接上一篇。
(二)当前政策、法律和技术背景
今天的私营部门相当于战线的前线:高级攻击者(APT)对美国公司构成严重的威胁。国外的国家安全和情报部门及其代理人,越来越多地积极赞助针对美国企业的攻击,包括计算机网络利用(CNE)和计算机网络攻击(CNA)。这些攻击者者破坏正常业务,窃取知识产权,以及映射支持关键的美国基础设施和服务,如电网的网络。
【注:计算机网络利用(CNE,Computer Network Exploitation)指的是通过计算机网络渗透到目标计算机网络来提取和收集情报数据的技术。】
然而,私营部门采取行动来打击网络威胁,却受到政策和法律的限制。美国现行的法律框架在这方面保留了一些行动领域,但是为政府的独家保留,这也导致目标实体和联邦政府之间的相互关系。因此,需要在公共部门和私营部门之间建立健全和适应性合作伙伴关系,以应对不断发展的和未来的网络挑战。
本报告附录二确定并分析与本研究最相关的法律和普通法(common
law)原则。它包括两个美国法规,CFAA和“电子通信隐私法”(ECPA),以及普通法中侵入,自我防护和必要性理论。这些指南和原则提供了一个有用的起点,用于分析您(黑客的目标)去访问不拥有或无权操作的计算机的合法性。很明显,根据美国法律,关于私营公司对抗网络威胁攻击者时,没有明确的自卫权(“自助”)的定义。
由于“授权”是任何行为者访问任何计算机网络或系统的关键要求,因此希望对攻击者实施攻击性措施的受害者,必须被授权进入攻击者网络。由于除非事先得到合同授权,否则这种情况是不可能的,美国法律通常是,禁止在受害者自己的网络之外,发起主动防御措施。这意味着企业无法从攻击者的电脑中合法取回他们自己的,被攻击者盗窃的数据,如果没有法院授权的话。然而,主动防御措施源于自己网络,但其影响可能会超出您的网络边界
–
可能违反法律。虽然司法部行使起诉裁量权可能会扭转正式的合法范围,但也应该理解,美国律师会优先起诉防御者,这意味着任何越界的人都会陷入潜在的法律风险中。
法律旨在保护可能遭受重大偶然损害的第三方,防止冲突升级,同时可能对美国对外关系造成的影响。没有事先进行协调一致的冲突的努力,美国的执法调查可能受到阻碍,安全研究可能会受到影响。在网络背景下攻击归属的难度提出了更多风险,可能导致了第三方的伤害。
与这个法律框架并列的是快速发展的技术生态系统。机器学习和机器速度(machine-speed)通信的进步有助于推动自动化过程,用于检测网络威胁,共享威胁相关信息,并迅速响应。这些技术正在公共和私营部门以及全球各地越来越多地使用。基于因特网的云技术也将继续为一些企业提供更多的选择,这些企业由于其规模和资源水平,可能会限制其抵御网络威胁。云计算是对中小企业的一种福利,因为它允许他们扩大或缩小,并根据他们对特定服务的普遍需求来相应地支付。
也可以预期,随着时间的推移,研发将产生可以增强私营部门应对和击败网络威胁的能力的新技术。另一方面,威胁攻击者也将找到利用新技术的方法,如物联网,这大大扩大了潜在的攻击面。
虽然技术是双刃剑,可以用于保护和伤害。现行法律框架的范围可以由那些渴望应对风险的、实施自我保护的人们来推动。例如,拥有大量资源的公司在美国以外采取措施,以确保其资产免受网络威胁。这种情况的部分原因是公司不愿被动地将其命运置于美国政府的手。对政府缺乏信心有如下考虑,其中包括怀疑政府拥有足够的技能、持续决心和资源来有效追查犯罪者,并提供适当的补救措施,这对威慑和预防至关重要。
