2018年12月7日,美国民主党参议员、参院情报委员会成员马克·华纳在新美国安全中心发表演讲,批评美国政府在网络安全上投入不足,建议进行美国内网络安全大整顿。同日,美众议院能源和商业委员会监管和调查小组发布报告《网络安全战略报告》,呼应了华纳的主要观点,认为当前美国的网络安全举措并未跟上互联网的发展,传统的信息技术策略在应对不断增长的网络安全事件中收效甚微。基于此,该小组基于过去几年的听证会、研究报告、圆桌研讨会以及实际案例的研究,提出来两个关键性问题:(1)网络安全事件的根本原因是什么?(2)若传统IT策略被证明无效后,组织(包括企业或政府机构)该怎样增强其网络安全能力?围绕这两个问题,报告梳理出六点网络安全概念与六项网络安全优先项。

一、建立普遍接受的协同披露程序:因为总是存在未知的未知数

概念1:网络安全中总是存在未知的未知数

根据小组组委会观察所得,在过去几年发生的网络安全事件中,存在着一个普遍现象,即遭遇网络安全事件的企业或机构普遍都不是自己发现的,包括谷歌、因特尔、通用汽车、强生甚至包括美国国防部都是通过外部机构发现自身漏洞的,乍一看这似乎是企业或机构不负责任,这实则是由现代机制的复杂性所决定的。现代信息系统与网络包含成百上千个单个的硬件和软件,每个硬件或软件又包括数十个软件库或数千行代码,这些都是潜在的漏洞衍生地,且每个网络的具体组件又千差万别,当一个网络连入另一个网络时,又产生新的漏洞,从这个角度上来说,网络安全总是存在未知的未知数。

基于这样的认知,一个组织能做什么呢?期望组织能够辨别所有未知的未知是不可能的,只有一个方法能解决这个问题,这也是被许多网络安全事件所证明过的,那就是第三方披露。简而言之,即使一个组织并不知道它不知道的事,但总有其他人知道,而且愿意合作。

优先项1:建立普遍接受的协同披露程序

协同披露是合作进行漏洞发现与处置的进程。该过程始于“发现者”(既可能是独立的个人,也有可能是市值上亿的企业)发现网络安全漏洞后及时通知漏洞负载者,负载者随即采取措施进行消控,并协商公布漏洞的过程。协同披露程序将为组织带来许多益处,一方面,该程序允许企业或机构寻求外部帮助来发现未知的未知,避免因漏洞未补而发生的数据泄露等网络安全事件;另一方面,该程序还可保护“发现者”免受刑事惩罚,激励他们积极向漏洞所有者报告。此外,协同披露程序通过机制建设使得网络安全漏洞在造成大范围的负面影响之前被发现和修复,最大限度地维护了社会安全。

二、引入软件物料清单:因为你不能保护你不知道你所拥有的

概念2:你不能保护你不知道你所拥有的

“心脏出血”与“想哭”病毒两大网络安全事件中,组织并不是不知道哪项软件具有漏洞,而是不知道哪项技术里包含具有漏洞的软件,这揭示了一个普遍现象,即组织缺乏对其环境中的技术的可见性,也就是说,在网络安全中,你不能保护你不知道你所拥有的。在这相隔三年的两件网络安全事件发生中,组织面临着同样的挑战,即事件发生后,各个企业和机构都急于去检查自身是否受影响,但由于不完整的技术物料清单,他们并不知道他们的系统与设备是否遭受到感染;再加上许多技术自带 “黑箱”性质,使得大部分企业和机构对于他们运行的软硬件并不了解,这种不可见性广泛存在,迫使组织盲目地依赖供应商提供的零星的、不透明的指南来减轻网络安全漏洞。对此,打开技术的黑箱成为当前网络安全工作的重中之重。

优先项2:引入软件物料清单(software bill of materials,简称SBOM)

物料清单(bill of materials,简称BOM)概念早已有之,并广泛存在于其他领域,主要是指是描述企业产品的总装件、分装件、组件、部件、零件、直到原材料之间的结构关系,以及所需的数量。报告引入软件物料清单,即详细列出技术的硬件、软件以及其他相关的组件。引入SBOM具有两大好处:一是允许组织基于已知的漏洞信息作出购买和使用技术的决定;二是当新漏洞被发现时,组织可借此快速定位到漏洞的位置并迅速止损。简而言之,SBOM可以帮助组织打开当前的技术黑箱,以完整评估他们的风险,更详细地了解组织存在的网络安全漏洞。

三、支持开源软件(OSS):因为软件不再是编写的,而是组装的

概念3:软件不再是编写的,而是组装的

开源软件越来越普及,据公开数据表明,目前78%的企业都运行在开源软件上,从这个角度上说,软件不再是编写出来的,而是组装起来的。在这样的情况下,每块组装软件的“砖”就变得非常重要。

优先项3:支持开源软件

支持开源软件并不是一项新的倡议,全球领先技术企业目前普遍都在为开源软件生态系统提供资金和其他支持,鼓励其员工为开源软件做贡献,甚至开源了他们自己的一些代码,以便更好地提升软件质量。这些行动极大地提升了开源软件生态系统的整体质量,他们意识到开源软件不仅是一项共享的资源,而是互联网基础的重要组成部分,增强其中一个就是增强另一个。因此对于那些希望以较低成本改善网络安全的企业来说,这类投资能够带来最高的投资回报率。

