信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“安全牛”。

目前，大多數(shù)企業(yè)組織會(huì)按照以下模式開(kāi)展網(wǎng)絡(luò)安全工作：首先，回顧分析最近發(fā)生的安全事件，同時(shí)收集已知威脅的信息；接下來(lái)，安全團(tuán)隊(duì)就如何消除這些威脅和緩解相關(guān)風(fēng)險(xiǎn)達(dá)成共識(shí)；最后，部署實(shí)施緩解上述威脅的管控措施和工具。

很多企業(yè)的安全人員認(rèn)為，只要將以上工作做得越好、越快，就能夠讓組織獲得更好的安全性。然而事實(shí)上，一些極具破壞性的安全攻擊事件往往是事前難以想象的，但是它們卻真實(shí)發(fā)生了，例如：

●在9.11事件之前，美國(guó)國(guó)家安全部門認(rèn)為，劫機(jī)者會(huì)降落飛機(jī)，并通過(guò)談判來(lái)解決爭(zhēng)端，但是恐怖襲擊者并未這樣做；

●在Stuxnet工業(yè)蠕蟲(chóng)病毒之前，工業(yè)控制系統(tǒng)工程師認(rèn)為控制氣閘等系統(tǒng)可以不受傳統(tǒng)網(wǎng)絡(luò)攻擊的干擾，直到被植入了病毒；

●在2020年SolarWinds事件爆發(fā)之前，很多IT系統(tǒng)運(yùn)維人員也認(rèn)為，網(wǎng)管平臺(tái)上經(jīng)過(guò)驗(yàn)證的更新都是合法且安全的，直到SolarWinds平臺(tái)本身因?yàn)榘踩┒闯蔀槠茐男怨?yīng)鏈攻擊的載體。

以上安全事件都造成了巨大的損害，原因是遭遇了難以預(yù)見(jiàn)的新風(fēng)險(xiǎn)。換句話說(shuō)，當(dāng)安全守護(hù)者對(duì)威脅的假設(shè)越簡(jiǎn)單，攻擊發(fā)生后的破壞性就越嚴(yán)重。

在此背景下，美國(guó)Blancco科技公司副總裁兼總經(jīng)理Maurice Uenuma認(rèn)為，現(xiàn)代企業(yè)組織在面對(duì)不確定的未來(lái)時(shí)，為了確保長(zhǎng)期的網(wǎng)絡(luò)安全彈性，需要采用正確的方式，有效地規(guī)劃和準(zhǔn)備來(lái)預(yù)測(cè)和緩解未來(lái)可能會(huì)出現(xiàn)的風(fēng)險(xiǎn)。而對(duì)未來(lái)數(shù)字化環(huán)境中的威脅進(jìn)行假設(shè)是做好這項(xiàng)工作的基礎(chǔ)。而威脅假設(shè)和壓力測(cè)試對(duì)于任何長(zhǎng)期性網(wǎng)絡(luò)安全計(jì)劃的制定都是不可或缺的。

面向未來(lái)的安全需求

認(rèn)識(shí)到不斷變化的威脅形勢(shì)，組織需要通過(guò)更廣泛的數(shù)據(jù)收集和共享、更強(qiáng)大的分析帶來(lái)的更深入的見(jiàn)解、更早地發(fā)現(xiàn)威脅行為者及其行動(dòng)，以及更快地響應(yīng)正在進(jìn)行的攻擊，來(lái)加速這一進(jìn)程。

但事實(shí)是，很多企業(yè)在此過(guò)程中已經(jīng)明顯落后。因此當(dāng)他們檢測(cè)到攻擊者活動(dòng)及其意圖、攻擊方法時(shí)，往往為時(shí)已晚。最根本的挑戰(zhàn)是沒(méi)有為一個(gè)風(fēng)險(xiǎn)未知的未來(lái)做好準(zhǔn)備。

