诸如《欧盟通用数据保护条例》(GDPR) 和《加州消费者隐私法案》(CCPA) 等隐私法规都要求企业提供 “合理的安全性” 以保护客户的个人信息安全。下述建议将帮助您地实现这一标准。
“合理的安全性”是《加州消费者隐私法案》和加利福尼亚AB 1950等法规中所规定的要求。未能满足该要求可能会被起诉为 “疏忽、怠慢(negligence)”。在侵权法中,“疏忽”是说人们并没有根据他们的专业操守、行为,作出符合一般大众所能接受的 “注意标准”(standard of care),从而致使他人遭受损失的行为。
想要起诉某人存在“疏忽”行为,你必须要能够证实如下4大要素:
- 被告对原告负有责任;
- 被告违反了义务;
- 被告违反义务的行为是导致原告利益受损的原因;
- 对原告造成了清晰可辨的损害。
当有人向公司提供敏感数据时,该公司有责任合理地保护和处理这些数据。那么安全管理是如何判断他们的公司是否从法律和监管角度妥善地保护了这些数据的呢?
法院必须根据标准评估您的行为,以确定这些行为是否“合理”。合理的行为通常基于客观标准,即以一个合理的、谨慎的人的标准来衡量行为人的行为。如果行为人是按照一个合理的、谨慎的人那样行为或不行为的话,那么他就没有过错;反之,则是有过错的。
除此之外,还可以基于对企业或行业的威胁认知以及受保护的内容来定义什么是“合理的行为”。在Patco Construction(美国缅因州一家小型家族制建筑公司)起诉People’s United Bank的案件中,联邦上诉法院判定,People’s United Bank的安全程序在商业上是不合理的,因为该银行对持续欺诈(键盘记录程序)的认知,以及对此类欺诈行为所实施的安全控制措施明显不足(缺乏对此类行为的监测)。
下面来自美国第三巡回上诉法院,向我们展示了两个广为人知的违规事件中所体现的 “不合理安全性”:
1. 卡系统解决方案(CSS)自2005年开始的违规行为
将客户数据存储在脆弱格式中长达30天之久;没有充分评估Web应用程序和计算机网络的脆弱性;没有实施基本的防护策略;没有使用强密码;没有行之有效的访问控制措施;没有部署充分的措施来检测未经授权的访问行为等;
2. 温德姆在2008年-2010年间发生的违规行为
允许酒店内的软件以明文可读文本存储客户的支付卡信息;没有监控此非法进入行为中使用的恶意软件,致使恶意软件再利用;允许远程访问酒店的资产管理系统;缺乏行之有效的安全措施,如防火墙等;没有合理的措施来检测和防御未经授权的访问行为。
“合理”是如何被用作安全指标的?
在确定一方的行为是否违反义务时,“合理”作为衡量标准的作用就凸显了。如果你没有扮演好 “合理” 的角色,那么你就违反了自己的职责。
在上文提到的Patco Construction公司起诉People’s United Bank的案件中,虽然People’s United Bank收集了安全警报(关于交易的高风险评分),但却并未将其用于阻止欺诈行为方面。由于这种 “不合理行为” 损害了客户数据安全,因此可以说,该公司违反了对其客户应尽的责任。
除此之外,还有一个重要的区别就是有专业的 “注意标准”。例如,加州陪审团指令(CACI)600条就定义了由陪审团所确定的 “专业注意标准”:
如果行为人没有做一个 “合理谨慎的人”,在由证据所显示的类似情况下会做的事,那么他/她就会被视为 “疏忽”。简单来说,“疏忽” 就是没有运用通常的或合理的谨慎。而通常的或合理的谨慎是指普通谨慎的人在由证据所显示的类似情况下,为了避免给自身或他人造成伤害而运用的谨慎。这里所提到的技能、知识和谨慎水平有时被称为 “注意标准”。
总而言之,“疏忽” 通常是以一个合理谨慎的人在同等情况下会做什么为标准来衡量。
这些专业注意标准仍然是客观的,但要求相关人士拥有信誉良好的专业或职业成员所具备的知识和技能。通常情况下,如果倡议者坚持自己拥有与成功执行工作相关的专业技能,那么其工作就可以称之为职业。
例如,医生就属于这一类,法院也会采取国家护理标准来评估其行为。医生具备高出普通谨慎的人的特殊技能;他们知道如何诊断病人并提供治疗。同样地,律师也是如此,他们可以利用自身对法律知识的掌握,将其有效地应用在客户身上。
