信息共享,达到调动、协调全社会实现实时的群防群治,提高网络安全治理的效果。
共享哪些安全信息
每一类的信息都具有潜在的用途。例如有些信息能够帮助政府主管部门或者组织机构评估所处的威胁环境,包括攻击者都有哪些、他们的规模和组织化程度、感兴趣的目标、希望达到的目的等。通过信息共享,综合大量的案例,并加以分析和跟踪,形成对攻击者行为模式、攻击成本的描述,最终形成攻击组织的画像(Profiling)。
有些信息经过共享、综合,则能够帮助组织机构重构单条杀伤链,分析攻击工具、攻击手法、攻击来源、攻击目标等特征。还有一些信息提供了应对某类威胁或攻击的指南。共享这类信息能够使组织机构相互借鉴,提高安全防护水平。
2015年年初,美国微软公司发布《网络安全信息共享和风险降低框架》(A framework for cybersecurity information sharing and risk reduction)[6]。在《框架》中,可供共享的网络安全信息可分做以下7类:
-
安全事件信息(incidents):关于成功的或未遂的网络攻击的细节信息,具体包括丢失的信息、攻击中使用的技术、攻击意图、造成的影响等。安全事件所囊括的范围从一次被成功封阻的攻击,到造成严重国家安全危机的攻击。
-
威胁信息(threats):包括尚未认识清楚但可导致潜在严重影响的事项;感染指标(Indicators of Compromise, IoC),如恶意文件、被窃取的电子邮箱地址、受影响的IP地址、恶意代码样本;关于威胁行为者(threat actors)的信息。该类信息有助于发现安全事件,从攻击中吸取教训,创造解决方案等。
-
漏洞信息(vulnerabilities):软件、硬件、商业流程中可被恶意利用的漏洞。
-
缓解措施信息(mitigations):包括修补漏洞、封阻或遏制威胁、安全事件响应和恢复的方法。此类信息一般以漏洞补丁、杀毒软件升级、从网络中清除恶意行为者的方向等形式存在。
-
情景感知信息(Situational awareness):此类信息包括对被利用漏洞、活跃的威胁、攻击的实时遥测,还包括攻击目标、网络状况等信息,能够帮助决策人员响应安全事件。
-
最佳做法信息(Best practices):关于安全产品和服务的开发和部署的信息,包括安全控制、时间响应流程、软件漏洞修补等。
-
战略分析信息(Strategicanalysis):综合、提炼、分析来自各方面的信息,以构建度量体系、描绘趋势、开展预测,帮助政府和私营部门决策者为未来的风险提前做准备。
安全信息共享网络的基本模式
《网络威胁信息共享指南》给出了安全信息共享网络的三种基本结构:集中式(centralized)、同侪式(peer to peer)、混合式(hybrid)。[7]
在集中式下,中心从端点接收安全信息,经过综合、分析后,再将结果传回端点。一般来说,集中式的中心需要具备强大的信息存储、处理、加工、分析能力,才能满足信息共享网络的不断变化的需求。该模式的缺点是,整个信息共享网络依赖于中心作为安全信息交换枢纽,如果该中心发生信息处理延迟,甚至于遭遇安全事件,则整个信息共享网络的功能就会大打折扣,并有可能完全瘫痪。
在同侪模式下,每个端点自主向其他端点推送网络安全信息,或直接向整个信息共享网络广播。由于不存在一个信息交换中心,因此同侪模式对各个端点的安全信息接收、分析能力提出了较高的要求。
混合式则综合了集中式和同侪式。每个端点向中心发送安全信息的同时,端点和端点之间也建立直接的信息共享渠道。
构建安全信息共享网络的另一个基础性问题是自动化分享模式和人工共享模式的选择。人工共享模式下,组织机构指派专人负责安全信息的发送和接收、分析工作。该模式的缺点在于人的因素构成了信息共享网络的瓶颈,如人为导致的错误,无法胜任实时、持续性、高强度的信息发送、接收、安全配置更新工作等。
自动化共享模式则强制要求信息共享网络的各个端点采用统一的信息传输格式,安装用于收集安全信息的传感器,能够接收预警信息的监控系统,以及避免敏感安全信息泄露的安全机制。自动化共享模式克服因人的因素造成的局限,但其高度的自动化却也导致遭受网络攻击的风险。
消除妨碍安全信息共享网络运行的三大障碍
