原文:The next 50 years of cyber security
作者:Ryan Mcgeehan
网络安全现在可谓“道高一尺、魔高一丈”。作者分析了网络安全行业发展滞后的原因,希望未来的网络安全风险能够像天气那样可量化、可预测。提出要对数据泄露根本原因进行分类,要在数据泄露通知中出现根本原因的详细描述,而不是模糊地说遭受了黑客攻击。安全工作必须要有一个概率结果。作者是一个有情怀的人,希望能够成为彻底变革网络安全行业的一份子。
要使得网络安全风险能够像天气那样可量化、可预测
世界需要在网络安全方面取得更大的进步。让我们从整个行业的角度出发,试着探索一下阻碍网络安全行业进步的一些特定障碍……
虽然这个问题看起来非常宽泛,但我们将只讨论其中的特定问题领域。
这不是一篇有什么动机的文章,以下包括整个行业的待解决事项。
当前网络安全行业发展滞后归因于:
围绕数据泄露的根本原因缺乏分类方法;
数据泄露的根本原因缺乏透明度;
那些从事网络安全的人缺乏概率方法。
这些不足阻碍了网络安全行业以合理、科学和有组织地方式运行。
风险衡量的局限阻碍了信息安全的发展
只有驱使这个行业及其社区朝着可量化方法和目标集体推进,才能构建一个让我们引以为豪的未来。
首先,解说一下我的几项言论,然后探索特定的机会领域。
能否以效率为中心“解决”网络安全问题?
研究不同的行业历史,就可以了解它们是如何快速发展的,这样网络安全行业存在的不足就变得清晰。我会简要描述这种模式,并讨论从长期来看信息安全行业的具体目标。
许多行业通过衡量实现了自我革新。
与信息安全行业类似,这些行业也是在一段时期内,行业内的问题得到了很好的理解,没有任何大规模的冲击。
也就是说,直到一种衡量观念模式的出现,它要求行业变得更加高效。
举几个例子:
现代流行病学带来了无数的创新。看医生增加了病人的存活期而不是预示即将面临死亡。
亨利•福特对生产线效率的痴迷引领我们进入了一个现代化的制造时代。
气象学的巨大进步始于1950年左右,当时定量预测可以满足日益强大有组织的测量能力。
接下来,将对网络安全和气象学进行比较,它们有许多相似之处。
从1900年到1950年,气象学以发现、理论和实验为特征。1950年以后,它很容易被描述为全面致力于构建数据丰富、可访问以及定量预测的基础建设。
就像1950年以前的气象学一样,网络安全的历史总是关于创新的。网络安全行业已经发明和构建了大部分的工具、基础设施、技能和语言,以便能够完成降低风险的工作。我们有一个引以为豪的行业来证明我们的理念,但是失败了。
开始一个类似气象学“50年”的工作需要什么?它需要大量的协作、行动、监管以及合适的预测方法。
这将如何改变安全策略?
概率安全基础设施应该将如何改变安全策略作为一个产业,有完全不同的安全团队以及社区,这样更加有效和合理。
纵观行业取得的集体进步,迄今为止,作为一系列不同的安全创新事物,大部分彼此之间相互独立。独特的产品,创新,系统,工具,或是帮助我们塑造自己独特的安全方案的规范。
除非能将这些成果统一和引导成理性的方法处理安全问题,否则就像大量冲突的目标,无法有一个焦点。
我们错过了什么东西。它是一个有着很多名字的怪兽。
它被粗略地描述为“定量决策”,这几乎是每个已经找到成熟和规模方法的行业的基础。
一旦一个行业拥有了必要的战备工具和创新理念,它就开始对自身进行密集的衡量,以便在更高层次上进行竞争或生产。
这里有一些时髦术语可以用来探究这些思维方式的特点:
流行病学
工艺优化
六西格玛
精益生产
改善
TPS. DFM.
质量管理
有效学习
泰勒主义
运筹学
投资策略贯穿于衡量、迭代改进和定量决策的始终。将如何命名我们的策略呢?那么,它又在哪里呆了这么久?
为什么不像其它行业那样来衡量网络安全?