就这一方面而言,安全人员和其他人员没有什么不同,因为他们同样是依靠自身的专业技能(如风险评估、安全设计审查、取证检查、渗透测试、恶意软件分析、安全代码审查分析等),来保护和确保公司的企业系统安全。因此,安全人员可能同样会受到专业 “注意标准” 的限制。
专业 “注意标准” 比普通谨慎人士标准(ordinary prudent person standard)更为严格,且面临的责任可能会进一步增加。正如医生需要遵守国家医疗标准一样,加利福尼亚州也已经制定了一份构成 “商业合理安全性” 的行为清单。遵循国家 “注意标准” 并不能确保 “合理性”,但是,不遵循国家 “注意标准” 通常就会成为 “不合理” 或不满足注意标准的证据。
以下是由互联网安全中心(CIS)制定的安全控制措施自检表。加利福尼亚州已经出台了数据安全法,要求以下述清单项目为标准建立“合理的”安全性:
- 授权和未授权设备的详细清单;
- 授权或未授权软件的详细清单;
- 移动设备、笔记本电脑、工作站和服务器上的硬件和软件的安全配置;
- 持续的漏洞评估和修补;
- 控制使用管理权限;
- 审计日志的维护、监控和分析;
- 电子邮件和网页浏览保护;
- 恶意软件防护;
- 网络端口、协议和服务的限制和管控;
- 数据恢复能力;
- 网络设备(如防火墙、路由器和交换机)的安全配置;
- 边界防护;
- 数据保护;
- “基于必要”的访问控制;
- 无线访问控制;
- 账户监测和控制;
- 安全技能评估和适当培训,以弥补缺口;
- 应用软件安全;
- 事故响应和管理;
- 渗透测试和对抗练习。
CIS安全控制措施文档是众多实践清单之一。除此之外,SANS也通过汇编其他资源生成并发布了自己的 “Top 20” 实践清单;有代表性的NIST SP 800-53联邦IT系统安全和隐私控制标准也在其版本5.0中罗列了900多项个人安全措施。总体来看,CIS安全控制列表提供了一个全面且易于管理的项目清单。但是,要知道,每项业务不同,其面临的风险也各不相同,切不可以一概全。
另外需要注意的是,CIS控制清单中提及的第2项(授权或未授权软件的详细清单)对于大型企业而言只是 “高付出低回报” 的措施。此外,CIS控制列表中的项目顺序可能会让人误以为是项目的优先级次序。
仅仅依靠安全团队是无法解决这所有20个CIS控制措施的。IT和网络团队需要通过与安全团队合作来确保实现网络安全要求。此外,应用程序开发人员也需要通过与安全评估团队合作,来学习如何编写安全代码,以降低应用程序安全代码审查过程中发现的风险。设施管理团队同样需要与安全团队合作,以防护针对公司工作环境的物理访问行为。
虽然清单可以提供一种简单的方法来引导资源,但它们通常是不完整的。公司有时候可能需要未列出的防御机制来实现 “合理的” 安全性。安全必须是一个整体过程,需要考虑到业务如何运行以及珍贵的资产对外部黑客和公司本身的意义。根据清单可能无法正确看待不同系统的相对重要性,结果致使某些领域的控制措施可能会被过分强调,而其他领域的控制措施又被忽略。
为了进行说明,让我们先来回顾一下合理的安全程序是什么样的,以及如何将它传达给高管。请记住,在合理的 “注意标准” 下,你需要实施一个安全程序,这个程序是合理谨慎的安全从业者所实施的。你必须了解你的业务是如何运行的,哪些系统是业务的核心,你拥有哪些类型的敏感数据,如何接收、处理、使用、存储和传输/共享这些数据,采用何种保护机制以及这些数据所涉及到的相关法规等。你需要了解在风险因素的作用下敏感数据是如何得到保护的。如果没有得到适当的保护,请将相应的控制措施部署在适当的位置。
为了获得 “合理的” 安全性,你需要做的就是了解你需要保护的内容。威胁模型/评估是实现该目的的一种有效方式。
执行威胁和风险评估
合理谨慎的安全从业者会了解这样一个事实:在构建合理的安全项目时,资源和预算通常是有限的。此外,你还必须考虑漏洞、可利用漏洞的威胁、事故发生的可能性以及事故会导致的财务、声誉等潜在影响。黑客通常会将目光锁定在高价值的企业或领域中,这时候,你就需要明确了解高价值领域是什么,公司的核心业务和系统又是什么。
