网络安全存在数据问题。
几十年过去了,我们仍在努力弄清楚安全控制措施的成效,尤其是从整个行业的宏观层面来看。有两份广受关注的报告--《Verizon数据泄露调查报告》和《CrowdStrike 全球威胁报告》,尽管内容全面,但并不能代表全球乃至美国的整个行业情况,还遗漏了大量重要数据。要是看看其他可信度较低的信息来源,就会发现,我们不能轻信网络安全行业的大多数统计数据,绝不能再凭空捏造数字了。
许多人会认为,安全问题过于复杂而难以衡量,所以我们应该接受这样一种状况:依赖Daniel Geer、Kevin Soo Hoo和Andrew Jaquith所描述的 “神谕者和占卜者”,并停止尝试获取更优质的数据。在本文中,我认为情况并非如此糟糕,我们可以借鉴医疗保健等其他领域的最佳实践
感谢Ed Covert,他启发我撰写这篇文章,与我展开深入探讨,并就该话题提供了深刻见解。
医学分类、其范围和对医疗保健的意义
当我们考虑是否有必要编纂网络安全法典时,很容易就会觉得这不可行,因为我们这个行业已经变得如此复杂,而且方方面面都相互关联。与其陷入这场争论,不如先仔细研究一下医学分类的实践。
世上存在着成千上万种各类疾病、医疗程序和医疗服务。为了对疾病和治疗方法进行统计分析、为医生设计决策支持系统、识别和追踪流行病的爆发情况,以及开展法医鉴定分析,所有这些非结构化数据都需要进行标准化处理。而这正是医学分类,即医学编码的用武之地
医疗编码是对个人医疗信息(如诊断、治疗流程和所需设备等)进行编码,并将其转换为通用字母数字代码的过程。正如维基百科所解释的,编码有以下四种类型:
诊断代码用于对症状、疾病、病症和死亡原因进行分类。
操作编码用于描述医疗专业人员实施的治疗(操作)。例如,美国使用的 ICD - 10 手术操作编码系统(ICD - 10 - PCS),会用代码 B2000ZZ 来定义 “使用高渗对剂的单支冠状动脉平片检查”。
药品代码用于识别药品。例如,在美国,国家药品代码(NDC)是用于人类用药的唯一产品标识符。例如,一瓶泰诺的国家药品代码为 50580-488-10。
解剖部位编码用于描述身体中的特定位置。
这些编码对于医疗保健、公共卫生规划、医疗保险以及许多我们习以为常的其他领域都至关重要。没有医疗编码,就无法有效地处理医疗理赔、识别流行病的早期迹象,也无法从统计学角度证明某种特定治疗方法对特定疾病的有效性。
这并非意味着现今的医学分类方式毫无问题。然而,世界卫生组织(WHO)一直在不懈努力,以推动不同人群内部及之间、不同时期的健康相关数据的比较,同时促进全国统一数据的编纂。
一个标准化的网络安全分类系统可能会改变行业现状
网络安全标准化分类的必要性
在网络安全领域,我们缺乏对数据进行分类、分析和呈现的标准化方法。我一直认为,网络安全保险有可能在加速网络安全成熟方面发挥关键作用。业内许多人都知道我们的数据匮乏。我常听到一种说法:我们有关于车祸、疾病和死亡原因的数十年记录,但有关网络安全的数据最多只能追溯十年。这或许是事实,但实际情况是,安全威胁形势瞬息万变,回顾三十年前的数据没什么价值。我们需要的不是更多数据,而是一种更好的方式,来对如今能够收集到的数据进行分类。
为了建立一个类似于医学分类的标准化网络安全分类系统,我们需要以下编码方式:
对手为达成目标所采用的战术与技术(类似于诊断代码的网络安全领域对应内容)。
防御者可用于防范恶意攻击的应对措施(类似于程序代码的网络安全领域对应内容)。
不同工具所具备的安全能力(类似于药品代码的网络安全领域对应内容)。
描述观测到攻击的位置的方法(类似于地形代码的网络安全领域对应内容)。
