諸如《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR) 和《加州消費(fèi)者隱私法案》(CCPA) 等隱私法規(guī)都要求企業(yè)提供 “合理的安全性” 以保護(hù)客戶的個(gè)人信息安全。下述建議將幫助您地實(shí)現(xiàn)這一標(biāo)準(zhǔn)。

[[264566]]

“合理的安全性”是《加州消費(fèi)者隱私法案》和加利福尼亞AB 1950等法規(guī)中所規(guī)定的要求。未能滿足該要求可能會被起訴為 “疏忽、怠慢(negligence)”。在侵權(quán)法中，“疏忽”是說人們并沒有根據(jù)他們的專業(yè)操守、行為，作出符合一般大眾所能接受的 “注意標(biāo)準(zhǔn)”(standard of care)，從而致使他人遭受損失的行為。

想要起訴某人存在“疏忽”行為，你必須要能夠證實(shí)如下4大要素：

• 被告對原告負(fù)有責(zé)任;
• 被告違反了義務(wù);
• 被告違反義務(wù)的行為是導(dǎo)致原告利益受損的原因;
• 對原告造成了清晰可辨的損害。

當(dāng)有人向公司提供敏感數(shù)據(jù)時(shí)，該公司有責(zé)任合理地保護(hù)和處理這些數(shù)據(jù)。那么安全管理是如何判斷他們的公司是否從法律和監(jiān)管角度妥善地保護(hù)了這些數(shù)據(jù)的呢?

法院必須根據(jù)標(biāo)準(zhǔn)評估您的行為，以確定這些行為是否“合理”。合理的行為通常基于客觀標(biāo)準(zhǔn)，即以一個(gè)合理的、謹(jǐn)慎的人的標(biāo)準(zhǔn)來衡量行為人的行為。如果行為人是按照一個(gè)合理的、謹(jǐn)慎的人那樣行為或不行為的話，那么他就沒有過錯(cuò);反之，則是有過錯(cuò)的。

除此之外，還可以基于對企業(yè)或行業(yè)的威脅認(rèn)知以及受保護(hù)的內(nèi)容來定義什么是“合理的行為”。在Patco Construction(美國緬因州一家小型家族制建筑公司)起訴People’s United Bank的案件中，聯(lián)邦上訴法院判定，People’s United Bank的安全程序在商業(yè)上是不合理的，因?yàn)樵撱y行對持續(xù)欺詐(鍵盤記錄程序)的認(rèn)知，以及對此類欺詐行為所實(shí)施的安全控制措施明顯不足(缺乏對此類行為的監(jiān)測)。

下面來自美國第三巡回上訴法院，向我們展示了兩個(gè)廣為人知的違規(guī)事件中所體現(xiàn)的 “不合理安全性”：

1. 卡系統(tǒng)解決方案(CSS)自2005年開始的違規(guī)行為

將客戶數(shù)據(jù)存儲在脆弱格式中長達(dá)30天之久;沒有充分評估Web應(yīng)用程序和計(jì)算機(jī)網(wǎng)絡(luò)的脆弱性;沒有實(shí)施基本的防護(hù)策略;沒有使用強(qiáng)密碼;沒有行之有效的訪問控制措施;沒有部署充分的措施來檢測未經(jīng)授權(quán)的訪問行為等;

2. 溫德姆在2008年-2010年間發(fā)生的違規(guī)行為

允許酒店內(nèi)的軟件以明文可讀文本存儲客戶的支付卡信息;沒有監(jiān)控此非法進(jìn)入行為中使用的惡意軟件，致使惡意軟件再利用;允許遠(yuǎn)程訪問酒店的資產(chǎn)管理系統(tǒng);缺乏行之有效的安全措施，如防火墻等;沒有合理的措施來檢測和防御未經(jīng)授權(quán)的訪問行為。

“合理”是如何被用作安全指標(biāo)的?

