美国国土安全部信息安全中心探秘

标签:网络安全

访客:8963  发表于:2016-05-09 10:32:31

美国国土安全部信息安全中心探秘

美国国土安全部负责追踪所有涉及美国国家安全的信息安全威胁,然而这里的大楼却显得平平无奇。大楼外观很普通,有着圆形的广场。直到看见新闻联络官站在大厅里之前,我都不能确定是否来对了地方。与周围的写字楼相比,这里没有任何不同,而门卫甚至也不能确认,国土安全部在这里是否有办公室。

美国国家信息安全和通信集成中心(NCCIC)于2009年成立。在这里,国土安全部监控针对政府部门,以及电网和水坝等关键基础设施的信息安全威胁。如果有黑客攻击美国农业部网络,或是一名政府雇员访问了恶意网站,那么NCCIC就能做出探测。直到最近,美国政府一方面自行完成信息收集,一方面也依靠外部公司去监控其网络,及时发现安全威胁。然而,由于去年12月通过的《网络安全信息共享法》,国土安全部正在重组这方面的工作。这项法律要求国土安全部建设更复杂的信息安全威胁探测系统,其中的信息来自多家公司与政府分享的数据。

来到大厅,搭电梯上楼之后,荧光灯照亮了一间办公室的大门。旁边的标志为每周办公室甜甜圈做广告。国土安全部负责信息安全和通信的副部长菲利斯·史奈克(Phyllis Schneck)在欢迎我们,并带领我们前往NCCIC的办公室里。

NCCIC的办公室看起来就像是电影里美国宇航局(NASA)的任务控制大厅。这里有长长的桌子,上面放着计算机和显示器。这里的工作人员包括前军方人员和IT专家。在工作中,他们相互交流,就像是普通公司里的同事,但不同的是他们正负责美国的信息安全防务。每台工作站配备了4块大型显示屏,显示屏上有多个窗口。这些窗口显示了不同的指标,例如有多少个不安全的关键基础设施中枢正在启动,以及每个部门的网络状况。

史奈克表示,如果有可疑流量出现在屏幕上,那么相应人员就会立刻做出反应,并告知其他所有人。屏幕会通过颜色的改变去报警:绿色表明一切正常,红色表明情况可能有问题。在我们到来时,整个中心进入了“非保密模式”,因此我们没有看到任何实时的信息安全威胁。

除政府部门之外,国土安全部门还会协助海外的调查。例如,在乌克兰电网遭到黑客攻击之后,国土安全部就向乌克兰派出人员进行调查。随后,该部门就这起事件发表了报告。

国土安全部关心的并不仅仅是人类的威胁,同时也会关注某些自然现象,例如太阳黑子、火灾、洪水和台风。史奈克表示,国土安全部对太阳的追踪是因为,太阳活动产生的辐射可能会影响卫星通信。

在执行《网络安全信息共享法》的过程中,NCCIC正在向恶意软件预防系统整合民营公司关于信息安全的经验。尽管国土安全部表示,这有利于保护美国政府及相关组织应对黑客攻击,但并不是所有人都支持这种观点。隐私保护组织担心,企业会将个人信息分享给政府。还有人担心,这将干扰企业的工作流程。如果在不知情的情况下,个人信息就被提供给国土安全部,那么用户个人也会感觉不满。

史奈克表示,如果能正确执行,那么信息共享将极大地加强美国的信息安全防务。例如,如果有公司发现员工遭到了钓鱼攻击,那么可以向国土安全部提供邮件发送者的信息和邮件内容,随后全球的信息安全监管部门都将知道此类威胁的存在,并对攻击者进行防御和打击。对于信息共享计划,国土安全部长杰·约翰逊(Jeh Johnson)表示,这就好比是“看见某些东西,随后判断其信息安全意义”。