上文介绍了协同式安全理念的兴起、安全信息共享带来的好处、共享的安全信息的分类,以及共享网络的基本结构和信息传递方式等,主要属于一种抽象式、理论化的描述。
现在让我们进入到纷繁复杂的现实中去,探究如何建立一个有实效、可持续、有序的安全信息共享机制。从纸面上的设计,映射到现实中的制度建设,再到运行流程的信息共享网络,主要是消除三大运行中的障碍。
障碍之一:成员的发现能力
显然,不能发现网络安全事件,后续的分析和共享也就无从谈起。如果信息共享网络中的成员发现安全事件的能力高低差距明显,将会直接导致大部分共享的信息,主要由发现能力强的成员单方面提供。长此以往,信息共享网络的价值和可持续性将大打折扣。因此,在建立信息共享网络中,往往要对入网的成员提出具备一定安全事件发现能力的要求。
光具备发现安全事件的能力还不够。如果有成员考虑到共享的成本、风险等原因,刻意隐瞒发现的安全事件,不将有关信息共享出来,“搭便车”的问题还是没法解决。因此,信息共享网络还需要采取一定的措施,或是通过激励(incentives),或是通过强制(mandates)手段[8],解决这个问题。
障碍之二:成员的分析能力
如果信息共享网络中的成员仅仅是把与安全事件有关的各种信息全部共享出去,而未加任何分析,显然会造成整个共享网络信息过剩的问题。面对大量的“杂音”,信息接收方需要自己开展过滤、分析,工作量大幅增加的同时,“收获”却寥寥无几。这样的信息共享网络终将不可持续。因此,许多信息共享网络会要求成员应该首先对安全事件作出分析;有些信息共享网络还专门列出指导分析安全事件的几类问题:
-
安全措施的影响
系统发生安全事件时使用了哪些安全措施,为什么这些措施不足以防御威胁入侵?
哪些安全措施可能能够防御此次威胁入侵?
安全事件发生后,系统对安全部署和防御做了哪些调整?
-
入侵发生的根本原因及第三方因素
系统的软、硬件、服务中的哪些因素(例如配置或漏洞)使得入侵得以成功?
是否有第三方的因素使得入侵得以成功?
-
安全事件造成的损失及后续清理
安全事件造成了什么损失(金钱、信息泄露、服务中断等)?
采用了何种止损措施?
需要指出的是,并不是说对所有这些问题分析的结果都要共享出去。因为对其中很多问题的回答,往往包含了成员的商业秘密或者其他私有信息。列出这些问题的意义在于,发生安全事件后,成员应当试图从这些方面做出分析、得到初步答案后,再将部分结论共享给其他成员。至于哪些信息需要共享、哪些信息可以保留,主要根据信息共享网络的目的,以及信息共享网络成员间的相互约定。
障碍之三:共享的风险
共享网络安全信息,一定程度上是向外界透露关于组织的安全信息,存在各种风险。举例说明如下:
-
声誉和经济受损的风险:遭到黑客攻击,本来就是不光彩的事。防住了还好,没防住还要将有关情况共享出来,好比是家丑外扬。如果这些信息泄露到信息共享网络之外,全社会都知道了,组织机构的声誉将受重大损失,还可能造成股价的下跌;
-
被起诉或被主管部门问责处罚的风险:被外界知道没能防住黑客攻击,造成经济损失或者信息泄露,有可能被有关权利人起诉;
-
泄露内部安全部署的风险:别有用心的人可以从共享出去的网络安全信息中逆向推导,借此掌握组织机构的内部安全机制和部署;
-
泄露知识产权和商业信息的风险:共享出去的网络安全信息中有可能包含组织机构的商业秘密、知识产权等信息;
-
违背顾客、用户的隐私保护的风险:网络安全信息中如果包含组织机构掌握的顾客、用户的个人身份信息、通讯信息等,共享出去可能会导致顾客、用户认为组织机构违背信息保护约定,侵犯了他们的隐私。
-
与政府主管部门共享信息存在风险:首先,政府主管部门可能因组织机构没有尽到安全保护义务而问责或处罚;其次,顾客、用户不愿意政府部门掌握其信息;再次,共享到政府的信息可能受到政府信息公开要求的约束,向社会公开。
-
违反有关法律规定的风险:例如《反垄断法》规定“经营者达成垄断协议”,组织机构共享网络安全信息的行为,有可能被当成垄断行为,引来反垄断机构的调查。
-
安全信息被二次使用的风险:安全信息一旦共享出去,就离开了组织机构的掌控;获得信息的一方会如何使用这些信息无从保证;竞争对手会如何使用这些信息更难以防范。
-
信息真实性存疑的风险:组织机构可能担心,即便自身克服这些风险,与其他方面共享了网络安全信息,别的组织机构会这么做吗?它们会不会故意提供错误的信息?