在確定一方的行為是否違反義務(wù)時(shí)，“合理”作為衡量標(biāo)準(zhǔn)的作用就凸顯了。如果你沒有扮演好 “合理” 的角色，那么你就違反了自己的職責(zé)。

在上文提到的Patco Construction公司起訴People’s United Bank的案件中，雖然People’s United Bank收集了安全警報(bào)(關(guān)于交易的高風(fēng)險(xiǎn)評分)，但卻并未將其用于阻止欺詐行為方面。由于這種 “不合理行為” 損害了客戶數(shù)據(jù)安全，因此可以說，該公司違反了對其客戶應(yīng)盡的責(zé)任。

除此之外，還有一個(gè)重要的區(qū)別就是有專業(yè)的 “注意標(biāo)準(zhǔn)”。例如，加州陪審團(tuán)指令(CACI)600條就定義了由陪審團(tuán)所確定的 “專業(yè)注意標(biāo)準(zhǔn)”：

如果行為人沒有做一個(gè) “合理謹(jǐn)慎的人”，在由證據(jù)所顯示的類似情況下會做的事，那么他/她就會被視為 “疏忽”。簡單來說，“疏忽” 就是沒有運(yùn)用通常的或合理的謹(jǐn)慎。而通常的或合理的謹(jǐn)慎是指普通謹(jǐn)慎的人在由證據(jù)所顯示的類似情況下，為了避免給自身或他人造成傷害而運(yùn)用的謹(jǐn)慎。這里所提到的技能、知識和謹(jǐn)慎水平有時(shí)被稱為 “注意標(biāo)準(zhǔn)”。

總而言之，“疏忽” 通常是以一個(gè)合理謹(jǐn)慎的人在同等情況下會做什么為標(biāo)準(zhǔn)來衡量。

這些專業(yè)注意標(biāo)準(zhǔn)仍然是客觀的，但要求相關(guān)人士擁有信譽(yù)良好的專業(yè)或職業(yè)成員所具備的知識和技能。通常情況下，如果倡議者堅(jiān)持自己擁有與成功執(zhí)行工作相關(guān)的專業(yè)技能，那么其工作就可以稱之為職業(yè)。

例如，醫(yī)生就屬于這一類，法院也會采取國家護(hù)理標(biāo)準(zhǔn)來評估其行為。醫(yī)生具備高出普通謹(jǐn)慎的人的特殊技能;他們知道如何診斷病人并提供治療。同樣地，律師也是如此，他們可以利用自身對法律知識的掌握，將其有效地應(yīng)用在客戶身上。

就這一方面而言，安全人員和其他人員沒有什么不同，因?yàn)樗麄兺瑯邮且揽孔陨淼膶I(yè)技能(如風(fēng)險(xiǎn)評估、安全設(shè)計(jì)審查、取證檢查、滲透測試、惡意軟件分析、安全代碼審查分析等)，來保護(hù)和確保公司的企業(yè)系統(tǒng)安全。因此，安全人員可能同樣會受到專業(yè) “注意標(biāo)準(zhǔn)” 的限制。

專業(yè) “注意標(biāo)準(zhǔn)” 比普通謹(jǐn)慎人士標(biāo)準(zhǔn)(ordinary prudent person standard)更為嚴(yán)格，且面臨的責(zé)任可能會進(jìn)一步增加。正如醫(yī)生需要遵守國家醫(yī)療標(biāo)準(zhǔn)一樣，加利福尼亞州也已經(jīng)制定了一份構(gòu)成 “商業(yè)合理安全性” 的行為清單。遵循國家 “注意標(biāo)準(zhǔn)” 并不能確保 “合理性”，但是，不遵循國家 “注意標(biāo)準(zhǔn)” 通常就會成為 “不合理” 或不滿足注意標(biāo)準(zhǔn)的證據(jù)。

以下是由互聯(lián)網(wǎng)安全中心(CIS)制定的安全控制措施自檢表。加利福尼亞州已經(jīng)出臺了數(shù)據(jù)安全法，要求以下述清單項(xiàng)目為標(biāo)準(zhǔn)建立“合理的”安全性：