美国政府试图以此前美国人事管理局的信息安全事故为例,证明《网络安全信息共享法》的优点。去年,美国健康保险公司Anthem遭到了黑客攻击,导致数百万美国人的信息泄露。调查人员发现,美国人事管理局遭遇的黑客攻击也是由同一批黑客所为。如果Anthem能提前向政府部门分享当时的安全事故信息,例如IP地址和攻击者使用的恶意链接,那么人事管理局可以将这些信息纳入监控范围内,从而避免遭到攻击,至少是更快地判断出攻击。(在被发现前,黑客在人事管理局的网络里已经潜伏几个月时间。)美国政府官员表示,这正是《网络安全信息共享法》制定的理念。在人事管理局信息安全事故发生的几周到几个月之后,立法部门开始大力推进安全信息共享计划。

国土安全部认为,《网络安全信息共享法》是美国所需的立法解决方案。这一法案鼓励企业自愿与政府部门分享关于信息安全攻击的信息,同时保护企业不受可能的诉讼。因此,企业在分享用户数据时不必担心可能遭到用户的隐私侵权诉讼。

尽管这样做有利于企业对国家安全的参与,但隐私保护组织表示,这导致用户处于“两眼一抹黑”的处境。电子前线基金会公民自由立法负责人马克·杰伊考克斯(Mark Jaycox)表示,关于应对信息安全攻击,政府只需要少量的数据即可。信息的过度分享很容易出现,而公众可能对此并不知情。除此以外,分享信息的企业名单也将保密。

杰伊考克斯表示:“我们并不清楚,哪些企业参加了这一项目,或是被要求参加这一项目。我们正在触及这项法案的另一面,也是糟糕的一面,即透明度问题。”HackerOne前首席政策官凯蒂·莫苏里斯(Katie Moussouris)表示,如果知道自己的信息,包括个人信息将会进入国土安全部的威胁情报库,那么没有用户愿意使用相应的服务。只要看看爱德华·斯诺登(Edward Snowden)泄密案之后发生的情况就能清楚这一点。皮尤研究中心2014年的一项研究显示,91%的美国成年人认为,他们的个人信息已失去给了公司。

尽管存在隐私保护方面的争议,但这项法案已获得通过。美联社今年3月报道称,当时只有6家公司签订协议,全面参与这一项目。

在我们前往NCCIC的旅程中,史奈克带我们前往了她的办公室。她坚持认为,隐私保护仍将是一项重要考量。在企业分享信息安全信息时,NCCIC只会要求获得最基本的技术细节。

她表示:“我们一直会向隐私保护组织进行通报。如果我们需要放弃作为美国人的权利,那么这件事就不值得捍卫。”

那么,NCCIC会收集什么样的信息?NCCIC于今年2月公布了一份指南,做出了澄清。企业应当分享有助于事故调查,或是关于漏洞的信息。如果对于协助他人探测、预防或减轻威胁并不必要,那么这样的信息就与信息安全威胁无关。例如,关于钓鱼邮件,企业应当向国土安全部提供邮件发送者、恶意链接、恶意文件附件、电子邮件内容,以及其他有助于应对未来攻击的信息,而电子邮件收件人的姓名和邮件地址不应被包括在内。目前尚不清楚,企业是否会遵循这些指南,而系统的保密措施意味着公众很难进行检查。

史奈克表示,这些信息的分享将确保美国的实体和利益安全。她认为,这样的机制就像是流感疫苗,能帮助NCCIC更快地探测恶意软件和其他信息安全威胁。

尽管情况或许确实如此,但如果企业过度分享用户的数据,而用户不清楚这样的事件是否发生,那么企业的信誉将受到影响。一些公司表示,关于政府搜查令已经设置了专门系统,只在合法情况下分享用户信息。

史奈克仍然充满理想主义。她希望,更好的信息分享将帮助NCCIC探测并应对威胁,而这甚至不必人工参与,尤其是对有其他国家政府支持的黑客活动。

她的理想甚至比听起来更远大。但目前,国土安全部需要鼓励更多企业去分享数据,优化技术,从而更好地探测不断变化的威胁。当存在敏感数据的情况下,人工介入仍是必要的。未来全自动的威胁探测系统仍需要很长时间的发展。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");