政府无法随时随地成功地阻止针对美国公共和私营部门的网络攻击者。讽刺的是,私营部门中高技能网络专家的的能力,胜过政府。呼吁公共服务(以及其他影响个人加入公务员制度的因素)尚未导致政府增加中许多关键的网络安全职位和职能。从长远来看,通过扩大和加深努力,鼓励青年人继续从事科学,技术,工程和数学(STEM)的研究,可以增加人才的储备。但是,鉴于目前的网络威胁,公司需要为今天提供解决方案,因为现有的构建公共部门和私营部门之间关系的框架没有足够反应业务需求。
然而,尽管有政府缺乏的资源和专门知识,私营部门也不太可能参与其中。总的来说,公司不会主积极行动,这些行动可从积极防御中获益,获得强大的威慑姿势。这种不参与有很多原因,由于法律模糊,风险考虑,资源有限,缺乏协调领导,缺乏主动防御意识等原因。
在国际上也存在法律模糊性,适用于网络域的框架也是是新兴领域。欧洲委员会网络犯罪公约(“(the
Budapest
Convention”)包括“非法访问”定义,可能有助于界定被允许的主动防御措施的边界。有些国家正在制定自己的主动防御问题(见附录III)。目前,全球的规范还没有达成共识。
目前有一些举措说明私营部门如何在打击网络威胁行为者方面发挥主导作用。例子包括网络威胁联盟(CTA),其试图在其成员之间分享“可操作的威胁情报”。值得注意的是,CTA已联合打击ransomware攻击,勒索攻击在世界范围内造成的价值超过3亿美元的破坏。
结果是,私营实体是被迫做到这一点。这是一个不可持续的立场。
在本报告的其余部分,我们提出了一个新框架,试图解决这些挑战 – 最根本的是,现状是美国容易受到重大的网络威胁。由于私营部门通常希望更具侵略性的主动防御,但由于潜在的严重风险和意想不到的后果,需要明确可以做什么,不能做什么。这些参数应该被预先定义。
(三)框架的创世纪
为了编写框架,本中心汇集了一组不同利益攸关方的专家,召集了一个工作组,其成员具有私营和公共部门的背景,并且是技术,安全,隐私和法律领域的专家。主动防御工作队在四个不同场合进行工作会议。这些会议处理了一系列基本主题和挑战,包括:针对美国境内外网络威胁的主动防御政策和法律;现有和新出现的技术,用于防止针对私营部门的网络威胁;以及企业保护和维护系统的最佳实践。
工作组的联合主席和中心的工作人员还与全国的利益攸关方进行了广泛的磋商,包括纽约市的金融部门高管,美国华盛顿特区的美国高级政府官员以及很多技术人员。这些交流和交流中的大多数是根据Chatham House Rule进行的,以鼓励对自由和充分的讨论。
最终,这些与专家对话产生的许多发现被提炼出来,并被开发成关键原则。虽然工作组的成员找到共同点,并就这次讨论的许多方面达成一致,但病没有针对所有问题达成共识。
(四)针对网络威胁的主动防御框架
在广泛的咨询和审查过程之后,该报告为私营部门主动防御提供了基于风险的框架,在两者之间取得平衡:面对不断升级的网络入侵的风险,不行动VS过度反应的风险,后者可能伤害无辜的第三方。
该框架的核心是图2和图4中定义的主动防御措施。这些措施被纳入更广泛的政策,法律,技术和治理相关的考虑,为公司内部、以及政府与私营部门之间的基于风险的决策提供依据,关于主动防御方面。这个框架可以指导和影响短期决策(即如何响应攻击),以及长期的投资和能力建设。