• 授權(quán)和未授權(quán)設(shè)備的詳細(xì)清單;
• 授權(quán)或未授權(quán)軟件的詳細(xì)清單;
• 移動設(shè)備、筆記本電腦、工作站和服務(wù)器上的硬件和軟件的安全配置;
• 持續(xù)的漏洞評估和修補(bǔ);
• 控制使用管理權(quán)限;
• 審計(jì)日志的維護(hù)、監(jiān)控和分析;
• 電子郵件和網(wǎng)頁瀏覽保護(hù);
• 惡意軟件防護(hù);
• 網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的限制和管控;
• 數(shù)據(jù)恢復(fù)能力;
• 網(wǎng)絡(luò)設(shè)備(如防火墻、路由器和交換機(jī))的安全配置;
• 邊界防護(hù);
• 數(shù)據(jù)保護(hù);
• “基于必要”的訪問控制;
• 無線訪問控制;
• 賬戶監(jiān)測和控制;
• 安全技能評估和適當(dāng)培訓(xùn)，以彌補(bǔ)缺口;
• 應(yīng)用軟件安全;
• 事故響應(yīng)和管理;
• 滲透測試和對抗練習(xí)。

CIS安全控制措施文檔是眾多實(shí)踐清單之一。除此之外，SANS也通過匯編其他資源生成并發(fā)布了自己的 “Top 20” 實(shí)踐清單；有代表性的NIST SP 800-53聯(lián)邦I(lǐng)T系統(tǒng)安全和隱私控制標(biāo)準(zhǔn)也在其版本5.0中羅列了900多項(xiàng)個(gè)人安全措施。總體來看，CIS安全控制列表提供了一個(gè)全面且易于管理的項(xiàng)目清單。但是，要知道，每項(xiàng)業(yè)務(wù)不同，其面臨的風(fēng)險(xiǎn)也各不相同，切不可以一概全。

另外需要注意的是，CIS控制清單中提及的第2項(xiàng)(授權(quán)或未授權(quán)軟件的詳細(xì)清單)對于大型企業(yè)而言只是 “高付出低回報(bào)” 的措施。此外，CIS控制列表中的項(xiàng)目順序可能會讓人誤以為是項(xiàng)目的優(yōu)先級次序。

僅僅依靠安全團(tuán)隊(duì)是無法解決這所有20個(gè)CIS控制措施的。IT和網(wǎng)絡(luò)團(tuán)隊(duì)需要通過與安全團(tuán)隊(duì)合作來確保實(shí)現(xiàn)網(wǎng)絡(luò)安全要求。此外，應(yīng)用程序開發(fā)人員也需要通過與安全評估團(tuán)隊(duì)合作，來學(xué)習(xí)如何編寫安全代碼，以降低應(yīng)用程序安全代碼審查過程中發(fā)現(xiàn)的風(fēng)險(xiǎn)。設(shè)施管理團(tuán)隊(duì)同樣需要與安全團(tuán)隊(duì)合作，以防護(hù)針對公司工作環(huán)境的物理訪問行為。

雖然清單可以提供一種簡單的方法來引導(dǎo)資源，但它們通常是不完整的。公司有時(shí)候可能需要未列出的防御機(jī)制來實(shí)現(xiàn) “合理的” 安全性。安全必須是一個(gè)整體過程，需要考慮到業(yè)務(wù)如何運(yùn)行以及珍貴的資產(chǎn)對外部黑客和公司本身的意義。根據(jù)清單可能無法正確看待不同系統(tǒng)的相對重要性，結(jié)果致使某些領(lǐng)域的控制措施可能會被過分強(qiáng)調(diào)，而其他領(lǐng)域的控制措施又被忽略。

為了進(jìn)行說明，讓我們先來回顧一下合理的安全程序是什么樣的，以及如何將它傳達(dá)給高管。請記住，在合理的 “注意標(biāo)準(zhǔn)” 下，你需要實(shí)施一個(gè)安全程序，這個(gè)程序是合理謹(jǐn)慎的安全從業(yè)者所實(shí)施的。你必須了解你的業(yè)務(wù)是如何運(yùn)行的，哪些系統(tǒng)是業(yè)務(wù)的核心，你擁有哪些類型的敏感數(shù)據(jù)，如何接收、處理、使用、存儲和傳輸/共享這些數(shù)據(jù)，采用何種保護(hù)機(jī)制以及這些數(shù)據(jù)所涉及到的相關(guān)法規(guī)等。你需要了解在風(fēng)險(xiǎn)因素的作用下敏感數(shù)據(jù)是如何得到保護(hù)的。如果沒有得到適當(dāng)?shù)谋Ｗo(hù)，請將相應(yīng)的控制措施部署在適當(dāng)?shù)奈恢谩?/p>

