优化网络安全的粗放手段

# 优化网络安全的粗放手段 ## 1. 抑制恶意安全相关行为 学者们探讨了现有犯罪预防理论框架和方法在网络犯罪领域的适用性。社会学习理论和一般犯罪理论都被用于研究网络犯罪，如黑客行为。这两种理论都聚焦于个体层面。其他犯罪预防方法则关注犯罪行为产生的机会结构和直接环境。 情境犯罪预防（SCP）在解决众多线下犯罪（如入室盗窃和汽车盗窃）和线上犯罪（如数据泄露）方面已取得成功。SCP 是一套旨在减少直接环境中犯罪机会的策略框架。它不认为犯罪是由犯罪倾向导致的，而是认为犯罪是个人在直接情境和环境影响下的故意选择和决策的结果。这塑造了 SCP 的三个相互关联的特征，即犯罪的特异性、直接环境以及个人实施恶意行为的感知和决策。相关技术分为五类，每类包含五种技术：增加努力、增加风险、减少回报、减少挑衅和消除借口。这些减少机会的技术针对犯罪机会的潜在组成部分，能够精确地针对恶意行为。 日常活动理论（RAT）强调犯罪发生时的环境。其主要观点是，犯罪是合适目标、有动机的犯罪者和缺乏有能力的监护人在时空上的交汇。最后一个要素指的是任何有能力阻止犯罪发生的人或物体。虽然通常与警察等正式监护人相关，但有能力的监护人也可以有非正式角色，如街上的行人或商店里的安全摄像头。RAT 已被应用于解释因在线生活方式和日常行为导致的受害情况，同时将计算机和网络安全功能概念化为有效的监护人。在这里，我们将托管 IT 基础设施内的风险所有者视为系统中合法用户的“监护人”，以减少进行恶意活动的机会和能力。 ### 1.1 相关理论对比 |理论名称|主要关注点|应用场景| | ---- | ---- | ---- | |社会学习理论和一般犯罪理论|个体层面的网络犯罪行为|研究黑客行为等| |情境犯罪预防（SCP）|直接环境中的犯罪机会|解决线下和线上犯罪| |日常活动理论（RAT）|犯罪发生时的环境|解释在线生活方式导致的受害情况| ### 1.2 情境犯罪预防技术分类 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(情境犯罪预防技术):::process --> B(增加努力):::process A --> C(增加风险):::process A --> D(减少回报):::process A --> E(减少挑衅):::process A --> F(消除借口):::process ``` ## 2. 鼓励积极安全相关行为 一系列因素对于鼓励个人采取积极行为至关重要。COM - B 模型提炼了促进行为改变的关键因素，即能力、机会和动机。作者将这些因素与互补的干预层和政策活动（如环境设计）相结合。这些因素补充了情境犯罪预防中更广泛的手段，也表明在同一个环境中，预防和促进行为的干预措施可能同时发生。 同样，“B = MAP”行为改变框架强调了新行为形成需要动机、能力和提示的结合。提示在其他安全领域（如为消费者提供的安全建议）中也有探索。 Clear 概述了定位和维持良好行为以及淡化不良行为的原则。如果风险控制不够精准，可能会对原本积极的行为产生影响，类似于打破坏习惯所采用的技术。同样，计划行为理论（TPB）强调了自我效能感（一个人相信自己能够朝着预期结果采取行动的信念）的重要性，这对于与安全相关的行为至关重要。 干预映射在健康领域中，确定了针对“高危”群体的干预措施的关键因素之间的关系。该方法承认干预措施的开发和部署是一项涉及各种利益相关者的协作活动。它确定了问题的行为和环境原因，产生了问题行为的决定因素，并主张将健康问题的问题行为和环境原因重新构建为理想的行为和环境结果。通过有针对性的绩效目标和决定因素进一步区分亚群体。精确性被认为是鼓励和维持良好行为的关键。这些原则已应用于网络安全意识倡议。 PRECEDE - PROCEED 干预框架的 PRECEDE 阶段诊断了干预措施的关键因素，包括行为和环境因素。这一阶段包括确定可能影响环境的行为者的活动。我们为网络风险所有者等行为者开发了一种网络安全方法，以参与这种诊断。PRECEDE - PROCEED 强调开发更具体的干预措施来针对特定群体和行为，包括促进或阻止行为的因素。我们认为，在网络安全干预措施的设计中应同样强调这种精确性，而不是在干预措施实施后才考虑其可能造成的危害。 ### 2.1 行为改变相关模型 |模型名称|关键因素|作用| | ---- | ---- | ---- | |COM - B 模型|能力、机会、动机|促进行为改变| |“B = MAP”行为改变框架|动机、能力、提示|新行为形成| |计划行为理论（TPB）|自我效能感|与安全相关行为| |干预映射|行为和环境原因|健康领域干预| |PRECEDE - PROCEED 干预框架|行为和环境因素|网络安全诊断| ### 2.2 行为改变框架流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(行为改变):::process --> B(确定关键因素):::process B --> C(制定干预措施):::process C --> D(实施干预):::process D --> E(评估效果):::process E --> F{是否达到目标}:::process F -- 是 --> G(维持行为):::process F -- 否 --> B ``` ## 3. 行为系统的风险管理 我们将风险所有者定义为 IT 环境中有权限和决策责任对该环境中的网络安全设备（包括技术和社会技术控制）进行更改的利益相关者。这与组织中可能被指定承担责任的个人有所不同。我们参考主要针对组织的风险管理文献，因为它表明了如何管理与安全相关的行为，并使我们能够借鉴风险管理者熟悉的实践。 各种风险管理方法都暗示了与我们目标相关的问题，但没有直接解决同时预防和维护不同 IT 促进行为之间的关联影响。ISO/IEC 27005:2011（“信息安全风险管理”）明确包括“后果识别”，但侧重于威胁对资产的后果，而没有明确检查控制措施可能对该资产产生的影响。更广泛的 ISO/IEC 31000:2018“风险管理”指南承认风险管理工作可能产生意想不到的后果，并指出实施风险处理计划应确保控制措施在部署时有效，或者管理它们引入的任何风险。 ISO/IEC 31010:2009 中的相关“风险管理技术”概述了后果分析，以捕捉包括影响不同目标和不同利益相关者的影响。还建议捕捉后果与原始目标的关系以及二次后果，并进一步考虑危害，包括身体伤害。虽然强调了管理一种风险对另一种风险的连锁影响，但没有进一步展开。在软件开发标准（如 ISO 25010）中，数字领域承认需要确保“无风险”。网络风险管理标准中存在可以最大限度减少对合法用户意外伤害的技术，但没有进行协调使用。 NIST“信息系统和组织的风险管理框架”标准关注“对个人的潜在不利影响”，并指出必须维护某些能力以满足利益相关者的需求。我们的框架解决了现有安全和非安全能力需要避免后续对策影响的需求。OCTAVE 风险管理过程考虑了风险管理策略本身如何影响“暴露的资产”。我们认为，与系统内已知、允许的能力相关的用户和行为应明确视为需要保护的资产，这与 OCTAVE 的继任者 OCTAVE Allegro 概述的方向一致。 ### 3.1 不同风险管理标准关注点 |标准名称|主要关注点| | ---- | ---- | |ISO/IEC 27005:2011|威胁对资产的后果| |ISO/IEC 31000:2018|风险管理的意外后果| |ISO/IEC 31010:2009|后果分析及连锁影响| |NIST 风险管理框架|对个人的潜在不利影响| |OCTAVE 风险管理过程|风险管理策略对暴露资产的影响| ### 3.2 风险管理流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(风险管理):::process --> B(识别风险):::process B --> C(评估风险):::process C --> D(制定策略):::process D --> E(实施控制):::process E --> F(监控和评估):::process F --> G{是否需要调整}:::process G -- 是 --> D G -- 否 --> H(持续管理):::process ``` ## 4. 现有示例 以下是考虑恶意行为和合法用户活动之间相互作用后，精确针对负面结果同时保留积极行为的示例： - **通过令牌认证减少网络钓鱼**：谷歌员工获得了双因素认证（2FA）令牌。