如何實現(xiàn)隱私法規(guī)要求的 “合理安全性”?
諸如《歐盟通用數(shù)據(jù)保護條例》(GDPR) 和《加州消費者隱私法案》(CCPA) 等隱私法規(guī)都要求企業(yè)提供 “合理的安全性” 以保護客戶的個人信息安全。下述建議將幫助您地實現(xiàn)這一標(biāo)準(zhǔn)。
“合理的安全性”是《加州消費者隱私法案》和加利福尼亞AB 1950等法規(guī)中所規(guī)定的要求。未能滿足該要求可能會被起訴為 “疏忽、怠慢(negligence)”。在侵權(quán)法中,“疏忽”是說人們并沒有根據(jù)他們的專業(yè)操守、行為,作出符合一般大眾所能接受的 “注意標(biāo)準(zhǔn)”(standard of care),從而致使他人遭受損失的行為。
想要起訴某人存在“疏忽”行為,你必須要能夠證實如下4大要素:
- 被告對原告負(fù)有責(zé)任;
- 被告違反了義務(wù);
- 被告違反義務(wù)的行為是導(dǎo)致原告利益受損的原因;
- 對原告造成了清晰可辨的損害。
當(dāng)有人向公司提供敏感數(shù)據(jù)時,該公司有責(zé)任合理地保護和處理這些數(shù)據(jù)。那么安全管理是如何判斷他們的公司是否從法律和監(jiān)管角度妥善地保護了這些數(shù)據(jù)的呢?
法院必須根據(jù)標(biāo)準(zhǔn)評估您的行為,以確定這些行為是否“合理”。合理的行為通?;诳陀^標(biāo)準(zhǔn),即以一個合理的、謹(jǐn)慎的人的標(biāo)準(zhǔn)來衡量行為人的行為。如果行為人是按照一個合理的、謹(jǐn)慎的人那樣行為或不行為的話,那么他就沒有過錯;反之,則是有過錯的。
除此之外,還可以基于對企業(yè)或行業(yè)的威脅認(rèn)知以及受保護的內(nèi)容來定義什么是“合理的行為”。在Patco Construction(美國緬因州一家小型家族制建筑公司)起訴People’s United Bank的案件中,聯(lián)邦上訴法院判定,People’s United Bank的安全程序在商業(yè)上是不合理的,因為該銀行對持續(xù)欺詐(鍵盤記錄程序)的認(rèn)知,以及對此類欺詐行為所實施的安全控制措施明顯不足(缺乏對此類行為的監(jiān)測)。
下面來自美國第三巡回上訴法院,向我們展示了兩個廣為人知的違規(guī)事件中所體現(xiàn)的 “不合理安全性”:
1. 卡系統(tǒng)解決方案(CSS)自2005年開始的違規(guī)行為
將客戶數(shù)據(jù)存儲在脆弱格式中長達(dá)30天之久;沒有充分評估Web應(yīng)用程序和計算機網(wǎng)絡(luò)的脆弱性;沒有實施基本的防護策略;沒有使用強密碼;沒有行之有效的訪問控制措施;沒有部署充分的措施來檢測未經(jīng)授權(quán)的訪問行為等;
2. 溫德姆在2008年-2010年間發(fā)生的違規(guī)行為
允許酒店內(nèi)的軟件以明文可讀文本存儲客戶的支付卡信息;沒有監(jiān)控此非法進入行為中使用的惡意軟件,致使惡意軟件再利用;允許遠(yuǎn)程訪問酒店的資產(chǎn)管理系統(tǒng);缺乏行之有效的安全措施,如防火墻等;沒有合理的措施來檢測和防御未經(jīng)授權(quán)的訪問行為。
“合理”是如何被用作安全指標(biāo)的?