為了獲得 “合理的” 安全性，你需要做的就是了解你需要保護(hù)的內(nèi)容。威脅模型/評估是實(shí)現(xiàn)該目的的一種有效方式。

執(zhí)行威脅和風(fēng)險(xiǎn)評估

合理謹(jǐn)慎的安全從業(yè)者會了解這樣一個(gè)事實(shí)：在構(gòu)建合理的安全項(xiàng)目時(shí)，資源和預(yù)算通常是有限的。此外，你還必須考慮漏洞、可利用漏洞的威脅、事故發(fā)生的可能性以及事故會導(dǎo)致的財(cái)務(wù)、聲譽(yù)等潛在影響。黑客通常會將目光鎖定在高價(jià)值的企業(yè)或領(lǐng)域中，這時(shí)候，你就需要明確了解高價(jià)值領(lǐng)域是什么，公司的核心業(yè)務(wù)和系統(tǒng)又是什么。

1. 了解您的業(yè)務(wù)

了解企業(yè)業(yè)務(wù)運(yùn)營方式、收入流以及推動業(yè)務(wù)發(fā)展的內(nèi)部系統(tǒng)，將有助于合理的安全從業(yè)者圍繞維護(hù)公司核心的系統(tǒng)和基礎(chǔ)架構(gòu)構(gòu)建安全框架。此外，這些知識還將允許您以 “優(yōu)先保護(hù)核心系統(tǒng)，而非次要系統(tǒng)” 的方式來合理應(yīng)用有限的預(yù)算。

但是，僅僅了解環(huán)境中的系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。隨著機(jī)器學(xué)習(xí)和數(shù)據(jù)科學(xué)的出現(xiàn)，系統(tǒng)還可能包括決策支持、機(jī)器學(xué)習(xí)研究和數(shù)據(jù)挖掘項(xiàng)目。如果您的公司有像data.world這樣的數(shù)據(jù)目錄，那么您將可以更好地了解數(shù)據(jù)的使用位置。此外，公司應(yīng)該審計(jì)訪問權(quán)限，因此您還應(yīng)該知道誰擁有數(shù)據(jù)的副本以及它的用途。深入了解每個(gè)系統(tǒng)和數(shù)據(jù)目錄，以及了解公司擁有的數(shù)據(jù)類型、數(shù)據(jù)處理方式、數(shù)據(jù)來源和數(shù)據(jù)是否與任何其他內(nèi)部或外部系統(tǒng)共享非常重要。

2. 了解數(shù)據(jù)和資產(chǎn)

同時(shí)，在了解內(nèi)部系統(tǒng)時(shí)，您需要了解這些系統(tǒng)使用的數(shù)據(jù)專有(data-specific)資產(chǎn)。每個(gè)單獨(dú)的系統(tǒng)，每個(gè)組織和企業(yè)都有其所依賴的一堆數(shù)據(jù);這就是支持企業(yè)系統(tǒng) “運(yùn)行” 的原因所在。因此，想要正確地管理系統(tǒng)并實(shí)現(xiàn)合理的安全性，有必要了解系統(tǒng)的體系結(jié)構(gòu)及其信息源(上游數(shù)據(jù)流)和數(shù)據(jù)屬性/字段等內(nèi)容。

該系統(tǒng)的下游消費(fèi)者可能會實(shí)施數(shù)據(jù)和保護(hù)機(jī)制，以保護(hù)靜態(tài)、傳輸、使用和內(nèi)存中的敏感數(shù)據(jù)。資產(chǎn)可以是戰(zhàn)略計(jì)劃、源代碼和其他文獻(xiàn)知識產(chǎn)權(quán)。其他重要數(shù)據(jù)可能包括復(fù)雜的結(jié)構(gòu)化數(shù)據(jù)，例如來自物聯(lián)網(wǎng)設(shè)備的圖像和傳感器設(shè)備流。

敏感數(shù)據(jù)可以劃分為三組：客戶數(shù)據(jù);公司、員工及合作伙伴數(shù)據(jù);以及監(jiān)管數(shù)據(jù)。敏感的消費(fèi)者數(shù)據(jù)是指任何收集到的數(shù)據(jù)，包括社會安全號碼、支付卡號、密碼、健康信息以及其他個(gè)人身份信息(PII)等。這些數(shù)據(jù)一旦被盜，將對數(shù)據(jù)所有者造成傷害。

