直擊RSAC 2022：淺析ISAC在加強網路安全監管環境中的關鍵作用

2022年的RSA大會上，美方零售&酒店、衛生醫療、IT以及航空4個關鍵基礎設施行業總裁就美方ISAC在加強網路安全監管環境中的關鍵作用展開討論。

什麼是ISAC

ISAC（Information Sharing and Analysis Center，資訊共享和分析中心）是美國的非營利組織，為收集關鍵基礎設施相關的網路威脅資訊提供中心化資源，並在私營和公共部門之間提供雙向的資訊共享。

美國政府高度重視網路安全威脅資訊的共享，ISAC的概念是在克林頓執政期間開發的，並作為第63號總統並加以決策指令(PDD-63)釋出：在歷史上，許多國家關鍵基礎設施從物理和邏輯上是獨立的系統，但是由於資訊科技的進步和改進效率的必要性，這些基礎設越來越自動化和相互連線。

2003年，在《網路空間安全國家戰略》中明確提出了建立資訊共享與分析中心，ISACs旨在幫助關鍵基礎設施所有者和運營商，保護其設施、人員和客戶免受網路和物理安全威脅和其他危害；確保其能夠接收實時的網路威脅和漏洞資料。

2013年《國家基礎設施保護計劃》（NIPP）提出了關鍵基礎設施安全願景，倡導跨部門進行協作和資訊共享：透過識別和阻斷威脅、快速響應和恢復、減少漏洞、降低安全損失等方法，確保國家物理和網路關鍵基礎設施行業（交通、水利、能源、通訊等）具備安全和彈性恢復能力。

2015年出臺《網路安全資訊共享法案》，為參與網路威脅情報共享的組織提供法律保護。它消除了美國私營部門與政府部門的共享安全資訊的各種法律責任風險。

以上法律法規檔案彰顯了威脅情報共享的重要性。美國建設ISAC的主要目的是：提供與威脅及漏洞相關行業的特定警報與情報傳播的強化。ISAC作為行業中心化的安全情報共享平臺，成員之間可以共享指標，並從其他成員那裡得到反饋。最後，ISAC在影響行業的廣泛攻擊期間還能為政府機構提供應急響應能力。

什麼是ISACs全國委員會NCI？

ISAC的全國委員會NCI（National Council of ISACs）成立於2003年，它是跨部門的合作，幫助ISAC成員處理面臨的問題。多個行業/各州政府的ISAC透過NCI相互協作和協調。NCI作為所有ISAC的資訊交換中心，由26個組織組成：每個成員ISAC派出4位代表，加上一個領導團隊。NCI為ISAC提供一個資訊共享門戶，並與對ISAC感興趣的行業接洽。NCI在ISAC之間以及與政府和私營部門合作伙伴共享網路和物理威脅以及緩解策略。NCI會召集ISACs每日和每週舉行會議，並進行不定期的演習。

此外，NCI還作為與國家網路安全與通訊整合中心NCCIC（負責整合各機構網路安全資訊/情報進行綜合分析，並及時分享具有可操作性的網路威脅情報，協調各機構做出及時響應）的聯絡人。

美方哪些行業建立了ISAC

近年來，美國政府在威脅情報資訊共享的建設方面持續投入大量的精力，現已建立起了覆蓋地方&聯邦政府、多個關鍵基礎設施行業、大量私營實體之間的威脅情報分析與共享體系。目前美方已建立25家ISAC，覆蓋的行業包括：金融服務（FS-ISAC）、汽車（Auto-ISAC）、航天航空(AVIATION ISAC)、通訊（NCC）、電力（E-ISAC）、衛生（H-ISAC）及石油與天然氣（ONG-ISAC）等。

ISAC如何發揮作用？

ISAC幫助關鍵基礎設施所有者和運營商，保護其設施、人員和客戶免受網路和物理安全威脅以及其他危害。ISAC向其成員收集，分析和傳播可操作的威脅資訊，併為成員提供降低風險和增強彈性的工具。每個ISAC維護一個CSIRT（電腦保安事件響應團隊），它以24×7的方式運營，支援成員的需求，幫助它們快速響應新威脅，並向其他成員通報威脅的相關資訊。各個ISAC CSIRT為配備行業專家，這樣它們不僅能夠理解網路安全形勢，還能夠理解特定方向的威脅。這類人員的配備使ISAC成員能夠訪問獨特、聚焦的資料，以及適用於特定網路的最終情報。

此外，若美方國土安全部想透過者任何情報或者執法機構傳達對特定領域的潛在威脅，該機構只需要單一的聯絡點——該行業的ISAC。此外，如果有些行業的中小型企業的預算有限，無法具備購買威脅情報的經濟實力，也無法聘請威脅獵手。這些中小型組織可以與其所屬行業的ISAC合作，從而建立較低成本的威脅情報共享體系，進行協同防禦。