该框架目的是最大限度地发挥私营部门保护其最有价值的数据和资产的能力的有效性。我们建议扩大私营部门的行动自由度,使公司可能采取有限的适当行动,以保护自己免受各种网络威胁,包括窃取和泄漏数据。但我们也建议将这些权力机构纳入一个风险驱动的政策和法律框架内,并考虑到公司参与此类行动的能力。我们建议在更广泛的网络威胁公私合作框架内考虑这些私营部门的行动,以便政府当局和调查能力可以与私营部门的行动一起使用,并确保不冲突。实施框架将会使攻击者增加成本,并减少收益。它还将确保措施与威胁是相合适的,并将阻止有害或非法行为。对于已经采取积极防御措施的行为人员,将提供指导,确保其措施在法律的允许的范围之内。
该框架给出了一套广泛的技术和非技术手段,适用于打击私营部门的网络威胁。除了纯技术性的主动防御措施外,还包括信息共享、情报收集等活动,以及广泛的政策工具,通过技术归属,起诉和贸易救济等制裁等。这些非技术活动和工具通过网络安全的技术方法获得,不能被排除在主动防御和网络威慑的对话之外。虽然这些行动通常是政府行为者的权力,但由于互联网的分散和自下而上的设计,私营部门的资源在网络空间实施这些政策是有价值的。因此,实施这些政策的国内,私营行为者和政府机构之间更密切的合作是可取的。事实上,在大多数主动防御领域,需要政府和企业之间的协调。一个强有力的框架将有助于减小恶意攻击者从当前的模糊性中获益的优势,模糊性表现在谁在网络空间中保护企业。该框架还将为私营部门主动防御提供更大的透明度和问责制。
该框架还平衡了使私营部门主动防御措施与其他重要考虑因素的需求,例如保护个人自由、隐私和附带损害的风险。虽然强大框架将加强私营部门可以采用的工具来维护客户敏感个人信息的隐私,但是不能夸大主动防御措施的重要性。超越公司授权访问的活动会导致隐私问题(以及其他问题),因此框架必须确保私营部门采取的任何措施与威胁的规模范围,持续时间和效果成正比。各种监督机制和法律报告要求可以用来确保将这些考虑纳入框架中。
该框架的一个关键方面是一种风险驱动的方法,可以用来衡量行动与不行动的风险和收益,然后选择和利用适当的工具,如果需要采取行动的话。如本文后面所述,政府应该与私营部门合作,建立一种以风险为导向的方法,通过公开的磋商进程来发展。
4.1 主动防御框架中的主要参与
在研究如何使用这个框架之前,我们首先需要了解其中关键参与者的能力和兴趣。该框架的第一个相关行动者包括组成美国各种业务的私营部门。工作中很快就认识到,由于在美国经营的私营机构的多样性,并不是所有行业都处于相同的复杂程度。提到“私营部门”能力,是一个过度的普遍化的概念。事实上,没有私营部门的能力有很大差异性。许多商店只在其计算机上安装的最基本的防火墙,但其他的,如防御,技术,金融和能源部门,已经开发并实际采用了比较先进的网络防御功能来保护他们的网络。
许多大公司利用先进的网络能力,进入活动的“灰色地带”,采取低于hacking
back的行动,推动改革美国现行法律的局限性。2013年,联邦调查局调查了一些美国银行是否采用了积极的防御技术来禁止伊朗服务器对其网络进行恶意攻击。没有提出任何指控,但据报道,大部分银行强烈主张主动防御。一年来,包括微软,赛门铁克和思科在内的行业联盟拆除了中国背景的APT,称之为“Axiom”,从全球43,000台电脑中删除了该集团的恶意软件。今天,美国和以色列的公司正在为顶尖的金融和国防公司销售日益先进的网络安全解决方案,推动称为“被动防御”的措施。
