利用多样性加强网络安全

关键要点

网络安全不仅仅是编码。有效的网络安全计划的开发、实施和可持续性比仅靠技术解决方案所能实现的要多得多。
集体思考会产生真正的后果。攻击者只需要找到一种进入系统的方法。防守者必须切实地找到所有这些——如果没有建立防守的多元化心态，就无法有效地做到这一点。
非技术性的声音使系统更具网络弹性。网络安全风险的普遍性不断增长并扩展到特定技术堆栈之外。人员、流程和技术必须降低网络安全风险。
我们如何定义合格必须改变。坚持老派标准和严格的教育要求将导致优秀团队成员的缺失，并使弥合资源差距比现在更加困难。
我们不会立即做对，但我们必须开始。网络安全的有效性很难衡量，这也不例外。在此过程中可能会出现错误的步骤，但很明显，迄今为止的策略是不够的，我们必须尝试新的东西。

2020 年和 2021 年已经动摇了我们生活方方面面的基础。从我们的健康、我们的工作和财务，到我们的政府和我们的执法部门。这些系统将在我们有生之年重建——我们都需要问自己：我们可以做些什么来确保网络安全减轻当今存在的偏见？确保在您和您的组织面临的网络安全中采用多样化的思维方式。这意味着包括非技术人员、非传统背景的人员，并有意避免从众心理。

如果我们作为一个行业宣布深度安全是一种最佳实践，我们必须同样确保深度的多样性，以确保我们最有效地降低了大量风险。

安全同质化带来的问题

无论何时设计一个系统或流程，它都可能需要多个数据组件，以及执行不同任务的不同用户。当用户与系统互动时，它可以推动信息在多人、流程和技术之间共享。对于系统的开发人员和维护者来说，他们必须尝试预测这种行为模式并构建系统以应对潜在的弱点。这有时需要做出假设。

这些关于用户或进程如何参与的假设可能会使威胁媒介无法识别或看不见。当系统中存在未缓解的威胁向量时，这可能是攻击者未经授权访问系统的一种机制。

想象一下医院环境：里面装满了制造商制造、技术人员安装、临床医生操作并由医院 IT 组织监控的设备。

对于要“处理”的患者，需要在医院的各种功能之间移动数据，例如从医疗设备到医院记录系统，再到计费系统，创建通过计费最终发送到收款的发票。部门之间的成功过渡需要对最终目标是什么以及谁负责什么达成共识。例如，如果出现错位，敏感数据可能会被不恰当地传播或访问。

假设并不总是有意为之；有时是需求的模糊性导致假设需求的含义。或者，计划是通过借用过去类似项目的要求制定的，但不知道某些品质可能更受欢迎。

这个概念经常应用于设计，但也直接适用于安全性。如果安全团队中的每个人都有相同的想法并遵循相同的工作方式，那么您将继续假设用户将以一组特定的方式与系统交互。在考虑系统用户行为时缺乏创造力可能意味着错过了威胁向量。

作为防御者，当我们了解我们面临的威胁范围并可以相应地制定计划时，我们就为成功做好了最好的准备。当今发生的大多数安全漏洞都是由人为错误和社会工程诈骗造成的。这些攻击和技术利用和操纵人类行为来欺骗用户。为了防止这些攻击，防御者必须了解所有用户的心理和行为，而不仅仅是来自单一背景的用户。

制定网络弹性战略意味着要了解其背后的技术。让更多人进入安全领域不仅仅是公平的；多样性是我们对安全产生真正影响的最佳机会。

关于个人和组织如何部署和使用技术的偏见和假设

从识别和解决威胁到与合作伙伴进行创新和有意义的合作，各个层面都缺乏多样性，这使得全面开展工作变得更加困难。例如，在安全领域工作的经验更丰富的人群可能会认为数字原生代天生就了解网络威胁，而大多数年轻的团队可能非常了解网络钓鱼攻击，并假设婴儿潮一代经常成为此类攻击的受害者，对他们同样了解。

在设计安全程序时，似乎有一个永无止境的事情清单，这些事情可能会破坏程序的成功，必须加以缓解。经验丰富的高管会证实，保护资产过去相对简单，业余或机会主义的攻击者是最有可能的攻击者。

今天，情况有所不同。网络犯罪分子有组织、有动机、有资金，并且拥有广泛的技能。在对 2020 年冬季 SolarWinds 攻击的评估中，微软估计至少有 1000 名工程师参与了这次攻击。是否有任何非政府实体拥有同等数量的资源来保护其生态系统？