-
国家秘密泄露风险:政府向组织机构共享其掌握的网络安全信息,如果信息扩散范围失控,则有可能导致国家安全风险。
这些客观存在的法律、声誉、经营方面的风险,在很大程度上导致了组织机构(或政府部门)更愿意对安全事件的信息藏着、捂着,因此阻碍了网络安全信息的共享。
现实运行中的安全信息共享网络如何克服障碍
归纳实践,我们大致可以看到有四类信息共享网络:成员驱动型、数据驱动型、事件驱动型、风险驱动型。
成员驱动型:例如美国覆盖重要行业和关键基础设施部门的信息共享与分析中心(ISAC),包括金融服务、通信、电力、应急服务行业、医疗和公共卫生、信息技术、海事、公共交通、教育、供应链、运输、水利以及房地产等。每个ISAC的成员主要来自于同一个行业。
数据驱动型:例如采用统一的传输格式或工具自动共享网络安全信息的网络。其中类型的典型是由美国电力行业的信息共享与分析中心(ES-ISAC)运营的网络风险信息共享计划(Cybersecurity Risk Information Sharing Program, CRISP)。在该计划中,ES-ISAC帮助参与成员在各自网络中安装传感器。传感器自动将加密后的数据传输到美国能源部下属的太平洋西北国家实验室(Pacific Northwest NationalLaboratory, PNNL)。PNNL在对数据开展分析后,对参与ES-ISAC的成员发出预警,分享缓解措施。
在这个例子中,ES-ISAC帮助参与成员安装统一的传感器,这样就首先保证了各成员大致具有相似的安全事件发现能力;其次,所有数据均由美国能源部下属的太平洋西北国家实验室来统一分析,也就克服了成员分析能力不同的障碍;同时,ES-ISAC采用的是集中式的信息共享网络,且由政府部门下属的实验室作为网络的中心,中心对信息进行了“脱敏”处理,能在很大程度上避免遭遇安全事件的成员面临声誉和经济受损、泄露内部安全部署等风险。
事件驱动型:该类型的信息共享网络主要为解决特定的事项或问题而建立。网络中各成员的共同点在于都面临同样的问题。例如为解决千年虫问题而组成的信息共享网络。
此类型的信息共享网络仅仅关注单一议题或问题,成员大小不一,所处行业各异,且组织较为松散,因此对成员的发现和分析能力要求不高,网络中共享的信息范围有限(主要围绕特定的事项或问题)。这些特征造成信息共享网络面临的障碍不大,另一方面也决定了此类信息共享网络发挥的作用比较有限。
风险驱动型:该类型信息共享网络围绕着特定系统或生态的安全研究而建立。共享网络中的成员来自与特定系统或生态相关。例如专门为智能汽车的联网安全而建立的信息共享网络,网络中成员可来自与智能汽车相关的方方面面。
与事件驱动型信息共享网络类似,此类型信息共享网络面临的信息共享障碍不大,各成员之间分享某一系统或生态的漏洞、攻击方式等,共享的信息比较单一。其中涉及的主要风险是共享的信息可能泄露知识产权和商业信息,主动分享的组织机构可通过进一步自我审查,就可以很大程度上避免该风险。(完)
网络安全信息共享,顾名思义就是政府把关于网络安全的信息、情报、研判等分享给私营部门,同时私营部门将其受到威胁、攻击等有关信息报告给政府,以及私营部门之间互相交流有助于网络安全防护工作的信息。
我国《网络安全法》第五十一条规定“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息”。该条明确要求政府和私营之间应当建立起信息共享的机制。《网络安全法》第二十九条提出,“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作,提高网络运营者的安全保障能力”,表明国家应当鼓励、支持私营部门之间的网络安全信息共享合作。
美国被公认为当今世界网络技术和网络安全立法方面最为发达的国家,但近年来美国在网络安全立法上一直停滞不前。在第111 届国会期间(2009—2010年),共有涉及网络安全的法案、决议案逾60件。在第112 届(2011—2012年)和第113届国会(2013—2014年)期间均有逾40件法案、决议案。但直到第113届国会最后时刻,国会才通过四项法案。这也是自顶着“互联网总统”称号的奥巴马2009年就任以来,美国国会首次就网络安全通过了法案。
