有人可能有不同意见,并指点我看Verizon数据泄露报告,看Troy Hunt的博客,看票据交易所的隐私权,或者Graveyard的区块链,或者Krebs,或者IC3或者本地的infraguard。
我认为不应该满足于在新闻业,博客,PDF和地方会议中提到数据泄露。这样不能为预测基础设施创建基石,而基础设施对于快速发展的风险方法至关重要。
想象一下,如果天气预报局限于博客文章,PDF和电子邮件公告,生活会有多糟糕?
尽管现状对于理解趋势风险是无价的,但它们在构建可用于预测风险的基础设施以及增加对预测的依赖性方面却非常欠缺,共享根本原因基础设施的潜力是巨大的。
这里也有机会。我们非常擅长对不同形式的漏洞和攻击方法进行分类。但就数据泄露而言:行业、新闻界和监管部门都对“它们被黑客攻击”这一根本原因感到满意。考虑到我们应该雄心勃勃地降低风险,这是一个不可接受的标准。
在根本原因分类上做了一个尝试: Graveyard区块链。
我曾亲自尝试解决这个分类问题,重点是数字加密货币(“c9y”)。C9y公司经常出现数据泄露。
令人惊讶的是,c9y受害者公开讨论数据泄露的根本原因。由于这种透明度,这是一个机会,至少可以评估每个相关联的数据泄露的根本原因。这为理解为什么c9y初创公司如此频繁地受到黑客攻击,为什么受到黑客攻击,以及采取最有价值的缓解措施来降低数据泄露的可能性等方面提供了概率杠杆。
Graveyard区块链评价
c9y公司的安全工作可以使用这些评价来预示和优先处理现实的、可能的场景,而不是基于单纯的检查表、FUD,或者直观的猜测。
我所工作过的c9y产品公司展现了更加理性、数据驱动的安全性方法。它们具有明显的根本原因数据的优势,这些根本原因数据具有可访问性。
尽管Graveyard区块链是一个独立的,主要是业余爱好者的成果,它不基于标准根本原因语言来组织趋势。必须承认,在评估这些根本原因时,可能有作者坚持自己的偏见。
其它行业需要恰当的事件分类。
基于在Graveyard区块链的尝试,它坚定了我对数据泄露分类困难的信念,但是并没能说服我这么做不可能,部分原因是气象学家对分类很有兴趣。在某些方面,气象学的问题比网络安全问题更容易,但在某些方面,气象学的问题比网络安全问题又更难。大多数天气被严格定义为与概率预测基础设施兼容。
当一场大灾难来袭时,我们对“恶劣天气造成千人丧生”并不满意。我们需要严格的语言来描述所发生的事情。
气象学家对“4级飓风造成千人死亡”或“EF5龙卷风未被预测,造成千万美元损失”这种表述更满意。
当一个清晰确定的事件发生时,气象学急于了解如何更好地预测和减轻事件,如何更早和更具体,急于知道哪些模型失败,哪些模型成功。
气象学家依赖于与天气相关的大量可观测数据,预测未来与之相关的可能性。动态调整,让预测基础设施变得更智能,他们对未来事件的先验性不断变化。
对比一下安全行业的荒谬。安全行业习惯于“公司被黑客攻击了,数以千计的客户数据泄露!”这种描述。常常找不到根本原因,或者几周后,这些教训消失在新闻归档中。
受害者没有任何标准语言来描述他们被攻击的根本原因。如果一个根本原因确实是可用的,它会被隐藏在新闻报道中,而不是统计资源中。这些描述不会对风险产生任何概率优势,也没有预测的杠杆作用。
围绕分类有大量乐观的看法。
安全行业很擅长对安全的、细微的、狭义的方面进行分类。
有许多威胁建模和漏洞分类的已有技术可以起到杠杆作用。可以用可分类的,可数的方式来描述数据泄露的主要因素。现在,我们拥有Mitre ATTACK框架和OWASP ASVS以及CVE,但也存在巨大的分类差异。举个例子:手机账户数据受到威胁,内部人士由于兴趣爱好滥用访问权限,又或者是中了勒索病毒。这些趋势并不满足于广义的“auth”,“内部人士”或“恶意软件”分类。我们使用什么标准来快速发现和计算趋势?