在网络安全和医疗保健领域，人们常说人是最薄弱的环节。紧随其后的是IBM 和 Ponemon 每年发布的2020 年数据泄露成本报告中的统计数据，其中指出 23% 的数据泄露归因于人为错误或疏忽。

但也许这个统计数据应该被解释为我们遗漏了 23% 的用例，在这些用例中，人类的行为被误解了，以及技术失败以至于人类成为预期的最后一道防线。一个很好的例子是电子邮件 - 我们都接受过培训，当点击电子邮件时，请确保检查各种功能以避免陷入网络钓鱼骗局。实际上，大多数电子邮件提供商已经拥有经过 ML/AI 训练的过滤器来识别潜在的诈骗并过滤掉可疑的电子邮件。如果此过滤器无法识别网络钓鱼电子邮件，那么要求最终用户能够执行此操作真的公平吗？

作为安全从业者，我们还面临着更大的社会责任。

在 2016 年美国总统大选中，俄罗斯的虚假信息大量针对黑人社区，他们在所有主要社交媒体平台上使用虚假账户，通过分享带有种族歧视色彩的帖子来播下不和的种子。

身份验证模型如何无法识别虚假帐户？忽略了欺骗的哪些方面？或者也许从未预料到这些政治敏感数据会通过社交媒体共享？

而且它并没有随着选举而停止，而是继续受到网络犯罪分子对 BLM 活动家的骚扰。2020 年春季，我们看到 DDOS 攻击者瞄准了 BLM 群体。Cloudflare 报告称，被归类为倡导团体的组织比其他组织遭受的攻击率要高得多：5 月的攻击量是 4 月数字的 1120 倍。

NIST 发现，与白人同行相比，在几个广泛部署的系统中，年龄、性别和种族偏见的例子误认非裔美国人、阿拉斯加印第安人、太平洋岛民和亚裔美国人面孔的可能性要高 10 到 100 倍。

偏见会滋生对系统和机构的不信任，如上所述，有多个例子说明技术如何进一步加剧了这个问题。需要在社会、系统和机构存在弱点的地方实施技术和政策缓解措施。

增加非工程师参与网络安全

网络安全包含各种功能，从渗透测试到事件响应再到培训和意识。但作为一个社区，安全面临的常见问题之一是外界的看法。媒体将所有安全专业人员描绘成穿着连帽衫，在电脑屏幕前和编码。对于没有经验的局外人来说，如果您没有技术背景，网络安全似乎不是很有吸引力。

但根据Frost & Sullivan 领导的一项网络安全劳动力研究，所有网络安全职位中有 30% 是由非技术背景的人担任的。根据 (ISC) 2 2020 年网络安全劳动力研究，全球网络安全劳动力缺口超过 300 万人，这意味着劳动力需要增长 145% 才能帮助缩小这一缺口。这是很多非技术性工作。

我们永远不会完成，但如果我们可以开始并表明正在取得进展，那已经是向前迈进了一步。没有一种方法可以实现这一点，它需要不止一种技能（就像安全性一样，它是一系列活动）。

在实际步骤中，首先要确定公司各种业务职能的非技术网络安全重点领域。如下表所示，将网络安全洞察与每个职能相结合将使相关组成部分与其有效运作的流程中的既得利益保持一致。

对于那些试图确定非技术网络安全角色可能需要/需要解决什么问题的人，下表考虑了网络安全与非技术网络安全和业务功能的交叉点的相关性。例如，在治理和生产交叉的地方，采购标准的主题被确定。这可能包括支持第三方软件渗透测试/修复要求，或共享用于漏洞管理的软件材料清单。这些交叉点中的每一个都需要一些网络安全考虑，不一定需要技术专长。

非技术支持 →业务功能↓	政策	治理	人们	管理
产品开发	- 开发框架中的安全集成	- 门检查以确保安全执行	-文化-文档	-客户 -供应商
生产	-供应链管理	-采购标准	- 主动行为	-可追溯性
金融	- 预防控制	-系统驱动控制	-隐私和监管要求	- 对底线的影响
营销	- 对客户的透明度	-采购/销售支持	- 合作文化	- 从销售洞察中学习以指导决策
人员管理	-UX 体贴的系统控制	- 决策程序（例如事件响应）	-培训和意识	- 定期练习

增加参与的好处

正如关于改善国家网络安全的行政命令所示，随着美国新总统政府及其对网络安全的优先考虑，预计关键基础设施的安全将得到重大改革。这包括 FDA 将医疗器械上市前网络安全指南定稿列为 2021 年的优先事项。