在確定一方的行為是否違反義務(wù)時,“合理”作為衡量標(biāo)準(zhǔn)的作用就凸顯了。如果你沒有扮演好 “合理” 的角色,那么你就違反了自己的職責(zé)。
在上文提到的Patco Construction公司起訴People’s United Bank的案件中,雖然People’s United Bank收集了安全警報(關(guān)于交易的高風(fēng)險評分),但卻并未將其用于阻止欺詐行為方面。由于這種 “不合理行為” 損害了客戶數(shù)據(jù)安全,因此可以說,該公司違反了對其客戶應(yīng)盡的責(zé)任。
除此之外,還有一個重要的區(qū)別就是有專業(yè)的 “注意標(biāo)準(zhǔn)”。例如,加州陪審團指令(CACI)600條就定義了由陪審團所確定的 “專業(yè)注意標(biāo)準(zhǔn)”:
如果行為人沒有做一個 “合理謹(jǐn)慎的人”,在由證據(jù)所顯示的類似情況下會做的事,那么他/她就會被視為 “疏忽”。簡單來說,“疏忽” 就是沒有運用通常的或合理的謹(jǐn)慎。而通常的或合理的謹(jǐn)慎是指普通謹(jǐn)慎的人在由證據(jù)所顯示的類似情況下,為了避免給自身或他人造成傷害而運用的謹(jǐn)慎。這里所提到的技能、知識和謹(jǐn)慎水平有時被稱為 “注意標(biāo)準(zhǔn)”。
總而言之,“疏忽” 通常是以一個合理謹(jǐn)慎的人在同等情況下會做什么為標(biāo)準(zhǔn)來衡量。
這些專業(yè)注意標(biāo)準(zhǔn)仍然是客觀的,但要求相關(guān)人士擁有信譽良好的專業(yè)或職業(yè)成員所具備的知識和技能。通常情況下,如果倡議者堅持自己擁有與成功執(zhí)行工作相關(guān)的專業(yè)技能,那么其工作就可以稱之為職業(yè)。
例如,醫(yī)生就屬于這一類,法院也會采取國家護理標(biāo)準(zhǔn)來評估其行為。醫(yī)生具備高出普通謹(jǐn)慎的人的特殊技能;他們知道如何診斷病人并提供治療。同樣地,律師也是如此,他們可以利用自身對法律知識的掌握,將其有效地應(yīng)用在客戶身上。
就這一方面而言,安全人員和其他人員沒有什么不同,因為他們同樣是依靠自身的專業(yè)技能(如風(fēng)險評估、安全設(shè)計審查、取證檢查、滲透測試、惡意軟件分析、安全代碼審查分析等),來保護和確保公司的企業(yè)系統(tǒng)安全。因此,安全人員可能同樣會受到專業(yè) “注意標(biāo)準(zhǔn)” 的限制。
專業(yè) “注意標(biāo)準(zhǔn)” 比普通謹(jǐn)慎人士標(biāo)準(zhǔn)(ordinary prudent person standard)更為嚴(yán)格,且面臨的責(zé)任可能會進一步增加。正如醫(yī)生需要遵守國家醫(yī)療標(biāo)準(zhǔn)一樣,加利福尼亞州也已經(jīng)制定了一份構(gòu)成 “商業(yè)合理安全性” 的行為清單。遵循國家 “注意標(biāo)準(zhǔn)” 并不能確保 “合理性”,但是,不遵循國家 “注意標(biāo)準(zhǔn)” 通常就會成為 “不合理” 或不滿足注意標(biāo)準(zhǔn)的證據(jù)。
以下是由互聯(lián)網(wǎng)安全中心(CIS)制定的安全控制措施自檢表。加利福尼亞州已經(jīng)出臺了數(shù)據(jù)安全法,要求以下述清單項目為標(biāo)準(zhǔn)建立“合理的”安全性:
- 授權(quán)和未授權(quán)設(shè)備的詳細(xì)清單;
