(一)执行摘要
原文:https://www.mitre.org/publications/technical-papers/building-a-national-cyber-information-sharing-ecosystem
选择摘要部分翻译。
1.1 介绍
本文提供了关于建立一个有关跨部门地区伙伴关系的公开国家网络信息共享生态系统的建议和指南,目的如下:
•通过改善态势感知和协作,广泛分享网络威胁信息和防御措施,以改善网络防御、恢复能力和风险管理
•通过共同关注教育、人力资源发展、创新和研究开发,来刺激区域经济发展
本建议和准则是建立在美国私营部门和公共 – 私营部门伙伴关系的经验教训以及作者对建立信息共享生态系统的战略见解上。
1.2 美国网络信息共享现状
在总结几个案例研究和提出建议之前,本文将通过简要介绍美国公开网络信息共享环境来明确背景。本文将侧重于私营部门或公私伙伴关系之间的跨部门区域交换(cross-sector regional exchanges)来看这一现状。
国土安全部(DHS)目前是美国联邦政府在美国网络信息共享生态系统的中心地带。
DHS基本上充当净室(clearinghouse)、集成商、分析引擎和国家网络威胁信息源以及防御措施。它负责政府对主要网络安全事件的响应、分析威胁,以及与关键基础设施和业务的所有者和运营商以及世界各地值得信赖的合作伙伴交换关键的网络安全信息。
网络信息共享首先在20世纪90年代末和21世纪初在美国出现,以响应联邦政府的要求,建立关注基础设施保护的公私伙伴关系。首先,建立的信息共享和分析中心((ISAC),是金融服务,信息技术,电力和水资源领域。ISAC通常是非政府机构,非营利的私营实体,通常的费用来自私营部门成员的费用、联邦拨款或两者的混合资助。在许多情况下,成员所共享的信息以匿名形式提供给ISAC。
ISAC进行增值分析,并将调查结果反馈给各成员,包括政府的利益相关者(例如DHS),以保护数据和来源的机密性。
融合中心(Fusion Centers)是政府合作伙伴,在美国和美国的主要大都市层面提供区域性的网络态势感知和分析。
InfraGard是由大学、行业和政府机构组成的跨部门、公共和私营伙伴关系的区域网络,共享关于基础设施的安全性、漏洞和威胁的网络信息。美国FBI在美国主要城市运行中80多个InfraGard。
美国信息共享和分析组织(ISAO)是美国网络信息共享领域最新的合作伙伴关系。这些组织有可能通过以更灵活的模式来补充目前以ISAC为代表的特定行业的共享模式来改变现状,这种模式可以支持由私营部门驱动的高度分布、高度多样化和高度连通的共享生态系统。美国联邦政府根据2015年总统行政命令,指示DHS鼓励组建ISAO。
ISAO是一个灵活的结构,用于促进和操作几乎任何类型的网络信息共享组织,从代表私人与私人伙伴关系的非正式合作团体到代表公私合作伙伴关系的正式特许的类似ISAC的团体。
ISAO的灵活性允许不同形式的跨部门,多学科,区域共享以及信息共享来帮助保护诸如重大体育赛事或公约等事件。行政命令中的认证规定将最终使ISAO-SAO共享联盟在共享生态系统中形成更大的网络态势感知。
在美国信息分享现状之外,美国联邦政府其他一些行动和DHS计划值得注意,由于其对公共
–
私人网络信息共享的影响。美国计算机应急小组(US-CERT)最初于2000年成立,2002年,DHS被指定“响应重大事故,分析威胁,并与世界各地值得信赖的合作伙伴交换关键的网络安全信息”。它从一个事件“响应”团队演变成更多的主动防御团队,美国CERT被称为计算机应急准备小组(Computer
Emergency Readiness Team)。
增强的网络安全服务(Enhanced Cybersecurity Services)是一个自愿的关键基础设施保护计划,DHS通过自动化手段,与认可的通信服务提供商(CSP)共享敏感和分类的网络威胁信息。 CSP使用该信息来阻止恶意流量进入客户网络。
网络信息共享和协作计划(Cyber Information Sharing and Collaboration Program)在DHS与参与的私营部门合作伙伴之间共享公开和匿名的网络威胁信息。
DHS国家网络安全和通信集成中心(NCCIC)是一个“网络态势感知、事件响应和管理中心,是联邦政府、情报界(intelligence community)和执法部门之间网络和通信整合的国家联系点。
DHS自动攻击指征共享(AIS)程序为NCCIC、私营部门、ISAC、ISAO、公共部门和国际合作伙伴和公司提供公开、双向、机读的共享的网络威胁指标。 AIS向其用户提供网络信息,使用TAXII™和STIX™格式化。
美国网络信息共享生态系统的概述总结为2015年的“网络安全信息共享法案”(CISA)。CISA是联邦法律,为非联邦的实体之间,以及与联邦政府之间共享各种保护保护措施,共享网络威胁指标或防御措施 。 CISA消除了阻碍美国强大网络信息共享的障碍。
1.3 美国信息共享现状:重大挑战
通过美国信息共享的演变,作者提出了构建国家公开网络信息共享生态系统必须解决的六大挑战。以下列出了这些问题,并在本文的主要内容中予以阐述。
1. 什么指导着生态系统的发展?