这证实了我们在处理网络安全威胁时不能“像以前那样”坚持下去。相反，通过一个多元化的团队，我们有机会设计我们的新系统，目的是主动保护我们的用户免受威胁。主动措施涵盖范围广泛，但可以包括在执行之前必须确认的加密签名命令、审查系统的软件材料清单以识别已知漏洞以及主动执行数字取证以识别潜在漏洞。积极主动，如网络安全资源分配和功效指数所示，可以提高对系统运行方式的信心。

凭借一个结构良好、观点多样的团队，我们的系统将不断发展，优先考虑减少对用户对未知威胁的依赖程度。请注意细微差别：我并不是说用户不知道如何使用该设备。我是说技术方面，总会有未知数，总会有弱点。最好的系统是那些不依赖于用户进行检测的系统。

在医疗保健领域，这尤其重要，因为我们不能遇到患者或提供者质疑设备数据完整性的情况。正如围绕修改 CT 扫描的研究所证明的那样，恶意软件可用于在 CT 或 MRI 扫描中添加逼真的增长，或在未检测到的情况下去除真实的结节和病变。这可能导致误诊和可能的负面患者结果。

如果我们要改变医疗保健中网络威胁的格局，我们必须有意并优先考虑将用户考虑的安全性设计到设备中。

没有技术背景的人如何展示他们可以带来的价值

最具影响力的技能之一是将网络安全转化为业务风险的能力。我不是在谈论 FUD（恐惧、不确定或怀疑）或哭泣的狼。我正在谈论一种有条不紊和有意的方式来了解网络安全对业务运营的影响。

这完全符合实施基于风险的网络安全策略的增长趋势。从本质上讲，基于风险意味着使技术决策与风险保持一致。无论现有程序的成熟度如何，这都是有帮助的。正如麦肯锡公司在一篇讨论基于风险的网络安全演变的文章中指出的那样，一家根据风险重新组织优先级的组织，在不增加成本的情况下将其预计的风险降低程度提高了 7.5 倍于原始计划。

这可以从网络安全团队向企业询问他们认为有价值的流程以及他们最担心的风险开始。这不需要任何技术技能！只是愿意学习。在网络安全团队和企业之间建立联系本身就是一个非常有价值的步骤。它激励企业更深入地关注安全性，欣赏推荐控制的底线影响。

将更多的人带入安全领域

德勤进行了一项研究，重点是缩小网络安全差距，提供了多项有趣的见解。我最喜欢的部分是他们将这项研究命名为“网络安全的不断变化的面孔”——它专注于改变在这个领域取得成功所需的技能。

我们需要考虑如何鼓励更加多元化的员工考虑从事安全工作。这还需要考虑进入安全领域的不同方式，以及培训进入该领域的人员，以及支持尽可能广泛的劳动力的可访问工具。

确定的具体趋势包括职位描述的变化趋势、远离狭窄的技术学科以及变得更加“深奥”。该报告还强调，未来的网络安全需要隐私和安全监管方面的专业知识。

下面提供了一些关于开始建立更加多元化和包容性的网络安全团队的建议：

改变合格的定义

在寻找网络安全候选人时，通常会要求一组特定的标准。招聘中经常使用的正式途径往往不能很容易地适应不同的经历。

了解来自不同背景、不同教育和不同经历的人需要付出努力。但是，越来越多的科技公司正在改变这一“要求”。

例如，Salesforce 为所有人发布了网络安全培训 ——试图解决技术教育中的系统访问问题，并改变候选人展示其资格的方式。

针对不同人群

吸引更多样化的跨部门的一种方法是与专注于吸引代表性不足的群体的组织合作，例如戴安娜倡议。如果超额订阅仅限女性的 Blackhoodie 研讨会是任何指标，那么有很多女性对网络安全机会感兴趣。

留住人才

通过所有这些努力吸引多元化人才，不考虑留住人才将是一种疏忽。

我们如何防止团队精疲力竭并保护他们免受压力？安全性要求如此之高，以至于一份报告发现，超过一半的从业者已经考虑过完全转换不同的工作。

我们需要更好的支持系统；不仅管理和指导员工在他们的职业生涯中不断学习和进步，而且还为他们提供应变能力培训，以应对在前线保卫组织的问题。

为了作为网络安全社区取得成功，我们需要努力寻找进入安全行业的途径，这意味着我们接受所有想要参与的人，招聘技能和热情，而不仅仅是正确的认证或大学学位。