这个问题的根本原因颇具讽刺意味,是不去研究数据泄露根本原因的多轨追踪。
棘手的地方是:即使有大量的根本原因数据,现代安全团队也很少知道如何处理这些信息。他们不知道如何反馈它,也不知道如何衡量自己在减少与这些根本原因相关的结果的可能性方面取得的进展。
没有定量衡量风险随时间降低的安全团队,只是希望他们的行动能改变未来的结果,然而希望不是策略,这些行为很容易与一场“祈雨舞”,一个货物崇拜相媲美,或者与关于精神错乱和预期结果的陈词滥调相提并论。
以前以为信息安全风险太细微了,不能用真正的定量方法来严格的衡量。衡量方法不会像那些为安全团队制定策略的有才能的个人的直觉和引导那样有效。从那时起,当我开始了解基于角色场景的预测和跨不同行业的严格评估时,就坚信了另外一种说法,信息安全风险可以定量衡量。
安全团队彼此之间的运作方式相差太大
在与许多安全团队一起工作的几年时间里,几乎所有表现出对风险真正的偏见和非理性的直觉都来自少数有影响力的人。我自己运作的团队也遭遇类似的问题,这种偏见和非理性直觉来自于我自己。这一点尤其体现在一个公司或团队将如何从下一个,甚至在相同的竞争领域去处理风险。
此外,突变可能发生在领导者变化时。某个公司在多年的时间里经历了四次领导变革,每次都以完全不同的方式对待风险,每次要求员工参与到新的思想流派。有领导者的判断是“正确”的吗?更多他们可能只是武断地选择。
下面是一些例子:
“遵从”。虔诚地遵守规定的规章制度。
“顾客至上”。优先考虑/满足客户需求清单。
“基于标准”。信奉行业成熟的模型或标准。
“威胁驱动”。践行威胁核心和优先处理对手目标。
“参考组织”。与其它组织相比,要与众不同。
“检测优先”。一级检测允许更宽松的安全性。
“万里挑一”。不要被指责为玩忽职守。
“度量驱动”。选择度量作为“风险”的代理,并减少它们。
“混沌”或“迭代”。不断地打破、观察和修正。
“专家”的直觉通常是如何实现这些或某一些的组合。不是通过任何结构化的决策方法。
在许多情况下,专家的直觉是错误的,在涉及网络安全风险的行业中,这是一个大问题。
我也不例外,我的直觉同样不可靠。我的直觉总是希望事故响应能力和强大的日志记录处于团队策略的前沿。我可以论证为什么这种方法是优越的……但是其它方法的倡导者亦是如此。为什么我会与众不同?或者你有什么与众不同呢?都是自己的迷之自信罢了。
如果有科学的方法去构建专注于风险的团队,就不会经常看到如此激烈的战略分歧,也不会在优良方法、产品或者策略上争论这么多。会争论如何选择一个策略,或者更具体地说,为了降低风险所作的选择,以及为什么这个选择比其它选择更好,通过一个科学的方法来论证,而不是把有影响力的词汇串在一起。
通过了解所需的、共享的基础设施,可以加速发展应对网络安全风险的科学方法。现有技术可用于衡量来自其它行业的风险,安全工程师有足够的机会使得这种衡量技术对信息安全和技术公司有效。
有三件事需要向前推进
网络安全行业的行动指南存在于其它领域。我特别关注航空航天,核工业,特别是天气预报行业。这些天我大部分时间都在叨扰这些领域的专业人士,想通过他们充分了解这个主题。
这些行业的经验教训得到了经济和心理学领域研究成果的支持,即如何基于复杂信息做出理性决策。这项研究是稳健的,可信的,可获得诺贝尔奖金的。希望能够依靠这些经验来弥补(希望是暂时的)在数据安全方面存在的不足。
接下来描述安全行业如何处理风险的三个特定方面的薄弱环节,这些都是沉重的问题,减缓了安全行业迈向效率时代,灵感来自于安全行业管理风险方面与其它行业不同。
1.数据泄露根本原因的分类语言
目前对泄露数据的典型可用性和质量感到满意,它是非结构化的数据,非实时的,不可访问的,而且是罕见的。
有人可能有不同意见,并指点我看Verizon数据泄露报告,看Troy Hunt的博客,看票据交易所的隐私权,或者Graveyard的区块链,或者Krebs,或者IC3或者本地的infraguard。
我认为不应该满足于在新闻业,博客,PDF和地方会议中提到数据泄露。这样不能为预测基础设施创建基石,而基础设施对于快速发展的风险方法至关重要。
想象一下,如果天气预报局限于博客文章,PDF和电子邮件公告,生活会有多糟糕?
