文章总结： 文档阐述了2026年网络安全信息共享的关键作用与面临的挑战。CISA法案的到期威胁及资金削减可能导致情报共享减少，现有机制多滞后且被动。建议通过现代化框架转向基于行为的分析，并利用私人CISO社区实现快速可信的点对点交流。未来需解决激励机制和质量问题，加强匿名保护与政府合作，以提升网络防御的整体效能。 综合评分： 88 文章分类： 威胁情报,政策法规,安全建设,安全运营

网络安全洞察2026：信息共享

原创

铸盾安全 铸盾安全

河南等级保护测评

2026年1月22日 00:00 河南

信息共享对于有效的网络安全至关重要，并且已经非常普遍；但在实践中却永远无法做到尽善尽美。

信息共享对于有效的网络安全至关重要，并且已经非常普遍；但在实践中却永远无法做到尽善尽美。

Kiteworks欧洲运营副总裁兼总经理Dario Perfettibile解释说：“信息共享提供了一种不对称的防御优势。当一个组织检测到一种新型攻击并分享入侵指标、威胁行为者的策略和防御措施时，数百个同行可以在成为攻击目标之前保护自己。”

Merlin Group 首席战略官 Matthew Hartman 补充道：“网络威胁情报的快速和持续交流使公共和私营、国内和国际组织能够更快、更有效地检测和应对入侵。”

我们在 2024 年末亲眼目睹了中国政府支持的入侵美国商业电信基础设施的行动，该行动俗称“盐台风”。

他继续说道：“公私部门持续合作，直接促成了美国政府对‘盐台风’威胁的发现，更重要的是，使得网络防御和加固指导能够迅速传播到可能受影响的行业和组织。如果没有2015年《网络安全信息共享法案》（CISA 2015），这种快速协调的应对措施几乎肯定会受到阻碍。”

如今网络威胁情报的生成量之大令人难以置信。“信息共享渠道通常有助于提炼信息，并在行业噪音中凸显真正的信号，”VulnCheck 安全研究副总裁 Caitlin Condon 表示。“网络威胁情报的本质决定了它需要验证、背景分析和对比分析。信息共享使网络安全专业人员能够更严谨地评估不断涌现的威胁，识别新的趋势和偏差，并制定技术上全面的指导方针。”

这是网络安全的关键要素。“如果能更快地吸取并传播每个受害者的教训，那么2025年针对哈罗德百货和捷豹路虎等零售商和企业的攻击，即使不能完全避免，至少也能更快地减轻其影响，”Binalyze市场战略副总裁玛丽·威尔科克斯补充道。“这项责任太过重要，不能仅仅由任何一个机构承担。”

信息共享方法

信息共享确实涉及多个机构，每个机构都有各自的优势和劣势。其中最知名的或许是网络安全和基础设施安全局（CISA）。

网络安全信息共享法案（CISA）

CISA有两个：一个是2015年的《网络安全信息共享法案》，另一个是根据2018年《网络安全和基础设施安全局法案》在国土安全部下设立的网络安全和基础设施安全局。它们是独立的，但彼此之间存在协同效应。

前者目前更为脆弱，其有效期（日落条款）已于2025年9月30日到期。目前，该授权暂时延期至2026年1月30日，这是为在2025年秋季政府停摆后重新开放联邦政府而通过的持续拨款决议的一部分。如果该授权在1月底之前未能获得延期，则将失效。

即使《网络安全和基础设施安全法》（CISA法案）失效，CISA机构本身仍将继续运作，但其由该法案支持的信息共享框架可能会被削弱。事实上，整个信息共享机制都可能被削弱。

Sysdig网络安全战略专家克里斯托·莫林表示：“2015年《网络安全信息共享法案》对美国国家安全的重要性怎么强调都不为过。如果没有法律保护，许多法务部门会建议安全团队停止共享威胁情报，导致流程更加缓慢谨慎。这种转变会减少高保真、实时洞察的流动，而这正是各组织赖以阻止敌对行动升级的关键情报。”

她继续说道：“鉴于责任保护和《信息自由法》的保护作用丧失，法律部门很可能会建议其安全团队缩减或完全停止信息共享。这将导致新报告的入侵指标（IoC）数量显著减少。信息共享的中断很可能导致更加谨慎、延迟和有限的交流，从而削弱CISA（该机构）在过去八年中建立起来的势头，而不是实时共享。”

“《网络安全信息共享法》提供了责任保护，鼓励自愿共享，但如果该法案不予续签，将会抑制参与，因为各组织担心反垄断影响或披露要求，”Perfettibile 警告说。

CrashPlan首席信息安全官托德·索尔森表示：“行业组织一直在敦促国会重新授权《网络信息共享法》。如果该法案得不到续期或替代方案，由于担心法律风险，情报共享可能会大幅减少。”

