隐私法规,如《欧盟通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)要求企业提供“合理的安全”以确保客户个人信息的安全。以下建议将帮助您达到此标准。“合理的安全”是《加州消费者隐私法案》和加利福尼亚AB1950等法规中规定的要求。未能满足此要求可能会因“疏忽”而被起诉。在侵权法中,“过失”是指人们根据自己的职业道德和行为不遵守为社会大众所接受的“注意标准”(standardofcare),从而使他人遭受损失。起诉某人的“疏忽”行为,必须能够证明以下四个要素:被告对原告负有责任;被告违反其职责;被告的违约行为是明显可识别的损害。当有人向公司提供敏感数据时,该公司有责任合理保护和处理该数据。那么安全管理人员如何从法律和监管的角度判断他们的公司是否正确地保护了这些数据呢?法院必须根据标准评估您的行为,以确定它们是否“合理”。合理的行为通常基于客观标准,即行为者的行为是根据合理、审慎的人的标准来衡量的。如果行为者作为一个合理和审慎的人行事或没有行事,那么他没有过错;否则,他有错。除此之外,还可以根据对企业或行业的威胁感知以及哪些内容受到保护来定义什么构成“合理行为”。在PatcoConstruction(美国缅因州的一家小型家族建筑公司)诉人民联合银行一案中,联邦上诉法院裁定人民联合银行的安全程序在商业上不合理,因为该银行的文件化程序)以及针对这种欺诈活动显然是不够的(缺乏对此类活动的监督)。以下来自美国第三巡回上诉法院的内容向我们展示了两个广为人知的违规行为所体现??的“不合理的安全性”:1.CardSystemSolutions(CSS)的违规行为始于2005年,该违规行为以易受攻击的格式存储客户数据最多30天;没有充分评估网络应用程序和计算机网络的脆弱性;不落实基本保护政策;不使用强密码;没有经过验证的访问控制;未采取适当措施2.温德姆在2008年至2010年间的违规行为使酒店软件以明文形式存储客户的支付卡信息;没有对这种非法进入进行监控。恶意软件,导致恶意软件重用;允许远程访问酒店的资产管理系统;缺乏有效的安全措施,如防火墙等;没有合理的措施来检测和防止未经授权的访问。“合理”如何作为安全指标?在判断当事人的行为是否违背义务时,“合理”作为衡量标准的作用尤为突出。如果你没有扮演你的“合理”角色,那么你就是在违反你的职责。在上面提到的PatcoConstructionv.People'sUnitedBank案中,虽然人民银行收集了安全警报(关于交易的高风险评分),但它并没有使用它们来防止欺诈。由于这种“不合理的行为”损害了客户的数据安全,可以说该公司违反了对客户的责任。除此之外,还有一个重要的区别,就是有专业的“护理标准”。例如,加州陪审团指令(CACI)第600节定义了由陪审团确定的“专业关怀标准”:如果演员未能“合理地”履行职责,他/她将被视为“疏忽”。简而言之,“疏忽”是未能行使普通或合理的注意。普通或合理的注意是指普通谨慎的人为避免在证据显示的类似情况下对自己或他人造成伤害而采取的注意。技能水平,知识这里提到的护理有时被称为“护理标准”。总而言之,“疏忽”通常是根据一个相当谨慎的人在相同情况下的行为来衡量的。这些专业关怀标准仍然是客观的,但要求相关人员具备该专业或信誉良好的专业成员的知识和技能。通常,如果辩护人坚持认为他或她拥有与成功执行工作相关的专业技能,则辩护人的工作可以称为职业。例如,医生就属于这一类,法院使用国家护理标准来评估他们的行为。医师的特殊技能高于一般谨慎的人;他们知道如何诊断病人和提供治疗。对于能够运用法律知识并将其有效地应用于客户的律师来说,情况也是如此。