尽管现状对于理解趋势风险是无价的,但它们在构建可用于预测风险的基础设施以及增加对预测的依赖性方面却非常欠缺,共享根本原因基础设施的潜力是巨大的。
这里也有机会。我们非常擅长对不同形式的漏洞和攻击方法进行分类。但就数据泄露而言:行业、新闻界和监管部门都对“它们被黑客攻击”这一根本原因感到满意。考虑到我们应该雄心勃勃地降低风险,这是一个不可接受的标准。
在根本原因分类上做了一个尝试: Graveyard区块链。
我曾亲自尝试解决这个分类问题,重点是数字加密货币(“c9y”)。C9y公司经常出现数据泄露。
令人惊讶的是,c9y受害者公开讨论数据泄露的根本原因。由于这种透明度,这是一个机会,至少可以评估每个相关联的数据泄露的根本原因。这为理解为什么c9y初创公司如此频繁地受到黑客攻击,为什么受到黑客攻击,以及采取最有价值的缓解措施来降低数据泄露的可能性等方面提供了概率杠杆。
Graveyard区块链评价
c9y公司的安全工作可以使用这些评价来预示和优先处理现实的、可能的场景,而不是基于单纯的检查表、FUD,或者直观的猜测。
我所工作过的c9y产品公司展现了更加理性、数据驱动的安全性方法。它们具有明显的根本原因数据的优势,这些根本原因数据具有可访问性。
尽管Graveyard区块链是一个独立的,主要是业余爱好者的成果,它不基于标准根本原因语言来组织趋势。必须承认,在评估这些根本原因时,可能有作者坚持自己的偏见。
其它行业需要恰当的事件分类。
基于在Graveyard区块链的尝试,它坚定了我对数据泄露分类困难的信念,但是并没能说服我这么做不可能,部分原因是气象学家对分类很有兴趣。在某些方面,气象学的问题比网络安全问题更容易,但在某些方面,气象学的问题比网络安全问题又更难。大多数天气被严格定义为与概率预测基础设施兼容。
当一场大灾难来袭时,我们对“恶劣天气造成千人丧生”并不满意。我们需要严格的语言来描述所发生的事情。
气象学家对“4级飓风造成千人死亡”或“EF5龙卷风未被预测,造成千万美元损失”这种表述更满意。
当一个清晰确定的事件发生时,气象学急于了解如何更好地预测和减轻事件,如何更早和更具体,急于知道哪些模型失败,哪些模型成功。
气象学家依赖于与天气相关的大量可观测数据,预测未来与之相关的可能性。动态调整,让预测基础设施变得更智能,他们对未来事件的先验性不断变化。
对比一下安全行业的荒谬。安全行业习惯于“公司被黑客攻击了,数以千计的客户数据泄露!”这种描述。常常找不到根本原因,或者几周后,这些教训消失在新闻归档中。
受害者没有任何标准语言来描述他们被攻击的根本原因。如果一个根本原因确实是可用的,它会被隐藏在新闻报道中,而不是统计资源中。这些描述不会对风险产生任何概率优势,也没有预测的杠杆作用。
围绕分类有大量乐观的看法。
安全行业很擅长对安全的、细微的、狭义的方面进行分类。
有许多威胁建模和漏洞分类的已有技术可以起到杠杆作用。可以用可分类的,可数的方式来描述数据泄露的主要因素。现在,我们拥有Mitre ATTACK框架和OWASP ASVS以及CVE,但也存在巨大的分类差异。举个例子:手机账户数据受到威胁,内部人士由于兴趣爱好滥用访问权限,又或者是中了勒索病毒。这些趋势并不满足于广义的“auth”,“内部人士”或“恶意软件”分类。我们使用什么标准来快速发现和计算趋势?
需要灵活的分类方法来描述根本原因,而不是满足于道歉的博客帖子和受害者的数量估计。例如,可以通过手动分析数据泄露通知观察到,小企业税务筹划店是网络钓鱼攻击的主要目标。目前通过社会工程和凭证重用可以阻止导致税务欺诈的W2盗窃的RDP实现。这使得小型会计师事务所的风险远高于任何一般雇主向员工发放W2的标准风险。在美好的未来,这可能是很容易进行的实时观察。
利用可访问的方法来分类根本原因,然后可以根据对自己组织的了解,采用强有力的概率方法来更好地预测风险。具有特定根源的场景可以在我们自己的组织中以强有力的方式预测,类似于出现在核工业和航空航天领域、并且持续出现在气象学中的专家启发方法。
2. 在数据泄露通知中必须出现根本原因
世界各地的数据泄露通知规则分散化,标准不一。即使是强制性的,许多通知也不是公开可用的。今天,一个适当的反馈回路的机会往往被浪费掉。
此外,数据泄露通知很少以令人满意的方式描述发生的事情,通知一般是一份附带有受害者数量的道歉信。事件和导致事件发生的环境每天都会变成黑洞。
公司不愿意披露数据泄露的原因有很多,他们更不愿意披露数据泄露是如何发生的。不需要讨论这些。重要的是让这些数据变得丰富、通俗、易懂,并克服这些障碍。
