以威脅假設和壓力測試構建面向未來的安全能力
責編:gltian |2024-08-07 10:40:55目前,大多數企業組織會按照以下模式開展網絡安全工作:首先,回顧分析最近發生的安全事件,同時收集已知威脅的信息;接下來,安全團隊就如何消除這些威脅和緩解相關風險達成共識;最后,部署實施緩解上述威脅的管控措施和工具。
很多企業的安全人員認為,只要將以上工作做得越好、越快,就能夠讓組織獲得更好的安全性。然而事實上,一些極具破壞性的安全攻擊事件往往是事前難以想象的,但是它們卻真實發生了,例如:
●?在9.11事件之前,美國國家安全部門認為,劫機者會降落飛機,并通過談判來解決爭端,但是恐怖襲擊者并未這樣做;
●?在Stuxnet工業蠕蟲病毒之前,工業控制系統工程師認為控制氣閘等系統可以不受傳統網絡攻擊的干擾,直到被植入了病毒;
●?在2020年SolarWinds事件爆發之前,很多IT系統運維人員也認為,網管平臺上經過驗證的更新都是合法且安全的,直到SolarWinds平臺本身因為安全漏洞成為破壞性供應鏈攻擊的載體。
以上安全事件都造成了巨大的損害,原因是遭遇了難以預見的新風險。換句話說,當安全守護者對威脅的假設越簡單,攻擊發生后的破壞性就越嚴重。
在此背景下,美國Blancco科技公司副總裁兼總經理Maurice Uenuma認為,現代企業組織在面對不確定的未來時,為了確保長期的網絡安全彈性,需要采用正確的方式,有效地規劃和準備來預測和緩解未來可能會出現的風險。而對未來數字化環境中的威脅進行假設是做好這項工作的基礎。而威脅假設和壓力測試對于任何長期性網絡安全計劃的制定都是不可或缺的。
面向未來的安全需求
認識到不斷變化的威脅形勢,組織需要通過更廣泛的數據收集和共享、更強大的分析帶來的更深入的見解、更早地發現威脅行為者及其行動,以及更快地響應正在進行的攻擊,來加速這一進程。
但事實是,很多企業在此過程中已經明顯落后。因此當他們檢測到攻擊者活動及其意圖、攻擊方法時,往往為時已晚。最根本的挑戰是沒有為一個風險未知的未來做好準備。
為了在充滿新風險的數字化世界中變得更有彈性,企業組織必須對各種可能的威脅進行假設,同時進行壓力測試來加強安全防護計劃。僅僅是監測安全態勢和預測威脅是不夠的,我們還必須不斷對當前所存在的“安全感”進行質疑和挑戰。
一種具有未來彈性的安全方法需要包括一個深思熟慮的威脅假設過程,并在現有假設仍然有效的情況下,對它們提出挑戰和質疑,以模擬一個這些假設受到妥協時的場景。然后,基于這個新的未來“現實”,我們可以發展更好的生存方式。
換句話說,我們需要將安全方法從評估當前環境,對未來做出假設,識別威脅,然后緩解這些風險,轉變為明確識別當前的假設,“編造”威脅以妥協這些假設,并建立適應能力以在未來生存。在此過程中,需要充分考慮以下四種因素:
●?所指對象:我們對誰(或什么)正在被保護的假設是什么,為什么?這個對象(人或應用實體)看起來是安全的嗎?
●?影響:我們對當前的防護能力有什么假設?攻擊者能做些什么來傷害我們?對安全環境或生態系統的影響有多大?
●?相互依賴:有哪些防護資源對我們來說是可用的,是否可以思考它的可用性或意圖?是否還有未充分預測到的系統效應?
●?監管治理:監管機構應該在哪些方面發揮作用?我們對監管者的角色假設是什么?未來的安全性是否會在符合行業監管要求準則的框架內運作?
威脅假設的方法和原則
通過解構威脅假設,企業組織可以主動規劃應對未知威脅的安全能力,從而逐步實現面向未來的安全彈性。這項工作的基本框架包括以下步驟:
1. 確定基本的威脅假設原則及其相關的依賴項。
2. 通過理論上的妥協對相關假設進行壓力測試,設想假設不再有效時的安全狀態。
3. 通過測試,識別在未來狀態中可能出現的風險。
4. 為所識別的假設威脅制定緩解措施。
需要說明的是,基于威脅假設的安全方法在一定程度上是理論性的,因此過程中容易出錯。同時,同時沒有邊界限制的風險想象也會導致虛構多于現實。然而,為了充分應對風險,安全人員需要去想象無法想象的風險,并在可實現的情況下,考慮緩解這些風險的方法。
為了提高威脅假設的效率和有效性,安全人員可以遵循以下兩點威脅假設的原則:
1
以企業業務為中心(Enterprise-centric)
在企業數字化發展過程中,需要大量創建、處理、管理、傳輸和存儲數據,因此,我們應該假設企業業務發展是網絡安全能力構建的焦點,所有關于安全防護的努力必須集中在那里。這是一個非常合理的假設。NIST網絡安全框架、CIS關鍵安全控制和ISO 2700系列指南都關注企業。甚至《國家網絡安全戰略》也將企業作為首要角色。
“以企業業務為中心”的網絡安全假設的優勢之一是,經驗和專業知識可以集中在網絡安全“發生”的地方。如果企業結構受到侵蝕,那么實現良好開發的安全控制(例如,CIS控制)的相關能力也會受到影響。
針對這種情況的緩解措施包括大力提高公眾意識和警報協議(類似于警察或緊急醫療響應系統),使人們在企業以外的環境中(如教育領域)更加安全。雖然其中一些已經發生,但焦點、重點和責任將從公司轉移到公共和非營利實體。
2
關注數據所有權
我們通常假設人類通過決策、設計、構建、組織和管理來創造數據。自然,人類擁有(并且必須保護)這些數據。甚至機器生成數據的所有權也與這些機器的人類所有者聯系在一起。
但是,如果數據的生成轉移到非人類實體呢?我們已經在生成人工智能(GenAI)上看到了這種情況。目前,GenAI數據領域仍然相對較小,范圍有限。但我們離自主的GenAI不遠了,它可以被部署為常規和主動生成新數據,提出建議,甚至采取措施管理以前由人類控制的流程。
考慮到GenAI平臺需要大量的計算資源和健壯的大型語言模型(LLM)才能發揮作用,最流行的平臺很可能是共享資源,就像云計算一樣。那么,誰將擁有并保護GenAI產生的數據呢?怎樣才能防止可能存在缺陷甚至危險的數據的產生和傳播呢?
隨著GenAI平臺的持續增長,降低未來風險可能涉及實現“設計安全”(secure-by-design)原則,以擴展安全控制。適當的分段可以使分散的用戶能夠利用共享的基礎LLM,同時防止數據泄露超出該用戶的范圍。還有人認為,AI“終止開關”(kill switch)可以作為緊急停止機制,以確保人類的首要地位。總之,GenAI是一個必須從一開始就考慮安全因素的領域。
原文鏈接: