CISO機密對話

打破隔閡
資安界可貴處在於彼此能交換稀有訊息的合作關係。資安顧問Ted Demopoulos ，最近訪談60位資安專家，問：「你們跟駭客社群間，哪一方在資訊共享交流上比較頻繁？」得到的都是笑而不答的尷尬表情。

數位世界由各方菁英所主宰，駭客們以技術水準能力和成功破解系統漏洞來權衡其地位。這也表示駭客必須要公開所使用工具、目標系統版本與證明概念的方法。反過來看防守方的資安專家，通常只願意分享一些差不多是人盡皆知的資訊，而很少分享其實際經驗，這樣沈默不願分享，別人也無法幫上忙，只會失去更多學習的機會罷了。

西雅圖機場的 CIO Peter Garlock說：「在我們苦心守護的堡壘之外，有成千上萬的敵人大軍等著攻城掠地。」他是Hayden的上司，也相當支持這種組織間的資安訊息互動。如果各家的 CISO 可以互相交換心得與建議，可以省去許多嘗試錯誤的附加成本，也提高工作上的效能。

Hayden 與 Bailey已經建立起彼此間的互信機制，而絕大部分的資安人卻難以敞開心胸。「當我們開始這種 CISO 對CISO 的對話互動，其他人的看法都是「真是一項創舉」、「非常棒的點子」之類的讚嘆，但是他們卻裹足不前。」

他們倆交談的資訊，也有可能遭到洩漏，而出現在某人的部落格（Blog）或明天的報紙上。互信的背後要承擔的是企業內資安弱點的暴露風險。這就是為何建立彼此間的互信是一個關鍵因素，而一旦開始投入互動之後，信任感就會隨著時間與日俱增。

當Hayden還在一家軟體公司擔任安全總監，那時Bailey就已經是市府的CISO，正在為完成弱點評估工作傷腦筋。他們締結了資安殿堂上的穩固邦誼，這兩個資安難兄難弟的交流已經超過一年多。經過一年，他們變成真正的好朋友。不過，Hayden現在當上了西雅圖機場的資安首席，這種合作的革命情誼變得更穩固、更密切，不僅僅因為其建立在互信的基礎上，而是市府與機場之間實為不可分割的夥伴關係。

每個CISO都有其熟悉的人際網絡，Bailey說；「我們會互相引薦彼此熟絡的人。」因此對彼此熟識的人可以獲得更高的信賴感。

他們同時也可以放心的請教他們所信賴的同事與員工。而Hayden與Bailey之間這種互信關係，也可以藉由兩人當作一個窗口聯繫雙方的人際網絡，建立起兩個團隊間的互信，如果Bailey可以信任某人所言，Hayden就可以不必擔心這些資訊的可靠性。

如果這個網絡中的一點擁有相關資訊，像是新的網路攻擊警訊、發現新的系統漏洞，這個消息就會在網絡間傳開。當然，Hayden 與 Bailey也一定會彼此分享，而傳到對方的人際網絡中。因為這種關係不是一個正規的體系，也不會有類似官僚心態的人意圖限制資訊的流通。因此，他們認為這樣一來，訊息會更快地散播開來。

Bailey說：「我們手邊擁有的只是片面的網路攻擊報告，而實際上網路攻擊是全面性的、跨區域的。」

就像企業界，不論是上下游廠商，或水平分工，他們其實都是一體的。在電子或電信設施發生問題時，不只是製造業受創，市政營運一樣都會受波及。所以，Hayden 和 Bailey認為，資安沒有政府與民間之分，想達到充分的合作關係，必須先讓橫隔於業界之間的高牆倒下，最後也要讓政府與民間有成為資安命運共同體的認知。

就是要跟你分享
雖然Hayden與 Bailey覺得他們的提議還有一些阻力，但是這種『合作』的因子已經融入美國西北地區的資安文化中。

像是「太平洋CISO論壇」，包含Hayden與 Bailey及其他20幾個會員，形成一個地區性的資訊交流網路，已經運作了一段時間。會員除了擁有其資安相關的管道外，部分成員還跟聯邦調查局、密勤局與司法部有所接觸。

VantagePoint安全顧問公司的資安首席策略長 Peter Gregory表示，「參加論壇之後，我們都多了幾個耳朵和眼睛，就好像有許多分身，可以接觸到各方面的訊息，我們樂於聚在一起分享資訊和案例。」Peter 同時也是該論壇的發起人之一。

資安廠商更不應該分彼此，根據Bailey的說法，他認為廠商應該花更多的時間規劃有關互相合作、資訊共享的計畫，尤其是同在資安圈子裡的業者、學者都應該要參與這種論壇式的組織。多少都可以從中獲得答案，解決你所要面對以及你的客戶會面對的問題。

