2007年5月4日
第5卷，第3期

  PDF

安全性的演变

大自然能告诉我们关于如何最好地管理风险的什么信息？

DANIEL E. GEER，VERDASYS

除非发生了严重的尴尬事件，否则安全人员永远不会当家作主。否则，他们的建议会受到“经济现实”的制约，也就是说，安全是一种手段，而不是目的。这本应如此。由于手段是关于权衡的，因此安全是关于权衡的，但这都是您知道的。

我们的权衡决策可能很难做出，而这些难以做出的决策有两种类型。一种类型发生在备选方案的不确定性太大，以至于无法根据可能的效应进行排序时。因此，其他因素（如熟悉程度或便利性）将驱动决策。这也本应如此。

另一种难以做出的决策类型是，当必须在具有可容忍成本的可能风险和具有不可容忍成本的不太可能风险之间做出选择时。用冶金学的术语来说，这类似于“硬化”钢，其中硬化可以指增韧或脆化。韧性钢会显示每一个凹痕但不会断裂，而脆性钢不会显示任何凹痕但可能会被弄断。也许这最好用一个表格来展示，在该表格中，隐含的风险成本与直接保护成本形成对比。这样的表格适用于那些做出冷静的基于成本的决策的人。

表 1 在其范围内是可以的：它暗示当我们对备选方案的成本享有轻松的精确度时，风险管理并不那么困难，因为决策很容易做出——如果，但只有当，您知道列与列之间以及行与行之间的数字分界线。大多数时候，我们不知道。

转而查看图 1，其中权衡不是分界线而是曲线，主题是我们自己的主题：数字安全。1

图 1 旨在说明一个思想：安全机制的总成本本身是保护成本（预期成本）与非保护成本（失败成本）之间的权衡。保护（预期）的预期成本随着期望的信息保证水平的提高而上升（黑线）。同样，随着信息保证水平的下降，清理（失败）的预期成本上升（红线）。感兴趣的曲线是两者的总和（绿线）。用政策专家和统计学家的语言来说，您想要的是“极小极大”解决方案——以最小的恶获得最大的善。这里的极小极大点是预期和失败的成本曲线的总和达到底部的位置，如短垂线所示。

在我们进一步深入之前，让我们回顾一下到目前为止的想法

• 安全是一组权衡。
• 权衡的存在是安全=风险管理的原因。
• 在现实世界中，权衡以成本来衡量。
• 清理和预防都是必要的，但两者都不充分。

失败必须是一种选择

到目前为止提出的思路具有有趣的含义。这是一个：最佳的安全失败次数大于零。如果它是零，那么您在保护上花费了太多。这对于医疗副作用的数量、飞机坠毁的数量和诈骗的数量来说都是如此。花费过多的（礼貌）术语是成本无效，当然，我们想要的是具有成本效益（CE）。但是，让我们精确地了解一下这意味着什么。

许多读者会听说过成本效益（CB）这个术语，这是一种常见的描述某事是否应该做的方式，尤其是在政策类型中。成本效益比率正如其听起来的那样

     Costnew strategy 
CBratio = ____________________
     Benefitnew strategy 

如果 CBratio < 1.0，则这是有利的。基本上，这表示如果成本小于收益，则接受收益。

成本效益分析要求在共同尺度上定价成本和收益，以便您可以询问您是宁愿要钱（避免成本）还是收益（承担成本）。这可能很困难，因为它会导致诸如“一条人命的美元价值是多少？”、“您愿意支付多少木材质量价格来保护荒野？”、“为经济适用房的代码合规性付费是否值得？”之类的问题。相比之下，成本效益算法如下所示

     Costnew strategy – Costold strategy CEratio= __________________________________________     Benefitnew strategy – Benefitold strategy

换句话说，成本效益询问您是宁愿要钱还是收益，而成本效益假设您确实会花钱，因此您感兴趣的是您可以用您的钱获得多少收益，而不是您是否首先宁愿保留您的钱。这意味着要问诸如“通过将 100 亿美元花费在更安全的汽车上还是执法上，您会挽救更多的生命？”、“通过将 100 万美元花费在 10% 的正常运行时间还是即时恢复上，您会获得更好的可用性？”、“您追求幸福会引导您将 100 美元花费在一顿精美的晚餐上还是 20 份午餐上？”

