基于事故披露和案例分析的網絡安全最佳實踐

趙 糧 綠盟科技首席戰略官

簡介：建立有效的、能夠持續自我提升的網絡安全工程方法關鍵成功因素包括建立安全事故披露和案例分析制度，明確界定安全“披露”責任，建立安全數據和響應平臺等。

0 導言

前面一段時間，係列重大網絡安全事件的發生，使領導決策層、行業和公眾意識到我們在戰略、組織、係統、能力等各方面存在諸多不足，網絡安全可謂百事待興。如果能識別出若幹基礎點和杠桿點，優先予以建設，則能最大化資源利用，收到事半功倍的效果。

在當前階段，網絡安全防護體係的設計、建設和運營、事件響應等環節更多地依賴于安全工程方法及其最佳實踐，例如設立DMZ（非軍事區）、強制用戶密碼的復雜度、安全告警時間的關聯處理、基于漏洞和補丁的響應體係、SDL（安全開發生命周期）等等。所謂最佳實踐應該是在大量工程方法實踐、及其相應結果有效性的評估基礎之上的，例如一定復雜度的、8位字符的密碼可以讓攻擊者難以破解同時又比較方便用戶記憶，在多年安全運營活動中逐步成為“最佳實踐”。 很自然的推理，通過事故披露和案例分析對相應的各種安全實踐進行有效性評價、優化甚至糾錯就是網絡安全工程方法整體得以不斷提升的重要基礎。

但是，坦白説，安全事故案例和分析，尤其是詳細的技術分析，極其匱乏。這使得很多“流行”的安全實踐缺少足夠的實例證明，從而實際效果上，最佳實踐近似或等同于“流行”實踐，從而降低了整體的資源使用效率和實際防護水準。近兩年來，對基于“合規”的安全實踐的有效性的反思，就有這個方面的因素。

基于以上的思考，筆者認為建立有效的、能夠持續自我提升的網絡安全工程方法有以下幾個關鍵成功因素：1 建立安全事故披露和案例分析制度；2 明確界定安全“披露”責任；3 建立安全數據和響應平臺。

1 建立安全事故披露和案例分析制度

安全事故案例匱乏背後的重要原因是缺少對事故各方進行準確披露的責任約束，換句話説，如果不披露沒有責任、披露卻需要承擔代價，那麼具備“理性決策”能力的相關方一定會選擇不披露、或者少披露。

通常，安全事故的代價有以下幾項：應急響應和公共關係費用，律師費，IT係統體檢、取證調查費用，來自司法機構和主管行業/協會等的罰款和問責，各種用戶通知更新費用，另外，還有其他多種非直接的費用，例如IT係統清理、數據丟失帶來的智慧財産權和商譽的損失等。

“不披露”的責任取決于各國的立法。美國和日本等發達國家在安全事故披露方面通過立法建立了較為完善的制度，故意隱匿安全事故會給相關方帶來嚴重的刑事、民事處罰。

安全事故發生並披露後的代價、和“不披露”的責任放在一起，較低的那個，我們可以稱之為“有效代價”，其高低是企業和組織評估安全投入是否合理合算的重要依據。

簡而言之，如果某類安全事故發生後的“有效代價”很低， 對于一個理性決策者來説，就沒有必要和理由投入過高的資源去預防或阻止它。相反的，如果某類安全事件發生後的“有效代價”極其高昂，理性的決策者一定會投入相對應的安全資源而將其降低到可以接受的水準。

另外，網絡安全具有外在性（externality）。換句話説，個體在網絡安全上的成效和意義超出該個體自身的利益，對個體之外群體的利益産生影響。與此類似的有傳染病、消防、吸煙等。對于具有此類特性的社會事務，通常通過立法來進行約束，取消個體的一些自主權，而進行強制要求。

舉例來説，當某電商網站被“拖庫”時，不僅該電商的業務受到影響，用戶資訊被泄露，可能被用以“撞庫”，而導致受影響用戶的其他資訊和業務受到損失。當沒有法律強行要求時，受損電商的理性選擇通常是將數據泄漏事件隱匿，或大事化小，從而降低自身的“代價”。但“捂蓋子”的做法卻增加了社會整體的潛在風險。相反地，如果有相關法律強制要求圍繞安全事件的一係列責任，通過大幅增加“隱匿”安全事故的成本，將其理性選擇轉向客觀透明地披露報告安全事故、通知受影響用戶、主動或協助第三方進行事故“根源分析”… 這樣長期實踐的綜合效果帶來的是社會整體風險的降低，以及有數據支撐的、更為科學的公眾安全實踐。