“鉴于 CISA 2015 在促进公共和私营部门信息共享方面发挥着关键作用，它的失效意义重大……话虽如此，真正的问题不在于失效本身，而在于共享的信息已经过时且被动，” BeyondTrust 公共部门首席网络安全技术专家 Kevin E Greene 评论道。

他解释说：“如今的威胁情报大多仍是被动的，主要依赖于短暂的入侵指标（IoC），这些指标对帮助机构预测或阻止网络攻击几乎毫无作用。我们需要对信息共享框架进行现代化改造，强调以身份为中心的、基于行为的分析。否则，我们的国家网络防御将始终处于被动、碎片化的状态，并且始终落后于对手。”

CISA（网络安全和基础设施安全局）不会“失效”，但它面临着一系列新的问题，主要集中在人员配备和资金方面。在前任政府执政期间，其职责范围扩大（继SolarWinds事件之后），而现任政府则将其资金削减了近5亿美元（美其名曰“重新调整重点”）。总而言之，CISA肩负着更大的责任，却面临着资源减少的困境。

莫林警告说：“外国敌对势力和网络犯罪分子肯定会将CISA人员减少视为试探美国关键基础设施的机会。即使攻击激增并非必然，但防御能力削弱的这种认知本身就可能助长威胁行为者的胆量，让他们试探底线。”

CISA的其他职责也可能受到连锁反应的影响，例如CIRCIA（关键行业必须向CISA报告网络事件）。2022年《关键基础设施网络事件报告法案》预计将在CISA完成其“规则制定”工作后，于2026年中期左右全面生效。该法案生效后，将进一步加大CISA的压力。

Rapid7全球政府事务和公共政策副总裁萨宾·马利克评论道：“尽管这项立法侧重于报告而非情报共享，但一旦生效，它将建立起向政府输送事件数据的结构化渠道。”人们希望，更多更优质的信息能够进入政府系统，从而带来更准确的威胁信息。

但CISA可能已经感受到压力。CISA是MITRE公司CVE运营的战略赞助商。CISA提供资金和指导，以确保其与政府需求保持一致，从而支持关键基础设施。但值得注意的是，CVE编号系统对安全专业人员的重要性正在下降。这部分是由于编号机构分散化后，编号数量庞大且准确性不足。这种情况还对NIST以及CVE严重性评分流程产生了连锁反应——目前存在积压，并且人们越来越担心评分的准确性。

安全专业人员最关心的是NIST NVD（国家漏洞数据库）的及时性和准确性。它可能会提供历史数据和存疑数据，而安全人员需要的是即时数据。

自 2021 年起，CISA 开始编制一份名为KEV 列表的漏洞利用清单。该清单列出了“已知已被利用的漏洞”。其主要价值在于告知各组织哪些漏洞需要尽快修复——但它并非所有已被利用漏洞的完整清单，并且侧重于关键行业（联邦机构必须在 50 天内修复清单中所列的漏洞），这体现了 CISA 为政府提供安全支持的主要宗旨。

其他信息来源

安全专业人员还有许多其他威胁信息来源——其中最重要的两个来源可能是特定行业的ISAC和InfraGard。

信息共享与分析中心（ISAC）

信息共享与分析中心 (ISAC) 通常是一个非营利性的会员制组织，负责收集、分析并向特定行业领域内的成员分发威胁信息。加入 ISAC 的费用通常取决于加入组织的收入——规模较小的公司比规模较大的公司支付的费用更少。

Fortra研发副总裁Bob Erdman评论道：“设立专注于特定信息领域的ISAC，可以让成员们专注于对自身最有价值的TTP（战术、技术和程序）和信息。这有助于过滤掉更多无用信息，并将可能更具实用价值的信息传递给成员。”

Thorsen补充道：“ISAC仍然非常有用，而且其价值还会继续增长。那些将ISAC视为更广泛情报网络的一部分（而不是唯一来源）的组织将获得最大的回报。”

然而，Perfettibile 警告说：“ISAC 的价值参差不齐。金融服务行业的 ISAC 在实时威胁情报方面展现出很高的实用性，而新兴行业的 ISAC 则在参与度和相关性方面面临挑战。”

康登则更加热情。“ISAC（信息共享与分析中心）的确很有用，尤其是一些ISAC专注于特定行业，而这些行业的威胁模型和监管要求往往存在重叠。针对特定行业的情报共享工作对于应对新出现的威胁和攻击途径，以及指导长期风险战略都大有裨益。我认为ISAC的价值正在不断增长，尤其是在政府数据源（例如NIST NVD）和政府主导的共享工作前景不明朗的情况下。”

InfraGard

InfraGard是联邦调查局 (FBI) 与私人机构合作建立的跨部门公私合营组织。其主要目的是收集和传播威胁信息，以保护行业安全。成员会向其所在地区的 InfraGard 分会（全国有 70 多个分会）提供有关网络入侵的观察结果和见解。

