恐慌与真正的问题

你们公司要慌了。整个信息安全行业都在热议零日漏洞、微隔离和零信任。.

我敢打赌，他们都忙着到处跑，而且假设EA团队行动迟缓，所以根本没人注意到这一点。 请求帮助.

海啸警报就是这种模式的一个很好的例子。它们发布得很早——不是为了引起恐慌，而是为了给你时间采取行动。我居住的地方 卑诗省维多利亚市, 今年我已经收到过三次这样的警报，每次都有 8 到 12 小时的通知时间。所以，如果还没人问过，那就赶紧行动起来。时间不多了，你们也不必等待。以下几点需要注意： TOGAF ADM 其中形式化方法支持 自行起草的建筑设计工作需求书. 我喜欢这种务实主义的核心理念。 TOGAF.

我们立即遇到了方法论中的第一个关键挑战——我们要构建的问题是什么。ADM 的 A 阶段明确了'需求'（建筑工程申请）来自真正的建筑问题（建筑工程说明).

让我们花点时间，梳理一下A阶段产生的知识。.

我们首先要简洁明了地陈述事实。.

Glasswing 就像一个洁净室。坏人实际上并没有零日漏洞的路线图。人工智能代码工具固然好用，但它们仍然需要大量时间来遍历整个源代码。尤其是在需要通过本地运行来对 LLM 供应商的系统管理员隐藏这种遍历的情况下。我们可以假设主流的攻击者正在等待补丁的发布。.

核心供应商——也就是提供所有用户使用的核心库和系统的供应商——一旦发布补丁，攻击就开始了。人工智能驱动的开发大大缩短了补丁发布到漏洞被恶意利用之间的时间。尤其是在大量补丁为利用漏洞提供了捷径的情况下，更是如此。.

我们可以预期会收到一些模糊的"安全更新"，而不是 CVE 编号。至少最懒惰的黑客不会事先制定好路线图。然而，我们可以预料到，我们将如同盲人摸象，无法评估风险或确定优先级。.

然后是二级供应商。这些供应商不属于 Glasswing 的阵营，而是使用一级供应商的产品来构建自己的产品。其中包括商业供应商、平台供应商、库提供商，以及真正令人担忧的供应商——那些提供 IT 操作系统的供应商。我们的二级供应商和那些“黑心供应商”几乎同时出现。.

至少我们的一些供应商将无法或不愿进行向后移植。我们将面临大量通知，最终金额将达到…… 旧版本已彻底损坏，需要执行一次重大更新。.

因此，我们将面临整个技术栈中层层叠加的补丁。还记得 Log4J 吗？几乎所有人都经历了 Log4J 的更新。想象一下 10 个 Log4J 进程同时运行的情况。或者 100 个。.

我们面临 同步曝光, 保证迟到, 以及级联式跨栈补丁。即使我们能够在定制的遗留环境中比机器速度的攻击者更快地打补丁，首要问题是，随着补丁在堆栈中级联，我们将面临潜在的漏洞。我们面临的关键问题并非 如何更快地打补丁. 问题在于如何应对必然存在的延迟。.

这不再是一个漏洞管理问题，而是一个架构问题，它由时间、延迟以及在不对称速度下的生存能力所定义。.

没有错误修复

我们必须提供在武器化威胁下生存的指导 保证延迟.

B阶段, C阶段, 和 D阶段 所有这些都始于同一个步骤——弄清楚哪些架构模型和参考模型可以帮助你理解问题并找到解决办法。.

坦白说，我第一天早上的白板上写满了标准内容。 安全架构 资料方面，我有NIST、MITRE ATT&CK、OWASP10等标准，还有一些涂鸦和笔记。.

然后我仔细地看了看 应对武器化的延迟. 我摇了摇头。在每一个 利益相关者参与研讨会 我向客户提出质疑：'谁说的？” 优先事项'?

我被炒作情绪左右了。我以为既然看到了海啸，我们就都应该恐慌。我预设了一系列假设、优先事项和偏好。.