為了在充滿新風(fēng)險(xiǎn)的數(shù)字化世界中變得更有彈性，企業(yè)組織必須對(duì)各種可能的威脅進(jìn)行假設(shè)，同時(shí)進(jìn)行壓力測(cè)試來(lái)加強(qiáng)安全防護(hù)計(jì)劃。僅僅是監(jiān)測(cè)安全態(tài)勢(shì)和預(yù)測(cè)威脅是不夠的，我們還必須不斷對(duì)當(dāng)前所存在的“安全感”進(jìn)行質(zhì)疑和挑戰(zhàn)。

一種具有未來(lái)彈性的安全方法需要包括一個(gè)深思熟慮的威脅假設(shè)過(guò)程，并在現(xiàn)有假設(shè)仍然有效的情況下，對(duì)它們提出挑戰(zhàn)和質(zhì)疑，以模擬一個(gè)這些假設(shè)受到妥協(xié)時(shí)的場(chǎng)景。然后，基于這個(gè)新的未來(lái)“現(xiàn)實(shí)”，我們可以發(fā)展更好的生存方式。

換句話說(shuō)，我們需要將安全方法從評(píng)估當(dāng)前環(huán)境，對(duì)未來(lái)做出假設(shè)，識(shí)別威脅，然后緩解這些風(fēng)險(xiǎn)，轉(zhuǎn)變?yōu)槊鞔_識(shí)別當(dāng)前的假設(shè)，“編造”威脅以妥協(xié)這些假設(shè)，并建立適應(yīng)能力以在未來(lái)生存。在此過(guò)程中，需要充分考慮以下四種因素：

●所指對(duì)象：我們對(duì)誰(shuí)（或什么）正在被保護(hù)的假設(shè)是什么，為什么？這個(gè)對(duì)象（人或應(yīng)用實(shí)體）看起來(lái)是安全的嗎？

●影響：我們對(duì)當(dāng)前的防護(hù)能力有什么假設(shè)？攻擊者能做些什么來(lái)傷害我們？對(duì)安全環(huán)境或生態(tài)系統(tǒng)的影響有多大？

●相互依賴：有哪些防護(hù)資源對(duì)我們來(lái)說(shuō)是可用的，是否可以思考它的可用性或意圖？是否還有未充分預(yù)測(cè)到的系統(tǒng)效應(yīng)？

●監(jiān)管治理：監(jiān)管機(jī)構(gòu)應(yīng)該在哪些方面發(fā)揮作用？我們對(duì)監(jiān)管者的角色假設(shè)是什么？未來(lái)的安全性是否會(huì)在符合行業(yè)監(jiān)管要求準(zhǔn)則的框架內(nèi)運(yùn)作？

威脅假設(shè)的方法和原則

通過(guò)解構(gòu)威脅假設(shè)，企業(yè)組織可以主動(dòng)規(guī)劃應(yīng)對(duì)未知威脅的安全能力，從而逐步實(shí)現(xiàn)面向未來(lái)的安全彈性。這項(xiàng)工作的基本框架包括以下步驟：

1.確定基本的威脅假設(shè)原則及其相關(guān)的依賴項(xiàng)。

2.通過(guò)理論上的妥協(xié)對(duì)相關(guān)假設(shè)進(jìn)行壓力測(cè)試，設(shè)想假設(shè)不再有效時(shí)的安全狀態(tài)。

3.通過(guò)測(cè)試，識(shí)別在未來(lái)狀態(tài)中可能出現(xiàn)的風(fēng)險(xiǎn)。

4.為所識(shí)別的假設(shè)威脅制定緩解措施。

需要說(shuō)明的是，基于威脅假設(shè)的安全方法在一定程度上是理論性的，因此過(guò)程中容易出錯(cuò)。同時(shí)，同時(shí)沒(méi)有邊界限制的風(fēng)險(xiǎn)想象也會(huì)導(dǎo)致虛構(gòu)多于現(xiàn)實(shí)。然而，為了充分應(yīng)對(duì)風(fēng)險(xiǎn)，安全人員需要去想象無(wú)法想象的風(fēng)險(xiǎn)，并在可實(shí)現(xiàn)的情況下，考慮緩解這些風(fēng)險(xiǎn)的方法。

