目前，大多数企业组织会按照以下模式开展网络安全工作：首先，回顾分析最近发生的安全事件，同时收集已知威胁的信息；接下来，安全团队就如何消除这些威胁和缓解相关风险达成共识；最后，部署实施缓解上述威胁的管控措施和工具。

很多企业的安全人员认为，只要将以上工作做得越好、越快，就能够让组织获得更好的安全性。然而事实上，一些极具破坏性的安全攻击事件往往是事前难以想象的，但是它们却真实发生了，例如：

● 在9.11事件之前，美国国家安全部门认为，劫机者会降落飞机，并通过谈判来解决争端，但是恐怖袭击者并未这样做；

● 在Stuxnet工业蠕虫病毒之前，工业控制系统工程师认为控制气闸等系统可以不受传统网络攻击的干扰，直到被植入了病毒；

● 在2020年SolarWinds事件爆发之前，很多IT系统运维人员也认为，网管平台上经过验证的更新都是合法且安全的，直到SolarWinds平台本身因为安全漏洞成为破坏性供应链攻击的载体。

以上安全事件都造成了巨大的损害，原因是遭遇了难以预见的新风险。换句话说，当安全守护者对威胁的假设越简单，攻击发生后的破坏性就越严重。

在此背景下，美国Blancco科技公司副总裁兼总经理Maurice Uenuma认为，现代企业组织在面对不确定的未来时，为了确保长期的网络安全弹性，需要采用正确的方式，有效地规划和准备来预测和缓解未来可能会出现的风险。而对未来数字化环境中的威胁进行假设是做好这项工作的基础。而威胁假设和压力测试对于任何长期性网络安全计划的制定都是不可或缺的。

面向未来的安全需求

认识到不断变化的威胁形势，组织需要通过更广泛的数据收集和共享、更强大的分析带来的更深入的见解、更早地发现威胁行为者及其行动，以及更快地响应正在进行的攻击，来加速这一进程。

但事实是，很多企业在此过程中已经明显落后。因此当他们检测到攻击者活动及其意图、攻击方法时，往往为时已晚。最根本的挑战是没有为一个风险未知的未来做好准备。

为了在充满新风险的数字化世界中变得更有弹性，企业组织必须对各种可能的威胁进行假设，同时进行压力测试来加强安全防护计划。仅仅是监测安全态势和预测威胁是不够的，我们还必须不断对当前所存在的“安全感”进行质疑和挑战。

一种具有未来弹性的安全方法需要包括一个深思熟虑的威胁假设过程，并在现有假设仍然有效的情况下，对它们提出挑战和质疑，以模拟一个这些假设受到妥协时的场景。然后，基于这个新的未来“现实”，我们可以发展更好的生存方式。

换句话说，我们需要将安全方法从评估当前环境，对未来做出假设，识别威胁，然后缓解这些风险，转变为明确识别当前的假设，“编造”威胁以妥协这些假设，并建立适应能力以在未来生存。在此过程中，需要充分考虑以下四种因素：

● 所指对象：我们对谁（或什么）正在被保护的假设是什么，为什么？这个对象（人或应用实体）看起来是安全的吗？

● 影响：我们对当前的防护能力有什么假设？攻击者能做些什么来伤害我们？对安全环境或生态系统的影响有多大？

● 相互依赖：有哪些防护资源对我们来说是可用的，是否可以思考它的可用性或意图？是否还有未充分预测到的系统效应？

● 监管治理：监管机构应该在哪些方面发挥作用？我们对监管者的角色假设是什么？未来的安全性是否会在符合行业监管要求准则的框架内运作？

威胁假设的方法和原则

通过解构威胁假设，企业组织可以主动规划应对未知威胁的安全能力，从而逐步实现面向未来的安全弹性。这项工作的基本框架包括以下步骤：

1. 确定基本的威胁假设原则及其相关的依赖项。

2. 通过理论上的妥协对相关假设进行压力测试，设想假设不再有效时的安全状态。

3. 通过测试，识别在未来状态中可能出现的风险。

4. 为所识别的假设威胁制定缓解措施。

需要说明的是，基于威胁假设的安全方法在一定程度上是理论性的，因此过程中容易出错。同时，同时没有边界限制的风险想象也会导致虚构多于现实。然而，为了充分应对风险，安全人员需要去想象无法想象的风险，并在可实现的情况下，考虑缓解这些风险的方法。

为了提高威胁假设的效率和有效性，安全人员可以遵循以下两点威胁假设的原则：

1

以企业业务为中心（Enterprise-centric）

在企业数字化发展过程中，需要大量创建、处理、管理、传输和存储数据，因此，我们应该假设企业业务发展是网络安全能力构建的焦点，所有关于安全防护的努力必须集中在那里。这是一个非常合理的假设。NIST网络安全框架、CIS关键安全控制和ISO 2700系列指南都关注企业。甚至《国家网络安全战略》也将企业作为首要角色。

“以企业业务为中心”的网络安全假设的优势之一是，经验和专业知识可以集中在网络安全“发生”的地方。如果企业结构受到侵蚀，那么实现良好开发的安全控制（例如，CIS控制）的相关能力也会受到影响。

针对这种情况的缓解措施包括大力提高公众意识和警报协议（类似于警察或紧急医疗响应系统），使人们在企业以外的环境中（如教育领域）更加安全。虽然其中一些已经发生，但焦点、重点和责任将从公司转移到公共和非营利实体。

2

关注数据所有权

我们通常假设人类通过决策、设计、构建、组织和管理来创造数据。自然，人类拥有（并且必须保护）这些数据。甚至机器生成数据的所有权也与这些机器的人类所有者联系在一起。

但是，如果数据的生成转移到非人类实体呢？我们已经在生成人工智能（GenAI）上看到了这种情况。目前，GenAI数据领域仍然相对较小，范围有限。但我们离自主的GenAI不远了，它可以被部署为常规和主动生成新数据，提出建议，甚至采取措施管理以前由人类控制的流程。

考虑到GenAI平台需要大量的计算资源和健壮的大型语言模型（LLM）才能发挥作用，最流行的平台很可能是共享资源，就像云计算一样。那么，谁将拥有并保护GenAI产生的数据呢？怎样才能防止可能存在缺陷甚至危险的数据的产生和传播呢？

随着GenAI平台的持续增长，降低未来风险可能涉及实现“设计安全”（secure-by-design）原则，以扩展安全控制。适当的分段可以使分散的用户能够利用共享的基础LLM，同时防止数据泄露超出该用户的范围。还有人认为，AI“终止开关”（kill switch）可以作为紧急停止机制，以确保人类的首要地位。总之，GenAI是一个必须从一开始就考虑安全因素的领域。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/stress-testing-our-security-assumptions-new-novel-risks