美国网络安全模型的转变
关键点总结
现在的模型:美国的网络安全模型主要集中在快速发现和修复漏洞上,但这种方法被认为是失败的。建议的转变:应该增加软件和硬件供应商的责任,同时减轻资源有限组织的负担。厂商责任:科技供应商需要更加负责任,例如启用多因素认证和其他默认安全控制,并利用安全开发实践。据网络安全和基础设施安全局CISA网络安全执行助理主任埃里克戈德斯坦Eric Goldstein指出,美国目前的网络安全模型集中于迅速发现和修复漏洞。戈德斯坦认为这是一种“失败模型”,应该转变为要求软件和硬件提供者承担更多责任,同时减少对资源有限的组织的负担,相关的报道可以查看CyberScoop。
加速器国外戈德斯坦呼吁技术供应商对硬件和软件漏洞承担更多责任,建议他们启用多因素认证及其他默认安全控制,并采用安全开发实践。他指出:“我们今天看到的情况,是科技供应商在做决策设计产品时,将系统性的成本转移给客户,而后者必须承受补丁、减轻风险和回应的负担。这对我们来说并没有意义,尤其是对于那些确实承受不起的较小组织。”
认识系统性成本转移
问题类型影响因素解决方案客户负担小型组织承受不起大规模的安全补救增加厂商的安全责任安全措施不足未启用多因素认证等保护措施强制要求使用默认安全控制产品设计问题设计不当导致漏洞采用安全开发实践在国际信息系统安全认证联盟ISC的一次活动中,戈德斯坦进一步强调了这一点,认为我们需要建立一个负责任的网络安全生态系统,以保护所有组织的安全。