在这方面,安全人员与其他人员没有什么不同,因为他们也依赖于自己的专业技能(如风险评估、安全设计审查、取证检查、渗透测试、恶意软件分析、安全代码审查分析等),保护和保障公司企业系统安全。因此,安全人员可能同样受到专业“护理标准”的限制。专业“谨慎标准”比普通谨慎人标准更严格,责任可能进一步加重。正如医生必须遵守州医疗标准一样,加利福尼亚制定了一份构成“商业上合理安全”的行为清单。遵守国家“护理标准”并不能确保“合理性”,但是,不遵循国家“护理标准”通常是“不合理”或未能达到护理标准的证据。以下是互联网安全中心(CIS)制定的安全控制自检清单。加利福尼亚州颁布了数据安全法,要求“合理的”安全基于:授权和未授权设备的清单;授权和未授权软件的清单;移动设备、笔记本电脑、工作站和服务器上硬件和软件的安全配置;持续的漏洞评估和修补;控制使用管理权限;审计日志的维护、监控和分析;电子邮件和网页浏览保护;恶意软件保护;网络端口、协议和服务限制安全和治理;数据弹性;网络设备(如防火墙、路由器和交换机)的安全配置;周界保护;数据保护;“基于必要性”的访问控制;无线访问控制;账户监控;安全技能评估和适当的培训,以弥补差距;应用软件安全;事件响应和管理;渗透测试和对抗练习。CIS安全控制文档是众多实践清单之一。此外,SANS还通过编译其他资源生成并发布了自己的“Top20”实践列表;具有代表性的NISTSP800-53联邦IT系统安全和隐私控制标准也在其5.0版中列出了900多项个人安全措施。总的来说,CIS安全控制列表提供了一个全面且易于管理的项目列表。但是要知道,每个企业都是不同的,面临的风险也是不同的,千万不能一概而论。还需要注意的是,CIS管制清单中提到的第2项(授权或未授权软件的详细清单)只是针对大企业的“高薪低回报”措施。此外,CIS控制列表中的项目顺序可能会误导项目的优先顺序。仅安全团队无法解决所有20个CIS控制。IT和网络团队需要通过与安全团队合作来确保满足网络安全要求。此外,应用开发者还需要通过与安全评估团队的合作,学习如何编写安全的代码,以减少在应用安全代码审查过程中发现的风险。设施管理团队还需要与安全团队合作,以防止对公司工作环境的物理访问。虽然清单可以提供一种简单的方式来指导资源,但它们通常是不完整的。公司有时可能需要未列出的防御机制来实现“合理的”安全。安全必须是一个整体过程,要考虑到业务的运作方式以及有价值的资产对外部黑客和公司本身意味着什么。从清单中可能无法正确查看不同系统的相对重要性,结果可能会过分强调某些领域的控制而忽略其他领域的控制。为了说明这一点,让我们首先回顾一下健全的安全计划是什么样的,以及它是如何传达给高管的。请记住,在合理的“注意标准”下,您需要实施由相当谨慎的安全从业者实施的安全计划。您必须了解您的业务是如何运行的,哪些系统是业务的核心,您拥有哪些类型的敏感数据,这些数据是如何接收、处理、使用、存储和传输/共享的,有哪些保护机制以及什么是数据的性质。相关法规等。您需要了解如何保护敏感数据免受风险因素的影响。如果没有得到适当的保护,请采取适当的控制措施。要获得“合理”的安全性,您需要做的就是了解需要保护的内容。威胁建模/评估是执行此操作的有效方法。以合理的谨慎程度执行威胁和风险评估的安全从业人员了解这样一个事实:在构建完善的安全计划时,资源和预算通常是有限的。此外,您还必须考虑漏洞、可利用漏洞的威胁、事件发生的可能性以及事件的潜在财务、声誉等影响。黑客通常关注高价值的企业或领域。这时候,你需要清楚地了解高价值领域是什么,公司的核心业务和系统是什么。1.