根据美国政府近日发布的一份审计报告来看,2017年推出的新工具已改善了整个联邦政府的威胁信息共享,但其它曾经有望的计划正在逐渐退出人们的视线。
美国国家情报局、国防部、国土安全部、司法部、商务部、能源部和财政部办公室的一份非机密联合报告发现,过去几年来,网络威胁指标和防御措施的共享已有显著改善。
据审计人员称,部分原因是部署了一种新的工具——情报社区分析和签名工具(ICOAST),该工具有助于将威胁情报传送给成千上万名最高机密级别的分析人员。该工具利用开放源码、电子邮件分发、付费商业资源和技术功能,围绕破坏和恶意软件签名、威胁指标来提供更可靠的数据。
ICOAST工具首次部署于2017年,网络分析师能够通过该工具“更快地共享高质量的网络威胁信息,并[促进]分析协作。”开发该工具的情报机构安全协调中心(The Intelligence Community Security Coordination Center,ICSCC)还设计并监督了一项被称为“冰风暴”(ICE STORM)的年度演习,它测试了情报机构、国防部、执法机构和国际合作伙伴之间的网络安全信息共享能力。目前正在努力将该工具的应用扩展到秘密和非机密级别,以便能够在美国联邦政府的众多云中部署该工具,但ICSCC官员表示,该项目需要额外的人员和资源。
另一方面,审计人员对美国国土安全部网络安全和基础设施安全局(DHS's CISA)运行的自动指标共享计划(Automated Indicator Sharing program)的评价大多不温不火。该计划曾一度被视为联邦政府与私营部门信息共享努力的潜在至宝,但该计划只与大约六个实体真正做到数据共享,缺乏实体同政府共享数据的参与度,该计划一直受挫。这一现实在很大程度上阻碍了该计划所产生数据的质量的提高,也阻碍了围绕当前网络威胁构建更具操作性的信息发展。
该计划还受到美国联邦机构使用和跟踪不均的影响。尽管审计报告称,在2017年和2018年通过AIS收到了数十万个网络威胁指标,但ODNI和六个国防部的组成机构根本没有使用该项目。商务部和另外两个未透露姓名的国防部部门报告说,他们在同一时间段内使用该计划接收威胁指标,但没有记录其频率。
美国国土安全部在今年早些时候宣布了一项计划,希望对该计划进行重新整改,以期增加参与度,但联合报告显示,许多相同的核心障碍仍然存在。也就是说,虽然国土安全部已经发布了一些一般性的指导文件,但企业表示,他们仍然不太清楚自己应该如何处理从该计划中获得的大部分信息。报告还列举了太多价值和质量可疑的技术指标,以及对其意义缺乏背景或指导,而从联邦机构收集的反馈也指出,威胁数据的过度分类和政府软件系统之间的集成问题是拓展信息共享的关键障碍。
今年9月,CISA的一位官员告诉联邦计算机周刊(Federal Computer Week),该机构正致力于为不同的受众构建更多定制提要,以减少众多不满,并在自动化计划中引入更多的人机互动。
即将离任的网络安全和通信部助理主管珍妮特·曼夫拉(Jeanette Manfra)说:“最初的目的是不让太多的人(存在)在这个圈子里……但垃圾输入垃圾输出总是存在风险。”所以可能会有更少的数量,更大的信心和更高的质量,因为这是我们得到的大部分反馈。[我们听说]“如果它来自政府,我们很乐意信任它,但我们想知道,这不是开玩笑,这是最重要的事情。”
本文由安全内参翻译自FCW
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