- 授權(quán)或未授權(quán)軟件的詳細(xì)清單;
- 移動設(shè)備、筆記本電腦、工作站和服務(wù)器上的硬件和軟件的安全配置;
- 持續(xù)的漏洞評估和修補;
- 控制使用管理權(quán)限;
- 審計日志的維護、監(jiān)控和分析;
- 電子郵件和網(wǎng)頁瀏覽保護;
- 惡意軟件防護;
- 網(wǎng)絡(luò)端口、協(xié)議和服務(wù)的限制和管控;
- 數(shù)據(jù)恢復(fù)能力;
- 網(wǎng)絡(luò)設(shè)備(如防火墻、路由器和交換機)的安全配置;
- 邊界防護;
- 數(shù)據(jù)保護;
- “基于必要”的訪問控制;
- 無線訪問控制;
- 賬戶監(jiān)測和控制;
- 安全技能評估和適當(dāng)培訓(xùn),以彌補缺口;
- 應(yīng)用軟件安全;
- 事故響應(yīng)和管理;
- 滲透測試和對抗練習(xí)。
CIS安全控制措施文檔是眾多實踐清單之一。除此之外,SANS也通過匯編其他資源生成并發(fā)布了自己的 “Top 20” 實踐清單;有代表性的NIST SP 800-53聯(lián)邦I(lǐng)T系統(tǒng)安全和隱私控制標(biāo)準(zhǔn)也在其版本5.0中羅列了900多項個人安全措施。總體來看,CIS安全控制列表提供了一個全面且易于管理的項目清單。但是,要知道,每項業(yè)務(wù)不同,其面臨的風(fēng)險也各不相同,切不可以一概全。
另外需要注意的是,CIS控制清單中提及的第2項(授權(quán)或未授權(quán)軟件的詳細(xì)清單)對于大型企業(yè)而言只是 “高付出低回報” 的措施。此外,CIS控制列表中的項目順序可能會讓人誤以為是項目的優(yōu)先級次序。
僅僅依靠安全團隊是無法解決這所有20個CIS控制措施的。IT和網(wǎng)絡(luò)團隊需要通過與安全團隊合作來確保實現(xiàn)網(wǎng)絡(luò)安全要求。此外,應(yīng)用程序開發(fā)人員也需要通過與安全評估團隊合作,來學(xué)習(xí)如何編寫安全代碼,以降低應(yīng)用程序安全代碼審查過程中發(fā)現(xiàn)的風(fēng)險。設(shè)施管理團隊同樣需要與安全團隊合作,以防護針對公司工作環(huán)境的物理訪問行為。
雖然清單可以提供一種簡單的方法來引導(dǎo)資源,但它們通常是不完整的。公司有時候可能需要未列出的防御機制來實現(xiàn) “合理的” 安全性。安全必須是一個整體過程,需要考慮到業(yè)務(wù)如何運行以及珍貴的資產(chǎn)對外部黑客和公司本身的意義。根據(jù)清單可能無法正確看待不同系統(tǒng)的相對重要性,結(jié)果致使某些領(lǐng)域的控制措施可能會被過分強調(diào),而其他領(lǐng)域的控制措施又被忽略。
為了進行說明,讓我們先來回顧一下合理的安全程序是什么樣的,以及如何將它傳達(dá)給高管。請記住,在合理的 “注意標(biāo)準(zhǔn)” 下,你需要實施一個安全程序,這個程序是合理謹(jǐn)慎的安全從業(yè)者所實施的。你必須了解你的業(yè)務(wù)是如何運行的,哪些系統(tǒng)是業(yè)務(wù)的核心,你擁有哪些類型的敏感數(shù)據(jù),如何接收、處理、使用、存儲和傳輸/共享這些數(shù)據(jù),采用何種保護機制以及這些數(shù)據(jù)所涉及到的相關(guān)法規(guī)等。你需要了解在風(fēng)險因素的作用下敏感數(shù)據(jù)是如何得到保護的。如果沒有得到適當(dāng)?shù)谋Wo,請將相應(yīng)的控制措施部署在適當(dāng)?shù)奈恢谩?/p>
