企業是否應該公布安全漏洞信息?
目前,當企業遭到安全突破的時候,他們面臨一個核心的進退兩難的問題:告訴世界并且希望這種誠實會幫助其他人,或者掩蓋這個秘密以避免破壞公司品牌和可能的法律訴訟。業界專家對此展開了爭論。從以下爭論的觀點中可以看到有一個問題是明確的:現在是政府消除這個等式中的疑問的時候了。
觀點1:披露安全漏洞信息是保護我們自己的重要的第一步
Fidelis公司總裁兼首席執行官彼得·喬治(PeterGeorge)發表如下觀點稱,是的,應該要求企業共享安全漏洞信息。這是保護企業的第一步。
在網絡世界,我們有一系列較小的報警信號。我們并不需要出現珍珠港式的暴雨性襲擊之后才開始防范。
在2011年5月,五位民主黨參議員聯名寫信給美國證券交易委員會主席瑪莉·夏皮羅(MarySchapiro),提出了一項動議,要求企業披露他們的網絡風險,意圖在于保護投資者。通過披露安全漏洞信息可以讓投資者做出更符合實際的決策。“對于安全漏洞,我們需要類似的要求以幫助加強我們的防御。”
最近的安全漏洞是有針對性的攻擊結果。這種攻擊首先是注入惡意軟件進行初步感染。一旦進入系統,這個程序就開始呼叫指揮與控制系統,然后進入企業,感染更多的主機并且尋求更高水平的權限和直接訪問有價值的信息。目前信息是在網絡周圍分階段的和悄悄地竊取的。
按照定義,有針對性的攻擊是獨特的、專門設計的滲透到企業并且竊取信息的攻擊。但是,這種攻擊都采取類似方式并且會留下一些痕跡。收集這些痕跡,我們就能夠跟蹤這些腳印,監視壞人使用的路徑。但是,我們需要共享每一次安全漏洞的信息以防止未來的攻擊。
因為潛在的經濟利益,我們知道,即使我們阻止一個攻擊,這個攻擊還會轉向另一個目標。對付這些敵人的唯一方法是采取防御措施。這就需要共享有關攻擊的知識。這種知識共享必須擴展到聯邦機構和私營部門。
作為一個初步步驟,美國政府需要創建一個信息交換中心。如果企業同意遵守一套嚴格的報告要求就可以訪問這些信息。我們還需要強制規定企業向這個信息交換中心提供有關網絡安全漏洞信息。所有這些信息將集中匯總,并且將制定一個溝通和協作的流程以便跟蹤在一個企業網絡中的每一個國外的腳印。
企業應該披露網絡入侵和這種入侵的法律證據。這對于防止這些攻擊破壞我們的企業的生存能力和我們的國家安全利益是非常重要的。
雖然聯邦政府和私營企業的合作已經有一段時間,但是,這種協作需要標準化。目前,政府可能警告一個企業有關可疑的活動,讓企業發現在其網絡上在發生什么事情。但是,沒有要求企業證實這個活動和共享企業所了解的信息。
2011年將是值得紀念的,因為Anonymous、LulzSec和黑客合伙采取了行動。黑客組織是聰明的。他們相互協作。我們也需要這樣做。
雖然在這方面看到團隊的協作是令人興奮的,但是,現在是把這種努力放在動議中的時候了。現在,壞人擁有優勢。
改變這種力量的平衡需要更好的協作,共享信息并且通過技術創新和改善流程達到更好的安全態勢。我們不能再把安全突破看作是單獨的威脅。作為更大的難題的一部分,這些單獨的威脅總有一天會使我們能在這些威脅進入我們的網絡之前就發現它們。
珍珠港是一個典型事件,證明了需要共享軍事情報的重要性。美國政府事后認識到,這個獨立的事件是重大情報過失的結果:誤導的分析、協作的漏洞和敵人提供虛假信息進行欺騙等綜合因素的結果。
