亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

目前，大多數(shù)企業(yè)組織會按照以下模式開展網(wǎng)絡(luò)安全工作：首先，回顧分析最近發(fā)生的安全事件，同時收集已知威脅的信息；接下來，安全團隊就如何消除這些威脅和緩解相關(guān)風(fēng)險達成共識；最后，部署實施緩解上述威脅的管控措施和工具。

很多企業(yè)的安全人員認為，只要將以上工作做得越好、越快，就能夠讓組織獲得更好的安全性。然而事實上，一些極具破壞性的安全攻擊事件往往是事前難以想象的，但是它們卻真實發(fā)生了，例如：

●?在9.11事件之前，美國國家安全部門認為，劫機者會降落飛機，并通過談判來解決爭端，但是恐怖襲擊者并未這樣做；

●?在Stuxnet工業(yè)蠕蟲病毒之前，工業(yè)控制系統(tǒng)工程師認為控制氣閘等系統(tǒng)可以不受傳統(tǒng)網(wǎng)絡(luò)攻擊的干擾，直到被植入了病毒；

●?在2020年SolarWinds事件爆發(fā)之前，很多IT系統(tǒng)運維人員也認為，網(wǎng)管平臺上經(jīng)過驗證的更新都是合法且安全的，直到SolarWinds平臺本身因為安全漏洞成為破壞性供應(yīng)鏈攻擊的載體。

以上安全事件都造成了巨大的損害，原因是遭遇了難以預(yù)見的新風(fēng)險。換句話說，當(dāng)安全守護者對威脅的假設(shè)越簡單，攻擊發(fā)生后的破壞性就越嚴(yán)重。

在此背景下，美國Blancco科技公司副總裁兼總經(jīng)理Maurice Uenuma認為，現(xiàn)代企業(yè)組織在面對不確定的未來時，為了確保長期的網(wǎng)絡(luò)安全彈性，需要采用正確的方式，有效地規(guī)劃和準(zhǔn)備來預(yù)測和緩解未來可能會出現(xiàn)的風(fēng)險。而對未來數(shù)字化環(huán)境中的威脅進行假設(shè)是做好這項工作的基礎(chǔ)。而威脅假設(shè)和壓力測試對于任何長期性網(wǎng)絡(luò)安全計劃的制定都是不可或缺的。

面向未來的安全需求

認識到不斷變化的威脅形勢，組織需要通過更廣泛的數(shù)據(jù)收集和共享、更強大的分析帶來的更深入的見解、更早地發(fā)現(xiàn)威脅行為者及其行動，以及更快地響應(yīng)正在進行的攻擊，來加速這一進程。

但事實是，很多企業(yè)在此過程中已經(jīng)明顯落后。因此當(dāng)他們檢測到攻擊者活動及其意圖、攻擊方法時，往往為時已晚。最根本的挑戰(zhàn)是沒有為一個風(fēng)險未知的未來做好準(zhǔn)備。

為了在充滿新風(fēng)險的數(shù)字化世界中變得更有彈性，企業(yè)組織必須對各種可能的威脅進行假設(shè)，同時進行壓力測試來加強安全防護計劃。僅僅是監(jiān)測安全態(tài)勢和預(yù)測威脅是不夠的，我們還必須不斷對當(dāng)前所存在的“安全感”進行質(zhì)疑和挑戰(zhàn)。

一種具有未來彈性的安全方法需要包括一個深思熟慮的威脅假設(shè)過程，并在現(xiàn)有假設(shè)仍然有效的情況下，對它們提出挑戰(zhàn)和質(zhì)疑，以模擬一個這些假設(shè)受到妥協(xié)時的場景。然后，基于這個新的未來“現(xiàn)實”，我們可以發(fā)展更好的生存方式。

換句話說，我們需要將安全方法從評估當(dāng)前環(huán)境，對未來做出假設(shè)，識別威脅，然后緩解這些風(fēng)險，轉(zhuǎn)變?yōu)槊鞔_識別當(dāng)前的假設(shè)，“編造”威脅以妥協(xié)這些假設(shè)，并建立適應(yīng)能力以在未來生存。在此過程中，需要充分考慮以下四種因素：

●?所指對象：我們對誰（或什么）正在被保護的假設(shè)是什么，為什么？這個對象（人或應(yīng)用實體）看起來是安全的嗎？

●?影響：我們對當(dāng)前的防護能力有什么假設(shè)？攻擊者能做些什么來傷害我們？對安全環(huán)境或生態(tài)系統(tǒng)的影響有多大？

●?相互依賴：有哪些防護資源對我們來說是可用的，是否可以思考它的可用性或意圖？是否還有未充分預(yù)測到的系統(tǒng)效應(yīng)？

●?監(jiān)管治理：監(jiān)管機構(gòu)應(yīng)該在哪些方面發(fā)揮作用？我們對監(jiān)管者的角色假設(shè)是什么？未來的安全性是否會在符合行業(yè)監(jiān)管要求準(zhǔn)則的框架內(nèi)運作？

