上周末在SXSW大会上,两名国会议员建议美国建立一个类似于国民警卫队的网络安全储备系统,但这一想法在网络安全界受到了褒贬不一的欢迎。
来自德克萨斯州的共和党众议员威尔·赫德(Will Hurd)表示,国家网络安全储备有助于加强国家安全,并带来多样化的经验。赫德拥有德州农工大学(Texas A&M)的计算机科学学位,曾担任中情局(CIA)卧底官员,并在网络安全公司FusionX担任合伙人。
他一直在推动一个网络国民警卫队的想法,并提出了政府可以原谅服务的人的贷款债务。它还有助于确保政府和行业之间的经验交叉授粉。
“私营部门和公共部门都无法单独保护我们的国家免受网络对手,”他说在去年夏天的一篇评论文章里.
他的同事、来自亚利桑那州的民主党众议员、前海军陆战队老兵鲁本·加乐高(Ruben Gallego)说,一个专业的网络国民警卫队(Cyber National Guard)可以帮助吸引急需的技术人才加入后备军。
“我们必须接受这个事实,看,这个人不会使用机关枪,我们为什么要把他们送进训练营,我们永远不会把他们送到前线去,”加乐高说告诉CNN..“但我们绝对可以利用他们的知识为我们的国家服务。”
需求是至关重要的
“这是一个奇妙的想法,”汉克·托马斯,合作伙伴和合唱会说战略网络企业.
他说,政府招聘网络安全人才的体系已经崩溃。
“并且没有任何迹象将很快修复,主要是因为在商业空间中的网络人才的战争太竞争了,”他说。“对人才的战争是真实的,我们将赢得当前网络战争或第二次世界大战的唯一方式,将有一个更大更大和更具能力的网络力量。”
联邦技术总监约翰·奇哈特(John Chirhart)说,军队的招募已经跟不上了站得住脚的网络安全.
他说:“我们对所有传统的军事部门都有军事储备,但对网络领域却没有,这主要是因为限制性的军事招聘政策阻碍了信息安全专业人员的加入。”
他说,例如,典型的预备役军人接受的是射击步枪或驾驶直升机的训练,但网络专业人员已经接受了训练。此外,还有文化差异,他补充道。“被迫剪头发,不得不外出工作,被派往远离家人的地方。”
“在网络安全精英的队伍中有很多爱国者,但没有多少人会离开利润丰厚的企业和咨询工作加入军队,”Jonathan Sander说,他是产品战略副总裁Lieberman软件。“然而,为他们提供一个选择,既能保持收入,又能在需要的时候随时参与国防工作,你或许就有了一个成功的公式。”
Paul Calatayud, CTOFireMon,有个人经验,这种情况完全相同。
“我在军队里待了8年,支持网络安全,其中一个重大冲突是如何平衡我不断发展的文职事业和我想以我所知道的最好方式为国家服务的愿望,”他说。“通过建立一个类似国民警卫队的结构,像我这样的人可以回来提供帮助,而不会产生冲突。”
许多专家希望国家网络警卫队能够帮助解决政府级别的网络安全人才短缺问题。
“政府应该在越来越多的安全专业人士和扩大网络安全方案方面取得积极性,”高级产品经理Blue Lang说真实性这家网络安全公司正在与美国能源部(Department of Energy)合作,减少针对工业和公用事业网络的网络攻击。“它和我们共享基础设施的其他部分一样重要——由于目前缺乏可见性,可能更重要。”我们可以看到一个持续的项目的价值,让安全专业人员保持‘温暖’,熟悉政府系统、漏洞和痛点。”
“网络安全问题不会通过任何单一的解决方案来解决,但任何表明稳定的资金和组织专注于实地行动以确保美国数据安全的方案都引起了我的注意,”该公司联合创始人兼首席科学家丹·卡明斯基(Dan Kaminsky)说白色的行动。“这是专门有趣的是,保险人在公共和私营部门之间创造了很多交叉授粉。攻击者不关注组织边界 - 有效的防御将需要在这些边界上进行合作。”
美国可以寻求成功的例子。
Eran Barak,CEOHexadite,在以色列国防军的精英情报单位服务。然而,该国确实有了很大的优势。
他说:“我们在包括情报和网络部门在内的所有部门都有义务服兵役。”“如果有人没有出现,他们会被起诉。要在美国实施同样的系统,你需要有足够大的激励机制来吸引网络安全人才,同时给雇佣这些专业人员的私营部门雇主以激励。”
Morey Haber,技术副总裁BeyondTrust
肯尼斯格雷斯表示,另一个可以作为榜样的国家是爱沙尼亚,高级研究科学家科摩多组,以及一位北约大使。
“今天,爱沙尼亚是该地区的领导者,”他说。
2007年,爱沙尼亚的金融和政府基础设施遭到大规模攻击,人们普遍认为这是俄罗斯所为。从那时起,爱沙尼亚国防联盟建立了一个网络部队,有数百名平民志愿者,他们可以在紧急情况下被召唤。
不是政府的工作
然而,其他安全专家担心,建立网络国民警卫队将是错误的一步。
“在我的个人观点中,这是一个可怕的想法,”技术副总统莫迪哈德说BeyondTrust。“它代表了大政府的所有问题。”
没有必要按需一组白帽黑客, 他说。
“供应商应对他们建立的网络安全负责,因为承销商实验室和消费者报告等组织正在加强网络安全测试和评级,并对网络安全的基本立法已经举动,”他说。“我们不需要一个保护互联网和连接设备的FDA版本。让我们从网络安全保护公司获得并允许公司从政府更大,并丧失个人隐私。”
网络国民警卫队(Cyber National Guard)不会解决人员短缺的根本原因Lieberman软件。
“建议的网络国民警卫队解决了财务现实,”他说,称之为“在抵达时死亡,并以幻想经济学的误导理念”。
项目将面临技能,预算问题
专家表示,如果要建立一个国家网络警卫队(National Cyber Guard),该项目将面临重大障碍。
例如,存在协调禁止私营部门攻击攻击并由当地政府司法管辖区拥有的反对攻击的问题。网络国家警卫会迈进吗?谁将负责?