许多私营部门的行动者越来越多地实施自己的逐步发展的防御措施,因为他们认为政府没有提供足够的保护。私营部门的高级行为者往往认为自己的能力能迅速作出反应,捍卫自己的网络,使得他们比执法机构或其他政府实体更有效地捍卫数据。对于在保护客户隐私是首要关注的私营实体,响应时间通常以纳秒为单位,等待政府来救援是不够的。如果达成适当平衡,允许私营部门对网络的威胁作出响应,没有过多的法律和政策限制,私营部门可以成为确保国家经济安全的重要角色。
积极防御框架中的其他主要行为体是具有网络安全责任各种行政机构(包括执法机关)和国会。尽管国家历来一直负责保护其公民和私营部门免受外部威胁,由于资源有限和缺少人员,政府不可能完全应对不直接和严重威胁国家的网络威胁。仅保护公共网络安全已经消耗了政府的大部分网络安全带宽。以目前的速度,政府不能解决私营部门最普遍的威胁:那些可以绕过防火墙和其他被动安全措施的威胁,但是达不到国家安全威胁的水平。不幸的是,而这些恶意活动却没有得到政府的全面关注,其影响总和可以增长到一定程度,对经济和国家安全构成重大威胁。这个危险的现实会在未来几年加剧。随着“物联网”的快速发展,私营部门面临越来越大的攻击面和威胁,这是其产品,服务和运营程序所固有的一系列漏洞导致的。
尽管安全差距日益扩大,但政府是唯一的具有特权的行动方,从事诸如“hacking
back”的技术,涉及访问防御者网络之外的系统,意图破坏计算机系统。虽然CFAA禁止对计算机进行“未经授权的访问”,但国会特别将执法和情报机构的“合法授权调查,保护或情报活动”排除在外。司法部门明确指出,没有执法授权和直接合作,hacking
back是违反CFAA的,将受到民事和刑事处罚。司法部官员的合法性讨论中明确了那些低于hacking
back水平的主动防御活动,如情报收集,信标,和sinkholes。
4.2 实施主动防御框架
为私营部门创造积极防御技术创造有效环境所必需的第一步,消除法律上的“灰色地带”,更清楚明确地界定哪些类型的技术在法律允许范围之类。这可以通过给主动防御技术的特征界定法律状态来实现。在这样的分析中可以考虑相关特征,包括时间,功能,基于效果和基于位置的因素。
首先考虑的是一个点,防御者开始进行主动防御措施。主动防御技术是否被首先使用、攻击期间或之后使用?停止持续攻击可能被认为比报复性或其他尝试恢复或拒绝攻击者的攻击更合法。第二个有用的考虑是技术的预期功能。是为了收集威胁的情报,防止攻击发生,结束网络攻击,减轻损害,取回被盗资产或使攻击者费用增加?一个必然考虑的是技术如何影响数据的机密性,完整性或可访问性。社会可能会发现一些影响,例如“观察”或“访问”比数据的“破坏”或“破坏”更可接受。
网络活动也可以根据其影响和位置进行分类。影响是在防御者的网络内,还是外部网络,如攻击者或某些第三方?虽然这种活动有时是可取的,例如自动删除恶意软件或修补漏洞,但是对无辜第三方的数据或网络的任何损坏都需要进行补救。云计算和互联网的分布式架构本身使得识别特定个人变得困难,特别是如果恶意攻击者正在使用代理来执行活动。
接下来,是否通过监督机构、执法机构或受影响网络的所有者授权的主动防御措施?如前所述,打击僵尸网络是政府和私营部门合作解决网络威胁。这些行动主要是通过法院命令的授权。如果执法机构和其他公共部门实体发挥合作作用或者具有一定的监督权力,那么执法机构和其他公共部门实体可能会更有利于看待防御者的防御措施。
最后,实施主动防御私有实体,能使其功效最大化,并最大限度地减少负面后果的风险?