于是我拿出SABSA的资料，开始查阅。 风险. 具体来说，我们着重分析了风险偏好和关键风险指标。我们需要克服大多数风险分析的核心错误，即仅仅关注利益相关者的风险偏好，并着眼于关键风险指标。关键风险指标是指…… 有远见的. 我们将到达的地点，并建议我们采取必要的行动。 保持在风险承受范围内.

不要让自己处于安全状态。进入安全区域 风险偏好.

这是一个微妙之处，但正是这些微妙之处，使得像SABSA、DAMA和TOGAF这样的成熟最佳实践框架得以发挥作用。 最佳实践.

我们承担很多风险 开展业务. 我们向顾客赊销商品。我们雇佣素未谋面的人。我们大力支持各种项目。我每天骑自行车穿过人流密集的旅游区。.

更安全

我们如何判断自己是否更安全？阅读 Verizon 的 DBIR, ，Mandiant，以及 微软2025年数字防御报告 我们参加了三项测试。 更安全. 我们得出结论，以下措施可以切实提高安全性：

1. 减少未经授权的访问
   恶意行为者通过被盗用的凭证和错误的配置入侵。
2. 减少未经授权的停留时间
   未被发现的访问权限和未经授权的权限会造成潜在的、不断累积的风险。
3. 降低未经授权访问的潜在影响'爆炸半径'
   额外的访问权限（横向移动）通常是通过寻找提供的。 更多访问权限 尽管 住宅.

访问权限和停留时间是造成问题加剧的因素。横向移动似乎对IT运维系统中的凭证泄露尤为敏感。.

我们的风险偏好

事情就是这样。我读到的第一份报告说： 零信任！是时候认真对待微隔离了。. 说真的，我们收到了海啸预警。但我们完全不知道海啸的规模有多大，也不知道它什么时候会来。而得到的建议却是，我们继续走一条十年来努力都毫无进展的道路。.

任何领域专家的长篇大论中都蕴含着一些好想法。但我们需要将这些好想法与现实情况进行比对。.

首先，说说我们的网络应用。你肯定知道那些数不清的 443 端口/HTTPS 连接，它们允许陌生人向我们的业务软件发送指令。或者更可怕的是，我们员工连接笔记本电脑并点击命令的内部连接。 内部网络应用程序 它们隐含着某种身份。是的，身份是隐含的，因为…… 公司笔记本电脑 正在被使用。你肯定见过那种笔记本电脑，它整周都在到处浏览WiFi热点和各种网页应用。看看Zscalar或者钓鱼报告，这些笔记本电脑都在勾搭很多陌生人。然而，它们却是企业身份识别的基础。.

其次，是遗留系统。那些使用了30年的定制化遗留环境，熵值很高。这就像让我们的安全人员通过查看东京站的监控录像来寻找入侵者一样。要知道，5000人会随机出现。 撞到某人 每次扒窃都成功。.

现在，让我们面对残酷的现实——我刚才描述的是…… 在我们的风险承受范围内. 或许，就是这样。 黄色的, ，用 SABSA 的 KRI 术语来说。大概，, 这是绿色!

SABSA 数学与利益相关者决策

过去十年，大多数企业都做出了妥协，并维持着这种现状。 橙子 为了安全性和韧性。传统系统能带来收益。修复方案会破坏这些脆弱的收益来源。提出的修复方案实际上并不能推动我们走向…… 绿色的. 相反，它们促使我们对风险承受能力做出调整。 红色的. 没有人会选红色。绝对没有人。.

所以我的第一个问题是：Glasswing事件是否猛烈冲击了我们的安全态势，使其彻底陷入了…… 红色的我们是否超出了风险承受能力？我在南非商业安全协会（SABSA）接受的培训非常明确：规则绝对不容更改：你不能故意选择留在风险等级较低的区域。你必须放下一切，全力以赴，争取进入风险等级较低的区域。.

你承担的风险超出了你的承受范围。我可能会骑自行车。 通过 维多利亚的旅游区，沿着一条主干道…… 彩绘自行车道. 我不选择在出行高峰期出行。高峰期每天都会有人无意中试图谋害我。我利用自己居住在太平洋时区，工作在东部时区的优势。下午2:30（东部时间5:30）骑车回家，只会遇到一次暗杀未遂事件。 每周一次. 就是这样。 在我的风险承受范围内.

