【編者按】2020年10月,世界經濟論壇發佈報告《網絡安全信息共享——構建集體安全》(Cyber Information Sharing: Building Collective Security)。報告認為,網絡安全是當今世界面臨的最重要性的問題之一,新冠疫情大流行導致勞動力和部門迅速向數字化轉型,進一步加劇了現有的網絡安全挑戰。可信、安全和可擴展的網絡安全信息共享可以成為維護網絡安全的解決方案。然而,網絡信息共享生態系統中仍然存在諸如跨部門合作不暢、管轄合作存在差距、缺乏網安技能、戰略和資源不重視、信任和隱私關注等障礙。人工智能技術(AI)和機器學習技術(ML)、隱私增強技術(PET)等新技術有望幫助克服這些障礙。最後,報告從領導力、新技術、政策和行業、研究等方面給出了促進網絡安全信息共享的建議。
本文字數:5249字
閱讀時間:13分鐘
1 網絡安全信息共享的定義和意義
所謂網絡韌性(Cyber Resilience),是指對企業在持續有效開展業務的同時能夠很好地防護網絡攻擊或數據洩露的能力的一種度量,包括四個主要組成部分:威脅防護、可恢復性、適應性和持久性。
網絡安全是由多利益主體生態系統定義的,因此需要從整體的角度來看待,該生態系統的所有基礎設置都需要具備系統韌性。全球機構所面臨的網絡安全挑戰要求人們改變管理安全風險的傳統模式,單單靠個體的能力無法改變,沒有一個個體能夠看清整個問題空間,因此協作和信息共享至關重要。在正確的時間以系統的方式與正確的利益相關方分享正確的見解,將有助於有效保護個體和集體網絡安全。
網絡安全信息共享可以幫助建立集體韌性。網絡信息共享提供一種整體生態系統,能夠與不同的利益相關者大規模共享情報,從而為組織提供正確的態勢感知能力來保護自己。通過這種方式,生態系統可以回答已經發生了什麼,以及可以對惡意活動做些什麼。
這可以提供三個關鍵領域的有效信息: 一是戰略,幫助個體瞭解他們正在防禦的威脅類型、威脅的動機和能力以及攻擊的潛在後果和風險的信息;二是運營,幫助個體決策、資源分配和任務優先化的信息。它包括趨勢分析、顯示威脅行為者的技術方向,以及對惡意戰術、技術和程序的理解;三是技術,來自技術數據、攻擊來源和系統的信息,這些信息通常來源於近乎實時的網絡信息監控和共享,提供了能夠影響戰術決策的見解。網絡安全信息共享能夠幫助建立打擊網絡犯罪的公私集體行動平臺。網絡信息共享能夠推動公共和私營部門之間的集體調查和行動。如果不正視網絡犯罪活動的根源、降低網絡犯罪回報和增加網絡犯罪被起訴風險,建立起對網絡犯罪更有效的威懾模式,就無法徹底解決網絡犯罪問題。全球社區中出現的最成功的信息共享模式是執法部門和私營部門之間的信息共享模式,這些模式可以有效檢測和阻止網絡犯罪。與傳統犯罪不同,檢測和打擊網絡犯罪的技能、數據和能力往往掌握在私營部門手中。
但這些新興模式很難擴大規模,政黨,政企之間共享信息充滿了潛在的隱私、安全和正當程序問題,以及對保護自由表達、結社和政治參與權的挑戰。此外,對建立行動平臺的激勵模式仍處於萌芽狀態,因為各團體需要明確承擔推動集體行動的成本和責任的主體。歸根結底,網絡信息共享對於建立全球網絡安全社區的意義在於,它幫助我們從個體韌性轉向集體韌性。
2 網絡安全信息共享的重要性
有兩個主要的驅動因素可以解釋為什麼消除信息共享的障礙越來越重要。