即便如此,事实表明,自2002年通过《联邦信息安全管理法》以来,美国没有通过任何重要的综合性网络安全立法。2014年年末通过的四项法案也仅是对已有法律的修正案或者是就人员和机构等局部事项作出规定。
美国政府和国会网络安全综合性立法的重点放在促进网络安全信息共享,以及建立个人数据泄露窃取事件的强制披露机制。原因是在美国,90%的关键基础设施为私人所有,美国法律又将这些私有关键基础设施的安全防护责任放在设施所有人身上,而非政府。因此,美国政府增强基础设施安全的最主要手段就是通过促进政府部门和私人部门之间的公私合作,实现网络威胁的“群防群治”,同时借由事件强制公开,督促私人部门改进网络安全措施。这两个方面中,网络安全的信息共享是公认的重中之重。
信息共享意味着什么——安全防护理念的变化
在过去,大多数的组织机构对于维护自身的网络安全,抱着这样一种思维定势:“各家自扫门前雪,莫管他人瓦上霜”。与“高筑城墙,深挖护城河”相配合,组织机构的信息系统与其他组织机构的连接通道越少越好;信息系统的技术细节和安全防控布局要严格保密;一旦发生网络安全事件,必须严格控制分析、处置等信息的扩散范围,越少人知道越好,更别提对外透露了。
许多组织机构满足于通过此种孤立的自我防御(即最大程度的“隔离”和“藏着、掖着”)的方式来追求信息系统安全。但这样的方式也导致了组织机构在开展安全防护工作时,只能依靠自己——极其局限的信息和情报、有限的人力和知识储备,因而无法有效应对网络攻击。
首先,孤立的自我防御导致的局限性,体现在防御和处置网络攻击、发现安全漏洞等方面。借用“杀伤链”模型,网络攻击可大致划分为七个阶段:侦查跟踪(reconnaissance)、武器构建(weaponization)、载荷投递(delivery)、突防利用(exploitation)、安装植入(installation)、通信控制(command and control)、达成目标(actions on objective)。
真正的安全防范能力应该覆盖攻击者的每个阶段,安全信息共享可以让防御方在更早的阶段介入到防范工作中。例如,在实践中,许多网络攻击者对大量目标采用了相似的攻击工具和手法(即“杀伤链”前三阶段),因此通过共享网络安全信息,就能有效地分析、归纳得出关于攻击者、攻击工具和手法的信息和情报,从而为防御方在尽可能早的阶段地阻断“杀伤链”提供先机。
而孤立的自我防御下,由于掌握的信息和情报十分有限,组织机构往往只能在突防利用及之后的阶段,才具备检测、防御的技术手段和能力。显然,孤立的自我防御导致了防护工作的被动。
其次,孤立的自我防御导致的局限性,还体现在开展安全规划、部署等方面。缺乏相互沟通、相互借鉴,安全人员能看见、能分析的对象,只能是自家的系统,无法从其他组织机构经历的安全事件中获得宝贵经验,包括那些安全事件中涉及的漏洞、被攻破的系统的安全部署方案及采用的具体安全措施和产品、能够抵御攻击的安全措施等等。安全人员仅能从“小样本”中学习、改进。缺少从“大样本”中提炼出来的安全信息、情报、知识,安全人员无法准确评估哪些工具、技术、做法在应对特定威胁时最为有效。
极其有限、单薄、碎片的信息和情报,让组织机构的安全人员在决定购买、部署安全措施和产品时,只能依靠泛泛的一般性建议和教科书上通行的做法,甚至于道听途说和直觉,很大程度上困于“盲人摸象”的局面。
再次,孤立的自我防御无法应对快速变化的网络安全形势。一方面,网络和信息系统之间相互依赖程度不断,在这样不可逆转的趋势下,单个组织机构的安全越来越取决于其他与之相连的组织机构的安全,缺乏协同的防御效果难以令人满意。
另一方面,近年来,网络攻守平衡逐渐被打破,攻击方的能力有大幅上升,例如分布式攻击(僵尸网络、DDoS)日益数量猖獗、漏洞黑市交易渐成规模、恶意软件和网络武器越来越复杂、网络犯罪组织化程度提高等。许多攻击必须在综合来自多方的信息后,才能被发现。因此,任何组织机构靠一己之力,已经无法对抗攻击。
从孤立式的安全到协同式的安全(collaborative security)
协同式的安全,本质上是要汇集众智,以指导组织机构的每个安全决策和行为。因此,与孤立式的自我防御最大的不同,在于协同式安全非常注重对外的沟通和合作。如下图所示,组织机构内部除了监控自身网络、系统的部门,以及做出安全决策的部门之外,还专门设立合作部门开展对外的沟通合作。