反过来，FBI会通过安全的在线门户网站或紧急警报电子邮件，及时、可靠地向所有InfraGard成员发布安全信息。非成员也可以通过FBI与其他机构（例如CISA）的合作关系，以较为间接的方式获取这些信息。

尽管 InfraGard 背后的理论是合理的，但在实践中仍然存在一些批评意见。Arkose Labs 的首席信息官兼首席安全官 Phil Steffera 评论道：“执法机构与企业之间的信息共享是战术性的，侧重于事件处理；而企业与执法机构之间的信息共享往往由于责任问题和合同限制而犹豫不决。”

索尔森补充道：“执法机构会尽可能与私营企业分享信息，但前提是分享的信息不会损害正在进行的调查、信息来源和调查方法。这是一种不对等的关系。”

Perfettibile 对此进行了更详细的阐述。“执法机构通常会选择性地共享信息，提供经过筛选的威胁情报，以免影响正在进行的调查，这令首席信息安全官 (CISO) 感到沮丧，因为他们分享了原始事件数据，却只收到含糊不清的警告。《网络安全信息共享法案》提供了责任保护，鼓励自愿共享信息，但该法案可能无法续期，这将抑制各组织参与共享，因为他们担心反垄断问题或信息披露要求。”

IC3

互联网犯罪投诉中心（IC3）由联邦调查局于25年前创立（最初于2000年名为互联网欺诈投诉中心，2003年更名为IC3），其主要目的是打击网络犯罪——犯罪受害者向IC3举报案件。虽然IC3会为这些受害者提供直接支持，但它也会传播收到的威胁信息；然而，传播的方式既不及时，也缺乏实质意义。

它通过发布关于新威胁或持续威胁的公共服务公告、年度报告、在线行业警报以及与执法机构和可信赖的合作伙伴（例如 InfraGard 和 CISA）共享信息来做到这一点。最后一种共享方式最为详细，但并不公开。它更擅长发现趋势，而不是提供具体的威胁情报。

私有CISO 社区

信息共享的主要媒介在时效性和针对性方面存在不足。为了克服这一问题，首席信息安全官 (CISO) 们建立了各自的封闭社区，以便与其他 CISO 讨论当前发生的安全事件。他们通过 Slack、WhatsApp 和 Signal 等渠道进行交流。这些渠道的安全性令人担忧，但还有谁比多位 CISO 更适合监控和控制安全呢？

这些社群在新冠疫情封锁期间开始涌现。在此之前，首席信息安全官 (CISO) 们通常在会议和研讨会上进行私下交流。封锁期间，这种方式变得不可能，他们转而开始在线上见面。这些社群自此不断发展壮大，如今已走向国际化，成员可达数百名 CISO。

社群规模可从十几人到数百人不等，成员通常按主题领域（垂直行业）和地理区域划分。在大型社群中，对话往往不那么敏感，敏感话题通常会在较小的群组中讨论。在某种程度上，社群的整体规模并不重要——即使有人提出敏感话题，也只有感兴趣的人可以加入单独的群组进行讨论。

VulnCheck 的 Condon 表示：“从定义上讲，广泛共享的信息或情报就不是秘密。与其指望任何特定平台都能提供完美的安全性，不如采取一种更安全的信息共享方法，即根据敏感程度对信息本身进行分类，并且只共享与所用平台或渠道的可信度相匹配的数据或情报。”

“对于非机密情报，在 Slack、Discord 或其他聊天平台上共享的信息通常比在 Signal 消息或其他端到端加密通信中共享的信息敏感度低。信息安全部门也大量使用交通灯协议 (TLP) 标识，该标识指示信息的共享范围。”

Fortra 的 Erdman 进一步阐述了 TLP 的价值。“信息的共享级别需要明确标示，共享方式也应遵循这些级别标识。在较小的群组中，可以采用非正式的方式，例如声明这是 TLP 红色级别，请勿外传。在较大的群组中，TLP 交通灯协议的颜色设置仍然有效。如果成员不遵守规则，可以迅速采取行动进行处罚或将其从群组中移除。如果您想访问数据，就必须值得信赖，并且会遵守规则。”

但所选渠道的安全性仍然令人担忧。“许多参与封闭式信息共享群组的人员不仅高度关注他们共享的内容和对象，而且还高度关注假设的数据泄露或传票可能造成的影响，以及平台提供商在政治或市场压力下交出数据的可能性，”康登继续说道。