我們可以找到一些蛛絲馬跡,因此,我們不能坐以待斃。采用適當的分析、信息和協作等措施可以防止數據突破。共享信息是理解和防止未來突破的第一步。
自從2002年以來,Fidelis安全系統一直向機構提供控制高級威脅和防止數據突破所需要的網絡可見性、分析和控制。#p#
觀點2:除非不得已,不要披露數據漏洞
Lieberman軟件公司總裁兼CEO菲利普·利伯曼(PhilipLieberman)提出了上述觀點。他說,如果一個企業要采取符合股東利益的行動,共享安全突破的細節沒有任何好處,除非法律要求披露這些信息或者披露這些信息會減少客戶、合作伙伴或者其他人的金融損失。至于披露安全突破的受托人責任,這仍然是法律的一個灰色區域。
如果披露安全突破信息將導致降低企業聲譽或者引起罰款以及管理機構和行業組織的制裁,披露你的數據突破事件的細節會損害股東的價值。如果披露數據突破信息引起對該公司企業治理的疑問,這樣的披露信息會阻止企業使用私有部門或者公共部門的資本。這種披露信息也許還會引起不重要的以及有充分根據的法律訴訟。
最近的重要新聞證明,任何機構都可能成為受害者,無論這些機構是否事先曾投資安全。由于目前許多引人矚目的攻擊的動機似乎都是政治、貪婪和自私等因素,披露這些信息可能引起更多的攻擊。
向企業提供一個明確的報告安全突破的指南是美國政府的事情。這種報告的目的應該是向執法部門提供情報,幫助逮捕入侵者和起訴這種犯罪。另一個目的是適當地承擔安全突破的責任,不進一步危害企業及其客戶。
檢察官似乎錯誤地認為保護隱私數據是企業的權利范圍內的事情。實際上,目前的企業都期待著采用一個能夠抵御所有攻擊者入侵的防御措施。但是,沒有一種措施證明能夠擊敗一切入侵者。#p#
解決方案
聯邦政府曾提出一些規則。根據這些規則,如果企業通知執法部門有關安全突破事件并且幫助捕獲和起訴入侵者,企業會免除起訴。
州和聯邦政府還應該做更好的工作,發布具體的和操作的安全標準,幫助保護遵守法規的企業避免受到攻擊。
共識審計指南(ConsensusAuditGuidelines)等發展中的標準是一個開端。最近的美國證券交易委員會的指南是鼓舞人心的。然而,到目前為止,聯邦和州政府幾乎沒有做任何事情來推廣類似的標準。
對于企業來說,缺少可操作的、明確的網絡安全標準意味著什么都不做和做一切可能做的事情在信息技術行業的司法裁決中都是一樣的。
缺乏可操作的企業安全要求,以及沒有一個披露數據突破并且配合調查的企業的安全港,就產生了這樣一種環境。在這個環境中,除了法律要求的信息之外,披露任何多余的信息對于企業都是不利的。事實上,一位企業官員披露了超過法律最低要求的信息會被認為是忽略了機構對于股東的責任。
現在是聯邦政府發布其指南的時候了。聯邦政府應發布企業披露安全突破信息的指南,規定企業如何通過做正確的事情使自己免于起訴。
利伯曼說,我認為,起訴那些已經采取合理的措施保護自己的系統的公司(無論是公共的還是私營的行動)是非建設性的和傷腦筋的事情。但是,在模糊的指南仍在起作用的時候,要阻止檢察官把事情搞亂是不可能的。
現在是聯邦政府告訴那些不擇手段的律師應該如何做的時候了。這些律師的抨擊使一些企業破產。應該允許企業披露安全突破信息而不受到懲罰。然而,企業現在不應該共享安全突破信息。
Lieberman軟件向全球用戶提供有權限的身份管理和安全管理解決方案,其中包括40%的財富50強企業。
【編輯推薦】