為了提高威脅假設(shè)的效率和有效性，安全人員可以遵循以下兩點(diǎn)威脅假設(shè)的原則：

1

以企業(yè)業(yè)務(wù)為中心（Enterprise-centric）

在企業(yè)數(shù)字化發(fā)展過(guò)程中，需要大量創(chuàng)建、處理、管理、傳輸和存儲(chǔ)數(shù)據(jù)，因此，我們應(yīng)該假設(shè)企業(yè)業(yè)務(wù)發(fā)展是網(wǎng)絡(luò)安全能力構(gòu)建的焦點(diǎn)，所有關(guān)于安全防護(hù)的努力必須集中在那里。這是一個(gè)非常合理的假設(shè)。NIST網(wǎng)絡(luò)安全框架、CIS關(guān)鍵安全控制和ISO 2700系列指南都關(guān)注企業(yè)。甚至《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》也將企業(yè)作為首要角色。

“以企業(yè)業(yè)務(wù)為中心”的網(wǎng)絡(luò)安全假設(shè)的優(yōu)勢(shì)之一是，經(jīng)驗(yàn)和專業(yè)知識(shí)可以集中在網(wǎng)絡(luò)安全“發(fā)生”的地方。如果企業(yè)結(jié)構(gòu)受到侵蝕，那么實(shí)現(xiàn)良好開(kāi)發(fā)的安全控制（例如，CIS控制）的相關(guān)能力也會(huì)受到影響。

針對(duì)這種情況的緩解措施包括大力提高公眾意識(shí)和警報(bào)協(xié)議（類似于警察或緊急醫(yī)療響應(yīng)系統(tǒng)），使人們?cè)谄髽I(yè)以外的環(huán)境中（如教育領(lǐng)域）更加安全。雖然其中一些已經(jīng)發(fā)生，但焦點(diǎn)、重點(diǎn)和責(zé)任將從公司轉(zhuǎn)移到公共和非營(yíng)利實(shí)體。

2

關(guān)注數(shù)據(jù)所有權(quán)

我們通常假設(shè)人類通過(guò)決策、設(shè)計(jì)、構(gòu)建、組織和管理來(lái)創(chuàng)造數(shù)據(jù)。自然，人類擁有（并且必須保護(hù)）這些數(shù)據(jù)。甚至機(jī)器生成數(shù)據(jù)的所有權(quán)也與這些機(jī)器的人類所有者聯(lián)系在一起。

但是，如果數(shù)據(jù)的生成轉(zhuǎn)移到非人類實(shí)體呢？我們已經(jīng)在生成人工智能（GenAI）上看到了這種情況。目前，GenAI數(shù)據(jù)領(lǐng)域仍然相對(duì)較小，范圍有限。但我們離自主的GenAI不遠(yuǎn)了，它可以被部署為常規(guī)和主動(dòng)生成新數(shù)據(jù)，提出建議，甚至采取措施管理以前由人類控制的流程。

考慮到GenAI平臺(tái)需要大量的計(jì)算資源和健壯的大型語(yǔ)言模型（LLM）才能發(fā)揮作用，最流行的平臺(tái)很可能是共享資源，就像云計(jì)算一樣。那么，誰(shuí)將擁有并保護(hù)GenAI產(chǎn)生的數(shù)據(jù)呢？怎樣才能防止可能存在缺陷甚至危險(xiǎn)的數(shù)據(jù)的產(chǎn)生和傳播呢？

隨著GenAI平臺(tái)的持續(xù)增長(zhǎng)，降低未來(lái)風(fēng)險(xiǎn)可能涉及實(shí)現(xiàn)“設(shè)計(jì)安全”（secure-by-design）原則，以擴(kuò)展安全控制。適當(dāng)?shù)姆侄慰梢允狗稚⒌挠脩裟軌蚶霉蚕淼幕A(chǔ)LLM，同時(shí)防止數(shù)據(jù)泄露超出該用戶的范圍。還有人認(rèn)為，AI“終止開(kāi)關(guān)”（kill switch）可以作為緊急停止機(jī)制，以確保人類的首要地位。總之，GenAI是一個(gè)必須從一開(kāi)始就考慮安全因素的領(lǐng)域。