為了獲得 “合理的” 安全性,你需要做的就是了解你需要保護的內(nèi)容。威脅模型/評估是實現(xiàn)該目的的一種有效方式。
執(zhí)行威脅和風(fēng)險評估
合理謹(jǐn)慎的安全從業(yè)者會了解這樣一個事實:在構(gòu)建合理的安全項目時,資源和預(yù)算通常是有限的。此外,你還必須考慮漏洞、可利用漏洞的威脅、事故發(fā)生的可能性以及事故會導(dǎo)致的財務(wù)、聲譽等潛在影響。黑客通常會將目光鎖定在高價值的企業(yè)或領(lǐng)域中,這時候,你就需要明確了解高價值領(lǐng)域是什么,公司的核心業(yè)務(wù)和系統(tǒng)又是什么。
1. 了解您的業(yè)務(wù)
了解企業(yè)業(yè)務(wù)運營方式、收入流以及推動業(yè)務(wù)發(fā)展的內(nèi)部系統(tǒng),將有助于合理的安全從業(yè)者圍繞維護公司核心的系統(tǒng)和基礎(chǔ)架構(gòu)構(gòu)建安全框架。此外,這些知識還將允許您以 “優(yōu)先保護核心系統(tǒng),而非次要系統(tǒng)” 的方式來合理應(yīng)用有限的預(yù)算。
但是,僅僅了解環(huán)境中的系統(tǒng)是遠(yuǎn)遠(yuǎn)不夠的。隨著機器學(xué)習(xí)和數(shù)據(jù)科學(xué)的出現(xiàn),系統(tǒng)還可能包括決策支持、機器學(xué)習(xí)研究和數(shù)據(jù)挖掘項目。如果您的公司有像data.world這樣的數(shù)據(jù)目錄,那么您將可以更好地了解數(shù)據(jù)的使用位置。此外,公司應(yīng)該審計訪問權(quán)限,因此您還應(yīng)該知道誰擁有數(shù)據(jù)的副本以及它的用途。深入了解每個系統(tǒng)和數(shù)據(jù)目錄,以及了解公司擁有的數(shù)據(jù)類型、數(shù)據(jù)處理方式、數(shù)據(jù)來源和數(shù)據(jù)是否與任何其他內(nèi)部或外部系統(tǒng)共享非常重要。
2. 了解數(shù)據(jù)和資產(chǎn)
同時,在了解內(nèi)部系統(tǒng)時,您需要了解這些系統(tǒng)使用的數(shù)據(jù)專有(data-specific)資產(chǎn)。每個單獨的系統(tǒng),每個組織和企業(yè)都有其所依賴的一堆數(shù)據(jù);這就是支持企業(yè)系統(tǒng) “運行” 的原因所在。因此,想要正確地管理系統(tǒng)并實現(xiàn)合理的安全性,有必要了解系統(tǒng)的體系結(jié)構(gòu)及其信息源(上游數(shù)據(jù)流)和數(shù)據(jù)屬性/字段等內(nèi)容。
該系統(tǒng)的下游消費者可能會實施數(shù)據(jù)和保護機制,以保護靜態(tài)、傳輸、使用和內(nèi)存中的敏感數(shù)據(jù)。資產(chǎn)可以是戰(zhàn)略計劃、源代碼和其他文獻知識產(chǎn)權(quán)。其他重要數(shù)據(jù)可能包括復(fù)雜的結(jié)構(gòu)化數(shù)據(jù),例如來自物聯(lián)網(wǎng)設(shè)備的圖像和傳感器設(shè)備流。
敏感數(shù)據(jù)可以劃分為三組:客戶數(shù)據(jù);公司、員工及合作伙伴數(shù)據(jù);以及監(jiān)管數(shù)據(jù)。敏感的消費者數(shù)據(jù)是指任何收集到的數(shù)據(jù),包括社會安全號碼、支付卡號、密碼、健康信息以及其他個人身份信息(PII)等。這些數(shù)據(jù)一旦被盜,將對數(shù)據(jù)所有者造成傷害。