CE 始终是易于处理的；CB 仅在收益转换为美元是稳定且无争议时才易于处理。坦率地说，CE 值得做，而 CB 则不然。CE 是决策支持；CB 是自我祝贺。如果我们正在进行风险管理，而不是沉思我们的肚脐或迎合选民，那么我们必须就稀缺资源的分配做出决策。我们必须记住，风险管理的目的是改善未来，而不是解释过去。2

特殊情况

这就引出了特殊情况，即你们中的一些人无疑会想到的情况——即，在软件单一文化中和周围进行具有成本效益的风险管理的问题。

我在其他地方论证过，在国家层面重要的威胁只有两类

• 对那些出于设计原因必须是单点故障的少数实体的强大攻击——例如，DNS（域名系统）的字面根。
• 众多实体之间的级联故障。

前者不是技术问题；它是对是否愿意花费防御纵深所需的资金的公投。后者是行动所在，也是单一文化问题的中心所在。

最有效的论点，也是最令人费解的问题是，拥有一切计算机都相同还是都不同，是否会提高或阻碍一个人的安全性。每种情况都有优点。当它们都相同时，固有的易于管理性使得您实际上可能能够管理它们全部，包括风险管理，使用工业规模的自动化。另一方面，当它们都不同时，没有病原体可以感染它们全部。也许表 2 会使这一点更清楚。

让我们回到成本效益点，并从极小极大解决方案的角度思考权衡问题。我们有来自全相同替代方案的风险、成本和收益，我们也有来自全不同替代方案的风险、成本和收益。权衡在哪里？什么是具有成本效益的？这是一个前所未有的新问题吗？有答案吗？答案就在我们眼前；答案就在大自然中。

自然法则

Queue 的读者几乎不需要被提醒单一文化风险是真实存在的，多样性会使连贯的系统管理具有挑战性，或者风险管理必须包括围绕单一文化风险的权衡。数字安全在这方面没有什么特别之处：农民轮作庄稼来进行他们的那种风险管理。大型制造商对每个关键部件进行第二来源采购，以进行他们的那种风险管理。

乔治梅森大学进行的模拟研究表明，当大约 40% 的计算机相同时，总体崩溃的风险会跃升。3 多么令人惊讶！（并非如此。）

疾病预防科学通常是寻找可以用在开发这种或那种干预措施中的“模型”——例如，南美洲蟾蜍的膀胱，用于研究人类肾脏中的离子转运。也许大自然有一两个模型可用于评估单一文化风险。

第一个观察很容易：如果多样性不受气候的编辑，它会随着时间的推移而积累。在北部温带针叶林中，每英亩可能有 10 种树木。在亚马逊地区，可能有 200 种。热带雨林是我们拥有的最古老的生物群落，它们不受北部地区发生的 110°F 温度波动的编辑，但它们每英亩有更多的捕食者。在北方，气候控制植被。在亚马逊地区，植被控制气候（亚马逊河的出流量除以其流域面积，显示每单位陆地面积的降雨量输入与怀俄明州看到的降雨量输入大致相同）。4 如果我们足够努力，可以从森林模型中学到一些教训，但已经有更好的模型可用。

社会性昆虫是进化史上最令人惊叹的成功案例。从规模的角度来看，地球上大约有 260 个个体昆虫，其中 250 个是蚂蚁。蚂蚁加上白蚁可能占所有陆地动物生物量的三分之一。5 单一社会性昆虫物种蜜蜂 (Apis mellifera) 对农业的经济效益超过了所有其他昆虫对农业造成的经济损失的总和。

蜜蜂是一种温带物种，它们与其他温带黄蜂的不同之处在于一个重要方面：它们的蜂群在整个冬季都完整地存在，而其他黄蜂在季节结束时会将它们的全部食物储备转化为性成熟的成虫，这些成虫分散开来以它们可能的方式越冬。将其他黄蜂视为一年生植物，并将分散的成虫视为种子。将蜜蜂蜂群视为一棵树，它保留夏季的食物盈余以供来年春天使用，因此整个冬天都完整地存活下来。

整个冬天都活着的缺点是疾病不会被清除。社会性昆虫蜂群是一个名副其实的培养皿：潮湿、温暖、向空气开放、充满了大量与高热量、高蛋白食物混合的软体幼虫，并且持续生产。因此，疾病压力不足为奇地成为蜂群健康的最大调节器，至少在小行星到来之前是这样。蜜蜂也不例外：疾病压力是导致蜂群死亡的最重要因素。