此时，分析已不再有价值——只有在风险承受范围内提出的有界限的建议才有价值。.

所以呢 带我们到达绿色?

我们建议采取三项措施：

• 在每个旧版 Web 界面上部署自动更新的 WAF
  商业WAF供应商都在严密监控之下。我们预计他们将协调进行零分钟更新。.
• 将所有面向业务合作伙伴的 API 都通过 API 网关进行管理。
• 每个盒子里都放一只金丝雀 周长——一个没有任何合法用途，却能无可辩驳地告诉我们某些坏事的系统 寻求访问权限 只需寻找访问权限即可。即使他们使用的是被盗用的管理员凭证，或者通过笔记本电脑身份进行攻击，但只要击中了目标，就无可辩驳——恶意攻击者正试图在旧系统领域进行跑酷。.

我们提出了两个棘手的问题：

• 如果旧版应用程序出现故障，这可以接受吗？ 已知的非法签名 用于正常交易，但自动更新的WAF阻止了它？
• 你会授权立即暂停任何胆敢窥探“金丝雀”的系统的网络权限吗？我们最糟糕的情况是，潜伏的恶意程序一旦觉得自己被发现，就会从安静的窥探者变成破坏者。.

你在那里 回到绿色. 我们默默地骑着自行车上下班，每周都会遭遇一次暗杀。.

一旦我们重回绿色区域，就可以着手其他方面来提升安全态势和应用弹性。毕竟，我们希望那些脆弱的传统收入来源能够继续为公司注入资金。我们面临着切实的业务难题——关税、竞争、消费者信心——因此我们需要资金。一些即将实施的变革将提升我们的竞争力、降低成本，并逐步增强安全性和弹性。.

玻璃翼冲击波架构设计结论

用 TOGAF 术语来说，我们直接跳到了 这位建筑师 一个 推荐目标. 就像克劳德·米托斯一样，我们没有道德判断力。你告诉我你的企业背景、目标、绩效预期、限制条件，以及…… 风险偏好 我将精心制作 你的最佳目标. 。 那是 最佳实践企业架构我们的利益相关者承担收益和损失。作为一家 企业架构师 我会给出非常棒的建议。我会告诉他们一些令人不舒服的真相。当他们做出决定时，我会像对待自己的决定一样认真对待。毕竟，这是组织中由授权决策者做出的权威决定。.

希望您喜欢这段旅程。我的团队花了几天时间完成了这项工作。在此过程中，我们不得不不断调整方向。 不带评判. 是的，有一天我加班到很晚，骑车赶上了交通高峰期。我的自行车行车记录仪拍下了当时有人试图谋害我的画面。说真的，切入自行车道真的很危险！

所以，这就是你的挑战。我知道你想成为最棒的。 企业架构师 在你的公司里。我知道你想听到我讲述的那些精彩的公司变革故事。坦白说，这些故事就摆在那里，等着你遵循我们行业的最佳实践。站出来，行动起来。告诉你的利益相关者真相。我知道这需要个人的勇气。.

当你仔细计算后，你会发现那些偏执的专家们…… 卡桑德拉 在领导办公室外。那些指着垃圾堆大火的预言家们在网上免费工作。你的任务是计算一下，然后提出一个能让公司处境更好的建议。或许是 回到绿色. 或许正在开拓新市场。.

相信我，他们都在等待好的建议。.

最后，让我们展望未来。如果克劳德·米索斯是 那 擅长阅读代码并构建有效的系统——能够灵活应对意料之外的 API，并编写出功能完善且毫无道德顾虑的代码……天哪，我也想要这样的能力！我想要一个这样的 AI 助手。我希望能够给它设置更多限制条件，让它展现出安全性、弹性和模块化能力。我想要一个现代化的、高速的、自动化测试的 CI/CD 流水线。AI 赋能的开发正在彻底改变测试和弹性机制。我的下一代数字产品将会是…… 重生安全.

计算结果，引导变革。.

祝你有美好的一天！

问候，,

戴夫

戴夫·霍恩福德
Conexiam

PS：如果您时间紧迫，请查看我们的 架构治理研讨会 或者我们可以讨论一下如何制定一个动态路线图。控制疫情并不需要很长时间。.