采用受医疗编码启发的标准化网络安全分类系统,能为我们提供一种通用语言,用以描述攻击、技术和预防控制措施。这反过来会让我们更接近循证安全。如果没有这样一种通用语言,我们很难衡量自己投入时间和金钱的举措,是否确实能带来风险的可量化降低。
好消息是,我们已经成功了一大半
好消息是,在很大程度上,由于美国非营利性机构 MITRE 的努力,我们已经完成了大半目标。MITRE 致力于公共利益,代表美国政府资助方运营联邦资助的研发中心。
开发标准化安全分类系统的第一步,是将对手用于实现其目标的战术和技术编成目录(这相当于网络领域的诊断代码)。在这方面,美国非营利性组织 MITRE 通过其 ATT&CK(对抗战术、技术和通用知识)框架取得了卓越成果。该框架所做的正是对网络攻击和入侵进行分类与描述。MITRE ATT&CK 在安全行业已得到广泛应用。从端点检测与响应(EDR),到安全事件与信息管理(SIEM),再到威胁情报(TI)等众多安全供应商,都将 ATT&CK 整合到了他们的产品中。与此同时,整个行业对对抗技术和红队演练的重视,加之 MITRE 在用户教育方面的投入,使得该框架成为安全领域的首选。
遗憾的是,网络安全涵盖的内容远不止 MITRE ATT&CK 所涉及的范围,这正是我们仍存在诸多不足的地方。很多人没有意识到,MITRE 自身已在 ATT&CK 基础上有所拓展 —— 它还推出了用于应用安全的通用攻击模式枚举与分类(CAPEC)。MITRE 对这两个框架进行了对比,并提供了何时使用哪个框架的指南。总体而言,我认为在对攻击战术和技术进行编码方面,我们进展良好。
第二步是对防御者可用于防范恶意攻击的对策进行编码(这相当于网络领域的程序代码)。这方面有好消息,也有坏消息。好消息是,MITRE 开发了 D3FEND,这是一个关于网络安全对策的知识图谱。坏消息是,它远不及 ATT&CK 的地位,也没有获得与之相当规模的应用。原因可能有很多。首要的是,安全领域很大程度上扎根于破解,所以红队演练、找出漏洞和探索入侵途径是业内大多数人感兴趣的方向。防御性映射既不那么令人兴奋,难度也大得多,因为这要求各组织深入了解自身现有的防御措施以及他们想要应对的特定技术。MITRE D3FEND 更难实施,因为与可用于红队演练和了解威胁的 ATT&CK 不同,D3FEND 给人的感觉是实操性和实用性都差很多。
通过将 ATT&CK 和 D3FEND 结合起来,安全从业者和网络保险承保人应该能够更好地了解哪些控制措施有效。D3FEND 所需要的是更深入的内容。随着网络保险行业的成熟,其收集数据的能力也在不断提高。几年前,一份保险调查问卷可能只会问 “你们启用多因素身份验证(MFA)了吗?”。如今,我们问得更深入了 ——“它是用于云访问、远程访问、电子邮件访问还是特权访问?”。我们仍然没有获得完整的背景信息(比如,“是所有远程访问都涵盖吗?”),但我们走在了正确的道路上。要让 D3FEND 具有可操作性,它需要涵盖更深入的内容,这样我们就能看出,如果 MFA 覆盖所有员工的电子邮件访问,与只覆盖部分员工相比,会有多大差别;如果它覆盖云访问但不包括域管理员,又会怎样,诸如此类。
为了在网络安全领域建立标准化分类,我们还需要最后两类数据,即不同工具提供的安全能力(相当于网络领域的药品代码),以及描述攻击发生位置的方法(相当于网络领域的解剖部位代码)。即便这两类数据在一定程度上与前两类有所重叠,它们依然很有价值。开发相当于药品代码的网络安全内容会特别有意思,因为我们都知道,网络安全领域的营销已经有些失控。不过在这方面我不会过于乐观,因为 MITRE 已经证明了古德哈特定律确实存在(“当一项指标变成目标时,它就不再是一项好指标”)。
