导言

2018年5月,美国智库机构大西洋理事会(Atlantic Council)斯考克罗夫特战略与安全中心发布了一篇题为《网络合作创新:大规模合作》的报告(以下称报告)。报告由大西洋理事会“网络治理倡议”高级研究员、哥伦比亚大学国际与公共事务学院高级学者詹森·希利(Jason Healey)撰写。

报告指出,过去25年来的网络空间战略和政策都将信息共享视为首要的,而且大多数重要的网络安全组织都是为了信息共享而建立;同时,近年来较为成功地响应网络安全事件的工作团队却常常是临时组建、缺少资源支持的。这些都不足以完全应对网络安全事件。因此,该报告提出一种超越共享和临时合作、以行动为导向的更高水平的合作组织模式。

一、研究过去事件,形成响应路径图

报告指出,首先要研究过去曾响应过的事件,针对其所属的不同事件类型(包括:关闭僵尸网络、反击APT、挫败DDOS、反木马4种),制定适用于未来的响应路径图。制定响应路径图的流程如图1所示。

报告提出,国土安全部应当建立一个计划,与智库机构或者联邦资助研究与发展中心(FFRDC)一起,为2-4个典型事件类型进行全面的路径描绘。其内容不仅包括事件的根本原因分析、事后报告或事件库等,还包括促进事件解决的响应行动和决策。

制定响应路径图应注意:

①检查事件所属的类型,是否跨多个事件类型;

②显示响应行动的各个维度是怎样平行地一步一步展开的;

③确定行动决策的信息需求。

每个路径图都可以转换成国家网络事件响应计划的附件,形成一整套针对各种事件的、经过了严格论证的攻略。无论是在政府还是私人企业,参与响应的组织都可以使用这些攻略形成他们自己的方案。

二、建立新型的响应合作组织

四种网络事件类型的响应都要求大规模的合作。例如反僵尸网络可能是全球性的,需要与微软、火眼、司法部的联系;反DDoS需要将全球服务提供商、内容分发主管、核心基础设施联合起来;反APT则需要国家情报机构、国防工业部门和关键网络安全公司之间的合作。

然而,当前大多数合作组织都是以计算机应急响应小组(CERTs)、信息共享与分析中心(ISACs)和信息共享与分析组织(ISAOs)模型为基础的。报告认为,政府政策应当鼓励团队解决问题,而非单纯地共享信息。响应路线图意味着一种新型的组织模型可以帮助实现高效率的跨国界、跨利益相关方、跨行业的响应行动,这种新一代组织模式被称为“网络事件合作组织”(CICOs)。

在2008、2010年Conficker木马事件中临时组建起来的“Conficker工作组”给建立“网络事件合作组织”提供了启示,它是在缺少资源和法律规范的艰难条件下成立的。“Conficker工作组”包括一些来自全球公私部门的研究人员和响应者。技术人员以志愿者的身份参与,这些工作是非正式的,没有固定的组织、许可或者赞助者,他们只能在有限的能力和规模上开展活动。为反击木马制造者,研究人员甚至需要使用他们自己的信用卡去注册域,以进行指挥控制。

这些临时团队的案例显示出,其实建立一个更稳定的组织是有意义的。在下一个Conficker在全世界爆发时,响应小组没有理由还是临时性的、工作人员还需要使用其个人的信用卡。应当有一个法定的结构,具有资源、联系人名单、e-mail分配和一个执行秘书。

“网络事件合作组织”就是结合了信息共享与分析组织和“Conficker工作组”的优点,既具有稳定的合作机制,又具备高效的行动能力。每一个网络事件合作组织都起始于信息共享与分析组织,当然,在信息共享与分析组织基础上建立的网络事件合作组织,其目标不仅仅是共享信息。一个网络事件合作组织的目标是提高响应效果,针对一种事件类型提供一个保护伞,使这类工作更容易、更高级。

三、政府和企业的作用

报告指出,政府和企业在网络事件合作组织中都发挥着重要的作用,其中,政府可以为启动网络事件合作组织提供资助和鼓励,但其作用是相对有限的: 

①政府所关注的可能并非是企业所关注的。在Conficker事件期间,响应小组就曾发现,政府只是简单地发送简报,并且向白宫呈送,而且进行保密。

②美国政府建立的网络事件合作组织可能只聚焦于美国的利益,而与盟友国家甚至竞争对手国家的合作较为薄弱。

③政府可能缺乏足够的能力进行响应,但可以提供大量资源和监管权力的支持。

相比之下,企业的作用更为显著。新的网络事件合作组织项目可能在私人企业的驱动下茁壮成长。企业的网络事件合作组织更倾向于跨国合作。更重要的是,企业是网络事件的第一个响应者,它们更敏捷、更专业、更有能力去解决网络空间的问题。多数网络事件合作组织起始于企业,仅在需要时才有政府机构加入。

原文PDF下载

编译 | 黄紫斐

声明:本文来自互联网研究前沿,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。