然而，蜜蜂做了一些不同的事情——一些有趣的事情——与其他黄蜂相比。根据最新的研究，大多数社会性昆虫都有一只单交配的蜂后，但在蜜蜂中，每只蜂后都与许多雄性交配，以创建一个具有遗传多样性的工蜂队伍。6 蜜蜂蜂后多偶制的适应性意义一直是一个进化之谜：与许多雄性（平均 12 个）交配需要处女蜂后离开蜂巢并飞行足够的距离才能找到雄性，在飞行中与它们交配，然后返回家园，从而使蜂巢本身暴露于因捕食蜂后、与天气相关的损失和/或蜂后可能无法找到她从未离开过的家园的可能性而导致的蜂后损失。这种做法的生存优势在哪里？这种古老的风险管理权衡实现了什么？

单交配的蜂后产下基因相同的工蜂女儿。多交配的蜂后产下的工蜂女儿由大量相同的姐妹组成，但这些姐妹彼此是同父异母的姐妹。在一个优雅的实验中，研究人员表明，虽然单交配和多交配的蜂群感染概率相等，但多交配的蜂群对感染的影响具有更大的抵抗力。换句话说，多重交配降低了方差，并提高了蜂群工蜂存活比例的平均值，并且这样做不会降低感染率（易感性）。

当疾病更具毒性时，多样性的这种有益效果更加明显，如果有什么的话，这更说明问题。如果互联网的病原体遵循生物学中病原体的进化过程，我们应该预期选择压力会随着时间的推移减少病原体的数量，但幸存下来的病原体将更具毒性（即，病原体将传播得更快，毒性基因 [代码片段] 将被共享）。7 毫不奇怪，我们已经看到倍增时间在缩短，如图 2 所示。

将好主意付诸实践

社会性昆虫通过基因和信息素的混合来协调它们的生活，这类似于配置文件加上消息传递。疾病压力主导蜂群健康，除非环境普遍崩溃，就像互联网上所有数百种自动攻击的背景压力主导一样，除非 DNS 完全失败。在疾病压力持续存在且适者生存已选择非零遗传多样性的地方，单一文化本身就是一种遗传畸形，有效地评估了这种多样性，而不是交配飞行期间蜂后损失的单点故障风险（其唯一目的是获得这种多样性）。

Gorman 等人的模拟研究已经确定了您可以容忍多少计算单一文化的上限，而不会被欺骗，蜜蜂已经选择了投资多少多样性的上限。NCMS（国家分类管理协会）是一个工业安全专业人员组织，它表明，全保护与全清理一样没有成本效益，而逻辑告诉我们，最佳的失败次数是非零的。由于蜜蜂蜂群（企业）具有永久持续的疾病压力，因此与其他黄蜂不同，它投资于其端点的多样性，同时确保所有端点都通过相同的（化学）协议互操作。由于自然界是节俭的，因此必须假定蜜蜂的蜂群内（企业内部）多样性程度是最大程度地确保蜂群免受级联故障影响的最佳最小成本投资。

当然，这只是推测，但我们现在可能正在接近有用的真理——足够引人注目，以至于举证责任转移到那些声称自然不是计算的自然指南的人身上。我们计算机类型已经通过投资于企业（传感器馈送运营中心）的集中式、基于反馈的神经控制来复制自然——控制主要旨在实现静止。我们已经投资于原始的免疫系统（入侵防御系统）。我们通过克隆某处的黄金母盘来无性繁殖我们的计算组织，即使当进化非常年轻时，一池相同的蓝绿藻也可以被认为是成功的。当安装企业级系统时，我们已经有了一种苍白的选择性基因表达，尽管当我们发现有 500 个旋钮（基因）需要调整时，我们倾向于保留 90% 以上的旋钮，因为实际上，没有人知道如果我们重置所有旋钮会发生什么。我们已经运行大型数据中心，其中的板级 Linux 机器一旦看起来不好就被简单地扔掉——在一个可靠性是上帝的世界中，维修对于系统管理员人员（肝脏）来说是没有成本效益的。

