高级网络安全中心是一个成立3年的组织,其大胆的使命是“将工业、大学和政府组织结合起来,解决最先进的网络威胁”,并推动新英格兰地区的网络安全研发。足球竞猜app软件《网络世界》主编约翰·迪克斯(John Dix)参加了他们在波士顿举行的最近一次会议,后来他找到了ACSC执行董事查理·本韦(Charlie Benway)和ACSC董事会主席威廉·冈瑟(William Guenther) (Mass Insight的首席执行官和创始人),深入了解了该组织的目标。
ACSC似乎有一个混合的目标,一个涉及在成员之间共享威胁情报,另一个是围绕研究和开发,并使新英格兰成为网络安全的圣地。让我们从你的第一个目标开始。
BENWAY:很明显,威胁共享计划是该组织的一个优先事项,建立成员并且具有对这些威胁的脸对脸的讨论之间的信任关系。他们看起来怎么样?它们是什么定位?为什么?你如何处理?
因为这是一个跨部门的组织,有些部门会在其他部门之前看到某些威胁,所以有些成员会提前得到通知。但这不仅仅是可采取行动的威胁信息。成员们说,该组织在专业人员发展方面也有巨大的好处,因为成员们可以交流最佳实践,并可以收回想法,改善自己企业的安全状况。
你们现在有30个成员,包括最近加入的5个,我知道你们想要发展这个组织。在不危及任务中面对面的部分的情况下,它能有多大?
查理·本韦,高级网络安全中心执行主任
BENWAY:这是个好问题,也是我们一直在努力解决的问题。最初的愿景是将成员人数增加到35人左右,因为比尔喜欢用小团队的力量来描述,这涉及建立可信任的关系和共享可操作信息的环境。但我们需要想办法扩大到35个以上。因此,随着我们的不断发展,我们一直在考虑在组织内部建立多个共享组,通过各种通信在每个组之间共享安全信息,包括安全门户上的总结报告和通知,这允许在成员之间共享虚拟威胁。我们已建立的威胁共享小组领导将促进每一个会议,以保持一致性,并提供行业部门之间的交叉授粉,使我们有别于其他威胁共享计划。
虽然我们以地区为中心,但我们也有一些总部不在该地区的公司加入,比如世界上的facebook。事实上,我们花时间帮助全球的组织了解我们是谁,我们做什么,我们是如何开始的,以及如何建立一个ACSC。其目的是,如果他们建立类似的能力,我们可以建立我们的虚拟威胁共享能力与类似的地区集团,以形成一个联合的威胁共享倡议。今年夏天,我们在科罗拉多州成功地与一个叫做西方网络交换的组织完成了一次测试交换,这是第一次。因此,我们希望通过让多个团体在全国甚至全球范围内共享信息来扩大规模。
请问你的组一样Infragard,这是另一个区域组共享威胁情报,据我所知组织进行比较。
BENWAY:Infragard由联邦调查局领导,我的理解是他们更具战略性一点。有分享了一些信息,但没有开放共享和双向沟通,主要是由于负债的担忧相同的水平。
William Guenther, ACSC董事会主席,Mass Insight首席执行官和创始人
GUENTHER:如果你看一下总统的行政命令,并从联邦政府的整体推力,有一种认识,即最好的一种主动的私营部门开始,然后配合政府。当政府创建论坛,查理的角度来看,它有时会导致更严格的谈话。但是,我们需要所有类型的更多的信息共享,以及ISACS(信息共享和分析中心)按行业大规模基础上发挥了重要作用,部门。
BENWAY:我们并不是要和ISAC、Infragard或营利性服务竞争。我们是一个非营利组织。我们希望填补市场空白,补充企业的其他能力。
您要求成员签署了保密政策,我相信可以帮助人们感觉更舒适有关共享高水平的威胁情报。
我们有所谓的参与协议,它是由所有创始成员国组成的理事会协商的,每个成员国都签署了这个协议。它能做两件事。它不仅能做你建议的事情,让他们感到舒适,而且还能从内部法律顾问和管理链中授权他们参与和分享信息。
你能举出一个ACSC威胁情报帮助一个组织将某事消灭在萌芽状态的例子吗?
我可以给你举几个例子。在一个网络星期二(每个星期二成员开会两次),我们让一个成员提出了与国际域名命名服务相关的漏洞问题,使用的例子是www.google.com。分析师扔了屏幕上的三个版本是URL,这一切看上去是相同的,并问周围的表,一个是不是真正的安全专家。这是困难的人要弄清楚。原来这是一个看起来像屏幕上的一块泥土的G正下方有一个小标记。每个人都花了,早和整合是到他们的安全意识活动和一些人发现员工实际上已经点击了一对夫妇这些网址,其中有他们背后的恶意软件。
毕竟,这不仅仅是技术的问题。这是一个巨大的人为因素。我们都是风险。我们都有一些弱点。另一方面,这也可以反过来——我们也可以成为传感器。
还有其他的例子。有一次,一所大学的成员被针对薪资的转用于薪酬最高的员工。这种威胁是共享的,准备针对该威胁的其他大学和能够探测到它。
有人在你最近的波士顿会议上提到的,一些组织仍然认为,所有你需要的是外线防守的好。问题有多严重的是多少呢?
