CISO发现在经过审查的来源之间共享信息的价值,他们希望最大限度地利用从这些来源收集的情报。首席信息安全官ChadKliewer在2020年12月听到了有关SolarWinds网络攻击的初步报告,他对那些遭到黑客攻击的公司表示同情。不久之后,他开始收到来自同事的消息,希望确保他了解最新信息:位于俄克拉荷马州翠鸟市的一家小型电信公司Kliewer'sPioneerTelephoneCooperative已经上市。对于Kliewer而言,其他安全领导者提早采取措施的那些提醒清楚地表明了在行业内建立信息共享社区的价值。Kliewer是面向小型宽带提供商的信息共享和分析中心(ISAC)Cyber??Share的成员,也是俄克拉荷马州通信部门协调委员会(CSCC)的成员。他还与其他信息安全领导人组成了一个非正式社区。他承认,当时他忽略了这些群体的重要性,因为太忙而无法与团队成员进行更多互动,也没有看到他们可以提供的价值。但当他参与其中并亲身体验了他们如何提供帮助时(就像在SolarWinds活动中的情况一样),Kliewer成为了倡导者。“多年来,我一直在分享安全信息并将其公开,”他说。“我们都面临着同样的痛苦,这只是一个愿意分享痛苦并在可信赖的团队中筛选信息的问题,这样其他人就不会遭受同样的痛苦。”一起移动网络安全从业者之间的信息共享趋势难以量化,衡量参与此类活动意愿的数据也不容易获得。但Kliewer和其他信息安全领导者表示,他们已经看到首席信息安全官的思维发生了变化,他们曾经对他们的措施、内部威胁甚至整体威胁形势含糊其辞。近年来这种情况有所缓解。许多现在属于多个信息共享小组的CISO现在正在倡导他们的同行也这样做,称这是帮助每个人应对网络攻击者战略的一部分。德勤在其2021年未来网络调查报告中指出:“所有行业都容易受到网络攻击的认识导致更广泛的知识共享。学习和理解有效的方法来自其他行业的信息将变得越来越重要。虽然没有单一的简单解决方案来管理网络安全,但是其中的许多企业在数字化转型过程中面临的威胁很常见。随着网络攻击变得越来越普遍,没有哪个行业或地区能够幸免,但它们可以相互学习如何在它们确实发生时有效应对。为此,与同行分享经验和知识是改善整体安全环境的基本要素。更加开放,但障碍依然存在当然,CISO和其他高管一样,多年来一直有交流机会和其他活动,使他们能够交流想法和寻求建议。ISAC并不新鲜。ISACs的概念来源于1998年2010年发布的美国政府指令,促使各个关键基础设施部门建立一个组织来共享有关威胁和漏洞的信息。AviationISAC总裁兼首席执行官JeffreyTroy表示,近年来,人们变得更愿意分享,分享的需求也越来越大。特洛伊说:“这需要很长时间才能实现。“AviationISAC成立于2014年,已从7家创始成员公司发展到包括五大洲的88家成员公司。其成员资格向航空公司、机场、工业制造商和其他服务于该行业的公司开放。AviationISAC在其2021年开展业务案例报告指出,“航空业仍然是网络威胁行为者的一个高度可见的目标,该行业将在2020年看到勒索软件攻击、网络入侵、受损的商业电子邮件、DDoS攻击、欺诈等。即便如此,持续、广泛合作的障碍特洛伊指出,“我们发现有更多的信息可以分享,但在讨论重大网络攻击时有些犹豫。”他承认,即使在ISAC这样的可信网络中,一些企业也不愿意分享信息;有些犹豫是因为被黑客攻击后可能提起的诉讼;以及在不通知政府或法律机构的情况下进行和解参与软件攻击的人我们不想告诉其他人发生了什么。不过,特洛伊表示,他并不完全支持这种观点。他将这种行为比作抢劫未报告的受害者,这使得其他人容易受到网络攻击。他说,“如果你与其他人分享信息,这将对他们有所帮助。网络安全也是如此,每一点网络情报都会有所帮助。“没有人可以单独成功。”这种推理在有关ISAC的对话中反复出现支持者一致认为,如果CISO与同事和其他安全行业官员(如供应商高管和政府官员)孤立地协作,网络攻击的数量、速度和复杂性的增加将阻碍CISO在他们的工作中取得成功.“这很关键,因为这个问题已经变得如此严重,以至于即使是最大的组织也无法像孤岛一样独立存在,”凯捷北美网络安全卓越中心负责人大卫奥贝里说。ISAC创建了一个伟大的信息共享网络,企业可以参与其中并使它变得更强大,而无需自己完成所有工作几乎是不可能的,”HealthISAC总裁兼首席执行官DeniseAnderso说,他已经看到了其中的价值。当Petya/NotPetya网络攻击于2017年6月首次浮出水面时,该小组让来自30多个组织的60多人在48小时内进行协作,以确定攻击媒介是什么、攻击如何在网络中传播以及如何阻止它。Anderso说:“我们不仅在内部与我们的成员分享它,而且在我们的网站上公开它,以便每个人都可以从这项伟大的工作中受益。这一点尤其重要,因为当时共享了很多不正确的信息,我们可以提供基本事实和可行的缓解措施。我们现在正在对Log4j漏洞做很多相同的事情。”可信数据,直接答案MarcVael,全球企业集团Danaher的首席信息安全官和治理协会ISACA的前任主任,也有类似的观点。Vael说,他还看到许多CISO变得更愿意参与ISAC和其他此类团体,他认为这是加强他们保护自己组织的能力的一种方式。他的公司是ISAC的一部分,他是其中的积极参与者,并且他是当地首席信息安全官小组的成员,该小组通过安全的通信平台定期交换信息和建议。Vael说他认为参与其中很有价值。他喜欢询问其他人关于特定解决方案的经验,听取他们应对特定挑战的策略细节,并快速获得直接的答案。他们围绕最近的Log4j漏洞进行的交流进一步证明了信息共享的价值,因为ISAC和一些CISO都提供了与他和他的公司相关的一系列安全漏洞的可靠数据,他说。Vael说他很乐意提出问题和分享想法,因为他的ISAC和其他人一样有保密协议,而且非正式的CISO小组受保护参与的查塔姆研究所规则的约束。他们透露了谁和什么。此外,他知道成员之间共享的信息来自可靠的、经过审查的来源。他补充道,“如果你想成为一名成功的CISO,你必须能够访问多个高质量的渠道。”最大化信息共享的价值事实上,CISO向ISAC和类似团体学习获得价值的最佳方式是加入并积极参与。CISO应提供有关他们正在使用的策略、技术和程序(TTP)的详细信息;他们看到的威胁活动,他们遇到的挑战,以及哪些策略和解决方案取得了最大的成功。此外,安全领导者表示,CISO不仅应该与他们的行业ISAC合作,还应该与其他团体合作,例如由区域实体、政府机构、供应商和技术社区组织的团体。然后,CISO必须找到一种方法,将他们获得的信息带回他们的团队和他们自己的运营中。“所以需要采取实际行动,”奥贝里说。这意味着自动摄取许多ISAC生成的威胁情报源、向团队成员传播安全要点、根据新信息调整策略等等。管理互联网共享的NTCA的总法律顾问兼政策副总裁吉尔坎菲尔德说,“我们可以发布世界上所有的信息,但除非人们付诸实践,否则不会有多大好处。”关键是获取信息。并将其付诸行动。获取人们需要学习和应用的信息。”