1. 了解您的业务
了解企业业务运营方式、收入流以及推动业务发展的内部系统,将有助于合理的安全从业者围绕维护公司核心的系统和基础架构构建安全框架。此外,这些知识还将允许您以 “优先保护核心系统,而非次要系统” 的方式来合理应用有限的预算。
但是,仅仅了解环境中的系统是远远不够的。随着机器学习和数据科学的出现,系统还可能包括决策支持、机器学习研究和数据挖掘项目。如果您的公司有像data.world这样的数据目录,那么您将可以更好地了解数据的使用位置。此外,公司应该审计访问权限,因此您还应该知道谁拥有数据的副本以及它的用途。深入了解每个系统和数据目录,以及了解公司拥有的数据类型、数据处理方式、数据来源和数据是否与任何其他内部或外部系统共享非常重要。
2. 了解数据和资产
同时,在了解内部系统时,您需要了解这些系统使用的数据专有(data-specific)资产。每个单独的系统,每个组织和企业都有其所依赖的一堆数据;这就是支持企业系统 “运行” 的原因所在。因此,想要正确地管理系统并实现合理的安全性,有必要了解系统的体系结构及其信息源(上游数据流)和数据属性/字段等内容。
该系统的下游消费者可能会实施数据和保护机制,以保护静态、传输、使用和内存中的敏感数据。资产可以是战略计划、源代码和其他文献知识产权。其他重要数据可能包括复杂的结构化数据,例如来自物联网设备的图像和传感器设备流。
敏感数据可以划分为三组:客户数据;公司、员工及合作伙伴数据;以及监管数据。敏感的消费者数据是指任何收集到的数据,包括社会安全号码、支付卡号、密码、健康信息以及其他个人身份信息(PII)等。这些数据一旦被盗,将对数据所有者造成伤害。
如果说公司数据可以被竞争对手用于获取不平等优势,或是一旦对外暴露就会为公司造成声誉损害,那么这些公司数据就属于敏感数据。它可能是商业机密、未披露的研究、计划、内部备忘录或其他任何形式的秘密知识产权。
如果说监管数据受到任何法定或公司治理制度,如CCPA、GDPR、PCI DSS、SOX等的监管,那么这些监管数据也是属于敏感数据。你需要了解处理、存储或传输此类数据的所有位置,以及如何正确合理的使用它们。
3. 了解监管数据的覆盖面
一些特定类型的敏感数据将受到不同的监管要求支配,具体取决于存储的数据类型或数据所有者的公民身份。例如,如果你与位于欧洲经济区的人做生意,那么GDPR可能就会发挥效用。如果您受HIPAA保护并存储健康数据,则HIPAA将发挥效用。
在联邦政府环境中,特定类型敏感数据的个人和公司管理员在受控未分类信息的新法规和监管制度下受到广泛的新安全和控制义务的约束。这些法规中的每一条对保护数据(控制措施),违规通知和用户权限(删除权,理解权)都有不同的要求。
既然您知道企业中使用了哪些数据,您就可以了解哪些法律法规适用,您需要满足哪些要求以及需要采取哪些保护措施。
4. 了解数据是如何受到保护的
接下来,你需要了解在风险因素的作用下敏感数据是如何得到保护的。如果压根没有保护措施,我们可以很轻易地得知需要部署适当的保护措施。如果部署了部分保护措施,那么,为了验证当前保护机制的充分性,我们需要将新威胁技术应用于现有控制措施,获取相关威胁情报,来检测现有控制措施在缓解新威胁方面发挥的实际效用。
其他考虑因素包括如何使用经过测试的备份来恢复数据并测试恢复方法,以及评估事件响应计划在需要时的执行方式。就事件响应而言,大多数将遵循规定性措施,例如SANS的事件处理程序手册或NIST的计算机安全事件处理指南。
“合理的安全” 类似于 “猫捉老鼠” 的游戏,在这场游戏中,对手会不断学习用于发现或阻止他们的技术,然后寻找到解决问题的方法。这就要求安全从业者不断改进其发现或响应技术。对于仍在遵循规定性措施的企业而言,需要明白这样一个现实:大多数技术精湛的黑客已经找到了方法。例如,SANS事件处理程序手册建议寻找大文件。您认为黑客会对此做出何种反应?他们还会一如既往地从易受威胁的网络中渗漏大量数据?