一是數字化轉型、科技的快速發展與新冠疫情。新價值所依賴的數字技術推動了網絡安全作為一個戰略問題的日益重要性和關注度。全球經濟面臨的一個主要風險是,網絡安全問題成為貿易的戰略壁壘,日益擴大的數字攻擊面變得越來越難以有效防禦。新冠疫情的影響使得解決這一問題變得更加緊迫,各部門和行業的大規模、快速和基本上無計劃的數字化大大增加了全球對數字基礎設施及其安全性的依賴。新冠疫情大流行後的網絡安全被全球高管列為繼長期衰退風險和破產預期之後的第三大風險。
二是當前信息共享模式並不是為第四次工業革命和未來安全生態系統所構建的。數字生態系統並沒有停滯不前,不久的將來,最重要的技術將通過一系列重大變化而不僅僅是增量更改,從而改變安全格局。新技術將改變需要防禦的內容以及攻擊者針對它的方式,這將對當前設計的信息共享運營和治理模型構成重大挑戰。如果不採取措施激勵產生新的信息共享解決方案,那麼社區可能就沒有足夠的能力來提供生態系統所要求的網絡韌性和保證。
3 網絡安全信息共享需要克服的七個障礙
過去十年來,全球在促進更好的網絡信息合作和共享方面取得了重大進展,包括出現了一些有特色的運作模式(如國際審計準則)。然而,此報告認識到,在支持全球經濟安全和韌性的更大信息方面,存在七個障礙。要克服這些障礙,需要通過公共、私營和民間部門多個利益攸關方的參與,在合作、能力和治理方面進行系統性改進。通過廣泛可用的治理模式、指導和基礎技術以及明確的激勵措施來降低進入壁壘,以實現各方對信息共享生態系統的廣泛參與。還需要做大量的工作來平衡有效的信息共享和保護隱私與合規方面的需求。
這七個障礙分別是:
各地區和各部門之間的信息共享差距。在促進網絡信息共享方面取得最大進展的是網絡最成熟的地區和部門,比如美國和歐洲金融服務(ISAC)以及NIST等提供的框架。相比之下,在欠發達的市場和部門,信息共享需要取得更大的進展。例如,在非洲,只有8個國家制定了網絡安全戰略,只有13個國家建立了政府計算機應急小組,作為建立國家信息共享方案的機構。此外,即使在網絡信息共享相對成熟的地區,區域之間仍然存在信任和協作障礙。
信息共享的技能和能力。信息共享需要組織擁有較高水平的網絡安全技能,但其對資源的壓力極大地影響了組織建立和部署必要的高級技能和能力以促進信息共享和自身利用信息。作為網絡安全技能市場的一個專門分支領域,威脅情報受到的影響尤其大,因為它特別需要技能和經驗來發揮作用。在2020年英國政府網絡安全技能報告中,威脅情報被列為最受歡迎的安全技能之一,近五分之一的企業表示欠缺與威脅情報相關的技能。
信任和隱私。企業層面和政府層面的領導者之間缺乏信任來進行信息共享,私營部門往往不願意與政府分享信息,因為沒有什麼好處且容易受到監管影響;地緣政治因素和國際合作的分散會影響各國公共部門對數據交換項目的熱情,且不同國家對數據隱私的重視差異也使這種合作更加複雜;跨部門信息共享進一步受阻,因為相關方擔心給競爭對手帶來優勢,以及洩露敏感的內部數據;缺乏針對具體工作的指導工具,直接將現有的隱私原則、責任、危害和補救措施映射到跨部門信息共享的創建和管理,這顯然並不合理。
立法、政策和數據本地化。目前,各司法管轄區之間缺乏一致性和協調性,在許多情況下,與網絡信息共享相關的法規相互衝突,尤其是在對組織披露敏感專有信息方面。更引人注目的是數據本地化的趨勢,政府強制要求關於其公民或居民的數據只能存儲在其國內,或者在向外傳輸之前滿足當地的隱私和安全要求,這可能會阻礙或完全禁止某些信息的流動共享。國家和國際組織之間進行的信息共享也因強有力的披露和確保適當的正當程序和公共監督而變得更加複雜和低效。