網絡安全“事故”是客觀存在的，只不過有檢測到的和沒檢測到的、披露的和沒披露的、有根源分析的和不明所以的之分。

2明確界定安全“披露”責任

由于現代資訊係統的高度復雜，安全事故發生的原因也可以非常復雜。不僅僅關係到資訊係統的所有者和運營者、及其安全管理和運營團隊，還可能涉及到眾多的、直接或間接的、資訊係統和安全係統的開發者、提供商、外包方等。

可以借用常見的RACI責任分解矩陣來細化復雜的網絡安全責任。資訊係統的所有者和運營者、及其安全管理和運營團隊，也就是常説的“甲方”，在安全事故責任方面通常是“Accountable”，通過商業合約，甲方將安全責任部分轉移分解給了各個提供商、外包方，後者在安全事故責任方面成為“Responsible”，等，例如軟件提供商在獲知其軟件出現安全漏洞時，有責任通報給“甲方”並提供修復方案。在“甲方”組織內部，“Accountable”又可以進一步分解，決策層、管理層和運營層各自承擔什麼職責。

當前階段，國內由于缺少相關的立法，網絡安全的相關法律責任非常模糊，沒有明確的界定，例如什麼等級的安全事故必須披露、什麼角色或職位負責披露、多大范圍內披露、披露什麼、尤其是不披露有什麼罰則。

相對來説，美國在網絡安全事件披露方面的立法實踐領先很多。例如美國加州2002年通過的法案S.B.1386，要求所有保存有加州公民私人資訊的機構在發生泄漏事件後必須及時向事件受害者披露，否則將會招致民事訴訟。這一法案將數據泄漏每個記錄的平均代價提升到了200美元左右。

前不久，美國參院情報委員會以12比3的壓倒優勢通過了一項關于網絡安全資訊分享的法案。 該法案鼓勵私營企業和政府相互之間自願地分享網絡威脅資訊，而不用害怕那些瑣碎的訴訟和不必要的官僚障礙。

這些法案及其帶來的相關安全實踐從根本上強化了美國在安全基礎數據和綜合能力方面的優勢。

3 建立安全數據和響應平臺

在前面兩項機制的基礎上，海量的安全“基礎”數據將會被收集、分析和分享，並用來評價各種安全實踐的有效性。多方參與的、開放的數據平臺將會是重要的使能者。

另外，Verizon每年一度發布的DBIR報告顯示，一次定向攻擊從開始到完成數據竊取平均只需要數小時，而受害方從攻擊開始到檢測到攻擊的平均時間則長達數月。巨大的反差折射出網絡安全行業的嚴峻挑戰，不僅僅是如何檢測到這些定向攻擊，並且還要在第一時間、在小時時間尺度上檢測到，否則實際效果就會大打折扣。

安全事故過程中的響應活動需要有效協同相關各方資源、為安全事故的數據收集、披露、事後的根源分析提供便利、並保障業務恢復的時效性。

安全數據平臺有必要能夠支援安全響應活動中及時地、準確高效地收集相關數據並提供一定的分析能力，從而為當下和以後的安全響應活動提供指導。

4 結束語

在現階段和可預期的未來時間裏，網絡安全仍然強烈依賴于各種“最佳實踐”，也就是一係列經過“驗證”的工程方法的集合。

單純期望某一個安全技術或體係架構就能夠全面消除或解決網絡安全威脅和風險的想法是不現實的，在國家層面甚至是有害的。通過大量實踐、在網絡安全實戰對抗中不斷提升綜合的安全能力和最佳實踐才是更為現實、腳踏實地的路線。

而披露安全事故並對其進行根源分析是提高網絡安全綜合能力和最佳實踐的重要基礎手段。

為此，有必要通過立法和管理手段，盡快建立安全事故披露和案例分析制度，明確資訊係統相關各方在網絡安全事故披露方面的責任和義務，並通過數據和響應平臺進行持續的案例積累和最佳實踐優化，持續提升我國的綜合網絡安全實戰能力。