政府和私营部门都可以从仔细考虑这些因素中获益。政府应制定强有力的宣传政策,详细说明其认为属于法律范围的主动防御技术的特点。存在这样的宣布政策将鼓励私营部门在进行积极防御措施时仔细考虑这些因素。通过明确的基于特征的法律框架,私人行为者可以评估特定活动的合法性。
如果没有强大的风险评估过程来衡量使用特定的主动防御技术的风险,那么基于特征的分析将是不完整的。这种分析必须广泛,不仅要考虑到所涉及的信息系统的主要后果,还要考虑第二和第三类后果,如可能受影响的人的隐私权。任何新开发的技术必须经过认真考虑才能实施,以确保其在法律和政策范围内。
这种类型的分析将有助于在面对对其最有价值的资产和数据的攻击时,扩大向私营部门的选择范围。虽然面对技术变革的灵活性和适应性是这种基于特征的分析的标志,但是有一些原则应该成为可接受网络防御措施范围的亮点。
首先,私营部门“hacking
back”故意造成重大损失,破坏其他方的数据显然是未经授权和正确禁止的。这些类型的活动显然属于CFAA和其他有关美国法律禁止的行为,例如“2015年网络安全法”和“联邦窃听法”。从政策的角度来看,这些技术可能会使事件升级,因为这些技术可能不合适,难以充分控制,经常报复性和不精确。诸如hacking
back用于取回被窃取的数据或用恶意软件感染攻击者的系统等活动可能是没有效果的。被盗数据可能存在于攻击者网络内外的众多位置。取回被盗数据的尝试不太可能将其从存储的每个位置删除。这些类型的网络防御活动应该继续被禁止。
另一方面是防火墙,内部流量监控,入侵检测,威胁追踪和信息共享系统等活动,用于识别和定位威胁签名和攻击指标。这些活动主要涉及对防御者自己的日志和流量数据的分析,以搜索恶意软件或其他违规行为。这些过程的自动化以及对其他网络安全的最佳做法,将继续提供最小程度的防御性保护,防止恶意威胁的冲击。这些活动主要发生在防御者自己的网络中,不会侵犯任何其他方的数据或网络。它们对于强大的网络安全方案来说都是合法和根本的。
其他行为,例如使用信标,蜜罐或tarpits,远程情报收集和denial
by
deception,这些活动可能传统上属于合法的“灰色地带”,应使用工作组推荐的基于特征的方法来分析。随着新技术和防御技术的出现,应逐个逐个去分析,以确保主动防御措施符合上述原则,是必要的,合适的,并能够被最小化以包含潜在的意料之外的后果。在执行任何防御性措施之前,防御者应该依靠多种可信的归属方法,对敌对行为者作出断定。
即使法律没有改变,司法部和其他执法机构也应该酌情选择何时执行CFAA和其他相关法。那些可能推动法律发展,但旨在保护公司数据或终止对私人服务器的恶意攻击的的公司,不应被优先考虑调查或起诉。相反,只有最严重的威胁值得关注。政府在私营部门的网络安全方面可以发挥更好的作用,应该利用有限的资源来首先解决公司的间谍活动,有组织的犯罪行为以及由外国政府主办的恶意活动。
到目前为止,政府还没有起诉任何从事主动防御的公司,甚至没有执法机构授权也是这样做的公司。然而,开创使用主动防御技术的人主要是知名的领袖型企业,如Google和Facebook,与美国政府来源紧密。随着使用主动防御技术的公司数量增加,如果没有重大的法律和政策、检察机关的透明度和透明度提高,政府可能会感到压力对于起诉实施主动防御的公司。
这种压力可以抵抗。过去,联邦机构已经提出了解释联邦法规的指导意见,对从事网络安全工作的个人和公司定义了职责。
2014年,司法部和联邦贸易委员会发布了一份政策声明,声明为网络安全目的而进行合理的信息共享不会被视为违反反垄断法。这一保证是根据“网络安全法”编制的。政府应避免通过过度使用CFAA的刑事规定来阻止私人防御措施。
