CISA 的安全設計倡議面臨風險:探索前進的道路
政治與結構上的挑戰
拜登政府的 2023 年國家網路安全戰略指出了資料和數位系統安全的結構性缺陷,並指出市場力量未能充分分配對於資料和數位系統安全的責任。該戰略尤其試圖“重新平衡責任(對於安全)給予最佳位置的人。”在今年 3 月戰略發布後不久,美國的「網路安全與基礎設施安全域性」(CISA)發起了一項「轉移網路安全風險平衡」的努力,推動企業在產品的設計階段和整個生命週期中採取安全設計(SbD)實踐,提高產品的安全性和可靠性。CISA 局長詹·伊斯特利(Jen Easterly)宣布這些努力,似乎將 CISA 置於重新平衡的前沿,透過改變技術供應商在設計和部署產品時的激勵機制,來解決安全設計中的投資不足問題。
然而 SbD 倡議的成功與否都面臨風險,既來自實施 SbD 實踐的政治挑戰,也來自於過高的期望值。本文討論了這兩個問題,並提出了一條前進的道路。
政治和結構上的挑戰
SbD 實踐的頒布需要能夠強迫技術供應商改變做法的能力以及設計這些實踐的洞察力。對於 CISA 來說這是一個充滿危險的挑戰,因為這個快速發展的機構當前還不是一個監管機構。雖然未來可能成為監管機構,但現任和前任領導層堅持認為這些責任與機構的文化和操作責任相違背。CISA 的能力在於作為可信任的合作夥伴和中立召集者,與州政府、地方政府、部落政府、領土實體和行業利益相互合作,建立能力、培訓、協調和計劃。這意味著 CISA 應該成為實施 SbD 的幾個聯邦機構之一,並與聯邦貿易委員會(FTC)等監管機構合作,作為 CISA 開放式方法的一個鋒利和敏銳的補充部分。否則,SbD 倡議可能會令 CISA 陷入困境,試圖解決根深蒂固的市場激勵問題,但無法強迫企業改變行為。CISA 爲了創造責任感可能會破壞其取得善意的努力。制定和界定供應商可以證實的 SbD 實踐以及能夠由美國政府和其他各方進行取證或執行的執法體系,本身就是一項巨大的任務。CISA 必須在《聯邦貿易委員會》、《國防部》、《證券交易委員會》和《總務署》等單位中明確角色之前,建立 SbD 實踐的體系。此外白宮也有責任,尤其是《國家網路總監辦公室》,在此多部門的努力中,指導這個戰略以管理這個市場中的激勵機制 - 這正是這個辦公室的設計、人員配置和組織的目的。
CISA 的重點必須放在列舉並更新必要的 SbD 實踐上。這只是解決方案中的一個部分
只是解決方案中的一個部分
正如我們之前所說的,"沒有一個策略能夠同時解決所有風險的來源,但...單一解決方案通常將直接的清晰度與內部妥協相互交換。"SbD 計劃可以深入並有意義地改變一些最大的技術供應商構建服務和產品的方式,這些變化對每個技術使用者的安全性都具有實質的好處。然而唆使所有企業朝著一套全面而統一的最佳實踐邁進,是一項根本無法完成的任務。惡意行為者總是尋求新的攻擊手段;不同行業和系統類別面臨著不同和獨特的挑戰;新技術容易出現各種故障,其中一些是全新且無法預料的。採用某些新的流程、嚴格執行它們,並改善現有的激勵制度,無論如何都是對當前狀態的改進。然而即使採用記憶體安全語言或推動大型企業改善風險管理,也不一定能夠防止許多重大漏洞的產生,例如 Log4Shell 漏洞。為了成功,CISA 還需要理解大型技術公司如何建立產品和服務 - 當前的行業慣例遠遠不能算是完整和完美的,但它是 SbD 所希望推動改變的基礎。理解這個基礎是至關重要的。當圍繞著在網路空間轉移責任時的言辭暗示著安全問題和挑戰只是因為技術供應商取巧,或者所有網路安全風險都可以透過遵循一套簡單明確的實踐來避免時,會帶來一定的風險。軟體系統日益相互存取、相互依存以及存取到的各種組織和系統,本身就帶來了風險。SbD 是管理這種風險的重要組成部分 - 延遲到使用者負責的現狀是破碎的 - 但是如果將 SbD 描述為萬靈丹,這會在不可避免的不安全情況下引發反彈。CISA 清楚地認識到,SbD 的成功可能是過去十年來網路安全領域中最具有影響力的政策幹預之一。同時即使在最成功的情況下,該計劃仍然無法解決某些問題。對於計劃的範圍和目標的具體說明將有助於防止必然存在的批評將辯論上升到全盤否定的地步。
風險和機遇
SbD - 國家網路安全戰略努力轉移責任的首個實踐,將不僅僅依靠善意就能實現。CISA 不是一個監管機構,它必須為是監管的聯邦機構開闢道路,這樣 SbD 的落實就能夠利用聯邦政府的更廣泛的標準制定、執行和監管能力。回避直接的政府執行這些安全實踐的風險,將使這個努力與歷史上的其他“自願”和“行業引導”的計劃一樣徒勞無功。CISA 的頂尖團隊將於 18 個月內迎來 2025 年 1 月,到那時將會帶來過渡的困擾或第一個任期政府的混亂發展。參與該計劃的最大供應商並不會消失,他們有能力等待。在這方面,CISA 和更大的美國政府的網路政策機構必須抓住時間。CISA 必須專注於 SbD 的基本要素,並制定、建立和參與具有明確截止日期的計劃。時間正在一分一秒地流逝。
關鍵詞:CISA、安全設計倡議、風險、向前邁進
