首席信息安全官Chad Kliewer于2020年12月听到了有关SolarWinds网络攻击的最初报道,他对那些遭遇黑客攻击的公司表示同情。
不久之后,他开始收到同事发来的消息,希望确保他能看到最新的一些消息:Kliewer所在的Pioneer Telephone Cooperative公司是一家总部位于俄克拉荷马州Kingfisher市的小型电信商,并且已经上市。
对于Kliewer来说,那些来自其他安全领导者的提示提醒他及早采取措施,明确地证明了在行业内建立信息共享社区的价值。
Kliewer是面向小型宽带提供商的信息共享和分析中心(ISAC)CyberShare的成员,也是俄克拉荷马州信部门协调委员会(CSCC)成员。他还与其他信息安全领导人建立了非正式社区。
他承认,他当时曾经忽略了这些团体的重要性,由于太忙没有时间与团队成员更多地接触,也没有看到他们所能提供的价值。
但随着他开始参与并亲身体验了他们可以提供的帮助(就像SolarWinds活动中的情况一样),Kliewer成为了一名倡导者。
他说,“我多年来一直在分享安全方面的信息,并将这些信息公之于众。我们都面临同样的痛苦,问题只是是否愿意分担这些痛苦,并在值得信赖的团队中筛选信息,以使其他人免于遭受同样的事情。”
携手前行
网络安全从业人员之间共享信息的趋势很难量化,衡量参与此类活动的意愿的数据并不容易获得。
但Kliewer和其他信息安全领导者表示,他们已经看到首席信息安全官思想的演变,他们曾经对他们的措施、内部的威胁,甚至是整体威胁情况讳莫如深。
这种情况近年来有所缓和。现在,许多首席信息安全官都是多个信息共享小组的成员,如今他们提倡同行也这样做,并表示这是帮助每个人应对网络攻击者的策略之一。
德勤公司在其2021年网络未来调查报告中指出:“意识到所有行业都易受网络攻击,这导致了更广泛的知识共享。学习和了解其他行业的有效方法将变得越来越重要。
虽然没有单一的简单解决方案来管理网络安全,但企业在数字化转型道路上面临的许多威胁是共同的。随着网络攻击变得越来越普遍,任何行业或地区都无法幸免,但可以互相学习在攻击事件发生时如何有效处理。为此,与同行分享经验和知识是全面改善安全环境的基本要素。”
更加开放,但障碍依然存在
当然,与其他高管一样,首席信息安全官多年来一直拥有社交机会和其他活动,使他们能够交换意见并寻求建议。
ISAC并不是新鲜事物。ISAC的概念来自1998年发布的美国政府指令,该指令促使每个关键基础设施部门建立组织来共享有关威胁和漏洞的信息。
Aviation ISAC总裁兼首席执行官Jeffrey Troy表示,近年来,人们越来越愿意分享,也越来越需要分享。
Troy说,“这需要很长时间才能发生。”
Aviation ISAC成立于2014年,已从七家创始成员公司发展到包括五大洲的88家成员公司。其成员资格向航空公司、机场、工业制造商和其他服务该行业的公司开放。
Aviation ISAC在其发布的2021年制定商业案例报告中指出,“航空行业仍然是网络威胁参与者的一个高度可见的目标,并且该行业在2020年看到勒索软件攻击、网络入侵、商业电子邮件泄露、DDoS攻击、欺诈等。”
即便如此,要实现持续、广泛的合作,障碍依然存在。
Troy指出,“我们发现有更多的信息可以分享,但在讨论重大网络攻击行为方面存在一些犹豫。”
他承认,即使在ISAC等受信任的网络中,一些企业也不愿意共享信息。一些人由于遭遇黑客攻击之后可能引发诉讼而犹豫不决;而在没有通知政府或法律机构的情况下解决勒索软件攻击的人员并不想告诉其他人发生了什么。