如果說公司數(shù)據(jù)可以被競爭對手用于獲取不平等優(yōu)勢，或是一旦對外暴露就會為公司造成聲譽(yù)損害，那么這些公司數(shù)據(jù)就屬于敏感數(shù)據(jù)。它可能是商業(yè)機(jī)密、未披露的研究、計(jì)劃、內(nèi)部備忘錄或其他任何形式的秘密知識產(chǎn)權(quán)。

如果說監(jiān)管數(shù)據(jù)受到任何法定或公司治理制度，如CCPA、GDPR、PCI DSS、SOX等的監(jiān)管，那么這些監(jiān)管數(shù)據(jù)也是屬于敏感數(shù)據(jù)。你需要了解處理、存儲或傳輸此類數(shù)據(jù)的所有位置，以及如何正確合理的使用它們。

3. 了解監(jiān)管數(shù)據(jù)的覆蓋面

一些特定類型的敏感數(shù)據(jù)將受到不同的監(jiān)管要求支配，具體取決于存儲的數(shù)據(jù)類型或數(shù)據(jù)所有者的公民身份。例如，如果你與位于歐洲經(jīng)濟(jì)區(qū)的人做生意，那么GDPR可能就會發(fā)揮效用。如果您受HIPAA保護(hù)并存儲健康數(shù)據(jù)，則HIPAA將發(fā)揮效用。

在聯(lián)邦政府環(huán)境中，特定類型敏感數(shù)據(jù)的個(gè)人和公司管理員在受控未分類信息的新法規(guī)和監(jiān)管制度下受到廣泛的新安全和控制義務(wù)的約束。這些法規(guī)中的每一條對保護(hù)數(shù)據(jù)(控制措施)，違規(guī)通知和用戶權(quán)限(刪除權(quán)，理解權(quán))都有不同的要求。

既然您知道企業(yè)中使用了哪些數(shù)據(jù)，您就可以了解哪些法律法規(guī)適用，您需要滿足哪些要求以及需要采取哪些保護(hù)措施。

4. 了解數(shù)據(jù)是如何受到保護(hù)的

接下來，你需要了解在風(fēng)險(xiǎn)因素的作用下敏感數(shù)據(jù)是如何得到保護(hù)的。如果壓根沒有保護(hù)措施，我們可以很輕易地得知需要部署適當(dāng)?shù)谋Ｗo(hù)措施。如果部署了部分保護(hù)措施，那么，為了驗(yàn)證當(dāng)前保護(hù)機(jī)制的充分性，我們需要將新威脅技術(shù)應(yīng)用于現(xiàn)有控制措施，獲取相關(guān)威脅情報(bào)，來檢測現(xiàn)有控制措施在緩解新威脅方面發(fā)揮的實(shí)際效用。

其他考慮因素包括如何使用經(jīng)過測試的備份來恢復(fù)數(shù)據(jù)并測試恢復(fù)方法，以及評估事件響應(yīng)計(jì)劃在需要時(shí)的執(zhí)行方式。就事件響應(yīng)而言，大多數(shù)將遵循規(guī)定性措施，例如SANS的事件處理程序手冊或NIST的計(jì)算機(jī)安全事件處理指南。

“合理的安全” 類似于 “貓捉老鼠” 的游戲，在這場游戲中，對手會不斷學(xué)習(xí)用于發(fā)現(xiàn)或阻止他們的技術(shù)，然后尋找到解決問題的方法。這就要求安全從業(yè)者不斷改進(jìn)其發(fā)現(xiàn)或響應(yīng)技術(shù)。對于仍在遵循規(guī)定性措施的企業(yè)而言，需要明白這樣一個(gè)現(xiàn)實(shí)：大多數(shù)技術(shù)精湛的黑客已經(jīng)找到了方法。例如，SANS事件處理程序手冊建議尋找大文件。您認(rèn)為黑客會對此做出何種反應(yīng)?他們還會一如既往地從易受威脅的網(wǎng)絡(luò)中滲漏大量數(shù)據(jù)?