如果說公司數(shù)據(jù)可以被競爭對手用于獲取不平等優(yōu)勢,或是一旦對外暴露就會為公司造成聲譽損害,那么這些公司數(shù)據(jù)就屬于敏感數(shù)據(jù)。它可能是商業(yè)機密、未披露的研究、計劃、內(nèi)部備忘錄或其他任何形式的秘密知識產(chǎn)權(quán)。
如果說監(jiān)管數(shù)據(jù)受到任何法定或公司治理制度,如CCPA、GDPR、PCI DSS、SOX等的監(jiān)管,那么這些監(jiān)管數(shù)據(jù)也是屬于敏感數(shù)據(jù)。你需要了解處理、存儲或傳輸此類數(shù)據(jù)的所有位置,以及如何正確合理的使用它們。
3. 了解監(jiān)管數(shù)據(jù)的覆蓋面
一些特定類型的敏感數(shù)據(jù)將受到不同的監(jiān)管要求支配,具體取決于存儲的數(shù)據(jù)類型或數(shù)據(jù)所有者的公民身份。例如,如果你與位于歐洲經(jīng)濟區(qū)的人做生意,那么GDPR可能就會發(fā)揮效用。如果您受HIPAA保護并存儲健康數(shù)據(jù),則HIPAA將發(fā)揮效用。
在聯(lián)邦政府環(huán)境中,特定類型敏感數(shù)據(jù)的個人和公司管理員在受控未分類信息的新法規(guī)和監(jiān)管制度下受到廣泛的新安全和控制義務(wù)的約束。這些法規(guī)中的每一條對保護數(shù)據(jù)(控制措施),違規(guī)通知和用戶權(quán)限(刪除權(quán),理解權(quán))都有不同的要求。
既然您知道企業(yè)中使用了哪些數(shù)據(jù),您就可以了解哪些法律法規(guī)適用,您需要滿足哪些要求以及需要采取哪些保護措施。
4. 了解數(shù)據(jù)是如何受到保護的
接下來,你需要了解在風(fēng)險因素的作用下敏感數(shù)據(jù)是如何得到保護的。如果壓根沒有保護措施,我們可以很輕易地得知需要部署適當(dāng)?shù)谋Wo措施。如果部署了部分保護措施,那么,為了驗證當(dāng)前保護機制的充分性,我們需要將新威脅技術(shù)應(yīng)用于現(xiàn)有控制措施,獲取相關(guān)威脅情報,來檢測現(xiàn)有控制措施在緩解新威脅方面發(fā)揮的實際效用。
其他考慮因素包括如何使用經(jīng)過測試的備份來恢復(fù)數(shù)據(jù)并測試恢復(fù)方法,以及評估事件響應(yīng)計劃在需要時的執(zhí)行方式。就事件響應(yīng)而言,大多數(shù)將遵循規(guī)定性措施,例如SANS的事件處理程序手冊或NIST的計算機安全事件處理指南。
“合理的安全” 類似于 “貓捉老鼠” 的游戲,在這場游戲中,對手會不斷學(xué)習(xí)用于發(fā)現(xiàn)或阻止他們的技術(shù),然后尋找到解決問題的方法。這就要求安全從業(yè)者不斷改進其發(fā)現(xiàn)或響應(yīng)技術(shù)。對于仍在遵循規(guī)定性措施的企業(yè)而言,需要明白這樣一個現(xiàn)實:大多數(shù)技術(shù)精湛的黑客已經(jīng)找到了方法。例如,SANS事件處理程序手冊建議尋找大文件。您認(rèn)為黑客會對此做出何種反應(yīng)?他們還會一如既往地從易受威脅的網(wǎng)絡(luò)中滲漏大量數(shù)據(jù)?