然而Troy表示,他并不完全支持这种观点。他将此类行为比作抢劫未报案的受害者,这使得其他人容易受到网络攻击。
他说,“如果你将信息告诉了其他人,那将为他们提供帮助。网络安全也是如此,每一点网络情报都会有所帮助。”
没有人可以独自成功
这种推理在有关ISAC和其他信息共享渠道的对话中反复出现。支持者一致认为,如果首席信息安全官与同事和其他安全行业官员(如供应商高管和政府官员)隔离开来,网络攻击的数量和速度不断增加,并且网络攻击的复杂性不断提高,这使得首席信息安全官无法在工作中取得成功。
凯捷公司北美市场网络安全卓越中心负责人David O'Berry说:“这一点至关重要,因为问题已经变得如此严重,以至于规模最大的组织都无法作为孤岛独立存在。ISAC创建了一个伟大的信息共享网络,企业可以参与其中,使其更加强大,而无需自己完成所有工作,这几乎是不可能的。”
Health ISAC总裁兼首席执行官丹Denise Anderso表示已经看到了这一价值。
当Petya/NotPetya网络攻击于2017年6月首次浮出水面时,该组织在48小时内让来自30多个组织的60多名人员合作,找出攻击向量是什么、攻击如何在网络中传播以及如何阻止它。
Anderso说,“我们不仅在会员内部分享,还在我们的网站上对外公布,这样每个人都可以从这项伟大的工作中受益。这一点尤其重要,因为当时共享了很多不正确的信息,我们能够提供基本事实和可行的缓解措施。我们目前正在对Log4j漏洞做很多相同的事情。”
可信数据,直截了当的答案
全球企业集团Danaher公司首席信息安全官、治理协会ISACA的前任董事Marc Vael也有类似的观点。
Vael说,他也看到很多首席信息安全官变得更愿意参加ISAC和其他此类团体,他认为这是增强他们保护自己组织能力的一种方式。
他的公司隶属于ISAC,,也是其中的积极参与者,并且他是当地首席信息安全官小组的成员,该小组定期通过安全通信平台交换信息和建议。
Vael表示,他看到了参与的价值。他喜欢询问其他人在具体解决方案方面的经验,听取他们应对某些挑战的策略细节,并快速获得直截了当的答案。
他说,他们围绕最近的Log4j漏洞进行的交流进一步证明了信息共享的价值,因为ISAC和一些首席信息安全官都提供了一系列与他和他的公司相关的安全漏洞的可信数据。
Vael说,他很乐意提出问题和分享想法,因为他的ISAC和其他人一样,都有保密协议,而非正式的首席信息安全官小组则受查塔姆研究所规则的约束,该规则保护参与者及其披露的内容。
此外,他知道成员之间共享的信息来自可信的、经过审查的来源。
他补充道,“如果你想成为一名成功的首席信息安全官,必须拥有多个可以接触到的优质渠道。”
最大化信息共享的价值
事实上,首席信息安全官从ISAC和类似团体中获得价值的最佳方式就是加入并积极参与其中。首席信息安全官应提供有关他们正在使用的策略、技术和程序(TTP)的详细信息;他们看到的威胁活动、遇到的挑战,以及哪些策略和解决方案取得了最大的成功。
此外,安全领导者表示,首席信息安全官不仅应参与其行业ISAC,还应参与其他团体,例如由区域实体、政府机构、供应商和技术社区组织的团体。
然后,首席信息安全官必须找到一种方法,将他们获得的信息带回他们的团队和他们自己的运营中。
O’Berry说,“所以需要采取实际行动。”
这意味着自动获取许多ISAC生成的威胁情报源,向团队成员传播安全要点,根据新信息调整策略等。
负责管理网络共享的NTCA的法律总顾问兼政策副总裁Jill Canfield说,“我们可以发布世界上所有的信息,但除非人们将其付诸实践,否则它不会带来很多好处。关键是获取信息并将其付诸实施。它正在获取人们需要学习的信息并加以应用。”