如何建立强大的网安社区？CISO扮演什么角色？

国外为了促进安全信息的共享，许多司法管辖区正在实施《2022年美国关键基础设施网络事件报告法》（CIRCIA）等法律法规，相关政策要求关键基础设施部门的相关实体，在特定时间内要向联邦网络安全和基础设施安全局（CISA）报告安全事件。

在澳大利亚，《2018年关键基础设施安全法》要求各组织在遇到安全事件后的12小时内，务必向澳大利亚网络安全中心进行事件报告。而新加坡2018年颁布的《网络安全法》也包含了对关键信息基础设施运营者的报告要求，同时欧盟的NIS2指令旨在“简化欧盟成员国的报告义务”。

米兰理工大学教授Stefano Zanero表示：“我们需要建立的是一种‘对安全事件进行适时通知和调查’的文化，其目的不是为了定责，而是为了让其他组织吸取教训，通过这样的分享来改善各行各业的安全能力。”经介绍，Zanero的研究重点是网络安全，他也是信息系统安全协会（ISSA）国际董事会的成员。

FTI咨询公司负责网络安全和数据隐私通信的总经理Sara Sendek表示，简单来说，分享安全事件有助于组织保护自己和行业中的他人。美国特勤局网络调查咨询委员会成员Sendek认为：“这有助于让其他人知道该预防什么，也能让CISA更好地了解当下的威胁趋势，这样政府就可以采取更有效的行动来破坏黑客组织。”

Sendek介绍，CISO、安全分析师、安全研究人员、安全供应商，甚至监管机构和政府官员，他们在共享安全信息方面有着悠久的历史，而且这些共享并不是强制性的，相反他们中的许多人会主动共享信息，比如参加圆桌会议、参加安全研讨会或在社交平台分享个人的安全情报。

但也有监管人员提出，安全界的许多成员不太愿意和政府或执法部门报告安全事件。非营利信息共享组织网络威胁联盟（CTA）首席执行官迈克尔·丹尼尔表示，这阻碍了组织和政府机构间的交流维系，因为所有组织都怕合规问题，怕报告安全事件会带来适得其反的后果。

2023年1月，联邦调查局局长Wray宣布，Hive勒索软件集团已被他们彻底瓦解，并就此提供了一些统计数据。在公告中，Wray指出，只有大约20%的Hive受害者联系过执法部门。

因此，美国政府当局和部分安全领导人呼吁各行各业都要主动报告安全事件，并希望他们能够更公开、更频繁地分享相关信息，特别是那些只有在自己企业运营中才看到过的黑客技术和软件。

丹尼尔认为，报告安全事件会带来许多益处。比如及时报告可让执法部门和其他政府机构在安全事件发生期间协助组织，还能使当局收集到足够的数据和证据，这些相关信息可用来告诫他人以更好的提前防御，为此攻击圈才不会被扩大。丹尼尔说：“安全圈的合力是一份十足的安全感，因为我们彼此都可为他人负重前行，他人的受困可为我带来解脱，这就是报告的意义。当然，政府还可以利用这些数据打击黑客活动，因为只要我们形成了整体，这就是一股巨大的力量。”

此外，报告有助于国家更好地了解网络犯罪及其影响，这也是另一个采用报告机制的原因：跟踪安全趋势和进展。Daniel解释说：“报告有助于建立恶意网络活动的比率和数量基线，也可绘制出当前黑客攻击的手段和目标，通过相关分析就可以确定我们当下需要做什么，而接下去又该为什么做好准备。”

MITRE的法律顾问Dena Kozanas指出：“世界是数字化的，是相互关联的，在保护关键的社会资产时，我们不能成为‘倔强’的孤岛，每个实体，无论是政府部门还是商业组织，都必须将自己视为安全社区的一部分，因为只靠自己永远都对付不了日益复杂的威胁和风险，这就是为什么现在比以往任何时候都更需要推动安全事件报告，甚至强制要求必须得报告。”

作为全球科技公司Insight的副总裁兼CISO，Jason Rader多年来一直定期与美国政府官员会面并提供安全情报。他表示：“我向政府提供相关档案是理所应当的，我们的研究团队还经常报告可疑活动，有时还会告诫政府机构即将面临怎样的网络攻击。”

Rader不但与CISA、FBI等机构进行沟通，他定期还会与其他CISO进行会面，参加由查塔姆研究所管理的圆桌会议，此会议的参与者可以使用那些被讨论的信息，但不能透露具体细节。Rader会传递专业的网络安全信息，通过电话等方式分享对安全事件的见解。“所有这些渠道都有助于我和其他CISO，在相对较短的时间内传递关键见解，这有助于验证安全策略，甚至阻止黑客攻击。”