该公司安全研究主管里奇•巴杰(Rich Barger)表示,所有这些都需要事先计划好Splunk。
他说:“建立和测试这个框架将占用其他政府和民用项目的时间和资源。”
然后有重要的人员配置问题。
“我们的政府类似于企业美国,正在努力找到合格的网络安全专家,”安德鲁霍华德(CTO)说Kudelski安全.“国家卫队网络安全能力的概念是一个好主意,但只是为了帮助增加合格军事专家的数量,而不是为了积极捍卫美国的利益。”
兼职保险人员可以实现多少兼容的限制。
“政府显然在寻找和留住人才方面存在问题,让普通公民担任兼职,填补一些职能空缺,应对重大问题的想法可能会奏效,”安全供应商的技术传销员布莱恩•韦奇(Brian Vecci)表示Varonis Systems..“然而,一名后备网络警卫不太可能帮助发现或防止重大攻击或漏洞。”
“重大违反像opm.不能通过创可贴或周末战士来预防,”他补充道。
事实上,一个兼职部队造成的安全问题可能比它解决的问题还要多。
“在美国历史和调查中的CIA文件中最重要的泄漏泄漏,重点是承包商的历史和调查,克服的第一个问题是如何管理一群大规模民用专业人士的安全许可,可以在短时间内获得政府制度或技术术语基础,“全球产品营销负责人David Vergara说瓦斯科数据安全.
他不是唯一担心这个的人。
“如果这些临时工人要发现并修补漏洞,审计和升级系统,他们将需要大量访问这些系统的特权,”俄科斯特大学首席科学家伊戈尔·贝卡洛夫(Igor Baikalov)表示Securonix。而且,正如任何一位内部威胁专家会告诉你的那样,有特权进入的临时工可以造成很多损害,不管是有意的还是无意的。即便没有任何恶意,与这支网络安全志愿者大军注定会引发的事件数量相比,爱德华·斯诺登和哈罗德·马丁的事件也相形见绌。”
“我不认为这能奏效,”CISO首席安全策略师迈克尔•利平斯基(Michael Lipinski)表示Securonix。“筛查和进入系统需要的时间太长了。就连国会现在也抱怨说,调查人员花了数月时间才进入政府系统,进行‘俄罗斯影响力’调查。”
它只是没有安全许可,减慢响应时间。
Peter Tran,总经理和高级总监RSA安全
“在网络领域,技术迅速变化的威胁条件会产生跨越地缘政治边界的大规模攻击表面,并在几秒钟内发生变化,”该公司总经理兼高级总监彼得·陈(Peter Tran)表示RSA安全。“因此,在批评违规期间调动”周末战士“在提出升天延迟和额外的”停留时间“,以便在预订时需要提高工具,策略和程序时的速度。”
更好的办法可能是利用私营部门的专家进行持续轮岗,以保持技能新鲜,并帮助知识转移。
“你当然不会希望你的战斗机飞行员在一年中只有几个星期,你呢?”他说。
我们已经有国家警卫队负责网络安全
最后,一些专家指出,我们已经在国民警卫队中开展了网络安全项目。去年,国民警卫队表示,计划到2019年在至少30个州建立30个网络部队。
“马萨诸塞州,我的州,已经在发展一个网络ISR集团,其他州已经发展了互补中心,”Ernesto DiGiambattista,创始人和首席执行官说崩溃。“看看一些积极主动的州都在为网络安全做些什么——马萨诸塞州、罗德岛州、华盛顿州和密歇根州。”
还有联邦网络安全组织,Robert Capps,商业发展副总裁说Nudata Security.
这包括国土安全部网络安全部门、美国计算机应急准备小组和国家网络安全中心。
他说:“假设能够获得机构间的合作,一种方法可以是促进和集中现有的高功能网络风险团队,让它与政府和军队各部门的其他成就卓越的人员展开合作。”
通过利用州和联邦政府的现有努力,网络国民警卫队将不必从零开始。
他说:“但是,这样一个部队的最终长期生存能力将取决于它获得的授权,以及履行任务所需要的权力和财政支持。”
这个故事,“专家划分了网络国民卫队的价值”最初发表方案 .