该框架还建议加强现有的公私伙伴关系,并创造新的过程,促进私营部门实体响应网络威胁的能力。如上所述,近年来,公司一直在与执法机构合作,打击被称为僵尸网络的恶意攻击所远程控制计算机巨型网络。僵尸网络下架大部分由私营部门行为主体进行,与执法机构合作,对僵尸网络的指挥和控制服务机构采取先进的主动防御措施。
2013年,微软与国际执法合作伙伴合作,并由联邦调查局协助成功拆除了Citadel僵尸网络控制的的1000个网络,该僵尸网络是针对一些主要的金融机构。自2013年以来,执法机构和私营部门的从业人员已经根据Citadel
model公私合作模式进行合作。
虽然僵尸网络仍然是一个问题,但对僵尸网络的打击,说明了私营部门行为者可以在法律范围内开展保护自己的网络的行为。不用担心法律后果,安全专家能够采取强有力的措施来关闭僵尸网络,并从全世界的计算机和网络中消除有害的恶意软件。本报告建议精简这一流程,使得获得授权的法律程序更容易,更快速,更透明。每个过程都应尽可能简化地定制,并从先前的合作努力中吸取教训。
实施这一框架的一个战术,可能是向某些网络安全公司颁发许可证,允许他们从事有限的主动防御技术。一个联邦授权的网络安全公司可以根据私人公司的要求收集关于威胁的情报,并将其转交给执法机构,公然谴责凶手,或与其他有关方面私下分享情报。这样做可以解决某些国内的法定问题,因为这些公司可能被视为“合法授权”运营,符合CFAA的执法和情报要求。类似于私人侦探,安全公司可以为私营部门甚至美国政府服务,像Crowdstrike,Mandiant和Fire-Eye这样的公司已经被证明善于进行信息收集。正如Jeremy和Ariel
Rabkin所说,美国经常依靠的私人公司的报告可能来自非法的公司。对于引起第三方损害的任何问题,公司将承担责任。
实施主动防御框架的另一个必要方面,是协商小组或进程,可以促进联邦政府与私营部门之间的决策。这可能是一个正式建立的联邦咨询委员会(类似于关键基础设施伙伴关系咨询委员会或国家安全电信咨询委员会)或一个更专门的公共
– 私人讨论过程,符合接受网络威胁指标和防御措施相关的最终程序(根据2015年网络安全法成立),“国家网络事件应急计划”和其他运行计划和程序。
国际讨论主动防御是很好的发展,但是缺乏回答哪些主动防御技术是可以接受的,哪些被禁止的最终问题没有明确的授权。关于这个问题的国际法很少。欧洲委员会网络犯罪公约(“(the
Budapest
Convention”)将计算机犯罪定为犯罪行为,类似于CFAA的,但尚未得到包括俄罗斯和中国在内的一些最先进的网络空间实力派的认可。一般来说,国际法对私营部门进行主动防御几乎没有影响。没有一个国际条约来澄清这个问题,没有对哪些主动防御技术被认为是可以接受的协调一致的理解,那些从事主动防御的人可能会违反托管目标服务器的国家的法律。
因此,开发有责任感的国家行为准则在网络空间中至关重要。通过接受“2015年全球行动计划”,对于国家有责任停止源自其境内的恶意网络活动达到了越来越多的共识,已得到广泛的推广。中国,美国,俄罗斯,以及“二十国集团”的其他成员国已经达成了禁止网络窃取知识产权的协议。这些协议加强了为私人行为者提供自我保护的自由的余地,以便在政府不能满足时。
外交官,行业领袖和其他专家应该利用这一进展,来建立一个全球化使用主动防御技术的规范。这些规范可以补充现有的管理消费者隐私的国内和国际法律制度,例如美国联邦贸易委员会颁布的条例,以及其它的国际数据隐私保护协议,如E.U.-U.S.
