【编者按】2020年10月,世界经济论坛发布报告《网络安全信息共享——构建集体安全》(Cyber Information Sharing: Building Collective Security)。报告认为,网络安全是当今世界面临的最重要性的问题之一,新冠疫情大流行导致劳动力和部门迅速向数字化转型,进一步加剧了现有的网络安全挑战。可信、安全和可扩展的网络安全信息共享可以成为维护网络安全的解决方案。然而,网络信息共享生态系统中仍然存在诸如跨部门合作不畅、管辖合作存在差距、缺乏网安技能、战略和资源不重视、信任和隐私关注等障碍。人工智能技术(AI)和机器学习技术(ML)、隐私增强技术(PET)等新技术有望帮助克服这些障碍。最后,报告从领导力、新技术、政策和行业、研究等方面给出了促进网络安全信息共享的建议。
1、网络安全信息共享的定义和意义
所谓网络韧性(Cyber Resilience),是指对企业在持续有效开展业务的同时能够很好地防护网络攻击或数据泄露的能力的一种度量,包括四个主要组成部分:威胁防护、可恢复性、适应性和持久性。
网络安全是由多利益主体生态系统定义的,因此需要从整体的角度来看待,该生态系统的所有基础设置都需要具备系统韧性。全球机构所面临的网络安全挑战要求人们改变管理安全风险的传统模式,单单靠个体的能力无法改变,没有一个个体能够看清整个问题空间,因此协作和信息共享至关重要。在正确的时间以系统的方式与正确的利益相关方分享正确的见解,将有助于有效保护个体和集体网络安全。
网络安全信息共享可以帮助建立集体韧性。网络信息共享提供一种整体生态系统,能够与不同的利益相关者大规模共享情报,从而为组织提供正确的态势感知能力来保护自己。通过这种方式,生态系统可以回答已经发生了什么,以及可以对恶意活动做些什么。这可以提供三个关键领域的有效信息: 一是战略,帮助个体了解他们正在防御的威胁类型、威胁的动机和能力以及攻击的潜在后果和风险的信息;二是运营,帮助个体决策、资源分配和任务优先化的信息。它包括趋势分析、显示威胁行为者的技术方向,以及对恶意战术、技术和程序的理解;三是技术,来自技术数据、攻击来源和系统的信息,这些信息通常来源于近乎实时的网络信息监控和共享,提供了能够影响战术决策的见解。
网络安全信息共享能够帮助建立打击网络犯罪的公私集体行动平台。网络信息共享能够推动公共和私营部门之间的集体调查和行动。如果不正视网络犯罪活动的根源、降低网络犯罪回报和增加网络犯罪被起诉风险,建立起对网络犯罪更有效的威慑模式,就无法彻底解决网络犯罪问题。全球社区中出现的最成功的信息共享模式是执法部门和私营部门之间的信息共享模式,这些模式可以有效检测和阻止网络犯罪。与传统犯罪不同,检测和打击网络犯罪的技能、数据和能力往往掌握在私营部门手中。但这些新兴模式很难扩大规模,政党,政企之间共享信息充满了潜在的隐私、安全和正当程序问题,以及对保护自由表达、结社和政治参与权的挑战。此外,对建立行动平台的激励模式仍处于萌芽状态,因为各团体需要明确承担推动集体行动的成本和责任的主体。
归根结底,网络信息共享对于建立全球网络安全社区的意义在于,它帮助我们从个体韧性转向集体韧性。
2、网络安全信息共享的重要性
有两个主要的驱动因素可以解释为什么消除信息共享的障碍越来越重要。
一是数字化转型、科技的快速发展与新冠疫情。新价值所依赖的数字技术推动了网络安全作为一个战略问题的日益重要性和关注度。全球经济面临的一个主要风险是,网络安全问题成为贸易的战略壁垒,日益扩大的数字攻击面变得越来越难以有效防御。新冠疫情的影响使得解决这一问题变得更加紧迫,各部门和行业的大规模、快速和基本上无计划的数字化大大增加了全球对数字基础设施及其安全性的依赖。新冠疫情大流行后的网络安全被全球高管列为继长期衰退风险和破产预期之后的第三大风险。
二是当前信息共享模式并不是为第四次工业革命和未来安全生态系统所构建的。数字生态系统并没有停滞不前,不久的将来,最重要的技术将通过一系列重大变化而不仅仅是增量更改,从而改变安全格局。新技术将改变需要防御的内容以及攻击者针对它的方式,这将对当前设计的信息共享运营和治理模型构成重大挑战。如果不采取措施激励产生新的信息共享解决方案,那么社区可能就没有足够的能力来提供生态系统所要求的网络韧性和保证。
3、网络安全信息共享需要克服的七个障碍
