今年秋季,美国参议院有望再看看网络安全信息共享法案,或CISA,但许多安全专家和隐私倡导者的反对。
网络安全一直是新闻了很多这个夏天,而不是只用几个新高调违规在政府和私营部门。
仅在上个月,五角大楼就开始要求国防承包商报告网络安全漏洞,白宫管理和预算办公室(White House Office of Management and Budget)为承包商供应链提出了新的网络安全规则,一家法院同意联邦贸易委员会(Federal Trade Commission)有权执行网络安全标准。
和许多安全专家一致认为,这是对公司共享网络安全信息,实时地重要,没有被公开尴尬,罚款或起诉的风险。
“我了解关注隐私的个人和组织的关注,”杰里尔湾,CIO在弘景解说道。“但底线是,我们无法保护自己,不表明联邦政府实际的技术数据,我们的行业和机构内的其他组织的能力。”
这是极为重要的法律获得通过,他补充说,由于现有的信息共享平台是不够的,或者不是实时的。
Simon Crosby, Bromium n的联合创始人和CTO
Bromium联合创始人兼CTO西蒙•克罗斯比(Simon Crosby)表示:“在我看来,有关中钢协隐私问题的担忧被夸大了。”“毫无疑问,更广泛、更快地共享威胁情报将带来许多好处。”
但该法案,因为写的,有问题,别人说。
隐私?什么隐私?
最令人担忧的CISA法案的大多数评论家都是,它似乎更多的是关于政府收集信息不是关于帮助企业提高安全性。
AlienVault高级产品经理安迪•马诺斯克(Andy Manoske)表示:“对于安全界的大多数人来说,对中isa的担忧在于,它可能会为未经授权获取个人信息开辟另一条途径。”
据Manoske,政府机构将能够抓住任何私人数据,他们说是有关的暴力犯罪,而不与其他国际组织的手令或共享用户隐私数据。
[关于CSO:美国监视披露大多无用业务]
Fidelis Cybersecurity首席安全官贾斯汀•哈维(Justin Harvey)表示:“该法案的起草方式将赋予企业监视所有用户而不受惩罚的能力,目的是检测他们是否构成了‘网络威胁’。”“这些信息可以与国土安全部共享,后者可以将数据实时发送给国家安全局,企业也可以完全绕过国土安全部,将数据发送给国家安全局。”
该法案的唯一积极的特点,他说,是它要求联邦政府与商业部门共享网络威胁的信息。
“我还没有听说过任何安全专家支持该法案,”他补充说。“谁支持它要么不知道太多关于威胁情报共享或者他们不知道有足够的了解该法案。”
笨拙的和无效的
与此同时,专家们说,在实际改善安全方面,CISA写得太糟糕了,没有任何好处。
弗吉尼亚州Sterling公司的创始人兼首席建筑师Jason Polancich表示:“抛开隐私问题不谈,出于各种原因,它将完全不起作用。SurfWatch实验室。“最大的原因是,国会根本不理解这些正在立法的问题。信息共享是困难的——没有一种模式适用于所有人,我们的政府根本没有准备好像网络罪犯现在的行动那样迅速。”
他补充说,中国钢铁工业协会将是在浪费时间和纳税人的钱。
“中钢协要求几乎没有什么实际的安全保护方面,” AlienVault的Manoske说。“事实上,在一个特别滑稽的监督,这种威胁的指标报道CISA缺乏上市报告标准的手段将要求组织通过指标来筛选手动 - 任意引入时间延迟。”
事实上,中国钢铁工业协会甚至可能制造新的安全问题,美国钢铁工业协会首席安全策略师本•约翰逊(Ben Johnson)表示harry sverdlove。
“很多私人和个人身份信息可以为网络攻击者可以共享设置另一个赚钱的目标,这一事实,”他说。
一些安全专家指出,联邦政府不完全具备在保护数据的良好声誉。
最近的违反人事管理办公室的规定“每个人都表现出我们的政府网络如何多孔和弱势群体,”在首席执行官Ron古拉说,成立网络安全。他建议,我们需要的是在有关联邦机构安全实践的更多信息。
该法案的另一个问题是,一些为使其更好而增加的修正案实际上使其更糟。
例如,一个修订旨在帮助检察机关采取了僵尸网络,但在解释一个僵尸网络正是做不好工作。
“一个过分热心的检察官可以用它来攻击任何政府不喜欢的行为,”Ryan Kalember说,他是网络安全策略的高级副总裁的构建。“这包括合法的对等网络软件的例子很多。”
还有的已经分享回事
目前已经有十几个信息共享和分析中心,涉及航空、国防、金融、IT、医疗保健、能源、房地产、教育、交通和其他工业部门。
RSA会议顾问委员会成员托德英斯基普(Todd Inskeep)表示:“考虑到正在组建的ISACs的数量,我也担心是否真的需要一个信息共享法案。”“企业之间和政府之间已经有了大量的信息共享。目前尚不清楚是否真的需要出台新规定。”
此外,还有商业威胁情报信息服务。
“所有的大牌球员,因为他们想看到其他人都有,匿名交流的恶意软件样本,” Kalember说。“而且它非常非常有用的信息。私营部门一直在做这样的事情了很长一段时间。”
没有能力自己建立信息共享基础设施的公司越来越多地求助于为他们提供这方面服务的安全供应商。
这个领域最近的一个供应商是TruSTAR技术,该协议允许企业在以匿名的方式彼此即时分享威胁数据。
前白宫网络安全顾问、首席执行官保罗·库尔茨(Paul Kurtz)说:“它允许公司合作,在不知道信息来自你的情况下共享可操作的信息。”
而且成员组织并不仅仅是出于他们的好心来分享,因为他们会立即得到关于其他类似报告的反馈,并从其他人已经学到的东西中获益。这些平台甚至使来自不同公司的安全分析师能够以匿名的方式或以可信的群组合作,共同反击攻击。
事故数据库被剥离的所有身份信息,库尔茨说,关于个人有关的共享信息的组织或者个人身份信息,或者信息。
“即使山姆大叔来问我,‘你从哪里得到这些数据的?’我不能告诉他们,”库尔茨说。“并不是我不愿意告诉他们——我不能告诉他们。”
但是,尽管他的公司提供专为解决同类问题CISA产品的事实,库尔茨支持立法。
“我确实认为我们需要国会,使企业在打败坏人互相和工作相互连接,”他说。“现在,他们有一只手绑在背后。”
这篇报道,“安全专家大多批评提出的威胁情报共享法案”最初是由方案 。