合作式安全基本示意图[1]
合作部门一方面把自身系统产生的安全信息和情报,与合作伙伴共享,另一方面源源不断地将从外界得到的安全信息和情报,提供给决策部门参考、借鉴。
形成与外界制度化的信息沟通渠道、网络,能够给组织机构的安全防护带来什么样的好处?2016年10月,美国国家标准技术研究所(NIST)发布了《网络威胁信息共享指南》(编号:NIST SP 800-150)[2],以向社会征求意见。在《指南》中,NIST指出安全信息共享能够:
-
共享情景感知(Shared Situational Awareness):信息共享能够有效动员、发挥共享伙伴们集体的知识、经验、分析能力,因而能够增强所有组织机构的防御能力。共享网络中的每一成员能受益于其他成员的知识和经验。每一成员对共享网络的一点贡献,都可以提高整个共享网络对情景的感知和安全水平。
-
增强对威胁的认知(Enhanced Threat Understanding):通过共享威胁情报,组织机构能获得对威胁环境更加完整的认识,从而能够根据威胁环境的实时变化,有针对性地设计和部署安全措施、检测方式等。
-
提升知识成熟(Knowledge Maturation):通过共享和分析,原本看似互不相关的信息和观测能相互关联,并在此基础上构建针对特定时间和威胁的指标,同时对指标之间的关系取得更深的认识。
-
提高防守灵敏度(Greater Defensive Agility):攻击方持续根据防守方的保护和检测方式,来修正攻击的手段、技术、过程(Tactics, Techniques, and Procedures, TTP)。通过信息共享,组织机构能获得对攻击方TTPs的快速侦测、应对,使防御从被动变为主动。
-
改进安全决策(Improved Decision Making):通过信息共享,组织机构对安全态势获得了更完整、全面的认识。在做出安全决策时,更加高效,也更加自信。
对单个组织机构来说,参与安全信息共享,能对攻击者有更多、更深的了解,缩短对网络攻击的反应时间;能够效仿别的组织机构部署的行之有效的安全措施,提高总体安全水平。[3]
美国学者的一项研究还表明,参与安全信息共享的组织机构,只需更少的投入,就能取得与没有参与信息共享的组织机构相同的安全水平。[4]原因正是,安全信息共享能够让组织机构聪明地做出投资决定,事半功倍。另一项针对金融机构的研究表明,随着系统之间相互依存程度的上升,安全信息共享能带来的好处就更多;同时,共享得越多,对安全的投资就越高效。[5]
事实上,除了提高组织机构安全水平,信息共享还能推动网络安全市场的健康发展。在著名经济学家阿克洛夫(George Akerlof)提出的“酸柠檬市场”中,显著的信息不对称,导致一方面买方难以分清商品的真正价值和好坏,另一方面卖方可以“安全”地夸大商品质量。此时,买方只愿意通过市场上的平均价格来判断商品的平均质量,因此也只愿意付出平均价格。由于商品有好有坏,买方只愿意付出平均价格,就会使提供好商品的吃亏,提供坏商品的得益。于是好商品便会逐步退出市场。由于平均质量下降,导致平均价格进一步下降,真实价值处于平均价格以上的商品也逐渐退出市场。最后,“酸柠檬市场”就只剩下坏商品。
在很大程度上,网络安全市场中买卖双方间恰恰存在严重的信息不对称。例如,信息系统和网络没有发生安全事件,很多时候我们很难分清到底是购买的安全产品和服务确实有效,还是因为没有被厉害的黑客盯上。缺乏安全信息共享,导致购买安全产品和服务的一方因“样本”信息过少,而无法准确地评估功效。网络安全市场中的信息不对称得不到纠正,就很会导致“劣币驱逐良币”的现象,进而加剧买方对卖方的不信任。购买意愿降低,市场就会进一步萎缩,创新进步也就无从谈起。
对政府主管部门来说,组织机构间更大程度的安全信息共享,意味着有更多的安全信息和数据被“生产”出来,并开始流通。安全大数据得以成为可能。主管部门能借此在宏观层面,更全面地掌握威胁和安全防护方面的全局性情况,分析出未来可能的发展趋势,为在国家层面制定战略和行动计划、开展专项行动,有针对性地协调各部门、各行业进行防护工作等打下坚实的基础。
另一方面,主管部门参与到安全信息共享中去,把自己掌握的情况通过共享网络做到快速、广泛发布,通过信息共享,达到调动、协调全社会实现实时的群防群治,提高网络安全治理的效果。