投入成本。為了能夠有效地接收、分析網絡情報並將其轉化為機構的全面防禦態勢,需要對正確的技術、人員和治理方面進行投資。對於希望從參與信息共享生態系統中獲得回報的決策者和領導者來說,估計有形投資的成本和目標往往很困難,因為缺乏衡量此類投資收益的商定標準。此外,組織(尤其是發展中經濟體的組織)的安全預算只關注最緊迫的問題,很少關注更全面、更成熟的戰略。
缺乏明確的激勵措施。網絡安全信息共享缺乏傳統的積極激勵(有形的短期保護利益、責任保護、保險激勵)和消極激勵(合規要求、監管壓力)。組織通常擔心披露他們所經歷的特定攻擊會造成聲譽損害或法律風險,尤其是沒有成功阻止攻擊的情況。此外,其他激勵措施,如網絡保險,目前並沒有一個信息共享計劃能夠明確且令人信服地為組織的網絡安全提供保險。總而言之,如果沒有切實可行的短期激勵措施,組織不可能優先考慮網絡安全信息共享。
運營、互用性障礙。目前存在與網絡安全信息共享相關的多種標準、框架和技術,這進一步阻礙了信息共享的廣泛採用。技術標準主管部門、國家機構和某些行業團體雖然實施了適合其環境的特定解決方案,但還需要做更多的工作來提供整個生態系統的互用性,以確保網絡信息安全共享實踐能夠得到協調。缺乏協調不僅使互用性變得困難,而且還迫使監管方對隱私和其他權利因素進行重新評估,為每個新的標準和框架設置了額外的不必要障礙。
4 下一代技術如何幫助網絡安全信息共享克服障礙
人工智能、機器學習和隱私增強技術等可以實現一種新的信息共享模式。這些技術將加速建設網絡安全生態系統的集體能力,並更好地確保生態的網絡集體韌性。具體而言,有兩種新技術可以幫助社區克服信息共享障礙,一是可以增強共享信息的有效性和價值的人工智能(AI)和機器學習(ML)技術;二是可在共享信息的同時保護隱私和安全的隱私增強技術(PET)。
人工智能和機器學習對於網絡安全信息共享格局可能具有變革性。它在自動化和擴展組織的分析和防禦功能的同時,極大地擴展了可供安全團隊和研究人員使用的數據量。目前許多網絡攻擊是通過對高度技術性數據進行手動分析而診斷出來的,但人工手動分析技能非常昂貴,因此,迫切需要從獲得數據中自動提取有意義情報的新工具,而AI/ML在從其他領域的大數據中提取見解方面取得了巨大的成功。事實上,網絡安全社區正在迅速克服AI/ML部署的障礙,其技術工作集中在能力的三個主要支柱上:一是乾淨的數據。現在,生態系統內可以以前所未有的共享標準生成數據。人工智能可以通過使用自然語言處理(NLP)中的最新技術清理以前的非結構化數據來提供幫助,這將使大量以前無法使用的數據可用於共享和分析。二是可靠的算法。有了乾淨的數據,就可以生成可靠的算法。深度學習尤其推動了具有非凡準確性的攻擊檢測算法的發展,這意味著企業具有較高的發現率,和較低的誤報率,這使其更有可能投入生產並增強組織的防禦態勢。
三是可解釋的AI 。要解決與信息共享有關的當前和將來的許多立法挑戰,需要對基於AI的系統做出的所有決策進行解釋。安全社區已經在可解釋AI領域取得了長足的進步,該領域旨在設計產生輸出解釋的模型,監管方現在能夠理解和解釋模型和系統中任何自動化決策的基本原理,包括全面問責和審計。隱私增強技術(PET)是另一組有潛力改變網絡安全和信息共享格局的新興技術。PET可以向高級領導保證,信息共享的好處可以在遵守數據保護和隱私要求以及管理公司風險的同時實現,方法是“支持分析和共享見解,而不需要共享底層數據本身”。