一旦您清楚了解了自己需要保護的數(shù)據(jù),您擁有的保護控制措施以及與數(shù)據(jù)相關(guān)的法規(guī)要求,您就可以確定現(xiàn)有控制措施與法規(guī)要求的控制措施之間所存在的差距。事實證明,只是遵守法規(guī)要求可能會或可能不足以防止“疏忽”責(zé)任。
滿足監(jiān)管要求
理想情況下,你需要記錄自己為了實現(xiàn)GDPR以及現(xiàn)在的CCPA合規(guī)性所做的一切,并將其傳達(dá)給各自的團隊,以確保能夠滿足法規(guī)要求,例如GDPR要求的 “被遺忘權(quán)”,了解數(shù)據(jù)處理流程,以及提取與單個用戶相關(guān)的所有數(shù)據(jù)等。這樣一來,如果你有問題并接受調(diào)查,你也可以證明你做了所有應(yīng)該做的事情,但它還是出狀況了。
跳脫“以數(shù)據(jù)為中心”的方法
到目前為止討論的所有過程都側(cè)重于保護內(nèi)部數(shù)據(jù)源。合理謹(jǐn)慎的安全從業(yè)者明白這樣一個現(xiàn)實:黑客還可以通過使用高級持續(xù)性威脅滲透到網(wǎng)絡(luò)設(shè)備或是網(wǎng)絡(luò)本身,尋找未修復(fù)的服務(wù)器或應(yīng)用程序,利用遠(yuǎn)程訪問賬戶上的弱口令或訪問不受保護的Amazon S3存儲桶。這時候,擁有軟件開發(fā)生命周期和MITER Att&ck等組織框架就可以發(fā)揮作用了。
保護您的企業(yè)系統(tǒng)和基礎(chǔ)架構(gòu)
你在互聯(lián)網(wǎng)上為客戶提供的服務(wù)和應(yīng)用程序都是基于企業(yè)的系統(tǒng)和技術(shù)架構(gòu)構(gòu)建的。其中,大多數(shù)服務(wù)都是由應(yīng)用程序組成的。而應(yīng)用程序又是由源代碼構(gòu)建并部署在基礎(chǔ)架構(gòu),通常是基于Web應(yīng)用程序的服務(wù)器上的。源代碼會使用庫和框架,而庫和框架是用編譯器構(gòu)建的。
這一鏈條中的每一環(huán)都有可能引入安全漏洞。合理謹(jǐn)慎的安全從業(yè)者會評估每一環(huán)所面臨的風(fēng)險,并實施適當(dāng)?shù)目刂拼胧1M管應(yīng)用程序安全性非常重要,正如Equifax事件告誡我們的那樣,但隨著APT和針對性威脅的出現(xiàn),您還必須從整體上看待組織的安全性并實施 “有組織的安全流程”。
開發(fā)“有組織的安全流程”
“有組織的安全流程” 示例如下所示:
傳統(tǒng)的安全項目只注重預(yù)防。問題是,黑客只需要尋找到一個漏洞就能侵入你的網(wǎng)絡(luò),而作為防御者,你必須堵住每個漏洞以確保其不會被黑客濫用。一名合理謹(jǐn)慎的安全從業(yè)者就非常清楚這一點,并會采取預(yù)防措施、彈性措施和偵察控制相結(jié)合的方法來解決該問題。
相關(guān)的檢測和響應(yīng)措施可以確?;烊肫渲械?i>黑客最終被抓獲;彈性措施確保系統(tǒng)可以抵御威脅,即便遭遇失敗也能快速恢復(fù);除此之外,紅色團隊、威脅捕獲、應(yīng)急響應(yīng)(IR)和滲透測試對于檢測網(wǎng)絡(luò)中的黑客并響應(yīng)其威脅都起到至關(guān)重要的作用。
為了系統(tǒng)地考慮檢測和響應(yīng)措施,合理的安全項目應(yīng)該實施像MITER Att&ck這樣的框架,以支持紅隊和藍(lán)隊,計算機事件應(yīng)急小組和滲透測試工作。MITRE是美國非盈利組織,除了協(xié)助進行多項網(wǎng)絡(luò)安全相關(guān)研究,同時,也是運維CVE漏洞數(shù)據(jù)庫背后的組織,而ATT&CK框架的研究計劃,是該組織在2015年5月發(fā)起。