一旦您清楚了解了自己需要保護(hù)的數(shù)據(jù)，您擁有的保護(hù)控制措施以及與數(shù)據(jù)相關(guān)的法規(guī)要求，您就可以確定現(xiàn)有控制措施與法規(guī)要求的控制措施之間所存在的差距。事實(shí)證明，只是遵守法規(guī)要求可能會或可能不足以防止“疏忽”責(zé)任。

滿足監(jiān)管要求

理想情況下，你需要記錄自己為了實(shí)現(xiàn)GDPR以及現(xiàn)在的CCPA合規(guī)性所做的一切，并將其傳達(dá)給各自的團(tuán)隊(duì)，以確保能夠滿足法規(guī)要求，例如GDPR要求的 “被遺忘權(quán)”，了解數(shù)據(jù)處理流程，以及提取與單個(gè)用戶相關(guān)的所有數(shù)據(jù)等。這樣一來，如果你有問題并接受調(diào)查，你也可以證明你做了所有應(yīng)該做的事情，但它還是出狀況了。

跳脫“以數(shù)據(jù)為中心”的方法

到目前為止討論的所有過程都側(cè)重于保護(hù)內(nèi)部數(shù)據(jù)源。合理謹(jǐn)慎的安全從業(yè)者明白這樣一個(gè)現(xiàn)實(shí)：黑客還可以通過使用高級持續(xù)性威脅滲透到網(wǎng)絡(luò)設(shè)備或是網(wǎng)絡(luò)本身，尋找未修復(fù)的服務(wù)器或應(yīng)用程序，利用遠(yuǎn)程訪問賬戶上的弱口令或訪問不受保護(hù)的Amazon S3存儲桶。這時(shí)候，擁有軟件開發(fā)生命周期和MITER Att&ck等組織框架就可以發(fā)揮作用了。

保護(hù)您的企業(yè)系統(tǒng)和基礎(chǔ)架構(gòu)

你在互聯(lián)網(wǎng)上為客戶提供的服務(wù)和應(yīng)用程序都是基于企業(yè)的系統(tǒng)和技術(shù)架構(gòu)構(gòu)建的。其中，大多數(shù)服務(wù)都是由應(yīng)用程序組成的。而應(yīng)用程序又是由源代碼構(gòu)建并部署在基礎(chǔ)架構(gòu)，通常是基于Web應(yīng)用程序的服務(wù)器上的。源代碼會使用庫和框架，而庫和框架是用編譯器構(gòu)建的。

這一鏈條中的每一環(huán)都有可能引入安全漏洞。合理謹(jǐn)慎的安全從業(yè)者會評估每一環(huán)所面臨的風(fēng)險(xiǎn)，并實(shí)施適當(dāng)?shù)目刂拼胧１M管應(yīng)用程序安全性非常重要，正如Equifax事件告誡我們的那樣，但隨著APT和針對性威脅的出現(xiàn)，您還必須從整體上看待組織的安全性并實(shí)施 “有組織的安全流程”。

開發(fā)“有組織的安全流程”

“有組織的安全流程” 示例如下所示：

傳統(tǒng)的安全項(xiàng)目只注重預(yù)防。問題是，黑客只需要尋找到一個(gè)漏洞就能侵入你的網(wǎng)絡(luò)，而作為防御者，你必須堵住每個(gè)漏洞以確保其不會被黑客濫用。一名合理謹(jǐn)慎的安全從業(yè)者就非常清楚這一點(diǎn)，并會采取預(yù)防措施、彈性措施和偵察控制相結(jié)合的方法來解決該問題。

相關(guān)的檢測和響應(yīng)措施可以確保混入其中的黑客最終被抓獲;彈性措施確保系統(tǒng)可以抵御威脅，即便遭遇失敗也能快速恢復(fù);除此之外，紅色團(tuán)隊(duì)、威脅捕獲、應(yīng)急響應(yīng)(IR)和滲透測試對于檢測網(wǎng)絡(luò)中的黑客并響應(yīng)其威脅都起到至關(guān)重要的作用。

為了系統(tǒng)地考慮檢測和響應(yīng)措施，合理的安全項(xiàng)目應(yīng)該實(shí)施像MITER Att&ck這樣的框架，以支持紅隊(duì)和藍(lán)隊(duì)，計(jì)算機(jī)事件應(yīng)急小組和滲透測試工作。MITRE是美國非盈利組織，除了協(xié)助進(jìn)行多項(xiàng)網(wǎng)絡(luò)安全相關(guān)研究，同時(shí)，也是運(yùn)維CVE漏洞數(shù)據(jù)庫背后的組織，而ATT&CK框架的研究計(jì)劃，是該組織在2015年5月發(fā)起。

