Goldman-JPMorgan 泄露事件证明 Enterprise Security 建立在谎言之上

Source: Dev.to

请提供您希望翻译的具体文本内容（除代码块和 URL 之外），我将为您翻译成简体中文并保持原有的 Markdown 格式。

边界的舒适幻象

传统的企业安全模型基于一个诱人的前提：如果我们能够正确地对用户进行身份验证、对网络进行分段并控制访问点，就能创建可信区，敏感数据能够安全地存放其中。当公司拥有完整的技术栈且员工在公司办公室工作时，这一模型是有道理的。

但这个世界在第一份 SaaS 合同和最后一台本地邮件服务器之间就已经消亡。

如今的企业通过错综复杂的第三方关系网络运作，这种网络足以让文艺复兴时期的银行家族头晕。你的律所使用由一家软件公司构建的文档管理系统，而该软件公司依赖另一家供应商的云基础设施，并将安全监控外包给又一家企业。链条中的每一个环节不仅带来新的攻击面，还引入了新的治理模型、安全标准和事件响应能力。

高盛和摩根大通的泄露事件完美地说明了这一点。这些并非安全措施薄弱的临时运营，而是每年在网络安全上投入数亿美元、雇佣行业最优秀人才、并受到足以压垮大多数公司的监管审查的机构。然而，它们的数据是 通过律所 被泄露的——这些是它们信任但并未直接控制的实体。

这不是尽职调查的失败，而是哲学的失败。

生态系统风险的数学

供应商生态系统产生了一种传统安全框架无法解决的风险方程。每一个第三方关系都会引入数学家所称的 “乘法风险”；你的安全姿态成为所有相互关联的安全姿态的 乘积，而不是它们的总和。

如果你的组织保持 95 % 的安全有效率（这将是世界级水平），并且你仅依赖十家具有相似率的供应商，那么你的实际安全有效率将下降到大约 60 %。再加上现代企业供应商关系的现实复杂性——数十甚至数百个集成——数字就会变得令人警醒。

考虑一下真实世界的影响：你的律所的文档管理供应商因其云提供商的 API 配置错误而被攻破。该泄露暴露了认证令牌，进而获取了你的法律文档访问权，而这些文档包含了可能影响市场的并购（M&A）活动细节。攻击向量经过了四个不同的组织，每个组织都有不同的安全标准、事件响应（incident‑response）程序和监管要求。

传统安全模型假设你可以识别并控制这些路径。实际上，大多数企业甚至无法完整可视化自己的供应商关系，更别说供应商的供应商关系了。

假设已被妥协的革命

如果我们不再试图阻止泄露，而是假设它们不可避免，会怎样？

这并非悲观主义，而是现实主义。而且它已经在推动全球一些最有效的安全项目。

在“assumption of compromise”架构下运营的组织专注于三个核心原则：

1. 数据以量子态存在。 每一条敏感信息在你需要基于它做决定的那一刻之前，始终同时处于“已泄露”和“安全”两种状态。这迫使你构建即使部分数据已被暴露仍能正常运行的系统。
2. 身份成为唯一真实的边界。 当你无法控制基础设施时，你就控制身份验证和授权决策。每一次数据访问都基于用户行为、数据敏感度和当前威胁环境进行实时风险计算。
3. 恢复速度胜过预防完整性。 关键不在于你是否会被攻击，而在于你能多快识别范围、遏制损害并恢复可信的业务运行。

采纳这一模型的组织正看到显著的成果。它们不仅对供应商相关的泄露更具韧性，还对内部威胁、高级持续性威胁（APT）以及让安全团队彻夜难眠的零日漏洞拥有更强的抵御能力。

对您的安全计划的意义

采用“已妥协假设”架构的实际影响深远且立竿见影。

1. 重新思考供应商风险评估。 不要再问供应商能否防止泄露（他们做不到），而要问他们能多快检测并遏制泄露。评估其事件响应能力、数据恢复流程以及透明度承诺。最佳的供应商关系并非建立在完美的承诺上，而是建立在对快速响应的共同责任上。
2. 为检测而非预防而对所有资产进行监控。 将安全预算从承诺阻止攻击的工具转向承诺揭示攻击的工具。用户与实体行为分析、数据泄漏防护（DLP）以及安全编排平台将成为核心投资。
3. 采用持续验证。 实施零信任控制，对每一次请求、每一个会话、每一条数据流都进行验证，无论其来源如何。
4. 构建快速响应剧本。 模拟涉及多个供应商的泄露情景，并在所有参与方之间演练协同的遏制与恢复行动。
5. 对静止和传输中的数据进行加密和令牌化。 即使供应商环境被攻破，数据在没有相应密钥的情况下仍然不可读，而密钥由您掌控。

通过接受已妥协的假设，您将从脆弱的“把坏人挡在外面”思维转向弹性的“检测、遏制和恢复”姿态——这正是当今依赖大量供应商的企业在当前威胁环境中生存所必需的。

第三，设计假设数据已泄露的处理流程

• 数据分类方案应在敏感度等级之外，考虑被妥协所需时间。
• 加密策略必须在访问控制失效时仍然有效。
• 当特定数据源被泄露时，业务流程应能够继续运行。

最重要的是，改变向高层管理层汇报安全的方式

• 不再报告已阻止的攻击，而是报告检测时间、遏制效果以及业务连续性指标。
• 高层需要明白，安全不是建造堡垒，而是构建在压力下会变得更强的反脆弱组织。

反驳：传统模型为何仍然存在

对妥协假设架构的批评提出了合理的担忧。他们认为，放弃以预防为中心的安全会产生道德风险：如果我们假设妥协是不可避免的，组织是否会减少安全投入？

历史先例显示了这种风险。一些组织把“深度防御”当作弱化单个安全控制的借口，认为多层次的平庸防护足以提供充分的保护。妥协假设模型同样可能被用来为基本安全卫生的投资不足辩解。

监管框架也带来挑战。许多合规标准——PCI‑DSS、HIPAA、SOX——明确围绕预防性控制和边界安全模型构建。受这些要求约束的组织可能会发现，将妥协假设架构与监管期望相调和十分困难。

这些担忧忽略了根本点：传统安全模型之所以失效，并非因为我们实施不当，而是因为它们基于对现代企业运作方式的错误假设。

高盛和摩根大通的泄露事件并不是因为这些组织未能正确实施传统安全控制导致的。它们之所以发生，是因为传统控制无法应对现代业务关系的复杂性和相互依赖性。

错误决策的风险

在传统的边界安全与假设已被攻破（assumption‑of‑compromise）架构之间做选择，不仅是技术层面的决定，更是关系到企业战略的重大问题，影响深远。

• 坚持边界安全模式的组织将会日益受到类似高盛和摩根大通遭受的供应商生态系统攻击的威胁。
• 更重要的是，它们将在需要组织韧性而非僵化的市场中失去敏捷性和竞争力。

在未来十年中占据主导地位的公司并不是防火墙最强的那些，而是即使部分系统被攻破仍能有效运作的企业。这些公司能够在不产生指数级安全风险的前提下，引入新供应商、采用新技术、进入新市场。

这种转型不仅需要新技术，更需要全新的思维模型。安全团队必须摒弃城堡防御者的思维，转而像免疫系统一样运作。业务领袖则需要停止期待完美的防护，转而要求快速的恢复能力。

高盛和摩根大通的泄露事件不是警钟，而是已经死亡的安全模型的讣告。关键在于，你的组织是会适应这一新现实，还是继续防守已经不存在的边界。