一旦您清楚了解了自己需要保护的数据,您拥有的保护控制措施以及与数据相关的法规要求,您就可以确定现有控制措施与法规要求的控制措施之间所存在的差距。事实证明,只是遵守法规要求可能会或可能不足以防止“疏忽”责任。
满足监管要求
理想情况下,你需要记录自己为了实现GDPR以及现在的CCPA合规性所做的一切,并将其传达给各自的团队,以确保能够满足法规要求,例如GDPR要求的 “被遗忘权”,了解数据处理流程,以及提取与单个用户相关的所有数据等。这样一来,如果你有问题并接受调查,你也可以证明你做了所有应该做的事情,但它还是出状况了。
跳脱“以数据为中心”的方法
到目前为止讨论的所有过程都侧重于保护内部数据源。合理谨慎的安全从业者明白这样一个现实:黑客还可以通过使用高级持续性威胁渗透到网络设备或是网络本身,寻找未修复的服务器或应用程序,利用远程访问账户上的弱口令或访问不受保护的Amazon S3存储桶。这时候,拥有软件开发生命周期和MITER Att&ck等组织框架就可以发挥作用了。
保护您的企业系统和基础架构
你在互联网上为客户提供的服务和应用程序都是基于企业的系统和技术架构构建的。其中,大多数服务都是由应用程序组成的。而应用程序又是由源代码构建并部署在基础架构,通常是基于Web应用程序的服务器上的。源代码会使用库和框架,而库和框架是用编译器构建的。
这一链条中的每一环都有可能引入安全漏洞。合理谨慎的安全从业者会评估每一环所面临的风险,并实施适当的控制措施。尽管应用程序安全性非常重要,正如Equifax事件告诫我们的那样,但随着APT和针对性威胁的出现,您还必须从整体上看待组织的安全性并实施 “有组织的安全流程”。
开发“有组织的安全流程”
“有组织的安全流程” 示例如下所示:
传统的安全项目只注重预防。问题是,黑客只需要寻找到一个漏洞就能侵入你的网络,而作为防御者,你必须堵住每个漏洞以确保其不会被黑客滥用。一名合理谨慎的安全从业者就非常清楚这一点,并会采取预防措施、弹性措施和侦察控制相结合的方法来解决该问题。
相关的检测和响应措施可以确保混入其中的黑客最终被抓获;弹性措施确保系统可以抵御威胁,即便遭遇失败也能快速恢复;除此之外,红色团队、威胁捕获、应急响应(IR)和渗透测试对于检测网络中的黑客并响应其威胁都起到至关重要的作用。
为了系统地考虑检测和响应措施,合理的安全项目应该实施像MITER Att&ck这样的框架,以支持红队和蓝队,计算机事件应急小组和渗透测试工作。MITRE是美国非盈利组织,除了协助进行多项网络安全相关研究,同时,也是运维CVE漏洞数据库背后的组织,而ATT&CK框架的研究计划,是该组织在2015年5月发起。
与其他安全企业对于网络杀伤链的定义有所不同,MITRE ATT&CK框架,是将非法进入期间可能发生的情况,做出更细的画分,区隔出11个策略阶段,包括:初期、执行、权限提升、防御逃避、凭证访问、发现、横向移动、收集、渗透、指挥与控制。
同时,针对黑客在每个阶段,MITRE也将其所使用的手法工具搜集起来,归类为知识库,帮助我们更好地理解黑客具备的能力。
与C级管理人员沟通安全问题
“合理的安全” 需要你和行政领导沟通,以确保获取到适当的财力、物力及人力支持,让行政领导和董事会了解企业当前面临的风险,以便帮助他们做出明智的决策。如果行政管理层了解安全漏洞将如何影响企业业务运营,股票价格,造成经济损失以及竞争力和声誉的多重损害,那么他们就会自觉地将安全视为首要任务。实际效果取决于你向董事会汇报的具体内容和沟通方式。
你需要对董事会或执行官们关注的痛点 有一个基本的了解,然后以此为切入口吸引高层的注意。董事会通常希望高管和高级职员们能够按照董事会同意的方向执行命令,以此来保护和增加股东们的收益。当然,高管和高级职员们也对股东价值感兴趣,但他们的角色更具操作性,所以就由他们来负责管理运营,以确保公司稳步发展并确保股东价值。
