「資訊共享與分析組織」(Information Sharing and Analysis Organizations, ISAO)的建立,是為了使網路威脅資料和最佳實踐的取得,比「資訊共享與分析中心」(Information Sharing and Analysis Center, ISAC)更容易。
文/Jaikumar Vijayan 譯/曹乙帆
ISAC是一個產業特定組織,會收集並分共享與關鍵基礎設施有關的網路威脅情資。 ISAC並促進了公部門與私部門之間的資料共享。
ISAC是於1998年根據美國總統指示成立,是為了讓關鍵基礎設施所有者和營運商能夠分享網路威脅情資和最佳實踐。除了偏向特定產業外,大多數ISAC都由大型企業組成,其優先考量點及挑戰與絕大多數較小組織及實體不同,甘迺迪太空中心(KSC)國際ISAO認證協會(International Association of Certified ISAOs, IACI)執行長 Michael Echols 表示。
[ 下載 2020-21 CIO大調查報告,掌握最新企業IT導入趨勢。]
許多ISAC資源充足,擁有基礎設施以及用來監控全球範圍之安全威脅的完善「安全營運中心」(Security Operations Center, SOC),當然還有伴隨這些基礎設施而收取的會員費。全美ISAC委員會(National Council of ISACs)目前列舉出21類產業成員,包括金融、汽車、能源、航空、通信和國防工業基礎部門。
ISAO是某一白宮指令促成產業內部自願分享網路威脅情資的結果。2015年2月,歐巴馬(Obama)總統簽署了一項行政命令,指示美國國土安全部(DHS)鼓勵私人公司、非營利組織、中央政府部門,以及州政府、區域和地方政府機構推展ISAO。
凡自願透過這些場所彼此之間或與政府之間分享威脅情報的組織,該行政命令能為它們建立有限責任保護。2015年10月,德州大學聖安東尼奧分校(UTSA)被委任確立一套用於經授權創建和運行ISAO的標準和指導方針。
自該指令簽署以來,許多不同產業中的組織自願創建了ISAO,以分享有關網路威脅與緩解之道的資訊與最佳實踐。然而,由於多種原因,原先在所有規模和所有領域組織之間能廣泛和普遍共享資訊的構想並沒有完全實現。
為什麼需要ISAO
推廣ISAO的目的是讓所有組織能更容易地分享威脅情資,而不僅僅只分享給那些隸屬於ISAC的組織而已,Echols表示,當時他是國土安全部網路聯合計畫管理局(Cyber Joint Program Management Office)總監,並負責行政命令的執行。
IACS的發展具有一定的排他性,Echols表示。「有很多大型組織參與資訊共享,他們可以接觸到政府,而許多其他公司甚至不知道這些做法的存在,」他表示:「ISAO背後的理念是促使並允許任何一些公司、組織或實體一同致力於資訊共享。」
安全專家早就指出,威脅情資共享可以提高「安全態勢感知」(Situational Awareness)的能力,並協助跨領域的組織能更快地識別常見威脅並確定可解決的方法。「另一方面,駭客很早就以一種紀錄詳實的方式協同合作並分享有關新攻擊手法與攻擊機會的資訊,以便為他們付出的心血帶來更多價值,」Echols表示。
自ISAO行政命令簽署之後的四年多時間裡,在私人公司之間的資訊共享方面取得了一些進展。「若干ISAO已被建立,目前正在從事相對穩健的資訊共享活動,類似於ISAC正在進行的活動,Echols指出。一些較為活躍的組織包括金屬、採礦、海事及港埠安全等ISAO」,他表示。
UTSA的ISAO標準組織與現有的ISAC、關鍵基礎設施組織、機構、公營和私人利益關係者合作,確立了建立和運行ISAO的自願標準與指南。這包括契約協定、業務流程、技術規範和作業程序的範例,任何組織都可以使用這些範例來建立ISAO。IACI提供所謂的「ISAO快建方案」(ISAO in a Box),企業組織可藉由該方案獲得在規劃、建置及營運IASO等方面的步驟式指南。