這些技術對於信息共享的未來至關重要,因為其可以幫助克服信息共享的核心障礙:缺乏信任和對隱私的侵犯。具體而言,這可能有助於促成公共和私營部門之間的聯合調查,從而推動集體行動;而對於私營公司而言,這可以提升跨轄區組織或各孤島保護共享數據的能力,以及與第三方協作使用敏感數據的能力,這為許多目前受到監管和法律障礙限制的業務使用案例打開了大門。世界經濟論壇的白皮書認為,有兩種重要的隱私增強技術可以支撐下一代信息共享計劃:一是加密計算 ,包括聯合分析、同態加密、零知識證明和安全多方計算。能使各方(特別是在低信任度環境中)能夠實現對彼此數據的查詢,而無需瞭解對方的數據。二是差分隱私,可用於限制相關查詢結果、共享數據或模型洩漏的私有信息量,方法是向數據集添加噪聲,這樣就不可能對單個輸出進行反向工程。
5 對網絡安全信息共享的建議
為了更好地解決信息共享的障礙,報告提出了以下建議。
提升企業在網絡安全信息共享方面的領導力。組織領導層需要將網絡安全信息共享視為一種戰略能力,並在運營團隊之外的更高級別設立機構進行管理。有了更高級別的治理和監督,領導層就可以更好地建立信息共享能力併為其提供資源,比如投資和建設利於信息共享的運營流程。通過在支離破碎的法律和政策環境中提供保障,比如適當的監督,潛在地共享可能被歸類為敏感和專有的信息,提升領導力可以顯著地幫助這一過程。
提升對網絡安全技術的關注。首先,監管機構和政府機構,特別是那些對網絡安全調查和共享機構進行監督的機構,需要就PET技術的應用、使用和部署向實體發佈指導意見,以加速其採用。其次,信息共享社區需要促進現有的無成本和開源工具的使用和潛力,為正在進行的這些工具的開發和維護貢獻資源,並積極參與開源軟件社區。可信和可擴展的網絡信息共享需要以共享、靈活、可信、廣泛和低成本的技術為基礎。快速發展網絡安全信息共享的最有效途徑是共同提高現有免費可用技術的質量、靈活性和安全性。此外,需要努力使信息共享框架和技術標準在轄區和部門之間實現廣泛互用。信息共享倡議應確保其數據格式是開放的、容易獲得的和廣泛共享的,以鼓勵互用性和跨部門協作。
在政策和行業層面促進信息共享。首先,監管部門應制定針對網絡安全信息共享特定的指導和框架,包括基於隱私和權利的原則、責任、損害和補救措施,以創建和管理跨部門信息共享工作。通過為道德和負責任的信息共享提供明確的指導方針,現有的社區將能夠迅速創新,而不會被可能造成的危害的不確定性所阻礙。其次,現有共享社區應持續積極公開共享與信息共享相關的法律解釋和合規最佳做法,這將減少各組織評估開展網絡信息共享工作的風險和回報所需的初始資源,以及信息共享社區在不斷變化的法律和政策環境中保持合規性所需的持續資源。此外,需要做更多的工作來審查和促進參與信息共享生態系統的有效激勵措施(包括積極激勵和消極激勵)。
對人工智能和機器學習在共享信息上的運用加大研究。需要進行更多的研究和部署,使AI和ML作為一種防禦和信息共享的新興能力能夠更具操作性,更多的部署將使社區開始關注新的威脅情報框架和基於人工智能的模型。另外,應該促進新的共享功能,使社區能夠共享非結構化或鬆散結構化的數據,因為這些數據可以通過AI和ML進行分析增值。
編譯 | 林是苗/賽博研究院實習研究員
賽博聲明
本報告為賽博研究院編譯出品,僅用於公益交流,非商業目的。文中觀點不代表本機構立場,內容和圖片如有知識產權問題,請及時聯繫我們修改刪除,如需轉載請獲得授權。聯繫方式:[email protected]