这一措施认识到电子邮件链接和服务访问在工作中很常见，恶意或虚假链接有时难以辨别。通过使用物理令牌来启用系统访问，即使发生“成功”的网络钓鱼攻击，攻击者也无法获得足够的凭据来破坏系统，从而消除了基于知识的凭据的价值。这也减轻了员工自行识别恶意链接以避免系统被入侵的压力，避免他们对合法电子邮件的处理方式受到影响。 - **数字取证活动中的“借用手机”**：当个人手机被用于分析家庭暴力证据时，英国一些警察部队会提供临时手机，而有些则不会，这可能会导致严重后果。提供临时手机保留了个人联系社交支持网络或寻求帮助的能力。在这里，收集恶意活动数据（来自智能手机）的控制措施无意中使手机用户失去了手机，而借用手机的提供减少了对积极行为的影响。 - **社会技术密码控制**：英国政策中采取了一些方法，将管理密码的工作从最终用户转移到后台技术控制，使合法用户不会面临为阻止恶意行为而产生的相同困难。例如，系统监控可以检测可疑的系统活动并阻止对合法登录站点的访问。如上述的 2FA 令牌也是类似的措施，减少了合法用户保护密码的沉重负担。 ### 4.1 示例效果对比 |示例名称|原有问题|解决方案|效果| | ---- | ---- | ---- | ---- | |通过令牌认证减少网络钓鱼|难以辨别恶意链接，员工压力大|提供 2FA 令牌|减轻员工压力，保护系统安全| |数字取证活动中的“借用手机”|手机被收走影响用户求助|提供临时手机|保留用户求助能力| |社会技术密码控制|用户管理密码困难|转移密码管理工作|减轻用户负担| ### 4.2 示例流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(问题场景):::process --> B(分析问题):::process B --> C(提出解决方案):::process C --> D(实施解决方案):::process D --> E(评估效果):::process ``` ## 5. 相关工作 SCENE 框架建议开发网络安全行为改变选项，使最安全的选项最容易访问，理想情况下作为“默认选项”（如在 Wi - Fi 选择中应用）。与行为改变和犯罪减少方法类似，SCENE 倡导与目标受众和利益相关者共同创建解决方案。我们认为，减少恶意活动的努力可能会减少安全使用 IT 的可用选项。 Agrafiotis 等人描述了组织中可能观察到的网络危害分类法。该分类法包括五个广泛的主题，包括数字危害、社会和社会危害。作者认为需要分析工具来减少这些危害，并将其作为风险评估的一部分。同样，Chua 等人鼓励风险管理者探索其自身风险控制措施可能导致意外危害的可能性。他们的框架强调需要支持可能因风险控制措施对其不利而遭受危害的弱势群体。我们确定了导致意外危害的因素，而不是后果。 安全功能框架（SFF）提出了可持续犯罪减少解决方案的设计考虑因素和新产品的创建。Ekblom 指出，恶意行为者及其（潜在）受害者可能存在脚本冲突，需要设计解决方案以“偏袒好人”。当犯罪减少解决方案在与“人类、信息和物质生态系统中的其他产品、人员和场所”的关系中有特定定位时，我们追求类似的精确概念。由于我们考虑 IT 生态系统中的用户社区，这涉及用户、用户行为和基础设施。 ### 5.1 相关框架对比 |框架名称|主要建议|应用场景| | ---- | ---- | ---- | |SCENE 框架|开发安全行为改变选项，使安全选项为默认|网络安全行为改变| |Agrafiotis 等人的分类法|分析工具减少网络危害|组织网络危害评估| |安全功能框架（SFF）|可持续犯罪减少设计考虑|犯罪减少解决方案设计| ### 5.2 相关框架流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(相关框架应用):::process --> B(确定问题):::process B --> C(分析问题):::process C --> D(提出解决方案):::process D --> E(实施解决方案):::process E --> F(评估效果):::process ``` ## 6. 