一些ISAO取得了巨大的勝利
海事與港口安全ISAO(MPS-ISAO)組織營運副總裁 Christy Coffey 指出,行政命令所支持類型的資訊共享至關重要。「我們需要加快私人領域的資訊分享,我認為ISAO就是資訊分享的載體,」她表示。
MPS-ISAO組織本身成立於2016年,其網路安全情報和資訊共享服務於2017年夏季啟動。該ISAO組織成員包括碼頭營運商、船舶營運商、鐵路營運商,以及為海運業提供服務和產品的組織。
在該ISAO組織營運的兩年中,其重點一直在於提供Coffey所描述的可執行情報和識別針對港口和海事活動的惡意團體。該團體共享的資訊包括了從惡意電子郵件和IP位址到最佳實踐及設備漏洞的所有內容。
「客戶資訊的分享,再加上品質分析的支持下,讓我們取得了一些令人難以置信的勝利,」Coffey表示。最近的一些例子包括在共享電子郵件中識別出勒索軟體並在幾分鐘內通知ISAO中的其他人,並根據客戶分享IP產生一個封鎖列表,將未經授權的登錄嘗試減少99%以上。「沒有資訊共享,就沒有洞察力,」她表示。
[ 加入 CIO Taiwan 官方LINE,與全球CIO同步獲取精華見解。]
ISAO組織之間的活動水平各不相同
ISAO標準組織目前列出舉了70多個被其描述為從事某種程度資訊共享活動的團體。這份清單既包括特定行業的ISAC,也包括可能基於信仰、地域或諸如公司董事和管理階層等角色的較新ISAO。
德州大學聖安東尼奧分校標準組織執行總監 Greg White 表示,這些團體之間的活動程度往往會有所不同。「其中一些團體非常有能力,另一些則在資訊共享能力方面所發揮的功能最低,」他表示:「ISAO的作用取決於成員與其宗旨而定。」
對ISAO成員提供責任保護的機制,早已在幫助私人企業克服與他人共享資訊的擔憂方面取得了長足的進展,White表示。有些ISAO只分享電子郵寄清單,而在該領域的另一端中,有些ISAO則會處理支援所謂交通燈號協定(Traffic Light Protocol)的敏感資訊,以確保資訊得到適當處理。「資訊共享不再是領域限定了。全國每個城市與社區都應該設立ISAO,」他表示。
缺乏信任與資金限制了ISAO的增長
想要實現前面所講的願景可能還需要一段時間。許多試圖發起ISAO的組織在如何籌措資金,如何持續向主管機關展示價值,以及知道該信任誰等層面上遇到了問題,Echols表示。要讓組織參與真正的資訊共享,它們之間需要高度的信任。他們需要知道他們在ISAO中分享的任何威脅情資都將得到適當的處理。但在設立新的ISAO時,尤其難以獲得這種信任。
當你開始把數以百計彼此不認識的組織聚集在一起時,資訊共享組織必須充當可信賴的中間人才行,ThreatQuotient策略資深副總裁 Jonathan Couch 指出:「他們必須保護每個資訊共享組織的匿名權益,他們同時應提供一個只分享特定並與產業領域相關之資訊的過濾機制。」
政府必須在促進私人企業之間的信任上發揮領導的作用,Echols強調指出。這可以是很簡單的事,例如針對想要加入ISAO或要求ISAO組織之正式登記的實體,可在審查上設定基本安全要求。
另一個問題是缺乏對ISAO的認識,以及它們在改善網路安全方面可以帶來的價值。「我們花了很多時間教育很多公司和組織,」Echols強調指出。政府本身並沒有很積極地在國家、州或地區層面上推動ISAO。而白宮內部網路協調者角色的取消,更加劇了這個問題的嚴重性,他表示。大多數組織從未聽說過ISAO。他們甚至沒聽過ISAC,他表示。
「如果現在不推展ISAO,那麼在某個時候它也會臨不得不推動的問題,」他表示:「我們現在所做的一切只是在浪費時間而已。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)