此外，RSA大會上衛生行業資訊共享與分析中心（H-ISAC）總裁Denise表示：ISAC是全球性的非盈利組織（不同國家的企業都能參與），是私人運營的，與政府無關。ISAC的組織者不能強迫成員做什麼，強制性的資訊共享也只是一種組織規定，不是國家法律。如果想要讓每個ISAC成員都獲得實際利益，那麼需要確保所有ISAC成員都因此得到了商業上的好處與尊重。這樣才能吸引所有成員繼續參加情報共享，並進一步擴充套件自己行業的ISAC成員。Denise表示H-ISAC能夠為衛生行業的組織成員提供情報共享與安全防護。例如：各種各樣的醫療裝置暴露在網際網路上，H-ISAC針對醫療裝置的暴露面/脆弱性進行收集，並反饋給H-ISACs內的成員，那麼在醫療裝置的漏洞被公開前，成員們能夠做到一定程度的提前防禦。

美方情報共享工作的進展及阻礙

·情報共享進展

美國國土安全部為幫助私營部門與各級政府組織及機構共享情報，提出了自動指標共享（Automated Indicator Sharing，簡稱AIS）的倡議，並將透過國家網路安全與通訊整合中心（簡稱NCCIC）進行實施。AIS還作為網路安全與基礎設施安全域性（CISA）使命的一部分，向其參與者免費提供。自動信標共享（AIS）支援實時交換機器可讀的網路威脅指標，以幫助保護AIS社群的參與者並最終減少網路攻擊的發生率。AIS社群包括私營部門實體、聯邦部門、各州/地區（SLTT）政府、資訊共享和分析中心（ISAC）以及資訊共享和分析組織（ISAO）以及外國合作伙伴和公司。同時，AIS能夠將各參與機構接入由美國國土安全部管理的系統當中，使得網路威脅指標得以雙向流通，從而增強聯邦政府、國土安全部以及各合作伙伴在入侵活動發生前加以阻止的防禦能力。

AIS系統共享指標的參與者都是匿名的。AIS系統的參與者連線到位於NCCIC的管理系統（AIS基於開放標準STIX和TAXII進行通訊，該系統允許雙向共享網路威脅指標）。每個參與者所在的伺服器允許他們與NCCIC交換指標。參與者不僅可以收到DHS開發的指標，還可以分享他們在自己的網路防禦工作中觀察到的指標，由DHS將這些指標統一分享給所有AIS參與者。

NCCIC由於重視速度和數量，將共享指標的速度和數量最大化，在共享指標前沒有對所有成員提交的指標進行驗證，因此由合作伙伴對透過AIS接收到的指標進行審查。但如果有政府部門需要相關指標的具體資訊時，系統會分配信譽分。

·   情報共享阻礙

當情報共享多方成員的利益不一致時，會一定程度上阻礙情報共享。雖然ISAC是全球性的組織，但是不是所有成員都和美國政府的利益一致，不能指望每個成員樂意共享資訊。ISAC成員之間強制共享和自願分享的區別在於：自願分享才能得到真正有用的資訊，而強制共享可能應付了事提交一些開源情報。近年來，真正促進ISAC機構及成員之間自願分享情報的驅動因素是：威脅形勢不樂觀，例如2021年“太陽風”系列供應鏈攻擊事件以後，ISAC成員們對於情報共享都變得更積極，願意主動共享各類安全資訊。

高質量的情報共享需要多方的相互信任與激勵保障，缺乏信任與關注也會阻礙ISAC情報共享。首先，需要相信共享的接收方可以妥善的處理情報，這種信任必須隨著時間推移不斷增加；其次，免費的情報也許不錯，但不夠好，難以解決問題。只有保證透過資金的投入來確保回報，才能保障有足夠的價值；最後，共享活動是需要有穩定的人力投入，並獲得關注，否則難以為續。

對我國情報資訊共享的啟示

我國《網路安全法》裡提出了網路安全資訊共享的要求，明確涵概有關部門、關鍵資訊基礎設施運營者以及網路安全服務機構、有關機構等等之間的網路安全資訊共享方面的要求。

360政企安全集團基於多年的威脅情報生產、運營、分析經驗，認知到傳統的威脅情報平臺（TIP）僅是做威脅情報的匯聚和消費，並不足以支撐關鍵基礎設施的防護。因此，360政企安全集團提出了情報基礎設施解決方案，希望針對城市、行業及大型企業，能夠協助建立情報分析和生產能力和共享標準，並提供運營支撐，從而可以促進形成國家、城市、行業的情報共享生態，提高網路彈性，以應對數字時代的新威脅與大挑戰。

威脅情報關鍵基礎設施的建設可以透過威脅情報，首先在組織內部各級單位實現了網路安全資訊共享，後續可以透過制定一系列的介面定義、命名規範及相關標準化工作，為行業乃至國家的網路安全資訊共享工作持續推進，提供可靠的行業實踐。同時，建立基於威脅情報生態的高效威脅發現、情報共享、協同處置機制，準確把握網路安全風險發生的規律、動向、趨勢，有效應對網路空間安全威脅。