與其他安全企業(yè)對于網(wǎng)絡(luò)殺傷鏈的定義有所不同，MITRE ATT&CK框架，是將非法進(jìn)入期間可能發(fā)生的情況，做出更細(xì)的畫分，區(qū)隔出11個(gè)策略階段，包括：初期、執(zhí)行、權(quán)限提升、防御逃避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、滲透、指揮與控制。

同時(shí)，針對黑客在每個(gè)階段，MITRE也將其所使用的手法工具搜集起來，歸類為知識庫，幫助我們更好地理解黑客具備的能力。

與C級管理人員溝通安全問題

“合理的安全” 需要你和行政領(lǐng)導(dǎo)溝通，以確保獲取到適當(dāng)?shù)呢?cái)力、物力及人力支持，讓行政領(lǐng)導(dǎo)和董事會了解企業(yè)當(dāng)前面臨的風(fēng)險(xiǎn)，以便幫助他們做出明智的決策。如果行政管理層了解安全漏洞將如何影響企業(yè)業(yè)務(wù)運(yùn)營，股票價(jià)格，造成經(jīng)濟(jì)損失以及競爭力和聲譽(yù)的多重?fù)p害，那么他們就會自覺地將安全視為首要任務(wù)。實(shí)際效果取決于你向董事會匯報(bào)的具體內(nèi)容和溝通方式。

你需要對董事會或執(zhí)行官們關(guān)注的痛點(diǎn) 有一個(gè)基本的了解，然后以此為切入口吸引高層的注意。董事會通常希望高管和高級職員們能夠按照董事會同意的方向執(zhí)行命令，以此來保護(hù)和增加股東們的收益。當(dāng)然，高管和高級職員們也對股東價(jià)值感興趣，但他們的角色更具操作性，所以就由他們來負(fù)責(zé)管理運(yùn)營，以確保公司穩(wěn)步發(fā)展并確保股東價(jià)值。

董事會中的大多數(shù)人都并不了解安全的概念，所以不要在沒有提供某種類型的解釋之前就拋出諸如 “網(wǎng)絡(luò)殺傷鏈”、“痛苦金字塔”(The Pyramid of Pain，描述了不同類型的威脅情報(bào)及其在攻防對抗中的價(jià)值)、“ATT&CK” 或 “威脅建模” 等專業(yè)術(shù)語。你的目的是希望向行政高管層展示自己了解企業(yè)業(yè)務(wù)運(yùn)營的方式，關(guān)鍵資產(chǎn)的內(nèi)容和位置以及為了保護(hù)這些關(guān)鍵資產(chǎn)部署了哪些安全措施等。

所以，我建議可以先建立一個(gè)基線威脅模型摘要，然后是預(yù)防措施的狀態(tài)，值得注意的事件，抱著隨時(shí)處理它們以及通過事件指標(biāo)來確保事情正往好的方向發(fā)展，如果是變得更糟了，分析原因的心態(tài)，按組和類型劃分的未解決的安全問題的數(shù)量和規(guī)模，威脅情報(bào)，鑒于威脅情報(bào)，實(shí)施積極主動的檢測工作和響應(yīng)準(zhǔn)備。

從 “合理的安全性” 到 “合理的可信賴性”

隨著越來越多的產(chǎn)品和服務(wù)出現(xiàn)在工業(yè)物聯(lián)網(wǎng)和消費(fèi)者物聯(lián)網(wǎng)中，面臨 “疏忽” 訴訟的公司規(guī)模可能會持續(xù)擴(kuò)大。加利福尼亞州已經(jīng)在參議院第327號法案第886章中為連接設(shè)備安全制定了具體法律。

如果你使用的是自動駕駛汽車，你一定不想因?yàn)閮?nèi)存不足錯(cuò)誤而面臨操作系統(tǒng)定期崩潰的窘境。那么試想一下，當(dāng)你的家庭及其所有設(shè)備都變得智能化，并連接至互聯(lián)網(wǎng)時(shí)又會遭遇何種窘境呢?如果聯(lián)網(wǎng)的微波爐或烤箱受到損害并被遠(yuǎn)程控制，那么黑客就可以通過長時(shí)間運(yùn)行空無一物的烤箱。