共享哪些安全信息
每一类的信息都具有潜在的用途。例如有些信息能够帮助政府主管部门或者组织机构评估所处的威胁环境,包括攻击者都有哪些、他们的规模和组织化程度、感兴趣的目标、希望达到的目的等。通过信息共享,综合大量的案例,并加以分析和跟踪,形成对攻击者行为模式、攻击成本的描述,最终形成攻击组织的画像(Profiling)。
有些信息经过共享、综合,则能够帮助组织机构重构单条杀伤链,分析攻击工具、攻击手法、攻击来源、攻击目标等特征。还有一些信息提供了应对某类威胁或攻击的指南。共享这类信息能够使组织机构相互借鉴,提高安全防护水平。
2015年年初,美国微软公司发布《网络安全信息共享和风险降低框架》(A framework for cybersecurity information sharing and risk reduction)[6]。在《框架》中,可供共享的网络安全信息可分做以下7类:
-
安全事件信息(incidents):关于成功的或未遂的网络攻击的细节信息,具体包括丢失的信息、攻击中使用的技术、攻击意图、造成的影响等。安全事件所囊括的范围从一次被成功封阻的攻击,到造成严重国家安全危机的攻击。
-
威胁信息(threats):包括尚未认识清楚但可导致潜在严重影响的事项;感染指标(Indicators of Compromise, IoC),如恶意文件、被窃取的电子邮箱地址、受影响的IP地址、恶意代码样本;关于威胁行为者(threat actors)的信息。该类信息有助于发现安全事件,从攻击中吸取教训,创造解决方案等。
-
漏洞信息(vulnerabilities):软件、硬件、商业流程中可被恶意利用的漏洞。
-
缓解措施信息(mitigations):包括修补漏洞、封阻或遏制威胁、安全事件响应和恢复的方法。此类信息一般以漏洞补丁、杀毒软件升级、从网络中清除恶意行为者的方向等形式存在。
-
情景感知信息(Situational awareness):此类信息包括对被利用漏洞、活跃的威胁、攻击的实时遥测,还包括攻击目标、网络状况等信息,能够帮助决策人员响应安全事件。
-
最佳做法信息(Best practices):关于安全产品和服务的开发和部署的信息,包括安全控制、时间响应流程、软件漏洞修补等。
-
战略分析信息(Strategicanalysis):综合、提炼、分析来自各方面的信息,以构建度量体系、描绘趋势、开展预测,帮助政府和私营部门决策者为未来的风险提前做准备。
安全信息共享网络的基本模式
《网络威胁信息共享指南》给出了安全信息共享网络的三种基本结构:集中式(centralized)、同侪式(peer to peer)、混合式(hybrid)。[7]
在集中式下,中心从端点接收安全信息,经过综合、分析后,再将结果传回端点。一般来说,集中式的中心需要具备强大的信息存储、处理、加工、分析能力,才能满足信息共享网络的不断变化的需求。该模式的缺点是,整个信息共享网络依赖于中心作为安全信息交换枢纽,如果该中心发生信息处理延迟,甚至于遭遇安全事件,则整个信息共享网络的功能就会大打折扣,并有可能完全瘫痪。
在同侪模式下,每个端点自主向其他端点推送网络安全信息,或直接向整个信息共享网络广播。由于不存在一个信息交换中心,因此同侪模式对各个端点的安全信息接收、分析能力提出了较高的要求。
混合式则综合了集中式和同侪式。每个端点向中心发送安全信息的同时,端点和端点之间也建立直接的信息共享渠道。
构建安全信息共享网络的另一个基础性问题是自动化分享模式和人工共享模式的选择。人工共享模式下,组织机构指派专人负责安全信息的发送和接收、分析工作。该模式的缺点在于人的因素构成了信息共享网络的瓶颈,如人为导致的错误,无法胜任实时、持续性、高强度的信息发送、接收、安全配置更新工作等。
自动化共享模式则强制要求信息共享网络的各个端点采用统一的信息传输格式,安装用于收集安全信息的传感器,能够接收预警信息的监控系统,以及避免敏感安全信息泄露的安全机制。自动化共享模式克服因人的因素造成的局限,但其高度的自动化却也导致遭受网络攻击的风险。
消除妨碍安全信息共享网络运行的三大障碍