2.如何平衡网络信息共享生态系统?
3.主要分享什么?
4.如何支持自动共享?
5.什么会推动生态系统?
6.政府如何刺激分享?
1.4 实例探究
如前所述,本文介绍了美国跨行业区域ISAO的三个案例研究:高级网络安全中心(ACSC)
– 私营部门共享的成功案例,Northeast Ohio CyberConsortium(NEOCC) – 公共 –
私人有效共享模式,和国家网络交流(NCX) – 公私合作的共同伙伴关系。
ACSC是一个位于马萨诸塞州联合体的非营利联盟,汇集了大学,行业和政府机构,以应对网络挑战。主要重点是跨部门区域合作,共享公开网络信息,以更好地防御高级网络威胁。
ACSC是一个有效的区域信息共享伙伴关系,但不是没有挑战。委员会没有充分投资,以支持其分享任务所需的资源或支持研究和教育有关的任务,并推动地方和国家政策和标准。作为一个跨部门区域交流,ACSC在网络威胁成员面临的不同程度上是固有的多样性。ACSC没有对多样性进行管理,从而削弱了一些关键成员的信任。由于ACSC尚未有效地解决这两个问题,即使经过五年多的运营,尚未发挥全面的潜力。
NEOCC,
在Cleveland, Ohio,在2015年推出,作为跨大学,行业和政府之间的跨部门区域合作伙伴关系,共享网络信息以改善防御。NEOCC
是以ACSC的经验教训为基础的。因此,NEOCC从开始迅速发展到目前的有效共享状态。其目前的价值主张几乎完全依赖于成员的贡献,NEOCC与政府和执法机关的有效关系特别值得仿效。
第三个案例研究是NCX,以前称为西方网络交换中心(WCX)。
NCX是Colorado Springs, Colorado的美国社团,其目标是将大学,行业和政府机构聚集在一起,以应对网络挑战。
NCX是一个非盈利性的成员组织,致力于通过共享网络威胁信息,提供教育、人力资源、开发以及技术开发和支持成员的网络安全需求来改善网络安全和保护关键基础设施。
WCX成立于2010年,作为区域社团,以解决科罗拉多州,怀俄明州和新墨西哥州的网络安全需求。在2016年,WCX重新命名并扩大了NCX的范围,与科罗拉多州科罗拉多大学的国家计划保持一致,成立并支持国家网络安全中心。一个缺乏信任的平台,缺乏共同的目的和经营原则,高度多样化的成员基础,资金不足最终导致WCX的重组。
1.5 案例研究:主要挑战
通过案例研究,作者提供了TOP 10挑战,这表现为问题,必须得到解决,以建立一个跨部门的区域网络信息共享组织。以下列出了这些问题,并在本文的主要内容中予以阐述。
1.社团(consortium)的精髓是什么?
2.实施里程碑是什么?
3.会员将分享哪些信息,以及如何分享?
4.共享组织(consortium)有价值的提议是什么?
5.会员准则和组成是什么?
6.会员如何信任共享组织来保护敏感信息?
7.社团如何融入当地,区域和全球网络生态系统?政府和执法机构的作用是什么?
8.共享组织领导和治理体系是什么?
9.共享组织财务计划是什么?
这些挑战归纳成了三个关键的成功因素:
1.资金:ISAO需要足够的财政支持才能取得成功。
2.信任:低信任阻碍了有效的共享。
3.共同愿景和共同成长:愿景需要在利益相关者中达成共识,并以综合计划为指导。
1.6 网络信息共享伙伴关系的未来
• 网络信息共享伙伴关系将扩大,特别是在区域、其服务领域和部门的多样性将会增加。
• 信息共享组织的趋势将模拟炒作周期,目前状态正处于大众媒体炒作和供应商扩散之间的高峰附近。最终,会有一些整合。
•认证合作方将使联合会会成为按区域、业务领域和目的信任圈。
• 物联网联盟将开始迅速形成,共享与设备安全和安全相关的网络信息(例如,医疗设备、自主车辆、车载航空电子设备)。
• 作为公共伙伴关系,类似ISAO的模式将被重新利用,以促进在政府组织内部(例如,政府间组织机构间合作组织)之间的共享。
• 将重新利用类似ISAO的模式,用于非网络域(例如选举,预防欺诈)。
• 共享将越来越多地发生在机器对机器交易中,这些交易由信任合同管理,作为块链(blockchain)基础设施交易记录。
•共享信息将越来越多地结合对手行为元素和行为分析,行为分析目的是检测网络攻击的实时行为模式。
1.7 建议
作者提出了11项建议,并在本文中详细列出,作为公开国家网络信息共享生态系统的实施指南:
1.召开研讨会,为公开网络信息共享生态系统制定战略和路线图。
2.制定立法,促成形成多样化的分享中心。
3.从战略路线图逐步构建网络信息共享生态系统。
4.通过跨部门地区分享小组促进生态系统的增长。
5. 阐明政府的作用。
6.阐明任务,建立价值区分提议。
7.制定会员准则和治理模式。
8.建立信任基础。
9.以正确的方式分享正确的数据。
10.积极管理网络多样性。
11.刺激私营部门的参与。