董事会中的大多数人都并不了解安全的概念,所以不要在没有提供某种类型的解释之前就抛出诸如 “网络杀伤链”、“痛苦金字塔”(The Pyramid of Pain,描述了不同类型的威胁情报及其在攻防对抗中的价值)、“ATT&CK” 或 “威胁建模” 等专业术语。你的目的是希望向行政高管层展示自己了解企业业务运营的方式,关键资产的内容和位置以及为了保护这些关键资产部署了哪些安全措施等。
所以,我建议可以先建立一个基线威胁模型摘要,然后是预防措施的状态,值得注意的事件,抱着随时处理它们以及通过事件指标来确保事情正往好的方向发展,如果是变得更糟了,分析原因的心态,按组和类型划分的未解决的安全问题的数量和规模,威胁情报,鉴于威胁情报,实施积极主动的检测工作和响应准备。
从 “合理的安全性” 到 “合理的可信赖性”
随着越来越多的产品和服务出现在工业物联网和消费者物联网中,面临 “疏忽” 诉讼的公司规模可能会持续扩大。加利福尼亚州已经在参议院第327号法案第886章中为连接设备安全制定了具体法律。
如果你使用的是自动驾驶汽车,你一定不想因为内存不足错误而面临操作系统定期崩溃的窘境。那么试想一下,当你的家庭及其所有设备都变得智能化,并连接至互联网时又会遭遇何种窘境呢?如果联网的微波炉或烤箱受到损害并被远程控制,那么黑客就可以通过长时间运行空无一物的烤箱。
自动驾驶汽车、机器人、交付无人机、联网烤箱、胰岛素泵以及心脏起搏器等连接设备的故障,可能会导致人员伤亡或是严重的身体损伤。由于IIoT和连接设备面临的风险增加,其对社会造成人身伤害的风险也随之增加,由此一来,针对该领域的 “注意标准” 也可能会有所提高。
在构建产品和服务时,想要实现整体的安全性需要结合安全性、弹性、可靠性和隐私性等多种因素。如果你正在构建可能会造成严重损害的产品,请立即在您的组织中嵌入值得信赖的程序和流程。
这里我们先来概述一下 “可信赖性” 的概念,可信赖性是由产品或服务所提供的安全性、可靠性、隐私性和弹性保障的程度来定义的。具体可以通过以下标准进一步详述:
- 组件和系统的可靠性;
- 组件和系统的可用性;
- 组件和系统的安全性;
- 组件和系统的完整性和真实性;
- 组件和系统所用数据的机密性;
- 组件和系统数据的可信度;
- 组件和系统所用数据的隐私性;
- 组件和系统的可维护性;
- 组件和系统可修改配置的能力;
- 组件和系统对威胁或误用的弹性。
每种产品或服务都可以分解为更小的组件,以评估其各自的可信赖度。当然,也可以将这些单独的分数进行汇总评估,以便将它们组合起来以提供有关整个系统的分数。
可信赖度评分必须由特殊保证来支持,特殊保证指的是系统功能如何在威胁因素作用下保证安全性、可靠性、隐私性和弹性的。每项保证都必须有证据支持。证据通常以保证案例的形式出现。保证案例记录了可接受或已知的剩余风险正在履行的系统属性、声明和要求。保证声明通常由两部分组成:
- 保证的假设;
- 系统可信度声明及其支持的任何子声明。
使用保证案例的一个固有优势是能够在假设已经完成的情况下做出断言,即每个案例的假设都是通过其包含的系统及其相关保证案例来实现的。这使您可以为子系统的保证义务附加地组成安全性,可靠性,安弹性和功能要求。
合理的安全性是一个整体过程,需要考虑组织的当前业务需求。虽然安全控制清单可能会有所帮助,但它不能涵盖每个组织的需求。想要使行动合理,就必须将自身塑造成一名合理谨慎的从业者。你必须了解自己的组织、组织的业务功能、资产以及最吸引黑客的核心资源。然后了解如何根据风险合理地保护这些资产。考虑到您的产品类型,您可能还必须考虑可信度因素。
免责声明:以上文章并不是法律建议,而是将法学院的法律原则应用于信息安全领域的学术尝试。希望可以帮助安全从业人员从法律角度理解合理行为,以此来推动讨论在企业中实施合理安全措施所需的实践。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】