上文介绍了协同式安全理念的兴起、安全信息共享带来的好处、共享的安全信息的分类,以及共享网络的基本结构和信息传递方式等,主要属于一种抽象式、理论化的描述。
现在让我们进入到纷繁复杂的现实中去,探究如何建立一个有实效、可持续、有序的安全信息共享机制。从纸面上的设计,映射到现实中的制度建设,再到运行流程的信息共享网络,主要是消除三大运行中的障碍。
障碍之一:成员的发现能力
显然,不能发现网络安全事件,后续的分析和共享也就无从谈起。如果信息共享网络中的成员发现安全事件的能力高低差距明显,将会直接导致大部分共享的信息,主要由发现能力强的成员单方面提供。长此以往,信息共享网络的价值和可持续性将大打折扣。因此,在建立信息共享网络中,往往要对入网的成员提出具备一定安全事件发现能力的要求。
光具备发现安全事件的能力还不够。如果有成员考虑到共享的成本、风险等原因,刻意隐瞒发现的安全事件,不将有关信息共享出来,“搭便车”的问题还是没法解决。因此,信息共享网络还需要采取一定的措施,或是通过激励(incentives),或是通过强制(mandates)手段[8],解决这个问题。
障碍之二:成员的分析能力
如果信息共享网络中的成员仅仅是把与安全事件有关的各种信息全部共享出去,而未加任何分析,显然会造成整个共享网络信息过剩的问题。面对大量的“杂音”,信息接收方需要自己开展过滤、分析,工作量大幅增加的同时,“收获”却寥寥无几。这样的信息共享网络终将不可持续。因此,许多信息共享网络会要求成员应该首先对安全事件作出分析;有些信息共享网络还专门列出指导分析安全事件的几类问题:
-
安全措施的影响
系统发生安全事件时使用了哪些安全措施,为什么这些措施不足以防御威胁入侵?
哪些安全措施可能能够防御此次威胁入侵?
安全事件发生后,系统对安全部署和防御做了哪些调整?
-
入侵发生的根本原因及第三方因素
系统的软、硬件、服务中的哪些因素(例如配置或漏洞)使得入侵得以成功?
是否有第三方的因素使得入侵得以成功?
-
安全事件造成的损失及后续清理
安全事件造成了什么损失(金钱、信息泄露、服务中断等)?
采用了何种止损措施?
需要指出的是,并不是说对所有这些问题分析的结果都要共享出去。因为对其中很多问题的回答,往往包含了成员的商业秘密或者其他私有信息。列出这些问题的意义在于,发生安全事件后,成员应当试图从这些方面做出分析、得到初步答案后,再将部分结论共享给其他成员。至于哪些信息需要共享、哪些信息可以保留,主要根据信息共享网络的目的,以及信息共享网络成员间的相互约定。
障碍之三:共享的风险
共享网络安全信息,一定程度上是向外界透露关于组织的安全信息,存在各种风险。举例说明如下:
-
声誉和经济受损的风险:遭到黑客攻击,本来就是不光彩的事。防住了还好,没防住还要将有关情况共享出来,好比是家丑外扬。如果这些信息泄露到信息共享网络之外,全社会都知道了,组织机构的声誉将受重大损失,还可能造成股价的下跌;
-
被起诉或被主管部门问责处罚的风险:被外界知道没能防住黑客攻击,造成经济损失或者信息泄露,有可能被有关权利人起诉;
-
泄露内部安全部署的风险:别有用心的人可以从共享出去的网络安全信息中逆向推导,借此掌握组织机构的内部安全机制和部署;
-
泄露知识产权和商业信息的风险:共享出去的网络安全信息中有可能包含组织机构的商业秘密、知识产权等信息;
-
违背顾客、用户的隐私保护的风险:网络安全信息中如果包含组织机构掌握的顾客、用户的个人身份信息、通讯信息等,共享出去可能会导致顾客、用户认为组织机构违背信息保护约定,侵犯了他们的隐私。
-
与政府主管部门共享信息存在风险:首先,政府主管部门可能因组织机构没有尽到安全保护义务而问责或处罚;其次,顾客、用户不愿意政府部门掌握其信息;再次,共享到政府的信息可能受到政府信息公开要求的约束,向社会公开。
-
违反有关法律规定的风险:例如《反垄断法》规定“经营者达成垄断协议”,组织机构共享网络安全信息的行为,有可能被当成垄断行为,引来反垄断机构的调查。
-
安全信息被二次使用的风险:安全信息一旦共享出去,就离开了组织机构的掌控;获得信息的一方会如何使用这些信息无从保证;竞争对手会如何使用这些信息更难以防范。
-
信息真实性存疑的风险:组织机构可能担心,即便自身克服这些风险,与其他方面共享了网络安全信息,别的组织机构会这么做吗?它们会不会故意提供错误的信息?