不仅仅是周界防御是不够的,这也是关于投资和活动重点的争论。你关注的是预防还是发现?弹性人群说你需要专注于发现,因为你不可能把所有的坏人都排除在外。但相当一部分人说,这只是在挥舞白旗,而预防是你需要关注的地方。
我听到一些人说,现在80%的组织仍然相信外围防御方法,如果你有一个好的防火墙并打上补丁,你就不会有问题。如果这些数字是准确的,这将是一个相当严重的问题,因为正如前国土安全部部长切尔托夫所说,有两种类型的企业,一种是知道自己被黑客攻击的企业,另一种是不知道自己被黑客攻击的企业。
GUENTHER:最大的问题是许多员工缺乏经验,因此不管员工的心态如何,公司都不能做他们需要做的事情。所以,即使他们知道界限已经消失,但事实是,在许多公司,这是信任的问题。如果你想想智能驱动的防御,许多供应商都把它标榜为下一代的安全,只有大约5%的公司,如果有的话,能够在内部做到这一点。
有时是因为缺乏经验和必要的资源,尤其是中小型企业。他们没有能力雇佣复杂的员工和投资复杂的工具。所以他们不得不转向人们刚刚开始考虑的方法,比如更多地利用云,认识到培训员工、合作伙伴和供应商的价值。这是一个很重要的问题。
让我们转向更大的目标——让新英格兰成为网络安全圣地,你是如何实现这个目标的?
GUENTHER:如果你拿加州和马萨诸塞州的信息技术进行比较,很明显,那里的信息技术发展得比这里大得多,尽管我们与EMC、RSA、Akamai等ACSC成员公司有很大的合作。但网络安全的挑战是一个多学科的游戏。真正的任务是将技术、社会科学、政策、经济和法律结合起来,找出如何构建与人类行为相关的系统,并让人们实际上更安全,因为这个架构是围绕人类行为构建的,并提供正确的激励。
That’s a play where this region has unique assets across not only the technology centers -- CSAIL at MIT and UMass, Northeastern, BU, etc. -- but also with the Sloan School and other business schools here, the law schools, the Kennedy School, etc.
但在某些方面,我们的优势是我们的局限性,我们拥有这些非凡的资产,但它们是分散的。这就是为什么你需要卓越的中心,汇集了多所大学和多家公司围绕着软科学、商业和硬科学的结合。
If you think about the research play and you understand that companies are first and foremost looking for talent from universities, and then you embed the talent play inside the research operation, it’s an opportunity to bring graduate students and the best and brightest from the universities together with industry to collaborate on common problems and issues that align with the academic work and the commercial needs. The idea is that then these companies will hire some of these guys. These partnerships, in addition to solving problems, serve as a talent pipeline for companies looking to develop and recruit emerging talent from our universities.
坦率地说,这听起来是个巨大的挑战。
GUENTHER:复杂的是多方合作,让多家公司和多所大学一起工作。但这不是我们凭空捏造的。在80年代,半导体行业大规模地出现了国际半导体技术。它还在。主要大学与半导体公司进行合作,这些公司认识到日本公司在半导体领域构成了威胁,如果它们不围绕工具、教育、资源和标准进行合作,它们可能会被淘汰。这通常被用作行业参与者在竞争前的大规模合作的主要例子。
如果你得到一点点关于它不那么雄心勃勃,你可以专注于建立一个地区性实体,或卓越中心。美国国家科学基金会资助了所谓的伦理审查委员会,工程技术研究中心。我们已经在马萨诸塞州有几个人在这里,他们涉及到多个大学和多个行业合作伙伴。所以,再一次,我们不会做这件事。有实际的模型在那里。我们只是还没有在网络安全做了。
为目标,以解决安全人才普遍认为不足的部分?
人人都知道IT工作比其他学科增长得快,根据一些研究,网络安全工作的增长速度是IT工作的12倍。一项研究称,我们每年需要培养13万名软件工程师,而大学只培养了3万名。这就是今天的问题。向前发展,这是研发联盟的目标之一,帮助发现人才,开发人才,并将人才与产业联系起来。
是一些人迁移,从现有的IT作业到安全性,或者是你在谈论引进人从大学水平进入安全的目标是什么?
我认为两者都有。有一些人在想,“我需要做什么才能进入这个行业?”这就是我们谈论职业发展机会的时候。这是把他们的手弄脏,然后直接跳进水里。从书本上学到网络安全是非常困难的。真动手。你必须参与其中,你必须了解威胁,了解情报。所以我认为除了任何学术培训和教育之外,亲身实践是很重要的。
如果你听了阿卡迈(Akamai)(首席安全官)安迪·埃利斯(Andy Ellis)最近在波士顿举行的会议,你会发现他的观点是,网络安全人才的缺乏被夸大了。他说,我们应该寻找聪明、有动力的人来参与网络安全,不管他们是微生物学家还是其他什么人。这是一种观点,但我也听到其他人说,“我真的没有时间发展这些人。”“所以这是一个真正的两难境地。
好的。你想给我们留下什么?
GUENTHER:我想只是为了总结和加强的一点是,我们认为,指参学院是一个独特的组织在全国范围内,特别是因为你前面描述了,这是威胁共享这个组合,我们的研究和发展的承诺的混合性质。
从成员的角度来看,有趣的是他们加强了将这两件事联系起来的价值,研究和开发需要理解操作和威胁分享部分,因为这些是你要解决的挑战。如果您单独进行研究和开发,您就不太可能理解实际的挑战。