了解您的业务了解您的业务运作方式、收入来源以及推动业务发展的内部系统,将有助于健全的安全从业者围绕维护公司核心系统和基础设施构建安全框架。此外,这些知识将使您能够以一种保护核心系统而不是次要系统的方式明智地使用有限的预算。但是,仅了解您环境中的系统是不够的。随着机器学习和数据科学的出现,系统还可能包括决策支持、机器学习研究和数据挖掘项目。如果您的公司有像data.world这样的数据目录,您将更好地了解您的数据在何处使用。此外,公司应该审核访问权限,因此您还应该知道谁拥有数据副本以及它的用途。重要的是要深入了解每个系统和数据目录,并了解公司拥有的数据类型、处理方式、来源以及数据是否与任何其他内部或外部系统共享。2.了解数据和资产同时,在了解内部系统时,您需要了解那些系统使用的特定于数据的资产。每个单独的系统、每个组织和企业都有它所依赖的一堆数据;这就是使企业系统“运行”的原因。因此,要正确管理系统并实现合理的安全性,有必要了解系统的架构及其信息来源(上游数据流)和数据属性/字段。该系统的下游消费者可以实施数据和保护机制来保护静态、传输中、使用中和内存中的敏感数据。资产可以是战略计划、源代码和其他文档知识产权。其他重要数据可能包括复杂的结构化数据,例如来自IoT设备的图像和传感器设备流。敏感数据可分为三组:客户数据;公司、员工和合作伙伴数据;和监管数据。敏感的消费者数据是指任何收集的数据,包括社会安全号码、支付卡号码、密码、健康信息和其他个人身份信息(PII)。一旦这些数据被窃取,就会对数据拥有者造成危害。如果公司数据可以被竞争对手用来获得不平等的优势,或者如果暴露给外界会对公司的声誉造成损害,那么公司数据就是敏感的。它可能是商业秘密、未公开的研究、计划、内部备忘录或任何其他形式的秘密知识产权。如果监管数据受到任何法定或公司治理体系的监管,例如CCPA、GDPR、PCIDSS、SOX等,那么这些监管数据也属于敏感数据。您需要了解所有处理、存储或传输这些数据的地方,以及如何正确、合理地使用这些数据。3.了解监管数据的覆盖范围一些特定类型的敏感数据将受到不同的监管要求,这取决于存储的数据类型或数据所有者的公民身份。例如,如果您与位于欧洲经济区的某人开展业务,则GDPR可能会发挥作用。如果您受HIPAA保护并存储健康数据,HIPAA就会发挥作用。在联邦政府环境中,某些类型的敏感数据的个人和公司管理员在控制非机密信息的新法规和监管制度下需要承担广泛的新安全和控制义务。这些法规中的每一项对数据保护(控制措施)、违规通知和用户权利(删除权、了解权)都有不同的要求。既然您知道您的业务中使用了哪些数据,您就可以了解哪些法律法规适用、您需要满足哪些要求以及您需要采取哪些保护措施。4.了解如何保护数据接下来,您需要了解在风险因素下如何保护敏感数据。如果根本没有保护措施,我们很容易知道需要部署适当的保护措施。如果部分保护已经到位,那么,为了验证当前保护的充分性,我们需要将新的威胁技术应用于现有控制,获取相关威胁情报,并测试现有控制在缓解新威胁方面的有效性。公用事业。其他考虑因素包括如何使用经过测试的备份来恢复数据和测试恢复方法,以及在需要时评估事件响应计划的执行情况。就事件响应而言,大多数会遵循规定措施,例如SANS的事件处理手册或NIST的计算机安全事件处理指南。“相当安全”类似于“猫捉老鼠”的游戏,对手学习用于检测或阻止他们的技术,然后找到解决问题的方法。这需要安全从业者不断改进他们的检测或响应技术。对于仍在遵循规范措施的企业,需要了解现实情况:大多数熟练的黑客已经找到了出路。例如,SANS事件处理程序手册建议查找大文件。您认为黑客对此会有何反应?他们会继续从易受攻击的网络中窃取大量数据吗?