data Privacy Shield agreement.。
除了制定国际规范外,各国政府还应继续发挥积极作用,保护国内实体免受网络威胁。虽然这份报告主要侧重于私营部门可以更积极主动在打击恶意行为者的利益和加强美国的网络威慑态势方面发挥作用,但对网络空间的侵略者提高成本往往需要国家的参与。此外,即使拥有大量网络安全预算的公司,例如大型金融机构,也没有能力或兴趣对抗国家级的对手。因此,政府必须开始发表一贯明确的声明,详细说明哪些恶意网络活动授权美国响应,以及这些响应如何在严重程度上升级。展示根据行事的能力和意愿也对网络威慑至关重要。这种进展将有助于解决网络空间中的一些更重要的威胁,允许私营部门的努力,包括使用主动防御,将重点放在更易于管理的威胁上。
(五)实施框架:近期建议
建立这样一个积极防御网络威胁的框架不太可能快速或有效地出现,在短期内。然而,政府机构和主要私营企业可以采取若干具体行动来改变主动防御的政策和法律背景。本节建议采取一系列行动,将政策环境用于指导主动防御措施,将其作为有效的基于风险的工具来对抗网络威胁的行动。
行政部门的行动
1、司法部(The Department of Justice)应根据现行法律解释发布公共指导,说明允许私营部门进行哪些主动防御措施,表明司法部不会对这些措施采取刑事或民事诉讼。应当根据技术的不断发展,定期更新这种指导。
2、司法部和联邦贸易委员会(Federal
Trade Commission)应更新其“Antitrust Policy Statement on Cybersecurity
Information Sharing”(2014年),明确规定反垄断法不应对网络威胁主动防范的行业间协同构成障碍。
3.国土安全部(Department
of Homeland
Security)应协调制定公私部门主动防御措施的程序,利用业界领先的信息共享和分析中心(ISAC)和信息共享与分析组织(ISAOs)和DHS的国家网络安全和通信集成中心(NCCIC)等现有合作机制。
4.国家标准与技术研究所(NIST)应制定指导方针、最佳实践和核心能力,指导私营部门行动,评估主动防御措施的风险,并进行主动防御措施,制定3-5个技术的技术成熟度,或在第三方供应商的情况下,保护其他公司。这些指导方针对于不同的行业来说可能是不同的,这些应与2013-2014年NIST制定的网络安全框架相一致。
5.资助网络安全相关研究和发展的联邦机构,包括国防部,国土安全部,情报社区(Intelligence Community)和国家科学基金会,应优先研发新的主动防御措施(包括提升归属的能力) ,并评估当前主动防御措施的有效性。
6.国务院(The Department of State)应与外国合作伙伴共同制定主动防御措施的共同标准和程序。这也很重要,因为许多受网络威胁影响的大型公司在全球范围内运作,因此需要保护很多国家的系统信息。
7.私隐和公民自由监督委员会(PCLOB)应对私营部门现行和拟议的联邦政府的主动防御活动进行审查,并公布有关本次审查结果的公开报告。
8.白宫应制定一项政策,为联邦机构提供指导,指导它们何时以及如何向私营部门提供有关主动防御活动的支持,涉及到一些要素,如私营部门的成熟度、威胁方(如果知道),以及与经济和安全有关的基础设施的重要性。后一个因素可能与DHS根据行政命令第13636.128节第9节确定的“高风险的关键基础设施”列表相关联。支持类型包括信息共享、协调规划、情报支持和培训。
9.总统应发布一项指示,规定上述第1-6项的要求,并规定明确的截止日期。
美国国会的行动
10.国会应通过立法监督上述行动1-7项活动的实施情况,并加强法规的最后期限。国会还应该要求政府问责处审查这项立法的执行情况。