在监控经济根深蒂固且不断扩张的今天，平台提供商的隐私和安全选择对于决定信任哪些平台进行信息共享的组织来说将变得越来越重要。

斯特福拉称之为“安全性与可访问性之间的矛盾”。“例如，Slack 上那些仅限受邀者加入的社区，聚集了数百名首席信息安全官 (CISO)，它们在实时同行咨询和威胁情报方面非常出色——但同时也存在信息集中风险。如果 Slack 本身遭到入侵，或者其中一名成员是恶意行为者，就会造成信息泄露。没有完美的解决方案；组织需要在开放性和风险承受能力之间取得平衡。我认为到 2026 年，业界将努力找到这两者之间的良好平衡点。”

然而，Bugcrowd 的首席战略与信任官 Trey Ford 解释了这些社区的主要价值。“个人之间的信任是显性的，而组织之间的信任是隐性的。创建和维护政府资助的安全场所所需的法律和组织工作限制了信任的程度——是公司之间的信任，而不是人与人之间的信任。但我可以和另一位安全主管坐下来喝杯啤酒或咖啡，我们可以坦诚地交流，分享关于调查、问题、故障模式或其他各种事项的笔记。我们可以讨论人员配备、人才、新出现的重大漏洞，或者我们如何应对最新的 log4j 漏洞。”

分享的未来

信息共享对网络安全的潜在价值巨大；但实际可实现的价值却未必如此之大。

BeyondTrust公司的格林评论道：“如今的威胁情报大多仍是被动的，依赖于短暂的入侵指标（IoC），这些指标对帮助机构预测或阻止网络攻击几乎毫无作用。”他继续说道：“我们需要对信息共享框架进行现代化改造，强调以身份为中心的、基于行为的分析。否则，我们的国家网络防御将始终处于被动、碎片化的状态，并且始终落后于我们的对手。”

然而，信息共享在2026年及以后必然会增加。“信息共享和报告将持续增长，原因有很多。其中之一是安全事件比以往任何时候都多，”CyXcel公司北美数字取证与事件响应副总裁布伦特·莱利评论道。

他还补充道：“另一个原因是，过去可能不愿向执法部门报告网络安全事件的组织已经了解到，如果向IC3报告犯罪行为，将会获得一些额外的审计保护。过去五年里，人们曾担心仅仅因为报告网络犯罪就会受到审计或其他政府监管方面的关注，但这种担忧已经有所缓解。”

Kiteworks 的 Perfettibile 也认为，到 2026 年信息共享量将会增加，但质量方面仍面临挑战。“自动化会产生海量的指标数据，令分析师应接不暇，而真正有价值的关于攻击者手法的背景情报却因竞争或保密原因而被严格保密。未来取决于如何解决激励机制问题。分享详细泄露信息的组织可能会面临声誉受损和监管审查的风险，而搭便车者却能不劳而获。”

他补充道：“如果没有能够实现匿名共享的平台、保护善意共享者的监管安全港，以及政府对融合中心的投资（该中心将私营部门报告与机密情报相结合），到 2026 年，信息共享仍将保持高数量但低质量，尽管参与度不断提高，但其防御价值仍将受到限制。”

康登表示：“我认为我们看到整个网络安全市场正朝着私有化和闭源情报的方向发展，这既是为了获取商业优势，也是为了防止情报落入对手之手。但总的来说，网络安全市场仍然竞争激烈——只要验证和更广泛地共享威胁情报能够带来商业优势，信息共享就会在社区和行业层面继续进行。”

她补充说，网络安全领域的信息共享已成为常态。“如果各国政府想要塑造和推动这些工作，就不能仅仅扮演消费者的角色——它们必须继续成为积极的合作者。”

Rapid7 的 Malik 认为，“信息共享在美国不会消失，但它将从仅限政府的机制转移到由第三方和其他政府托管的可信平台。”

人们普遍认为信息共享已成为常态，并将在未来几年持续发展。但对于如何才能最有效地实现信息共享，各方尚未达成共识。

最后想说的

当前主流信息共享存在两大主要问题。首先是共享平台从源头获取信息到将其分发给接收组织之间存在时间延迟。安全团队需要尽早获取信息，最好是在攻击发生之前，以便确保防御措施到位。

如果延误时间过长，这些信息可能会变成历史遗留物，而不是预警信息。

第二个问题是大多数信息共享机构的性质——它们往往是政府机构，旨在推进政府的各项政策，并受制于政府的优先事项。因此，联邦调查局不会泄露可能与正在进行的调查相关的信息。同样，资金状况也会因现任政府的不同而时而紧张，时而充裕。

能够同时解决这两个问题的方案寥寥无几，但或许最有希望的方案是直接的、点对点的封闭式首席信息安全官 (CISO) 社区。在这里，问题可以在几天甚至几小时内得到解答，而且回复很可能来自了解这些担忧、甚至可能经历过并克服过类似担忧、问题或攻击的同行。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：河南等级保护测评 铸盾安全 铸盾安全《网络安全洞察2026：信息共享》