过去十年来,全球在促进更好的网络信息合作和共享方面取得了重大进展,包括出现了一些有特色的运作模式(如国际审计准则)。然而,此报告认识到,在支持全球经济安全和韧性的更大信息方面,存在七个障碍。要克服这些障碍,需要通过公共、私营和民间部门多个利益攸关方的参与,在合作、能力和治理方面进行系统性改进。通过广泛可用的治理模式、指导和基础技术以及明确的激励措施来降低进入壁垒,以实现各方对信息共享生态系统的广泛参与。还需要做大量的工作来平衡有效的信息共享和保护隐私与合规方面的需求。
这七个障碍分别是:
各地区和各部门之间的信息共享差距。在促进网络信息共享方面取得最大进展的是网络最成熟的地区和部门,比如美国和欧洲金融服务(ISAC)以及NIST等提供的框架。相比之下,在欠发达的市场和部门,信息共享需要取得更大的进展。例如,在非洲,只有8个国家制定了网络安全战略,只有13个国家建立了政府计算机应急小组,作为建立国家信息共享方案的机构。此外,即使在网络信息共享相对成熟的地区,区域之间仍然存在信任和协作障碍。
信息共享的技能和能力。信息共享需要组织拥有较高水平的网络安全技能,但其对资源的压力极大地影响了组织建立和部署必要的高级技能和能力以促进信息共享和自身利用信息。作为网络安全技能市场的一个专门分支领域,威胁情报受到的影响尤其大,因为它特别需要技能和经验来发挥作用。在2020年英国政府网络安全技能报告中,威胁情报被列为最受欢迎的安全技能之一,近五分之一的企业表示欠缺与威胁情报相关的技能。
信任和隐私。企业层面和政府层面的领导者之间缺乏信任来进行信息共享,私营部门往往不愿意与政府分享信息,因为没有什么好处且容易受到监管影响;地缘政治因素和国际合作的分散会影响各国公共部门对数据交换项目的热情,且不同国家对数据隐私的重视差异也使这种合作更加复杂;跨部门信息共享进一步受阻,因为相关方担心给竞争对手带来优势,以及泄露敏感的内部数据;缺乏针对具体工作的指导工具,直接将现有的隐私原则、责任、危害和补救措施映射到跨部门信息共享的创建和管理,这显然并不合理。
立法、政策和数据本地化。目前,各司法管辖区之间缺乏一致性和协调性,在许多情况下,与网络信息共享相关的法规相互冲突,尤其是在对组织披露敏感专有信息方面。更引人注目的是数据本地化的趋势,政府强制要求关于其公民或居民的数据只能存储在其国内,或者在向外传输之前满足当地的隐私和安全要求,这可能会阻碍或完全禁止某些信息的流动共享。国家和国际组织之间进行的信息共享也因强有力的披露和确保适当的正当程序和公共监督而变得更加复杂和低效。
投入成本。为了能够有效地接收、分析网络情报并将其转化为机构的全面防御态势,需要对正确的技术、人员和治理方面进行投资。对于希望从参与信息共享生态系统中获得回报的决策者和领导者来说,估计有形投资的成本和目标往往很困难,因为缺乏衡量此类投资收益的商定标准。此外,组织(尤其是发展中经济体的组织)的安全预算只关注最紧迫的问题,很少关注更全面、更成熟的战略。
缺乏明确的激励措施。网络安全信息共享缺乏传统的积极激励(有形的短期保护利益、责任保护、保险激励)和消极激励(合规要求、监管压力)。组织通常担心披露他们所经历的特定攻击会造成声誉损害或法律风险,尤其是没有成功阻止攻击的情况。此外,其他激励措施,如网络保险,目前并没有一个信息共享计划能够明确且令人信服地为组织的网络安全提供保险。总而言之,如果没有切实可行的短期激励措施,组织不可能优先考虑网络安全信息共享。
运营、互用性障碍。目前存在与网络安全信息共享相关的多种标准、框架和技术,这进一步阻碍了信息共享的广泛采用。技术标准主管部门、国家机构和某些行业团体虽然实施了适合其环境的特定解决方案,但还需要做更多的工作来提供整个生态系统的互用性,以确保网络信息安全共享实践能够得到协调。缺乏协调不仅使互用性变得困难,而且还迫使监管方对隐私和其他权利因素进行重新评估,为每个新的标准和框架设置了额外的不必要障碍。
4、下一代技术如何帮助网络安全信息共享克服障碍
人工智能、机器学习和隐私增强技术等可以实现一种新的信息共享模式。这些技术将加速建设网络安全生态系统的集体能力,并更好地确保生态的网络集体韧性。具体而言,有两种新技术可以帮助社区克服信息共享障碍,一是可以增强共享信息的有效性和价值的人工智能(AI)和机器学习(ML)技术;二是可在共享信息的同时保护隐私和安全的隐私增强技术(PET)。