-
国家秘密泄露风险:政府向组织机构共享其掌握的网络安全信息,如果信息扩散范围失控,则有可能导致国家安全风险。
这些客观存在的法律、声誉、经营方面的风险,在很大程度上导致了组织机构(或政府部门)更愿意对安全事件的信息藏着、捂着,因此阻碍了网络安全信息的共享。
现实运行中的安全信息共享网络如何克服障碍
归纳实践,我们大致可以看到有四类信息共享网络:成员驱动型、数据驱动型、事件驱动型、风险驱动型。
成员驱动型:例如美国覆盖重要行业和关键基础设施部门的信息共享与分析中心(ISAC),包括金融服务、通信、电力、应急服务行业、医疗和公共卫生、信息技术、海事、公共交通、教育、供应链、运输、水利以及房地产等。每个ISAC的成员主要来自于同一个行业。
数据驱动型:例如采用统一的传输格式或工具自动共享网络安全信息的网络。其中类型的典型是由美国电力行业的信息共享与分析中心(ES-ISAC)运营的网络风险信息共享计划(Cybersecurity Risk Information Sharing Program, CRISP)。在该计划中,ES-ISAC帮助参与成员在各自网络中安装传感器。传感器自动将加密后的数据传输到美国能源部下属的太平洋西北国家实验室(Pacific Northwest NationalLaboratory, PNNL)。PNNL在对数据开展分析后,对参与ES-ISAC的成员发出预警,分享缓解措施。
在这个例子中,ES-ISAC帮助参与成员安装统一的传感器,这样就首先保证了各成员大致具有相似的安全事件发现能力;其次,所有数据均由美国能源部下属的太平洋西北国家实验室来统一分析,也就克服了成员分析能力不同的障碍;同时,ES-ISAC采用的是集中式的信息共享网络,且由政府部门下属的实验室作为网络的中心,中心对信息进行了“脱敏”处理,能在很大程度上避免遭遇安全事件的成员面临声誉和经济受损、泄露内部安全部署等风险。
事件驱动型:该类型的信息共享网络主要为解决特定的事项或问题而建立。网络中各成员的共同点在于都面临同样的问题。例如为解决千年虫问题而组成的信息共享网络。
此类型的信息共享网络仅仅关注单一议题或问题,成员大小不一,所处行业各异,且组织较为松散,因此对成员的发现和分析能力要求不高,网络中共享的信息范围有限(主要围绕特定的事项或问题)。这些特征造成信息共享网络面临的障碍不大,另一方面也决定了此类信息共享网络发挥的作用比较有限。
风险驱动型:该类型信息共享网络围绕着特定系统或生态的安全研究而建立。共享网络中的成员来自与特定系统或生态相关。例如专门为智能汽车的联网安全而建立的信息共享网络,网络中成员可来自与智能汽车相关的方方面面。
与事件驱动型信息共享网络类似,此类型信息共享网络面临的信息共享障碍不大,各成员之间分享某一系统或生态的漏洞、攻击方式等,共享的信息比较单一。其中涉及的主要风险是共享的信息可能泄露知识产权和商业信息,主动分享的组织机构可通过进一步自我审查,就可以很大程度上避免该风险。(完)