自動駕駛汽車、機(jī)器人、交付無人機(jī)、聯(lián)網(wǎng)烤箱、胰島素泵以及心臟起搏器等連接設(shè)備的故障，可能會導(dǎo)致人員傷亡或是嚴(yán)重的身體損傷。由于IIoT和連接設(shè)備面臨的風(fēng)險(xiǎn)增加，其對社會造成人身傷害的風(fēng)險(xiǎn)也隨之增加，由此一來，針對該領(lǐng)域的 “注意標(biāo)準(zhǔn)” 也可能會有所提高。

在構(gòu)建產(chǎn)品和服務(wù)時(shí)，想要實(shí)現(xiàn)整體的安全性需要結(jié)合安全性、彈性、可靠性和隱私性等多種因素。如果你正在構(gòu)建可能會造成嚴(yán)重?fù)p害的產(chǎn)品，請立即在您的組織中嵌入值得信賴的程序和流程。

這里我們先來概述一下 “可信賴性” 的概念，可信賴性是由產(chǎn)品或服務(wù)所提供的安全性、可靠性、隱私性和彈性保障的程度來定義的。具體可以通過以下標(biāo)準(zhǔn)進(jìn)一步詳述：

• 組件和系統(tǒng)的可靠性;
• 組件和系統(tǒng)的可用性;
• 組件和系統(tǒng)的安全性;
• 組件和系統(tǒng)的完整性和真實(shí)性;
• 組件和系統(tǒng)所用數(shù)據(jù)的機(jī)密性;
• 組件和系統(tǒng)數(shù)據(jù)的可信度;
• 組件和系統(tǒng)所用數(shù)據(jù)的隱私性;
• 組件和系統(tǒng)的可維護(hù)性;
• 組件和系統(tǒng)可修改配置的能力;
• 組件和系統(tǒng)對威脅或誤用的彈性。

每種產(chǎn)品或服務(wù)都可以分解為更小的組件，以評估其各自的可信賴度。當(dāng)然，也可以將這些單獨(dú)的分?jǐn)?shù)進(jìn)行匯總評估，以便將它們組合起來以提供有關(guān)整個(gè)系統(tǒng)的分?jǐn)?shù)。

可信賴度評分必須由特殊保證來支持，特殊保證指的是系統(tǒng)功能如何在威脅因素作用下保證安全性、可靠性、隱私性和彈性的。每項(xiàng)保證都必須有證據(jù)支持。證據(jù)通常以保證案例的形式出現(xiàn)。保證案例記錄了可接受或已知的剩余風(fēng)險(xiǎn)正在履行的系統(tǒng)屬性、聲明和要求。保證聲明通常由兩部分組成：

• 保證的假設(shè);
• 系統(tǒng)可信度聲明及其支持的任何子聲明。

使用保證案例的一個(gè)固有優(yōu)勢是能夠在假設(shè)已經(jīng)完成的情況下做出斷言，即每個(gè)案例的假設(shè)都是通過其包含的系統(tǒng)及其相關(guān)保證案例來實(shí)現(xiàn)的。這使您可以為子系統(tǒng)的保證義務(wù)附加地組成安全性，可靠性，安彈性和功能要求。

合理的安全性是一個(gè)整體過程，需要考慮組織的當(dāng)前業(yè)務(wù)需求。雖然安全控制清單可能會有所幫助，但它不能涵蓋每個(gè)組織的需求。想要使行動合理，就必須將自身塑造成一名合理謹(jǐn)慎的從業(yè)者。你必須了解自己的組織、組織的業(yè)務(wù)功能、資產(chǎn)以及最吸引黑客的核心資源。然后了解如何根據(jù)風(fēng)險(xiǎn)合理地保護(hù)這些資產(chǎn)。考慮到您的產(chǎn)品類型，您可能還必須考慮可信度因素。

免責(zé)聲明：以上文章并不是法律建議，而是將法學(xué)院的法律原則應(yīng)用于信息安全領(lǐng)域的學(xué)術(shù)嘗試。希望可以幫助安全從業(yè)人員從法律角度理解合理行為，以此來推動討論在企業(yè)中實(shí)施合理安全措施所需的實(shí)踐。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文