现在是我们向社会性昆虫学习一些东西的时候了，因为它们是自然界最成功的案例。今天这篇文章的目的是要表明，正如从单细胞生物攀升到多细胞生物的进化风险管理先决条件是免疫系统的自我与非我识别一样，从多细胞生物攀升到多个人组成的蜂群的进化风险管理先决条件是在易于控制和由未减轻的同一性导致的脆弱性之间进行极小极大权衡。当“它们”，无论“它们”是什么，都相同时，它们的保护涂层必须完美无瑕，否则它们都会一起死亡。当“它们”，无论“它们”是什么，都不完全相同时，它们不必完美，因为那时它们有大数定律站在它们一边。8

参考文献

1. 信息保障成本。2002 年。国家制造科学中心（8 月）；http://trust.ncms.org/pdf/CostInfoAssur-NCMS.pdf。
2. Borge, D. 2001 年。《风险之书》。John Wiley & Sons。
3. Gorman, S.P., Kulkarni, R., Schintler, L., Stough, R. 2004 年。微软是否对国家安全构成威胁？技术单一文化对关键基础设施的影响。乔治梅森大学，基础设施测绘项目工作论文；http://policy.gmu.edu/imp/research/Microsoft_Threat.pdf。（对这些结果的全面讨论超出了本文的范围。）
4. Myneni, R.B., 等人。2007 年。亚马逊雨林叶面积的巨大季节性波动。《美国国家科学院院刊》104(12): 4820-4823。
5. Hölldobler, B., Wilson, E.O. 1990 年。《蚂蚁》。马萨诸塞州剑桥市：哈佛大学出版社。
6. Seeley, T.D., 和 Tarpy, D.R. 2007 年。蜂后滥交降低了蜜蜂蜂群内的疾病。《伦敦皇家学会学报》274: 67-72。
7. Wassenaar, T.M., Blaser, M.J. 2002 年。互联网上的传染病。《新兴传染病杂志》8(3)。
8. Jones, J.C., Myerscough, M.R., Graham, S., Oldroyd, B.P. 2004 年。蜜蜂巢穴温度调节：多样性促进稳定性。《科学》305(5682): 402-404。

DANIEL GEER 是 Verdasys Inc. 的首席科学家兼副总裁。在他的职业生涯早期，他负责监督 MIT 的 X Window 系统和 Kerberos 的开发。他职业生涯的其他亮点包括华尔街的第一家信息安全咨询公司、第一次电子商务学术会议以及 1998 年的开创性演讲“风险管理是赚钱的地方”。Geer 曾任 Usenix 总裁，并且是“网络不安全：垄断的代价”的主要作者和发言人，这是一份由计算机和通信行业协会于 2003 年发布的著名报告。他也是 SecurityMetrics.org 的联合创始人。

最初发表于 Queue 第 5 卷，第 3 期——
在 数字图书馆 中评论本文

---

更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的 FL 在设计时非常强调安全性和隐私性，但以牺牲透明度和问责制为代价。CFL 通过将 FL 与 TEE 和承诺相结合，弥补了这一差距。此外，CFL 还带来了其他理想的安全属性，例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算（如机密容器和机密 GPU）的最新进展意味着可以无缝扩展现有的 FL 框架以支持具有低开销的 CFL。

Raluca Ada Popa - 机密计算还是密码计算？
通过 MPC/同态加密与硬件飞地的安全计算提出了涉及部署、安全性和性能的权衡。关于性能，您脑海中的工作负载非常重要。对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载，这两种方法都可以在实践中随时使用，但对于复杂的计算（如复杂的 SQL 分析或训练大型机器学习模型），目前只有硬件飞地方法在许多实际部署场景中足够实用。

Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处提供的实验表明，Parma（在 Azure 容器实例上驱动机密容器的架构）增加的额外性能开销不到底层 TEE 增加的开销的百分之一。重要的是，Parma 确保了容器组在证明报告中扎根的所有可达状态的安全不变性。这允许外部第三方与容器安全地通信，从而实现广泛的容器化工作流程，这些工作流程需要对安全数据进行机密访问。公司获得了在云中运行其最机密的工作流程的优势，而无需在其安全要求上妥协。

Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算具有通过将监管系统移出 TCB 来提高通用计算平台安全性的巨大潜力，从而减小 TCB 的大小、攻击面和安全架构师必须考虑的攻击向量。机密计算需要在平台硬件和软件方面进行创新，但这些创新有可能增强对计算的信任，尤其是在第三方拥有或控制的设备上。机密计算的早期消费者将需要自行决定他们选择信任的平台。

---

---

© 保留所有权利。