社会技术风险相关研究的综合 上述分析表明，减少行为的活动与促进或维持行为的活动相关联，在高度互联的 IT 系统中可能更是如此。风险管理标准暗示了平衡这些努力的必要性，但没有充分阐明和解决保护用户和现有用户行为的需求。负面行为和正面行为改变方法都通过迭代干预来寻求更精确的解决方案。 行为被视为个人因素（动机、个人信念、自我控制）、个人能力、行为因素和环境因素（机会、奖励和惩罚）的综合结果。可以识别正面和负面行为定义之间的联系，因为对一方采取行动可能会影响另一方，我们称之为干扰。 犯罪减少和行为改变技术都旨在从不良行为转向新的目标行为。风险管理和犯罪减少方法侧重于消除负面行为，但鉴于网络风险的相互关联性，缺少的是在这样做的同时保护现有正面行为的考虑。 从犯罪预防的角度确定决定因素时，第一步是对恶意行为有一个具体的定义，无论决定因素的层面如何。恶意行为的细微变化是多种因素综合作用的结果。明确恶意行为可以更精确地识别决定因素。行为改变方法，如干预映射，在定义行为时同样具体。 我们做了一个简化假设，即风险所有者比其他任何利益相关者更了解候选风险控制措施及其特征。这意味着他们可以更好地了解控制措施中定义的用户行为的因果因素。鼓励与利益相关者（包括管理犯罪者、目标和场所的监护人）合作，以实现有效的解决方案。在我们的案例研究中可以看到家长为保护孩子在线安全所采取的行动。管理或鼓励正面行为的人最有能力识别潜在后果。然后我们关注从风险所有者的角度来看可能导致系统其他部分发生变化的机制。 在当前的风险管理方法中，利益相关者在塑造控制措施方面的识别和参与似乎有些开放。风险管理标准在确定系统中的行为者和组成元素可能如何受到事件或恶意活动的不利影响方面通常非常详细，但同样的严谨性并未应用于控制措施本身。例如，ISO 27005:2011 提到了风险控制的“范围和边界”，但网络风险管理中“边界”的概念需要在如何与利益相关者识别用户需求方面进一步发展。可以采用与 RAT 中的监护权或 Ekblom 工作中的犯罪预防者和促进者相关的技术。需要更加积极主动地识别利益相关者，以避免部署风险控制措施带来的危害。 我们认为，合法用户表现出的正面行为需要成为网络风险评估的明确组成部分，但现有网络风险管理方法中存在明显差距，社会技术资产虽在系统中以用户配置文件、行为数据和作用于它们的系统管理决策/规则的形式存在，但并未直接被考虑。目前风险管理主要围绕有价值的数据和人工制品，而合法用户的行为没有直接被考虑。然而，改变现有风险管理方法的重点可以实现更全面、以用户为中心的结果。我们将在下一部分转向社会技术风险管理。我们还考虑在安全系统中预防行为管理和正面行为改变之间的共同调解语言，以此作为超越网络安全粗放手段的一种方式。 ### 6.1 研究综合要点总结 |要点|具体内容| | ---- | ---- | |行为关联|减少行为与促进或维持行为活动相关，存在干扰| |决定因素识别|明确恶意行为定义利于识别决定因素| |利益相关者参与|需积极识别利益相关者，避免控制措施危害| |现有方法差距|社会技术资产和用户行为未在风险管理中充分考虑| ### 6.2 研究综合流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(研究综合):::process --> B(分析行为关联):::process B --> C(识别决定因素):::process C --> D(确定利益相关者):::process D --> E(解决现有方法差距):::process ``` ## 7. 社会技术控制精确性框架 ### 7.1 行为的预防和保留 IT 环境中的风险控制措施可能会限制行为、用户和基础设施，进而通过其在 IT 系统中的表示影响实际用户行为。负责 IT 安全和相关技术系统决策的风险所有者不太可能直接了解用户的行为。相反，他们可以访问记录或禁止系统上特定活动的数据。因此，通常被视为需要保护的资产（如数据和系统）与使用这些资产的合法用户活动之间的联系没有得到明确承认。 为了解决这个问题，我们采用 Hatleback 和 Spring 描述的网络安全机械方法。通过这种方法，行为可以是索引实体，如文件或数据，也可以作为系统中的活动存在，产生可见现象。