與其他安全企業(yè)對于網(wǎng)絡(luò)殺傷鏈的定義有所不同,MITRE ATT&CK框架,是將非法進入期間可能發(fā)生的情況,做出更細(xì)的畫分,區(qū)隔出11個策略階段,包括:初期、執(zhí)行、權(quán)限提升、防御逃避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、滲透、指揮與控制。
同時,針對黑客在每個階段,MITRE也將其所使用的手法工具搜集起來,歸類為知識庫,幫助我們更好地理解黑客具備的能力。
與C級管理人員溝通安全問題
“合理的安全” 需要你和行政領(lǐng)導(dǎo)溝通,以確保獲取到適當(dāng)?shù)呢斄?、物力及人力支持,讓行政領(lǐng)導(dǎo)和董事會了解企業(yè)當(dāng)前面臨的風(fēng)險,以便幫助他們做出明智的決策。如果行政管理層了解安全漏洞將如何影響企業(yè)業(yè)務(wù)運營,股票價格,造成經(jīng)濟損失以及競爭力和聲譽的多重?fù)p害,那么他們就會自覺地將安全視為首要任務(wù)。實際效果取決于你向董事會匯報的具體內(nèi)容和溝通方式。
你需要對董事會或執(zhí)行官們關(guān)注的痛點 有一個基本的了解,然后以此為切入口吸引高層的注意。董事會通常希望高管和高級職員們能夠按照董事會同意的方向執(zhí)行命令,以此來保護和增加股東們的收益。當(dāng)然,高管和高級職員們也對股東價值感興趣,但他們的角色更具操作性,所以就由他們來負(fù)責(zé)管理運營,以確保公司穩(wěn)步發(fā)展并確保股東價值。
董事會中的大多數(shù)人都并不了解安全的概念,所以不要在沒有提供某種類型的解釋之前就拋出諸如 “網(wǎng)絡(luò)殺傷鏈”、“痛苦金字塔”(The Pyramid of Pain,描述了不同類型的威脅情報及其在攻防對抗中的價值)、“ATT&CK” 或 “威脅建模” 等專業(yè)術(shù)語。你的目的是希望向行政高管層展示自己了解企業(yè)業(yè)務(wù)運營的方式,關(guān)鍵資產(chǎn)的內(nèi)容和位置以及為了保護這些關(guān)鍵資產(chǎn)部署了哪些安全措施等。
所以,我建議可以先建立一個基線威脅模型摘要,然后是預(yù)防措施的狀態(tài),值得注意的事件,抱著隨時處理它們以及通過事件指標(biāo)來確保事情正往好的方向發(fā)展,如果是變得更糟了,分析原因的心態(tài),按組和類型劃分的未解決的安全問題的數(shù)量和規(guī)模,威脅情報,鑒于威脅情報,實施積極主動的檢測工作和響應(yīng)準(zhǔn)備。
從 “合理的安全性” 到 “合理的可信賴性”
隨著越來越多的產(chǎn)品和服務(wù)出現(xiàn)在工業(yè)物聯(lián)網(wǎng)和消費者物聯(lián)網(wǎng)中,面臨 “疏忽” 訴訟的公司規(guī)??赡軙掷m(xù)擴大。加利福尼亞州已經(jīng)在參議院第327號法案第886章中為連接設(shè)備安全制定了具體法律。
如果你使用的是自動駕駛汽車,你一定不想因為內(nèi)存不足錯誤而面臨操作系統(tǒng)定期崩潰的窘境。那么試想一下,當(dāng)你的家庭及其所有設(shè)備都變得智能化,并連接至互聯(lián)網(wǎng)時又會遭遇何種窘境呢?如果聯(lián)網(wǎng)的微波爐或烤箱受到損害并被遠(yuǎn)程控制,那么黑客就可以通過長時間運行空無一物的烤箱。