除了Rader介绍的渠道外，还有一些机构也可以进行正式的信息收集和共享，比如ISAC，比如InfraGard，它是联邦调查局和私营部门之间进行信息共享的关键网络，其主题以保护美国的关键基础设施为主。欧洲和其他国家也有类似的组织，比如荷兰的国家网络安全中心，该中心会共享安全新闻并为多个ISAC提供便利。

然而，也有专家表示，数据只能通过自愿共享获得，虽然这会限制这些数据的潜在影响。弗雷斯特研究公司副总裁Jeff Pollard表示：“我们很大程度上是在一个自愿共享的世界里生存，强制只会降低数据的真实性。电子邮件、Slack、Discord，以及订阅邮件等，人们可以在其中非正式地传递信息，而安全从业者往往可以在这些网络里看到最具价值的分享。”

Pollard表示，每个共享渠道都有优点、缺点和局限性。比如，安全从业人员之间一对一的共享，可以快速将相关信息传递给该领域的人员，像新的攻击技术或黑客首次入侵后的行动等，这些信息可以立即被他人使用。

Pollard说：“这种同事之间的一对一分享更容易‘传递上下文’，甚至在实际攻击中提供互助。当进行有机信息的共享时，人们会共享他们认为最有用的信息，因为所有人都需要相关的技术指标，需要了解对手的战术、技术和程序。而当分享信息被正式化或强制化后，我担心的是信息变得不那么相关，或者共享的信息太多，往往还用处不大。”

与此同时，现有的共享网络可以保护目击者的身份，这对高管和法律团队来说很重要，尤其是当事件涉及企业又未影响到业务时。有安全专家对此表示，所谓的披露不是非要在真实性和权威性上做文章，比如共享一种新颖的攻击企图，这就是极具价值的情报了。

当然，专家们也承认，当下的信息共享网络确实存在问题。首先，这些所谓的共享网络，特别是那些基于人际关系和职业关系的非正式网络，“排挤”了大量可以从这一见解中受益安全人员。正如Sendek所问：“难道不是每个人都应该具备同样的信息访问权限来保护自己吗？”

此外，由于许多共享内容都是自愿发出的，因此CISO及其法律团队可能不愿意透露关键细节，他们会担心后果或责任。Constellation Research驻澳大利亚副总裁Steve Wilson表示：“其实所有人都认同，分享安全事件情报是建立全安全行业能力、意识、力量和韧性的明智之举，但要真的实践下去非常困难。”

Wilson补充道：“首先是很难获得公司管理层的许可，甚至理解，因为很显然，安全事件的细节往往具有高度的商业敏感性。因此就会存在一个囚徒困境：如果每家企业都同意为了共同利益分享自己内部的敏感信息，那么原则上所有企业都会分享，但人总是有私心的，所有企业都会怀疑自己的同行，所以没人愿意去赌。”

这种分享网络更倾向于围绕行业而形成，国际会计准则委员会就是这样，这意味着信息会分布在某个领域或某个层面，但无法进行更广泛的传播。

因此，许多安全专家正在形成共识，他们认为现有的信息共享网络不足以建立更好的集体认知。Pollard说：“安全人员不是万能的，这让所有人都感到不安，所以我们需要尽快推动良好的信息共享网络。”

其他人还指出，尽管安全从业人员正在共享信息，但没有一个全面的存储库来存储“谁受到了来自哪里的攻击”，以及攻击者类型、攻击手段和其他关键信息。马里兰大学公共政策学院副研究教授Charles Harry表示，这是网络安全专业可赖以发展的关键信息。

而事实上，CISSM就拥有网络事件数据库，从2014年直到现在，该数据库收集了大多数安全事件的公开信息。在其网站上指出：“本网站是为解决安全问题而收集相关信息的，这些信息是为了让企业更好地预防网络攻击或更好地部署安全战略。”

Harry表示：“很不幸的是，美国是这世界上最大存储库的数据来源，我从本科生时就开始收集这些安全事件信息了，大多数安全攻击都发生在美国，这个大问题。”所以Harry支持更严格的报告要求，以确保官员能真正掌握尽可能完整的数据。

对于业内是否应该共享安全事件，其带来的好处是什么，又该如何搭建这样的平台，国内安全专家如此建议。

网络安全专家叶翔表示，他在此事上有一定的发言权，因为他曾专职过网络安全保险业务，他认为共享安全事件的好处有两点，第一点是可以通过共享让大家吸取教训，他山之石可以攻玉；第二点，从网络安全保险的角度来看，其为保险赔付提供了可参考的比例。此外，对于政府来说，这样的统计信息也是很有意义的，可以指导下一步一些针对性的工作。