還有另外一個原因，在有意無意間，這些CISO就會習慣從聽到的資訊來做決策。根據紐約西拉鳩斯市大學的心理學教授Jeffrey M. Stanton的研究報告指出，群體討論的學習，非常適合有相同經歷、面對相似問題的人們參與，他們在工作上所承擔相同的責任，總有些經驗可彼此分享。還有地理上的區域性，也是論壇可以聚集這一群人的原因。

到底可以從論壇中得到什麼好處或資訊呢？比方說，現在西雅圖市要跟ISP業者重新協商合約的問題，而必需列出談判協商的目標與條件，像是必須提供網路連線記錄給電腦犯罪鑑識人員、提供服務專線以因應緊急的網路攻擊等滿足網路專家甚至是律師的各種要求。但是僅靠一人之力是無法涵蓋所有層面的需求，如果透過論壇的討論，廣納各方CISO的建言之後，就可以得到一個更完善、涵蓋層面更廣的安全架構與計畫。

至於有些專家，像Dr. Don Goff 就曾質疑過，彙整了這麼多的意見，如果缺乏組織化的分析整理，還是有可能將政策誤導到一個錯誤的方向。

一位馬里蘭州立大學(UMUC)資訊與通訊系的教授說，「要瞭解問題，應該從基礎教育著手，瞭解其根源並指出問題所在。」該校是全國60個傑出資安教育中心之一，許多州政府官員請他們幫忙召集產、官、學、研及司法、消防單位，共同研擬一套合宜的資安應變計畫。

即便如此，許多與會的成員還是小心翼翼地，以維護各自單位的利益為出發點來提出建議。Goff 說：「如果論壇過於制式化，太多的規則會讓參加者變成單純代表各單位發言，而流於形式化的工作會議。」

官僚心態要不得
要讓政府與民間機構真正達到互信與合作，就不能有太多官僚主義，最好保持非正式的會議體制與簡單的行政支援就好了。

像聯邦資訊公開法案（Freedom of Information Act）與各州相關的法律，只會徒增困擾罷了。依照條文解釋，任何人都可以像政府機構索取想要的文件，如果資安論壇的結果必須以文件的方式記錄會議結果，那這些資訊勢必要被公開。這也是與會人員頭痛的問題。

Bailey、Hayden與其他論壇成員，便有默契地避免將討論內容訴諸文字，像筆記、報告甚至電子郵件這些形式。就可以閃避這種資訊被要求公開的陷阱。

Gregory說︰「我們不必簽什麼保密協定之類的文件。當然也沒有網站或專職的行政人員，就只有單純的分享資訊。如果論壇真的變成一個制度化的機構，那就必須遵守資訊公開法案，把所有資訊公開。這不是我們所樂見的。」

唯一的缺點就是，沒有將這些寶貴的建議寫下來，有時候一忙起來就忘的一乾二淨，人腦實在沒有電腦可靠。而這些難得的寶貴資訊，有時候是要經過一群人的腦力激盪才浮現的。現在國土安全法案為許多聯邦機構張開了保護傘，以對抗聯邦資訊公開法案，但是對於各州的資訊公開法案卻隻字未提。這種情況讓大家都覺得倍感困擾。

Bailey以前是Agora 的成員，Agora 是在 1990年代成立的一個組織，是一個區域性的資安專家聚會，所以也沒有什麼形式上的包袱，透過這樣的管道分享許多關鍵的知識與資訊，許多安全專家意識到他們在專業能力上的衰退，無法達到保護企業安全的目標，因此需要跟擔任相同工作的人談談，當然也包括同業競爭者，藉此達到分享資訊與學習的目的。

最終，還有什麼因素會主宰這種網絡式的合作關係呢？應該就是靠口碑與金錢了。CISO 的網絡最後會變成只有值得信賴者引薦的新人可以加入，你不必痴痴地等待有人會在研討會中提出他們的最棒的解決方案。但是你卻可以在街角的咖啡廳中，與好友分享這些寶貴經驗。當然這種分享機制還是有其經濟效益的，這些有經驗的專家可以幫企業解決許多疑難雜症，當然他們也會在薪水支票中看到應得的回饋。

Bailey說：「正如多數專業協會的下場，我認為當這種流於形式的會議衍生出共生的互利關係，最後使得與會者變的更陳腐，而且對於例行性出席感到厭倦。」 如果Bailey和Hayden的交流，照著上面這種行不通的模式來走，就只會讓這個圈子裡的成員覺得越來越無趣，得多喝幾杯咖啡才不會打瞌睡。