由于目前可用的零散数据出现了明显的趋势。例子:W2数据对攻击者来说非常有价值。勒索软件正在兴起和不断创新。凭证重用被证明是好用的,而且仍在蓬勃高涨。
这些信息可以从手动审查数据泄露通知时,通过典型模糊短语收集,但是数据泄露通知通常不包括任何根本原因语言。数据泄露的整个趋势都消失了,因此执行定量推理的能力被破坏了。
这就是我们错失的,例如:“在税收筹划行业,W2数据泄露的基线概率是每年18%。我们的预测,考虑到所做的准备,数据泄露概率减少到9%”这种声明应该不难获得,许多安全人员都对这种声明感到不安。
这是网络安全行业的弱点,其它行业熟悉概率术语和预测。那些人已经知道预测总是错误的,一个“最佳猜测”可能真的很有价值,特别是当那些猜测有很好的业绩记录时。预测只能朝着更正确的方向努力,同时还要了解预测的决策价值。
许多行业都熟悉按优先级排序的工作,与风险相关的未知预期值尽可能紧密。他们并不自鸣得意地相信自己能预测未来。他们知道预测和概率衡量的不足之处。安全行业也必须构建和学习这种方式,尤其是预测事件涉及活跃的邪恶人员。
核领域规则提供了中心可访问的根源数据。
NRC的事件通知报告是一个非常有趣的读物,来自事件响应的视角。与数据泄露报告相比,它们细到极致。它们会引用包含失败案例的特定模型,详细的影响,明确的根本原因。实例:
昨天发生一起轻微核事故的根本原因……
这个围绕核材料小小的、无关紧要的事件的根本原因好于我所见过的任何数据泄露通知。它甚至比我所遇见的一些IR团队做的没下功夫的总结还要好,即便核相关的材料是保密的。
更大的根本原因数据流将允许安全团队合理地优先考虑安全工作,基于无偏见的事件趋势,适当地考量自己公司的个性化风险。
3.安全工作必须要求一个概率结果
信息安全专业的每一个概念都可以作为一种概率工具。即使不确定性非常高(例如,APT的区域,你是否受到威胁了),我们仍然有延伸的工具可测量,减少对一个场景的不确定性。
即使是在没有可用数据的地方,气象学家仍然预测天气。在安全方面,我们必须预测风险,即使面对细微差别、波动的背景和不确定性。这种不确定性没有任何借口。简单的统计方法与我们的直觉和不确定性的测量是相容的,并且在其它地方得到了很好的实践。
这里有一些天气预报困难的例子:NOAA卫星经常离线,我们有糟糕的数据来预测卢旺达的天气,有时气象学家甚至用正确的数据也会搞砸。
尽管存在这些不确定性,气象专家仍然尽最大努力预测天气,因为他们的目标永远是少犯错误。安全行业也是一样,我们已经根据直觉做出决定,但不排除量化我们的预测。
借口不包括快速发展的技术,逃避衡量的智能威胁行为者,以及不知道的著名事件。我们仍然应该尽最大努力预测风险和支持改进预测的需求数据。
从红客团队到属性,到安全工程管理的一切都需要成为概率。恶意软件分析,社会工程,意识……它都与概率方法兼容。
所有已知的安全概念给出一个关于“坏事”是否会发生的意见。由于某些原因,我们害怕预测“坏事”,因为没有完整的数据用来预测,也担心被指责是猜测。
事实正好相反:未来风险具有不确定性恰好在预测的时候是有价值的,安全行业的所有创新在很大程度上影响我们的不确定性。安全行业完全基于一连串的猜测,当把直觉应用于安全问题的时候,这样做并不依赖于那些不相关的科学。
事实上,随着数据变得越来越稀疏,预测的作用似乎越来越广泛。“如何衡量任何东西”的丛书是我所能找到的对预测严谨性已知研究的最佳组织。也许我们能够比其它行业更进一步地拓展预测方面的科学,仅仅因为安全行业的问题空间极其不稳定。
在缺少数据的情况下,预测或评估填补了空白,并创建对更多数据的需求,改进预测等等。众所周知,有一些方法可以降低主观观点的偏见,使它们可以量化,具有更好的一致性和降低波动性。
网络安全预测的这个方面是我目前花费大部分时间的地方,因为它弥补了我前面提到的两个方面的不足。如果预测失败,数据必须迎头赶上。如果数据没有跟上,那只能靠预测填补。我们可以构建安全计划,武器化定量决策原则,并研究一个真正能够开始自我学习的行业。
结论
我想成为一个能够彻底变革网络安全行业的一份子。我的信念是,如果不接受概率对安全目标的作用,安全行业将继续表现不佳。需要对数据泄露的反馈回路进行规范和研究。需要为安全行业创建高质量的验证性学习的实践,并且每个人都可以参与这些方法。
希望行业领袖会花时间去了解,希望认识到对风险衡量价值转变的必要性,风险衡量对工程师来说是有用的。需要有能力去衡量哪些创新影响最大。