四、完善通用漏洞披露(Common Vulnerabilities and Exposures,简称CVE)程序:因为必须要有一种共同的网络安全语言

概念4:必须要有一种共同的网络安全语言

CVE主要是收集各种网络安全漏洞并给予编号以便于公众查阅,目前由美国非营利组织MITRE与国土安全部联合运营,在过去20年为超过100000个漏洞提供了唯一的标识符。在当前世界中,一件网络安全事件可能在几分之一秒内发生,CVE程序能够及时识别漏洞,这对现代网络安全实践至关重要。目前,CVE已经成为一种网络安全的通用语言,它不仅为政府服务,同时还是现代网络安全建设的基石。但是目前CVE很难跟上漏洞曝光的速度, ID分配延迟了数周甚至数月,一些漏洞甚至被认为超出了CVE的范围而被拒绝标识,这对网络安全行业产生了重大的负面影响,网络安全中的共同语言正在消失。

优先项4:完善CVE程序

组委会认为,CVE是现代网络安全实践的基础,也是现代网络安全从业人员使用的共同语言,使用CVE有利于更好地理解和分析网络安全态势。但不稳定的资金支持与管理机制是当前CVE弊端存在主要原因,对此,报告提出两点建议:国土安全部将CVE从项目融资模式转变为固定项目;国土安全部和MITRE定期对其进行审查。

五、实施技术生命周期支持战略:因为数字资产比物理资产老化速度更快,更难预测

概念5:数字资产比物理资产老化速度更快,更难预测

所有的网络安全事件都具存在一个共同现象,即都是针对陈旧落后技术的攻击,“想哭”病毒就是因利用了一项已有30多年历史的协议而产生的。而且目前存在这样一个趋势,许多恶意软件拥有者试图利用“漏洞工具包”,将多个漏洞漏洞组合在一起,以试图攻击任何未打补丁的设备。当然,这与技术发展紧密相关,各组织不断寻求更新和更先进的技术,以便更好地执行其任务,因此随着时间的推移,陈旧落后技术得到越来越少的关注,从这个意义上说,数字资产的老化速度更快,也更难预测。

优先项5:实施技术生命周期支持战略

老旧技术的问题不仅仅是技术问题,而是几十年遗留的老问题,因此简单停用老旧技术并不实际,而是将其置于“生命周期支持”的语义下对其进行全面审查,这就需要组织回答一些基本问题,即他们会花多少时间来开发和维护技术,老旧技术必须被全部替换吗?解决支持生命周期问题需要合作、创新与妥协,技术开发人员需要为他们开发的产品提供有保障的最小生命周期,用户也必须接受随着使用年限增长逐渐淘汰技术,无论他们的物理性能是否还处于较好的状态。此外,技术发展战略也需要重新审查,如是否需要将物理资产与数字资产相区分,即一种资产的过时并不一定带来另一种资产的过时,企业是否应该转向技术租赁模式,而不是购买模式,以便制造商能够更轻松地使用全新的、安全的技术替代陈旧的、易受攻击的技术等。

六、强化公私合作模式:因为网络安全需要“全社会”的路径

概念6:网络安全需要全社会的路径

目前,政府机构、企业和个人都已经意识到网络安全的风险,如法律要求政府机构必须满足某些网络安全标准,企业也在不断寻求创新的解决方案,消费者个人也会从网络安全指南中寻求建议以保护自身个人信息等,但是这些主体都是在寻求自身免受网络安全威胁,因而效果不佳。网络安全是一个共同的问题,互联网自身的设计就决定了网络安全的关键在于合作,特别是当前许多私营部门运营着大部分的互联网关键基础设施,因此网络安全维护需要一种“全社会”的方式,在这种方式中,公共和私营部门的个人和组织都扮演着至关重要的、不可或缺的角色,而不是口号。没有合作,许多网络安全战略将会彻底失败。

优先项6:强化公私合作模式

公私合作模式在六个相互依赖的优先项之间建立了一个积极的反馈循环,以提高社会整体的网络安全能力。美国政府通过总统政策指令21(PPD-21)建立了关键基础设施保护中的公私合作模式,PPD-21指定了三个最关键的角色:部门特定机构(SSAs)、负责监督和指导其部门;部门协调委员会(SCCs),由私营部门代表组成的自愿团体;信息共享和分析中心(ISACs),为部门成员之间共享信息的官方论坛。虽然这些部门因太学术化而遭受批评,但是加强公私合作模式却极大依赖于上述部门,对此应加大对上述部门的支持力度。

在网络安全越保护越不安全的背景下,该报告回到本源问题探寻解决之道,并有针对性地提出新理念,以及具有可操作性的优先项,体现出了较强的务实与创新的特点,对我国网络安全建设具有借鉴意义。

下载完整报告:https://energycommerce.house.gov/wp-content/uploads/2018/12/12.07.18-Cybersecurity-Strategy-Report.pdf

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。