解讀：美國NIAC最新發布重要基礎設施網安報告都說了啥

摘要

美國國家基礎設施諮詢委員會(NIAC)在上周發表了一篇題為《保護網路資產：處理緊急的網路威脅對關鍵基礎設施的影響》的草案報告。該報告警告說：「還有一線機會為預防美國關鍵基礎設施發生「911級別的網路攻擊做準備」。關於這份報告還有什麼東西呢，在美國的業界人士是如何看這份報告的，界小編將向您介紹一下。

美國國家基礎設施諮詢委員會的目的是向美國總統提供關於網路安全方面的重要服務，例如銀行、金融機構、能源和交通機構。該委員會是在2001年由布希總統的總統令13231創建的。直至2017年9月，由於奧巴馬的2015年總統令13708的功能被擴展了。該委員會由總統選出的30個成員組成。

新的報告提出了11項建議，以提高重要的基礎設施的安全性。總的說來，它對美國的準備情況提出了批評。「我們認為，美國政府和私營部門共同擁有強大的網路功能和所需的資源，來保護關鍵的私人系統免受網路攻擊，前提是它們被妥善地組織、利用和集中。然而今天我們都未能做到」。

這份報告有一個有趣的背景，在它被公開的前一天，委員會當中現有的27名成員中有7人辭職。特朗普總統顧問的辭職是很常見，從政治上的原因（比如特斯拉的伊隆.馬斯克和迪士尼的羅伯特·伊戈爾從特朗普的業務座談小組中退出，由於美國退出了巴黎氣候協議），到文化上的原因（比如由於總統對夏洛茨維爾的評論，使得一些人離開了製造業就業倡議和戰略政策論壇）。

在他們遞交給國家基礎設施諮詢委員會的辭職信當中，巴黎協議和夏洛茨維爾又一次被提到，連同總統對那些從顧問小組中離職的CEO們表示的批評。然而該封信中還指出，特朗普總統沒有注意到「所有美國人依賴的關鍵系統的網路安全的威脅日益增加。目前還不清楚，這些辭職與總統和NIAC有什麼關係，以及在多大程度上有關(如果有的話)。」

也就是說, 業界並不對NIAC報告懷有很大的熱情並且它多少有所保留。例如帕特里克.科伊爾(《化工設施安全新聞》的所有者和作者)質疑9 / 11參照的有效性。他只是不相信主要的威脅是「大規模的網路攻擊」；臭名昭著的網路珍珠港。他說：「一次大規模的攻擊，將會有一次大的反應，而很少有人願意冒險去感受這種反應」。科伊爾認為更有可能的是隱患將是「一系列較小的襲擊，它們會削弱美國經濟，並削弱美國人民對抗的意願。這樣的攻擊將不太可能獲得一個活躍的反應，因此對攻擊者的風險將會小很多」。

Sqrrl公司的主管馬特.贊德戈把它稱為包含有「可靠的、可執行的建議的一個好報告;但是他補充說：許多建議並不是新的。他說：「這不是一個策略的問題，更多的是關於執行的問題」。「很高興看到最後的建議集中在追蹤活動和針對這些建議的執行上面。我認為這將是關鍵，政府應該儘可能透明且公開地來做這件事」。

然而還有一個潛在的致命弱點：NIAC的建議都是自願的措施，儘管有激勵措施。他說「針對關鍵基礎設施所有者採取自發的措施和激勵措施的問題是，一次網路攻擊對某些關鍵基礎設施所造成的影響遠遠超過了對該所有者或運營商的影響。對關鍵基礎設施的網路攻擊，本地風險和國家風險之間的不匹配，是市場效率低下的類型，通常最好是通過監管來彌補」。

缺乏創新的想法也讓Chris Roberts感到擔憂，他是Acalvio公司的首席安全建築師。他說：坦白地說，11條的建議中重要的大約有5條至多，是讓我們面對現實，多年來我們一直在為關鍵的基礎設施大呼，讓信息變得非常簡單，這45頁的報告出來了，它說同樣的東西，上天保佑，它把行動的職權交到了政府的手中。

他有更具體的擔憂。建議3說：「確定最佳的掃描工具和評估方法並且與最重要網路的所有者和運營商合作，在自願的基礎上掃描並消毒他們的系統」。然後要求美國的國家安全委員會、國土安全部和國會採取行動。羅伯茨的觀點是尖銳的，他說：「說真的，我們要讓國會找出我們應該使用的掃描工具嗎？哪個白痴想出了那個主意的?」

或許最令人失望的是關鍵基礎設施威脅情報共享。建議2要求一個私營部門領航「來測試公共和私立部門之間和公司與公司之間的網路威脅信息共享情況」。這將會被建議7擴展開來:「建立清晰的協議來快速解密網路威脅信息並主動與關鍵基礎設施的所有者和運營商分享它」。

簡而言之，私人企業需要比它本身之間更好地分享隱患信息，然而政府需要與私營企業分享情報。在公司與公司共享方面，羅伯茨評論說：「哦，好吧，另一個讓人們忽視的東西，不注意，或太少的信息、太遲了，因此任何人都不能夠做任何事情了。」

他也不相信政府間的共享會有很大的影響。「告訴美國能源部、國土安全局、國家情報主任辦公室和新加坡國際商會在一起處理分離的交流信息將會是很有趣的，特別是它們中的大多數，老實說，今天還不能有效地溝通」。

AsTech公司的首席技術官傑森.肯特認為，這兩條建議應該被視為一條。這並不容易，「當一個對手或攻擊者被了解的時候，那就變成了一個謹慎需要保守的秘密」。政府機構不喜歡分享他們的秘密，然而個別公司往往不敢，因為現有立法的複雜性。

肯特的建議將是從政府機構開始，因為它們比私營行業更容易被強迫。想像一下，如果你能讓所有這些機構合作：美國能源部、國土安全局、國家情報主任辦公室、國家安全委員會以及新加坡國際商會。他們溝通的渠道是什麼呢? 我們目前還沒有辦法讓他們分享威脅情報的途徑。顯然，需要一個公正的第三方來促進溝通，但是如何讓我們創造一個與今天所建造的不一樣的東西呢?」

他的解決方案將是國家網路安全理事會，從根本上說它從我們國家的各種基礎設施中獲取威脅數據，結合來自私人組織的反饋，這是對模式和風險加以消化和分析。他說真正的安全來自所有基礎設施的安全，而不是一個。我們需要將我們的注意力從保護一項資產轉移到保護所有風險資產。為了解決這個問題，他提議建立一個新的第三方組織，公眾和私人組織都信任它，能夠共享解決方案，而不僅僅是威脅本身。

NIAC報告最重要的問題是，人們認為它會重複已知的問題，並在不提供現實解決方案的情況下提出了新的研究。總之，行業內的一種普遍感覺是NIAC的報告太複雜了，它提出的新東西太少了，並且它提出的自願的建議，將可能會被忽視，因為同樣的好主意已經被忽視了。

-END-

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！