威脅假設(shè)的方法和原則

通過解構(gòu)威脅假設(shè)，企業(yè)組織可以主動規(guī)劃應(yīng)對未知威脅的安全能力，從而逐步實現(xiàn)面向未來的安全彈性。這項工作的基本框架包括以下步驟：

1. 確定基本的威脅假設(shè)原則及其相關(guān)的依賴項。

2. 通過理論上的妥協(xié)對相關(guān)假設(shè)進行壓力測試，設(shè)想假設(shè)不再有效時的安全狀態(tài)。

3. 通過測試，識別在未來狀態(tài)中可能出現(xiàn)的風(fēng)險。

4. 為所識別的假設(shè)威脅制定緩解措施。

需要說明的是，基于威脅假設(shè)的安全方法在一定程度上是理論性的，因此過程中容易出錯。同時，同時沒有邊界限制的風(fēng)險想象也會導(dǎo)致虛構(gòu)多于現(xiàn)實。然而，為了充分應(yīng)對風(fēng)險，安全人員需要去想象無法想象的風(fēng)險，并在可實現(xiàn)的情況下，考慮緩解這些風(fēng)險的方法。

為了提高威脅假設(shè)的效率和有效性，安全人員可以遵循以下兩點威脅假設(shè)的原則：

1

以企業(yè)業(yè)務(wù)為中心（Enterprise-centric）

在企業(yè)數(shù)字化發(fā)展過程中，需要大量創(chuàng)建、處理、管理、傳輸和存儲數(shù)據(jù)，因此，我們應(yīng)該假設(shè)企業(yè)業(yè)務(wù)發(fā)展是網(wǎng)絡(luò)安全能力構(gòu)建的焦點，所有關(guān)于安全防護的努力必須集中在那里。這是一個非常合理的假設(shè)。NIST網(wǎng)絡(luò)安全框架、CIS關(guān)鍵安全控制和ISO 2700系列指南都關(guān)注企業(yè)。甚至《國家網(wǎng)絡(luò)安全戰(zhàn)略》也將企業(yè)作為首要角色。

“以企業(yè)業(yè)務(wù)為中心”的網(wǎng)絡(luò)安全假設(shè)的優(yōu)勢之一是，經(jīng)驗和專業(yè)知識可以集中在網(wǎng)絡(luò)安全“發(fā)生”的地方。如果企業(yè)結(jié)構(gòu)受到侵蝕，那么實現(xiàn)良好開發(fā)的安全控制（例如，CIS控制）的相關(guān)能力也會受到影響。

針對這種情況的緩解措施包括大力提高公眾意識和警報協(xié)議（類似于警察或緊急醫(yī)療響應(yīng)系統(tǒng)），使人們在企業(yè)以外的環(huán)境中（如教育領(lǐng)域）更加安全。雖然其中一些已經(jīng)發(fā)生，但焦點、重點和責(zé)任將從公司轉(zhuǎn)移到公共和非營利實體。

2

關(guān)注數(shù)據(jù)所有權(quán)

我們通常假設(shè)人類通過決策、設(shè)計、構(gòu)建、組織和管理來創(chuàng)造數(shù)據(jù)。自然，人類擁有（并且必須保護）這些數(shù)據(jù)。甚至機器生成數(shù)據(jù)的所有權(quán)也與這些機器的人類所有者聯(lián)系在一起。

但是，如果數(shù)據(jù)的生成轉(zhuǎn)移到非人類實體呢？我們已經(jīng)在生成人工智能（GenAI）上看到了這種情況。目前，GenAI數(shù)據(jù)領(lǐng)域仍然相對較小，范圍有限。但我們離自主的GenAI不遠了，它可以被部署為常規(guī)和主動生成新數(shù)據(jù)，提出建議，甚至采取措施管理以前由人類控制的流程。

考慮到GenAI平臺需要大量的計算資源和健壯的大型語言模型（LLM）才能發(fā)揮作用，最流行的平臺很可能是共享資源，就像云計算一樣。那么，誰將擁有并保護GenAI產(chǎn)生的數(shù)據(jù)呢？怎樣才能防止可能存在缺陷甚至危險的數(shù)據(jù)的產(chǎn)生和傳播呢？

隨著GenAI平臺的持續(xù)增長，降低未來風(fēng)險可能涉及實現(xiàn)“設(shè)計安全”（secure-by-design）原則，以擴展安全控制。適當(dāng)?shù)姆侄慰梢允狗稚⒌挠脩裟軌蚶霉蚕淼幕A(chǔ)LLM，同時防止數(shù)據(jù)泄露超出該用戶的范圍。還有人認為，AI“終止開關(guān)”（kill switch）可以作為緊急停止機制，以確保人類的首要地位。總之，GenAI是一個必須從一開始就考慮安全因素的領(lǐng)域。

原文鏈接：

https://www.darkreading.com/vulnerabilities-threats/stress-testing-our-security-assumptions-new-novel-risks

聲明：本文來自安全牛，稿件和圖片版權(quán)均歸原作者所有。所涉觀點不代表東方安全立場，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請聯(lián)系rhliu@skdlabs.com，我們將及時按原作者或權(quán)利人的意愿予以更正。