上周末在SXSW,两位国会议员建议美国建立一个类似于国民警卫队的网络安全储备系统,但这个想法受到了网络安全界的喜忧参半的欢迎。
根据来自德克萨斯州的共和党众议员威尔·赫德(Will Hurd)的说法,国家网络安全储备有助于加强国家安全,带来多样化的经验。赫德拥有德克萨斯a&M公司的计算机科学学位,曾担任中情局卧底官员,并在网络安全公司FusionX担任合伙人。
他已经宣传网络国民警卫队的想法有一段时间了,他建议政府可以免除那些服务人员的助学贷款债务。这也将有助于确保政府和工业之间的经验交叉传粉。
“无论是私营部门还是公共部门,都不能单独保护我们的国家免受网络对手的伤害,”他说去年夏天的一篇评论文章.
亚利桑那州民主党人、前海军陆战队老兵鲁本·加列戈(Ruben Galego)说,一个专门的网络国民警卫队可以帮助吸引急需的技术人才到后备队。
“我们必须接受,听着,这个人不会用机枪来制造,为什么我们要把他们放进战俘营,我们永远不会把他们送到前线,”加列戈他告诉CNN. "但我们绝对可以利用他们的知识为我们的国家服务。”
需要是关键
“这是个很棒的主意,”汉克·托马斯说,他是合作伙伴和首席运营官战略网络风险投资.
他说,政府招聘网络安全人才的制度已经被打破。
“目前还没有迹象表明,这将在短期内得到修复,主要是因为商业空间网络人才争夺战太激烈了,”他说人才大战是真实的,我们赢得当前网络战,即第三次世界大战的唯一途径,就是拥有一支更大、更具能力的网络力量。”
美国陆军部的联邦技术总监约翰·希拉哈特说,军事招募工作只是无法跟上步伐可维持网络安全.
“我们为所有传统的武装部门都有军事储备,但对网络领域却没有任何储备,主要是因为限制性的军事雇用政策,阻碍了信息安全专业人员加入。”。
他举例说,典型的预备役军人都受过射击步枪或驾驶直升机的训练,但网络专业人员已经受过训练。另外,还有文化差异,他补充道被迫剪头发,不得不健身,远离家人。”
“网络安全精英阶层中有很多爱国者,但不多会离开利润丰厚的企业和咨询团加入军队,”美国国防部产品战略副总裁乔纳森·桑德(JonathanSander)说利伯曼软件。“不过,给他们一个选择,让他们保持收入,但在需要的时候随叫随到来国防,你可能会有一个获胜的公式。”
Paul Calatayud,首席技术官火门,有个人的经验,确切地说是这样的情况。
“我在军队里支持网络安全已经八年了,一场重大冲突是平衡我日益增长的平民生涯与我想以我所知道的最好方式服务我的国家的愿望,”他说通过建立像国民警卫队这样的结构等想法,像我这样的人可以在不冲突的情况下回到家里帮助他们。”
许多专家希望,一个国家网络卫队能够帮助解决政府层面的一些网络安全人才短缺问题。
“政府应该积极发展和雇佣安全专业人员,并扩大网络安全计划,”BlueLang,高级产品经理说真实性一家网络安全公司正在与能源部合作,以减少针对工业和公用事业网络的网络攻击。”它和我们共享基础设施的任何其他部分一样重要——也许更重要的是因为目前缺乏可见性。我们可以从一个持续的项目中看到它的价值,即让安全专业人员保持‘温暖’,熟悉政府系统、漏洞和痛点。”
“网络安全不会用任何单一的解决方案来解决,但任何表明稳定的资金和组织关注点,以确保美国数据安全的措施,都会引起我的注意,”该公司联合创始人兼首席科学家丹·卡明斯基(Dan Kaminsky)说白色行动。“特别有趣的是,保留者在公共和私营部门之间创造了大量的交叉授粉。攻击者对组织边界不太重视——有效的防御需要跨越这些边界的合作。”
美国可以在国外寻找成功的例子。
Eran Barak,首席执行官六方岩在以色列国防军的一个精英情报单位服役多年。然而,这个国家确实有很大的优势。
“我们在包括情报和网络在内的所有单位都有强制性的军事服务,”他说如果有人不出现,他们就可以被起诉。要在美国实行同样的制度,你需要有足够大的激励,吸引网络安全人才,同时要激励雇用这些专业人员的私营部门雇主。”
MoreyHaber,技术副总裁超越信任
另一个可以作为榜样的国家是爱沙尼亚,资深研究科学家肯尼斯·盖尔斯说科莫多集团,还有北约大使。
“今天,爱沙尼亚是这方面的领导人,”他说。
爱沙尼亚的金融和政府基础设施在2007年遭到大规模袭击,这一袭击被广泛归咎于俄罗斯。此后,爱沙尼亚国防联盟成立了一个网络单位,有数百名平民志愿者,他们可以在紧急情况下被召唤。
不是政府的工作
然而,其他安全专家担心,网络国民警卫队将是朝着错误方向迈出的一步。
“在我个人看来,这是一个可怕的想法,”美国科技部副总裁莫雷·哈伯说超越信任。“它代表了大政府的所有错误。”
无需按需组白帽黑客他说。
“供应商应该对他们在产品中建立的网络安全负责,承销商实验室和消费者报告等组织正在加紧网络安全测试和评级,网络安全的基本立法已经开始实施。”我们不需要FDA的版本来保护互联网和连接设备。让我们商业化,让公司从网络安全保护中获利,而不是让路给更大的政府,以及个人隐私的丧失。”
网络国民警卫队不会解决人员短缺的根本原因利伯曼软件。
“建议的网络国民警卫队的解决方案与金融现实脱节,”他说,称之为“一到就死,一个以幻想经济学为基础的误导性想法。”
项目将面临技能、预算问题
专家表示,如果要建立一个国家网络卫士,该项目将面临重大障碍。
例如,有一个问题是协调对私营部门和地方政府管辖区拥有的关键基础设施的攻击的反应。网络国民警卫队会介入吗?谁来负责?