11.国会应重新评估CFAA和“2015年网络安全法”中的语言,,确保中低风险的主动防御措施在法规中不被直接禁止。
12.国会应研究是否以及如何利用法律规定的其他工具(例如起诉书,制裁措施,贸易救济措施)来支持保护私营部门免受恶意网络行为者的侵害。行政命令13694(“关于重大恶意网络活动的制裁”)是很好的例子,但还有其他工具可用于支持网络威慑和主动防御。
私营部门行动
13.私营部门企业应共同努力,制定部门和行业内积极防御措施的行业标准和最佳实践。
14.公司应该在C级(如CEO/CFO等)层面制定政策,是否希望采取某些类型的主动防御措施来应对未来的假设攻击,而不是在遭受数据泄露或其他形式的网络攻击之后做出响应。公司应根据对行业标准和最佳实践进行彻底的风险评估和分析,制定运营模板,将其纳入更广泛的网络战略和事件响应协议。这些政策必须纳入公司对传统网络防御计划的承诺和投资。
15.行业团体应考虑互联网服务提供商,网络托管服务和云服务提供商及其客户之间在主动防御上的协同的最佳实践,利用这些服务提供商通常具有合同、预授权访问客户网络用于日常业务目的。这样的服务提供商可能有能力对客户进行针对网络威胁的主动防御措施。
总的来说,这15项建议将使美国政府和私营部门主要利益攸关方更加接近上一节所设想的主动防御框架。
(六)呼吁行动
私营部门在没有强大威慑的情况下,将继续遭受盗窃,数据泄露和其他攻击。当私营企业有能力采取积极的防御措施时,才能建立起这样的威慑力量,这样可以降低这些公司的风险,保护数据的隐私和完整性,减少大型企业的经济和社会危害,规模的网络攻击。我们不能等待这些问题,相反,公共和私营部门的行为者需要共同合作,明确灰色地带,界定“不做任何事情”和“hacking
back,”,然后有效和负责地利用可用的工具。这样的努力将使风险回到我们的网络攻击者,最终成为进一步行动的威慑,也是公共和私营部门之间多边协调的基础,从而加强了对网络威胁的合作和相互保护。
(七)主动防御的未来
本报告是关于主动防御的及其更广泛的影响。然而,重要的是要认识到,这一领域将不断发展,包括从技术和法律的角度。在技术方面,未来的关键问题包括:物联网(IOT),云计算,日益分散的企业,以及威胁行为者不断变化的能力和意图?当然,IOT将以指数方式扩大对手攻击的机会。与此同时,从防御者角度来看,在攻击前,确定潜在漏洞并采取行动将变得越来越复杂,需要的资源越来越多。IOT将为企业和消费者带来更多的便利和功能,但也有代价来。
云计算一方面为企业提供了安全和其他目的服务的途径。另一方面,云也为攻击者提供攻击的目标。虽然目前的潜在目标可能会更加分散,但云计算集中在更大程度上
–
基于互联网的云技术和服务的所有者和运营商可能相对较好地保护委托给它们的数据和其他资产。另一个趋势是,随着分布式企业越来越多,改变网络安全生态系统的网络维护者和网络攻击者。再次,实践中的演变给内部安全人员带来了新挑战,其中包括“需要在更多的地保护这些数据。”
随着技术的不断变化,攻击者的能力也在变化。然而,他们所面临的反击力也不会保持不变:新的要素将进入磨合期,现有行为者的能力和作用也在发展。例如,国家和地方政府在积极防御方面的作用是什么?正如这些当局越来越多地在网络安全问题上参与,人们可能会期望国家和地方官员参与主动防御领域。
未来的另一个重要问题是:国际规范在这一领域如何发展?答案取决于个人行为者(国家和非国家)以及其行为的整体。毫无疑问,诸如全球条约等正式的国际文书一般难以起草和生效,因为必须适应各种各样的不同观点。因此,在较短的时间内,如果要更加非正式地认识国际上应该是主动防御的核心原则,也许以自愿的行为守则的形式,就可以在短期内作出建设性的建议。与多边协议相比,这样一种工具的定义是无约束力的,虽然它仍然可以反映出一系列主要参与者在全球范围内的共识意见,从而推进未来建立国际规范。
