美国网络安全模型的转变

关键点总结

• 现在的模型 ：美国的网络安全模型主要集中在快速发现和修复漏洞上，但这种方法被认为是失败的。
• 建议的转变 ：应该增加软件和硬件供应商的责任，同时减轻资源有限组织的负担。
• 厂商责任 ：科技供应商需要更加负责任，例如启用多因素认证和其他默认安全控制，并利用安全开发实践。

据网络安全和基础设施安全局（CISA）网络安全执行助理主任埃里克·戈德斯坦（EricGoldstein）指出，美国目前的网络安全模型集中于迅速发现和修复。戈德斯坦认为这是一种“失败模型”，应该转变为要求软件和硬件提供者承担更多责任，同时减少对资源有限的组织的负担，相关的报道可以查看。

戈德斯坦呼吁技术供应商对硬件和软件漏洞承担更多责任，建议他们启用多因素认证及其他默认安全控制，并采用安全开发实践。他指出：“我们今天看到的情况，是科技供应商在做决策设计产品时，将系统性的成本转移给客户，而后者必须承受补丁、减轻风险和回应的负担。这对我们来说并没有意义，尤其是对于那些确实承受不起的较小组织。”

认识「系统性成本转移」

问题类型 | 影响因素 | 解决方案
—|—|—
客户负担 | 小型组织承受不起大规模的安全补救 | 增加厂商的安全责任
安全措施不足 | 未启用多因素认证等保护措施 | 强制要求使用默认安全控制
产品设计问题 | 设计不当导致漏洞 | 采用安全开发实践

在国际信息系统安全认证联盟（ISC²）的一次活动中，戈德斯坦进一步强调了这一点，认为我们需要建立一个负责任的网络安全生态系统，以保护所有组织的安全。