数字攻击能力对安全生态的净负面影响

本文探讨数字攻击能力对安全生态的净负面影响,分析攻击与防御在规模化上的差异,指出公开攻击工具加剧威胁,而防御措施难以全面覆盖,提出依赖“即服务”模式可改善安全,但需权衡利弊。

数字攻击能力对安全生态的净负面影响

命题:数字攻击能力目前对安全生态是净负面的。[0]
改进数字攻击的成本目前超过了其收益。数字攻击的合法收益主要归于安全百分之一(#securityonepercent),以及情报、军事和执法机构。衍生的防御收益取决于防御者的性质。整个安全生态承担了成本,在某些情况下,即使那些看到实际收益的人也可能遭受超过收益的成本。

原因:规模化的局限性是数字攻击能力目前净负面的原因。
考虑一个行为者开发数字攻击能力并将其公开发布给公众的情况。从目标方来看,规模化的限制阻止了漏洞的完全缓解或修复。
从攻击角度来看,情况大不相同。任何行为者都可以利用攻击能力针对地球上任何互联网连接的目标。行为者可以在所有易受攻击或暴露的目标上扩展该能力。

三组行为者:只有三组行为者可能利用攻击能力用于防御目的。
首先,负责开发和维护易受攻击或暴露资产的组织可以确定是否有针对新攻击能力的补救措施。(这通常是“供应商”,但可能是非商业实体。为简便起见,我将使用“供应商”。)供应商可以尝试开发和部署补丁或缓解方法。
其次,易受攻击或暴露资产的主要消费者可以采取类似步骤,通常是实施供应商的补丁或缓解措施。
第三,安全百分之一可以采取一些防御措施,通过实施供应商的补丁或缓解措施,或通过开发和执行检测与响应流程。
这三组行为者的行动组合不会完全修复数字攻击能力。差距可能很小,也可能异常大,因此对数字生态造成净负面成本。

洞察:从入侵者方面来看,规模化的限制很少或没有,意味着入侵者可以利用数字攻击能力针对所有易受攻击的目标。
这是导致数字攻击能力对整个安全生态净负面的关键洞察:
攻击规模优于防御规模。
换句话说:
入侵者行为者可以利用攻击能力针对任何易受攻击的目标。
很少有(如果有的话)防御者可以利用衍生的防御能力保护所有易受攻击的目标。
那些反对这一论点的人很可能是这三组行为者之一。

反对意见:供应商
供应商可能有最强的理由能够扩展防御,取决于供应商提供的性质。
提供需要客户行动才能更新的软件或其他能力的供应商处于最弱的位置。如果客户不更新,他们仍然易受攻击。
强制自动更新的供应商处于更强位置。客户收到更新,更新机制的有效性是主要限制。
提供“即服务”产品的供应商,如主要云和电子邮件提供商,处于最强位置。他们可以在用户不参与的情况下默默改进产品。他们可以在服务上扩展防御,因为他们或多或少完全控制它。

反对意见:主要消费者
主要消费者可能在供应商参与或不参与的情况下运作。例如,当主要消费者操作本地实例时,他们可以实施缓解或修复措施。这些主要消费者拥有团队,使他们有资格成为安全百分之一,因此在某些方面,这双重计算了防御收益。
然而,一些主要消费者可能仍然易受攻击,无论其相对规模或性质如何。SolarWinds案例表明,拥有数十亿美元信息技术预算的组织可能像安全百分之一之外的组织一样无助。

反对意见:安全百分之一
安全百分之一可能提出最强烈的反对意见。安全百分之一是在拥有预算资助蓝队(防御)团队和可能红队(攻击)团队的实体中工作的个人。
如先前博客文章所述,安全百分之一可以使用攻击工具装备其红队或渗透测试团队。这些团队在安全百分之一之外不存在,可以与蓝队合作或对抗以确定对策是否有效。
安全百分之一通常忽视他们的特权。我个人直到2018-2020年勒索软件兴起才意识到这种心态。
例外情况有两方面。一组意识到自己特权的人来自“轨道的另一边”。他们曾为没有安全团队的实体工作,可能担任非IT或非安全角色。另一个例外涉及自愿或咨询安全百分之一之外实体的人。他们看到自己能力与试图帮助的对象之间的差距。
安全百分之一的一部分特别关键:那些依赖攻击谋生或将其作为爱好享受的人。他们拒绝任何威胁其生计或享受的情绪或政策处方,无论社会成本多大。解决这一群体的担忧需要单独的博客文章。

总结:供应商/主要消费者/安全百分之一 triad与安全生态其余部分的能力差异是防御未能像攻击那样有效规模化的结果。
当行为者公开发布数字攻击能力,特别是以工作代码形式时,通常任何威胁行为者都可以利用该能力针对任何易受攻击的目标。
反之则不成立。任何从攻击能力衍生的防御能力通常不能用于保护任何易受攻击的目标。
免费或开源工具、培训或知识有帮助,但它们需要部署、调整、理解、承诺和一系列其他能力,这些能力无法像攻击代码那样有效规模化。虽然使用攻击代码有学习和操作曲线,但它远不如防御者面临的曲线陡峭。
最强和最有帮助的例外是提供“即服务”能力的供应商。他们可以独立且全面地改善安全状况,几乎不需要易受攻击人群的参与。(例如,提供但不强制多因素认证是一个例外。只有采用MFA,人群才能改善其安全。)

结论:总结得出三个结论:

  1. 限制数字攻击能力的可用性,使其不公开且不在任何威胁行为者范围内,可能会限制入侵者的攻击选项,从而增加其研究、开发、部署和维护攻击工具的操作成本。
  2. 增加“即服务”产品的使用和依赖可能会改善生态安全,因为防御措施可以在整个易受攻击人群中规模化。
  3. “即服务”产品的兴起可能会驱使入侵者直接针对这些产品,而不是分布在生态中的独立资产。
    数字安全中没有“解决方案”——只有权衡。[1]
    我谨慎乐观地认为,前两个结论的某种组合会抵消第三个结论的兴起,从而在数字安全中产生净正面改进。
    数字世界中有太多人将安全视为具有技术解决方案的技术问题。虽然技术问题起作用,但数字生态的中心性意味着应将其视为公共政策关切。这一策略至少迟到了二十年。
    请将对此帖的评论指向Mastodon。

尾注
[0] 我非常确信这一论点适用于公共数字攻击能力。发布此帖后,我意识到我假设了这一视角但没有明确说明。因此,此注。
[1] 我从我的公共政策教授Philip D. Zelikow那里衍生出这一短语,他指出公共政策中没有解决方案——只有权衡。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次