人工智能和机器学习对于网络安全信息共享格局可能具有变革性。它在自动化和扩展组织的分析和防御功能的同时,极大地扩展了可供安全团队和研究人员使用的数据量。目前许多网络攻击是通过对高度技术性数据进行手动分析而诊断出来的,但人工手动分析技能非常昂贵,因此,迫切需要从获得数据中自动提取有意义情报的新工具,而AI/ML在从其他领域的大数据中提取见解方面取得了巨大的成功。事实上,网络安全社区正在迅速克服AI/ML部署的障碍,其技术工作集中在能力的三个主要支柱上:一是干净的数据。现在,生态系统内可以以前所未有的共享标准生成数据。人工智能可以通过使用自然语言处理(NLP)中的最新技术清理以前的非结构化数据来提供帮助,这将使大量以前无法使用的数据可用于共享和分析。二是可靠的算法。有了干净的数据,就可以生成可靠的算法。深度学习尤其推动了具有非凡准确性的攻击检测算法的发展,这意味着企业具有较高的发现率,和较低的误报率,这使其更有可能投入生产并增强组织的防御态势。三是可解释的AI 。要解决与信息共享有关的当前和将来的许多立法挑战,需要对基于AI的系统做出的所有决策进行解释。安全社区已经在可解释AI领域取得了长足的进步,该领域旨在设计产生输出解释的模型,监管方现在能够理解和解释模型和系统中任何自动化决策的基本原理,包括全面问责和审计。
隐私增强技术(PET)是另一组有潜力改变网络安全和信息共享格局的新兴技术。PET可以向高级领导保证,信息共享的好处可以在遵守数据保护和隐私要求以及管理公司风险的同时实现,方法是“支持分析和共享见解,而不需要共享底层数据本身”。这些技术对于信息共享的未来至关重要,因为其可以帮助克服信息共享的核心障碍:缺乏信任和对隐私的侵犯。具体而言,这可能有助于促成公共和私营部门之间的联合调查,从而推动集体行动;而对于私营公司而言,这可以提升跨辖区组织或各孤岛保护共享数据的能力,以及与第三方协作使用敏感数据的能力,这为许多目前受到监管和法律障碍限制的业务使用案例打开了大门。世界经济论坛的白皮书认为,有两种重要的隐私增强技术可以支撑下一代信息共享计划:一是加密计算,包括联合分析、同态加密、零知识证明和安全多方计算。能使各方(特别是在低信任度环境中)能够实现对彼此数据的查询,而无需了解对方的数据。二是差分隐私,可用于限制相关查询结果、共享数据或模型泄漏的私有信息量,方法是向数据集添加噪声,这样就不可能对单个输出进行反向工程。
5、对网络安全信息共享的建议
为了更好地解决信息共享的障碍,报告提出了以下建议。
提升企业在网络安全信息共享方面的领导力。组织领导层需要将网络安全信息共享视为一种战略能力,并在运营团队之外的更高级别设立机构进行管理。有了更高级别的治理和监督,领导层就可以更好地建立信息共享能力并为其提供资源,比如投资和建设利于信息共享的运营流程。通过在支离破碎的法律和政策环境中提供保障,比如适当的监督,潜在地共享可能被归类为敏感和专有的信息,提升领导力可以显著地帮助这一过程。
提升对网络安全技术的关注。首先,监管机构和政府机构,特别是那些对网络安全调查和共享机构进行监督的机构,需要就PET技术的应用、使用和部署向实体发布指导意见,以加速其采用。其次,信息共享社区需要促进现有的无成本和开源工具的使用和潜力,为正在进行的这些工具的开发和维护贡献资源,并积极参与开源软件社区。可信和可扩展的网络信息共享需要以共享、灵活、可信、广泛和低成本的技术为基础。快速发展网络安全信息共享的最有效途径是共同提高现有免费可用技术的质量、灵活性和安全性。此外,需要努力使信息共享框架和技术标准在辖区和部门之间实现广泛互用。信息共享倡议应确保其数据格式是开放的、容易获得的和广泛共享的,以鼓励互用性和跨部门协作。
在政策和行业层面促进信息共享。首先,监管部门应制定针对网络安全信息共享特定的指导和框架,包括基于隐私和权利的原则、责任、损害和补救措施,以创建和管理跨部门信息共享工作。通过为道德和负责任的信息共享提供明确的指导方针,现有的社区将能够迅速创新,而不会被可能造成的危害的不确定性所阻碍。其次,现有共享社区应持续积极公开共享与信息共享相关的法律解释和合规最佳做法,这将减少各组织评估开展网络信息共享工作的风险和回报所需的初始资源,以及信息共享社区在不断变化的法律和政策环境中保持合规性所需的持续资源。此外,需要做更多的工作来审查和促进参与信息共享生态系统的有效激励措施(包括积极激励和消极激励)。
对人工智能和机器学习在共享信息上的运用加大研究。需要进行更多的研究和部署,使AI和ML作为一种防御和信息共享的新兴能力能够更具操作性,更多的部署将使社区开始关注新的威胁情报框架和基于人工智能的模型。另外,应该促进新的共享功能,使社区能够共享非结构化或松散结构化的数据,因为这些数据可以通过AI和ML进行分析增值。
