国土安全部副部长恳请一群持怀疑态度的安全专家在2015黑帽大会上分享有关安全事件的信息,并相信政府能保证其安全。
美国国土安全部副部长亚历杭德罗·马约尔卡斯(Alejandro Mayorkas)鼓励与会者参加一个政府项目,让私营企业分享他们遇到的网络威胁的信息。他说:“我们理解在(安全)领域存在信任赤字。”
+黑帽小姐?来关注我们节目中的故事吧+
马约尔卡斯说,部分信任问题是企业对政府能否确保收到的信息的安全缺乏信心人事管理办公室。(随着会议的破裂,有消息称参谋长联席会议的非机密电子邮件遭到黑客攻击,电子邮件系统被关闭了两周,这对他的事业没有帮助。)
但在他的讲话中,他称人事管理局的入侵是政府网络变得更安全的一个机会。他提到了一项为期30天的安全改进计划——“为期30天的冲刺,以确保其他机构在一次冲刺中尽可能地加强网络安全”——这是一个充满希望的迹象。他指出,每个政府机构都有自己的安全级别的网络,国土安全部正在大力改进自己的网络。
与会者说,他们对政府保护数字数据的能力保持警惕是正确的,这不仅是因为持续不断的关于数据泄露的新闻,而且因为它拒绝让他们——独立的第三方安全专家——以使网络更加安全为目标对网络进行渗透测试。“你需要给我们更多,‘只要相信我们,’”一位与会者说。
Mayorkas回答说,信任很难建立,你必须从小处着手。也许一家企业会遭受攻击,但由于其性质,它不愿报告,这也没什么。但或许它会更愿意报道不那么令人担忧的事件。“找一个你觉得舒服的地方,然后从那里开始建设,”他说。
一些政府官员推动进入后门,解锁通信中使用的加密,这是安全专业人士警惕的一个因素,尤其是在没有各方都能同意的可行解决方案的情况下。马约卡斯说:“我在访问期间一直在强调这一点。”他将把这一信息带回华盛顿正在进行的辩论中。
他说,国土安全部使用自己的监察长和总会计办公室的审计来监督网络安全。他说,公布结果可能是解决问题的一部分。
他的听众质疑国土安全部支持关于网络威胁指标的近实时、自动化信息共享的目标对其组织是否安全。商业安全专家担心,通过共享威胁信息,他们可能承认自己的网络很脆弱。他们担心,如果他们的网络被入侵,并对客户或商业伙伴造成伤害,这些信息可能会被用来确定责任。
马约卡斯说,关键是该计划不是实时的,而是近实时的共享,延迟被用来确定是否需要解决隐私和公民自由问题。他说,国土安全部计划在10月份宣布一项合同,为拟议中的自动共享系统创建最佳实践。
“匿名是我们信息共享协议的基石,”他说,这意味着不可能从报告了他们的共享威胁指示器中得知信息。
他被问及自动收集指标是否已经成为可能,让企业在提交报告时没有选择。“监控超出了我们现在所做的范围,”他说。
他说,即使是通过公开披露的黑客攻击和窃取数据的泄露而发现的威胁,就像来自爱德华·斯诺登如果可能的话,会被分享。他说:“我们将尽可能解密和公布一切信息。”
他说,加快对新上任的政府安全人员和顾问的安全审查是国土安全部的目标,这样合格的人在接受审查之前不会接受其他高薪工作。他说,政府已经提高了一些工作岗位的薪水,以吸引更多合格的求职者。
国土安全部计划在硅谷开设一个办公室,以靠近可能的候选人。
他表示,他希望候选人在决定是否为政府工作时,不仅仅是受金钱的驱使。