例如，“删除”功能既可以作为规则存在，也可以作为在系统中运行的活动执行。 社会技术安全控制精确性的基础是将资产的定义扩展到包括索引实体。这将（正面和负面）现实世界行为与可识别的数据和系统联系起来，网络风险所有者可以对这些数据和系统做出决策。关键的是，系统资产和人员之间存在反馈循环——如果系统中有关于如何创建数据的规则，这些规则可能会限制人员的活动。例如，系统上创建新账户所需的凭证限制，或对特定允许行为的检查。 如果我们能够将行为表示为管理系统中的索引实体，就会面临协调两个此前不同努力的挑战。第一个是从系统中消除负面/恶意行为，例如社交媒体上的煽动性帖子。第二个是维持系统中已有的正面行为，例如允许用户在社交媒体上分享帖子。风险管理通常涉及维护顶级风险的风险登记册，但通常缺少一项特定的风险管理活动来解决第二项努力，并记录系统中活跃且必须保留的用户行为。例如，来自特定地理位置的合法用户应该能够定期在社交媒体平台上发布帖子并分享链接，但来自同一地区的恶意活动（如发布虚假消息和分享恶意链接，就像在线浪漫骗局中那样）应该被阻止。因此，需要有能力填充（正面）行为登记册，这是现有风险管理技术的自然延伸，与行为干预方法一致。 ### 7.1.1 资产定义扩展对比 |原有资产定义|扩展后资产定义| | ---- | ---- | |数据和系统|数据、系统以及索引实体（行为）| ### 7.1.2 行为管理流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(行为管理):::process --> B(识别行为):::process B --> C(分类行为):::process C --> D(消除负面行为):::process C --> E(维持正面行为):::process D --> F(更新系统):::process E --> F F --> G(监控行为):::process G --> H{是否需要调整}:::process H -- 是 --> B H -- 否 --> I(持续管理):::process ``` ### 7.2 需预防或保留行为的交集 如图所示，我们描述了一种社会技术网络风险管理方法，以协调安全控制精确性的改进。现有的（网络）犯罪减少技术和行为改变方法详细描述了如何管理个体行为。第一步，我们建议考虑行为的能力、机会和动机，将其作为两个领域的通用术语，以便比较两组特定行为并改进控制措施。为了简单起见，“正面”行为可以包括继续不做有害的行为。 如果区分合法和恶意行为很困难，这表明它们之间的联系最强，更需要解开它们，以避免对正面行为造成意外危害。 进一步的步骤是确定足够详细的用户、用户行为和基础设施的定义，因为这些是网络风险所有者熟悉的元素，同时也会影响行为中的能力、机会和动机因素（风险控制措施阻止恶意行为就证明了这一点）。扩展后的资产定义有助于更精确地识别和管理这些元素，从而实现更有效的社会技术网络风险管理。 ### 7.2.1 行为分析要素 |要素|作用| | ---- | ---- | |能力、机会、动机|比较行为，改进控制| |用户、用户行为、基础设施|影响行为因素，辅助管理| ### 7.2.2 行为交集管理流程 ```mermaid graph LR classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px; A(行为交集管理):::process --> B(分析行为要素):::process B --> C(确定行为联系):::process C --> D(解开行为联系):::process D --> E(制定管理策略):::process E --> F(实施策略):::process F --> G(评估效果):::process G --> H{是否达到目标}:::process H -- 是 --> I(持续管理):::process H -- 否 --> B ``` 通过以上对网络安全各个方面的探讨，我们可以看到，在当今复杂的 IT 环境中，精确管理网络安全风险、平衡恶意行为预防和合法用户行为保护是至关重要的。通过综合运用各种理论、方法和技术，我们有望实现更高效、更安全的网络环境。