叶翔提出，如果要建设共享平台，其会划分为几个层面。第一个层面是只统计信息，比如将信息分门别类，攻击类的包含勒索病毒、蠕虫病毒、黑客针对攻击等，其他的还有造成的损失范围、金额数量、损失程度、信息泄露数量、泄露数据的价值评估等等，只统计信息，不包含相关主体，其中可公布的内容都是相关数据统计，不可公布的内容由保险公司、网信办等决策部门管理。

接下来发展到第二阶段，共享内容要包含具体的攻击方法和攻击路径，因为只有知晓了黑客的攻击手段，企业才能从中学习，这就类似于护网的复盘。但此事实施起来并不容易，因为很多人会担心教坏他人，毕竟传达的内容是关于“如何具体犯罪的”，讲得太详细肯定不合适，所以公开范围也一定要控制住，比如只有警察、执法部门，以及一些重要部门的CSO才能查阅，他们积累了相关经验就能大幅提升防御能力，而当下的困境是没有任何相关经验可以参考，所以即使遭遇了安全事件也无法自查出个所以然。

到了第三个层面就是真正的共享、真正的公开，这点在国外是有要求的，对国外的企业来说，网络安全事件也属于公司的经营事件，因此务必要公开安全事件，特别是上市公司。将安全事件从头到底完整地公开肯定是有意义的，因为这不仅仅是对网络安全界而言，更多的是从公司治理的角度去强调重视安全，这样将事态上升到公司层面，经营者、董事长们才会意识到安全的重要性。

关于如何搭建共享平台，叶翔认为：“这需要有一方来牵头组织，比如网信办、公安等，他们有能力创建这样一个共享平台，然后通过各地公安或网络安全公司将各种安全事件上报。而其实呢，要推动这事很难，因为无从着手，只有国家权力机构能促成共享的发展，否则只靠些各自为营的安全公司，根本累积不起原始数据，所以只有依靠国家，靠国家来带动才能将此事落实。”

而某金融行业安全经理姚俊先认为，行业内安全事件共享 可以让单位及时了解、应对外部安全威胁，特别是一些针对国家级或者境外有组织的黑客团伙，这些团队会对国内重要基础设施单位进行攻击，因此共享安全事件能够促进协同防御效果，同时对行业的整体网络安全水平有好的促进作用，此外，也能提高高层管理者对外部网络安全形势的认知，为安全从业人员获取安全保障资源提供更好的来源。

然而，姚俊先也提出了，安全事件对单位来说可能会有一些负面影响，大家意识上都不太愿意让外部知悉，因此怎么样让单位消除这些顾虑是共享安全事件的核心，从策略上而言，需要考虑对应的机制，特别是安全监管部门的态度。

某金融科技企业安全专家何卓表示，共享安全事件和黑客攻击事件可以带来多方面的好处，包括：

但如果共享不当或者存在滥用情况，也可能带来以下一些潜在的坏处：

如果要建设这样的共享平台，何卓建议：

1、建立健全的安全管理体系：共享平台和组织需要建立健全的安全管理体系，包括明确的安全政策、标准和流程，建立专门的安全团队和职责，以确保共享的安全事件和黑客攻击事件不会对平台和组织本身造成安全威胁。

2、确保安全事件信息的准确性和及时性：共享平台和组织需要确保共享的安全事件信息准确、完整和及时，以帮助其他组织更好地了解安全威胁和改进防御措施。同时，平台和组织也需要及时反馈和修复自身存在的安全漏洞和问题，以提高共享平台的可信度和可靠性。

3、加强信息安全保护和隐私保护：共享平台和组织需要加强信息安全保护和隐私保护，包括加密传输和存储安全、权限控制、数据备份和恢复等措施，以避免安全事件信息泄露和滥用。

4、提供多样化的安全事件共享形式和渠道：共享平台和组织可以提供多样化的安全事件共享形式和渠道，包括安全论坛、安全博客、安全峰会等，以便不同组织和个人可以选择适合自己的共享形式和渠道。

5、推动安全文化建设：共享平台和组织需要推动安全文化建设，包括安全意识教育和培训、安全价值观和行为规范等，以增强整个行业的安全意识和素质。

在国内，安全业也需要彼此更多地分享和报告，为了对抗一致的敌人，我们务必团结，为共同利益而奋斗。为此，安在新媒体除了组织、开办更多的线下研讨会和CSO课程外，还会为业内众人带来更多的信息共享和技术学识，圈内讨论会以匿名的方式传递给大家，可敬请期待。就像国外安全专家说的那样，我们需要正式的网络渠道收集相关信息，也需要非正式的社交群分享更细节、更具体的安全趋势和现状，这样才能建立更全面的安全能力。