自動駕駛汽車、機器人、交付無人機、聯(lián)網(wǎng)烤箱、胰島素泵以及心臟起搏器等連接設(shè)備的故障,可能會導(dǎo)致人員傷亡或是嚴(yán)重的身體損傷。由于IIoT和連接設(shè)備面臨的風(fēng)險增加,其對社會造成人身傷害的風(fēng)險也隨之增加,由此一來,針對該領(lǐng)域的 “注意標(biāo)準(zhǔn)” 也可能會有所提高。
在構(gòu)建產(chǎn)品和服務(wù)時,想要實現(xiàn)整體的安全性需要結(jié)合安全性、彈性、可靠性和隱私性等多種因素。如果你正在構(gòu)建可能會造成嚴(yán)重?fù)p害的產(chǎn)品,請立即在您的組織中嵌入值得信賴的程序和流程。
這里我們先來概述一下 “可信賴性” 的概念,可信賴性是由產(chǎn)品或服務(wù)所提供的安全性、可靠性、隱私性和彈性保障的程度來定義的。具體可以通過以下標(biāo)準(zhǔn)進一步詳述:
- 組件和系統(tǒng)的可靠性;
- 組件和系統(tǒng)的可用性;
- 組件和系統(tǒng)的安全性;
- 組件和系統(tǒng)的完整性和真實性;
- 組件和系統(tǒng)所用數(shù)據(jù)的機密性;
- 組件和系統(tǒng)數(shù)據(jù)的可信度;
- 組件和系統(tǒng)所用數(shù)據(jù)的隱私性;
- 組件和系統(tǒng)的可維護性;
- 組件和系統(tǒng)可修改配置的能力;
- 組件和系統(tǒng)對威脅或誤用的彈性。
每種產(chǎn)品或服務(wù)都可以分解為更小的組件,以評估其各自的可信賴度。當(dāng)然,也可以將這些單獨的分?jǐn)?shù)進行匯總評估,以便將它們組合起來以提供有關(guān)整個系統(tǒng)的分?jǐn)?shù)。
可信賴度評分必須由特殊保證來支持,特殊保證指的是系統(tǒng)功能如何在威脅因素作用下保證安全性、可靠性、隱私性和彈性的。每項保證都必須有證據(jù)支持。證據(jù)通常以保證案例的形式出現(xiàn)。保證案例記錄了可接受或已知的剩余風(fēng)險正在履行的系統(tǒng)屬性、聲明和要求。保證聲明通常由兩部分組成:
- 保證的假設(shè);
- 系統(tǒng)可信度聲明及其支持的任何子聲明。
使用保證案例的一個固有優(yōu)勢是能夠在假設(shè)已經(jīng)完成的情況下做出斷言,即每個案例的假設(shè)都是通過其包含的系統(tǒng)及其相關(guān)保證案例來實現(xiàn)的。這使您可以為子系統(tǒng)的保證義務(wù)附加地組成安全性,可靠性,安彈性和功能要求。
合理的安全性是一個整體過程,需要考慮組織的當(dāng)前業(yè)務(wù)需求。雖然安全控制清單可能會有所幫助,但它不能涵蓋每個組織的需求。想要使行動合理,就必須將自身塑造成一名合理謹(jǐn)慎的從業(yè)者。你必須了解自己的組織、組織的業(yè)務(wù)功能、資產(chǎn)以及最吸引黑客的核心資源。然后了解如何根據(jù)風(fēng)險合理地保護這些資產(chǎn)??紤]到您的產(chǎn)品類型,您可能還必須考慮可信度因素。
免責(zé)聲明:以上文章并不是法律建議,而是將法學(xué)院的法律原則應(yīng)用于信息安全領(lǐng)域的學(xué)術(shù)嘗試。希望可以幫助安全從業(yè)人員從法律角度理解合理行為,以此來推動討論在企業(yè)中實施合理安全措施所需的實踐。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】