所有这些都需要计划好,瑞奇·巴格说,他是美国证券研究中心的主管斯普伦。
他说,建立和测试这个框架将需要时间和资源,而不是其他政府和民用项目。
然后,还有一些重大的人员配置问题。
“我们的政府,类似于美国企业,正在努力寻找合格的网络安全专家,”CTO AndrewHoward说库德尔斯基安全. "国民警卫队网络安全能力的概念是个好主意,但只是帮助增加合格军事专家的数量,而不是积极捍卫美国的利益。”
而且,一支兼职预备役军人队伍能完成的任务也有限。
“政府显然存在问题,需要找到和留住人才,利用私人公民担任兼职,以补充一些职能以应对重大问题的想法可能奏效,”安全供应商技术福音传道者BrianVecci说瓦罗尼斯系统. "然而,预备役网络卫士不太可能帮助发现或防止重大攻击或破坏。”
“重大违规情况,如OPM公司乐队艾滋病和周末战士无法预防。”。
事实上,兼职的部队实际上可能会产生比解决的更多的安全问题。
大卫·维加拉说:“在美国历史上最严重的中情局文件泄露和以承包商为重点的调查之后,首先要克服的问题是如何管理一大批拥有政府系统或技术的文职专业人员的安全清关。”,全球产品营销总监VASCO数据安全.
他不是唯一担心这个的人。
“如果这些临时工要发现并修补漏洞,审计和升级系统,他们将需要大量特权访问这些系统,”该公司首席科学家Igor Baikalov说塞库罗尼克斯。“而且,正如任何内部威胁专家会告诉你的,有特权进入的临时工人可能会造成很多损害,不管是有意的还是没有。爱德华·斯诺登和哈罗德·马丁的事务将苍白,与这支网络安全志愿者队伍必然会造成的事件数量之多相比,即使没有任何恶意意图。”
“我认为它不起作用,”CISO首席安全策略师MichaelLipinski说塞库罗尼克斯。“筛选和访问系统的时间太长了。就连国会现在也在抱怨说,调查‘俄罗斯影响’调查的调查人员要花上几个月才能进入政府系统。”
而只是安全许可的存在,才减缓了反应时间。
PeterTran,总经理,高级董事RSA安全性
“在网络技术领域,迅速变化的威胁条件使得大规模攻击面跨越地缘政治边界,并在几秒钟内发生变化,”该公司总经理兼高级主管Peter Tran说RSA安全。“因此,在关键违约时动员‘周末勇士’就意味着在预备役人员需要加快工具、战术和程序的时候,引入加速延误和额外的‘停留时间’,以便及早发现和响应。”
更好的办法可以是利用私营部门的专家进行连续轮换,以保持技能新鲜,并帮助知识转让。
“你肯定不会希望你的战斗机飞行员在一年中只有几个星期的时间坐在座位上,是吗?”他说。
我们已经有了国家网络安全保卫队
最后,一些专家指出,我们已经在国民警卫队开展了网络安全项目。去年,国民警卫队表示,计划到2019年,至少30个州拥有30个网络单位。
“我国马萨诸塞州已经在发展网络ISR集团,其他州已经开发了互补中心,”美国麻省大学创始人兼首席执行官Ernesto Digiambatista说Cybric。“看看一些积极主动的州在网络安全方面做了些什么——马萨诸塞州、罗德岛州、华盛顿州、密歇根州。”
美国商业发展部副总裁罗伯特·卡普斯(RobertCapps)说,还有联邦网络安全组织NuData安全.
这包括国土安全部网络安全司、美国计算机应急准备小组和国家网络安全中心。
“假设可以获得机构间的合作,”他说,“一种方法可以是促进和集中现有的高功能网络风险团队,让它与政府和军方各部门的其他高成就者展开翅膀。”
通过借鉴现有州和联邦的努力,网络国民警卫队不必从头开始。
他说:“但这样一个单位的最终长期生存能力将取决于它被赋予的任务,以及完成任务所需的权力和财政支持。”。
本篇《网络国民警卫队价值分化专家》原版由CSO公司 .