图片来源:CrowdStrike、微软、Palo Alto、SentinelOne、Cybereason
我认为 MITRE 是推动将医疗编码引入网络安全这一倡议的最佳相关方。他们已经完成了大半工作,拥有合适的人才,并且在行业内赢得了高度信任
坏消息是,我们需要设计激励系统来获取数据
我们能够就人寿保险、汽车保险或火灾保险迅速给出报价,是因为公共领域中有大量数据可用于计算费率,这得益于现有的数据收集方式。
若发生入室盗窃案,受害者需先向警方报案,才能向保险公司提交理赔申请。办公室起火时,大楼管理方得先呼叫消防队,之后才能向保险公司索赔。有人需要医疗救助时,会前往医院或急诊中心,由医护人员独立评估伤势。在上述各种情形中,都是保险公司以外的机构或人员最先获取事故相关数据。而网络安全领域面临的难题是,不存在这样的机构。尽管入室盗窃和网络攻击均属应受法律惩处的犯罪行为,但遭遇勒索软件攻击时,警方通常不会接到报案。因此,不存在公开的安全漏洞记录,也没有相关数据可供政府分析。
对于许多类型的事故,政府历经数十年已建立起自身的数据收集方法,无需依赖保险公司来收集基础数据。而网络安全领域尚属新兴领域,我们还未建立起任何相关机制。设想一下,若医疗机构因医院以 “数据敏感” 为由拒绝共享记录,而不得不向保险公司索要数据,这听起来就很荒谬,但这恰恰是我们在网络安全方面所面临的现状。
解决这一问题并非易事,但我们可以开拓思路。倘若政府规定,保险公司若要裁定与安全漏洞相关的理赔申请,必须先向诸如美国网络安全与基础设施安全局(CISA)这样的独立机构报告该安全漏洞,那就再好不过了。这与其他众多保险类型并无差异。比如,若要申报车辆被盗,车主需提供警方报案的证据。问题在于,美国联邦政府无权监管保险行业,要说服全美 50 个州达成共识,实在不切实际。或许,全国保险监督官协会可以制定一项示范规则,将此作为要求。如今,我们根本无法获取安全事件数据,这些数据以律师 - 客户保密特权为由,对公众保密。就连美国证券交易委员会(SEC)要求报告 “重大” 安全事件,其 “重大性” 的判定标准也模糊不清。试想一下,如果要求企业披露其向保险公司寻求承保的所有安全事件(这难道不是对 “重大” 的常见定义吗?),难度会降低多少。我不主张过度监管,我认为在寻求解决办法时,我们应更具创造性,将激励机制设计置于强制规定之上。话虽如此,监管确实能发挥作用,所以在想出更好的办法之前,我们可以先从监管着手。
结束语
并非只有我认为网络保险有潜力推动网络安全领域的发展。然而,我并不认为保险公司会着手深入探究每家公司的安全控制措施。原因如下:
保险终归是商业行为,保险公司希望签发保单以盈利。市场上客户选择众多,要是一家保险供应商要求客户填写长达数百页的调查问卷,或是在其环境中部署某些东西来测试安全状况,客户就会转而选择毫无此类阻碍的竞争对手。
安全成熟度更多关乎思维模式,而非特定工具的有无或控制措施的多寡。有些公司依据自身独特的环境与威胁模型来构建防御体系,相比那些斥资数百万美元购买一堆 “同类最优” 工具,却未妥善部署或配置的公司,前者的安全态势会更为稳固。
原文链接:
https://ventureinsecurity.net/p/why-we-need-a-standardized-cybersecurity
声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