一旦清楚地了解了需要保护的数据、现有的保护控制措施以及是否需要,您就可以确定现有控制措施与法规要求的措施之间的差距。事实证明,仅仅遵守监管要求可能足以也可能不足以防止“疏忽”责任。满足监管要求理想情况下,您需要记录为实现GDPR和现在的CCPA合规性所做的一切,并将其传达给您各自的团队,以确保满足GDPR要求的“被遗忘权”等监管要求”以了解数据处理过程,提取与单个用户相关的所有数据等。这样,如果你有问题被调查,你也可以证明你做了你应该做的一切,但还是出错了。超越“以数据为中心”的方法到目前为止讨论的所有过程都集中在保护内部数据源上。相当谨慎的安全从业者了解这样一个现实,即黑客还可以通过使用高级持续威胁、寻找未修补的服务器或应用程序、利用远程访问帐户上的弱密码或访问未受保护的受保护AmazonS3存储桶来渗透网络设备或网络本身。这就是软件开发生命周期和MITREAtt&ck等组织框架可以发挥作用的地方。保护您的企业系统和基础设施您在Internet上向客户提供的服务和应用程序是建立在企业的系统和技术架构之上的。其中,大部分服务是由应用程序组成的。反过来,应用程序是从源代码构建的,并部署在基础设施上,通常是基于Web应用程序的服务器。源代码使用库和框架,而库和框架是用编译器构建的。此链中的每个环节都有可能引入安全漏洞。一个相当谨慎的安全从业者将评估每个循环所面临的风险并实施适当的控制。虽然应用程序安全性很重要,但正如Equifax事件告诉我们的那样,随着APT和针对性威胁的出现,您还必须全面了解您组织的安全性并实施“有组织的安全流程”。制定“有组织的安全流程”“有组织的安全流程”的示例如下:传统的安全计划只注重预防。问题是,黑客只需要找到一个漏洞就可以攻破你的网络,而作为防御者,你必须堵住每一个漏洞,以确保它不被黑客利用。一个相当谨慎的安全从业者很清楚这一点,并将结合预防、弹性和侦察控制来解决这个问题。相关的检测和响应措施可以确保最终将混入的黑客抓获;弹性措施确保系统能够抵御威胁,即使发生故障也能快速恢复;此外,红队、威胁搜寻、紧急响应(IR)和渗透测试对于检测网络上的黑客和响应他们的威胁都至关重要。为了系统地考虑检测和响应措施,健全的安全计划应该实施MITREAtt&ck等框架,以支持红蓝团队、事件响应团队和渗透测试工作。MITRE是美国的一个非营利组织。除了协助多项网络安全相关研究外,它还是CVE漏洞数据库的运营和维护背后的组织。ATT&CK框架的研究计划于2015年5月由该组织发起,不同于其他安全公司对网络杀伤链的定义,MITREATT&CK框架将非法进入过程中可能出现的情况进行了更细化的划分,并且区分11个战略阶段,包括:初始阶段、执行阶段、提权阶段、防御规避阶段、凭证访问阶段、发现阶段、横向移动阶段、收集阶段、渗透阶段、指挥控制阶段。同时,MITRE还收集了黑客在各个阶段使用的方法和工具,归类为知识库,帮助我们更好地了解黑客的能力。与C级管理层沟通安全问题“合理安全”要求你与行政领导沟通,确保获得适当的财力、物力和人力支持,让行政领导和董事会了解企业当前面临的风险,从而帮助他们做出明智的决定。如果执行管理层了解安全漏洞将如何影响业务运营、股票价格、财务损失以及对竞争力和声誉的多重损害,那么他们就会有意识地将安全放在首位。实际结果将取决于您向董事会报告的具体内容以及您的沟通方式。你需要对董事会或高管关心的痛点有一个基本的了解,然后以此为切入点,吸引高层的注意。董事会通常希望高管和高级职员能够按照董事会同意的方向执行命令,以保护和增加股东的回报。当然,高管和高级职员也关心股东价值,但他们的角色更具操作性,因此他们需要管理运营以确保公司的稳定增长和股东价值。董事会中的大多数人不理解安全的概念,所以不要抛出诸如“网络杀伤链”、“痛苦金字塔”之类的东西,它描述了不同类型的威胁情报及其在攻防中的价值对抗)、“ATT&CK”或“威胁建模”等技术术语。您的目标是向执行管理层展示您如何了解您的业务运作方式、您的关键资产是什么和在哪里,以及采取了哪些安全措施来保护这些关键资产。因此,我建议首先构建基线威胁模型摘要,然后是预防措施的状态、值得注意的事件、随手处理它们以及事件指标,以确保事情正在变得更好,如果它们已经变得更糟,分析原因、按组和类型划分的未解决安全问题的数量和规模、威胁情报和给定威胁情报的心态,实施主动检测工作和响应准备。从“合理的安全性”到“合理的可信度”随着越来越多的产品和服务出现在工业和消费物联网中,面临“过失”诉讼的公司规模可能会继续增长。加利福尼亚州在参议院第327号法案第886章中已经制定了有关连接设备安全的特定法律。如果您使用的是自动驾驶汽车,您不希望由于内存不足而面临操作系统的周期性崩溃错误。那么想象一下,当您的家庭及其所有设备变得智能并连接到互联网时会发生什么?如果联网的微波炉或烤箱受到远程控制和破坏,黑客可以在很长一段时间内获得控制权。是时候让烤箱空转了。自动驾驶汽车、机器人、送货无人机、联网烤箱、胰岛素泵和起搏器等联网设备的故障可能导致死亡或严重的身体伤害。随着IIoT和连接设备的风险增加,对社会造成人身伤害的风险也在增加,因此,该领域的“护理标准”也可能会提高。在构建产品和服务时,实现整体安全需要安全性、弹性、可靠性和隐私的结合。如果您正在构建可能造成严重损害的产品,请立即在您的组织中嵌入可信赖的程序和流程。在这里,我们首先概述“可信度”的概念,“可信度”定义为产品或服务提供的安全性、可靠性、隐私性和弹性保证的程度。这可以通过以下标准进一步阐述:组件和系统的可靠性;组件和系统的可用性;组件和系统的安全性;组件和系统的完整性和真实性;组件和系统使用的数据的机密性;系统数据的可信度;组件和系统使用的数据隐私;组件和系统的可维护性;组件和系统修改配置的能力;组件和系统对威胁或误用的弹性。每个产品或服务都可以分解成更小的组件,以评估它们各自的可信度。当然,也可以对这些单独的分数进行汇总评估,以便将它们组合起来提供有关整个系统的分数。可信度分数必须得到特殊保证的支持,特殊保证指的是系统在威胁因素的影响下如何运行以确保安全性、可靠性、隐私性和弹性。每一项保证都必须有证据支持。证据通常以手令案件的形式出现。保证案例记录了在可接受或已知的剩余风险下满足的系统属性、声明和要求。保证索赔通常由两部分组成:保证的假设;系统置信度声明及其支持的任何子声明。使用保证案例的一个固有优势是能够在做出假设的情况下做出断言,也就是说,每个案例的假设都由它包含的系统及其相关的保证案例来满足。这允许您另外为子系统的保证义务编写安全性、可靠性、安全弹性和功能要求。健全的安全性是一个考虑到组织当前业务需求的整体过程。虽然安全控制清单可能会有帮助,但它无法涵盖每个组织的需求。要理性行事,一个人必须表现得像一个相当谨慎的从业者。您必须了解您的组织及其对黑客最有吸引力的业务功能、资产和核心资源。然后学习如何根据风险适当地保护这些资产。鉴于您拥有的产品类型,您可能还必须考虑可信度因素。免责声明:以上文章不是法律建议,而是将法学院法律原则应用于信息安全领域的学术尝试。希望通过帮助安全从业者从法律角度理解什么是合理的,将推动对在企业中实施合理安全所需的实践的讨论。【本文为专栏作者“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读作者更多好文
