与Facebook前CSO亚历克斯·斯塔莫斯(Alex Stamos)就为什么大型新闻编辑室应该有威胁建模团队、媒体如何通过报道放大虚假信息等问题进行问答

编者按：我们正在紧锣密鼓地迎接2020年的选举，选举干预方面的重大悬而未决的问题-从外国演员到国内麻烦制造者-应有尽有。那么，记者如何才能在不损害他们的报道或新闻编辑室的情况下整理所有的噪音呢？杰伊·罗森(Jay Rosen)是美国最重要的新闻评论家之一，也是纽约大学的新闻学教授。他认为，全国性的新闻提供商必须努力“找出自由公正的选举和美国民主面临的最严重威胁。”在一篇关于PressThink的文章中，罗森说，新闻编辑室需要威胁建模团队，他们可以效仿Facebook等主要平台运营的团队。为了探索这一模式，罗森采访了Facebook前首席安全官、民主和选举安全的公共倡导者亚历克斯·斯塔莫斯(Alex Stamos)。他们的采访全文如下。

杰伊·罗森：你是雅虎和Facebook的前首席安全官，以及你曾担任过的其他职位。对于可能不知道这是什么意思的人来说，CSO负责什么？

Alex Stamos：传统上，首席信息安全官是公司中级别最高的人，他只负责保护公司的系统、软件和其他技术资产不受攻击。在科技公司中，有时会使用首席安全官，因为这项工作只有一个很小的物理安全部分。我在雅虎拥有CISO头衔，在Facebook拥有CSO头衔。在后一份工作中，我的职责分为两类。

首先是传统的防御性信息安全角色。基本上是监督中央安全团队，该团队试图了解整个公司的风险，并与许多其他团队合作来降低风险。

第二个责任领域是帮助防止使用Facebook的产品造成伤害。Facebook的许多团队都在这一领域工作，但作为CSO，我负责监督调查小组，负责处理最严重的虐待案件。

滥用是我们用来表示在技术上正确使用产品造成伤害的术语。利用软件漏洞窃取数据是黑客行为。使用一种产品骚扰人们，或策划恐怖袭击，都是滥用。许多科技公司都有专注于滥用的产品和运营团队，我们在硅谷也称其为“信任和安全”。

在这种情况下，我的两个职责领域都有很多合作伙伴，很多工作都是协调，并试图从数百人的努力中创建一个连贯的战略。CSO/CISO还扮演着一个重要的角色，他是少数几个能够接触到CEO和董事会的高管之一，他们纯粹是偏执狂，可以坦率地谈论公司面临的风险或为其他人带来的风险。

威胁建模的规则与您刚才描述的这些职责有什么不同？我把它叫做“纪律”。也许你还有另外一个任期。

当我听到大多数人说“威胁建模”时，他们并不是指一些公司所做的正式的威胁建模行为，所以我退一步，我们可以讨论一些我理解的术语。

威胁建模是一个正式的过程，通过该过程，团队绘制出系统的潜在对手和这些对手的能力，映射系统的攻击面和这些攻击面中的潜在漏洞，然后将这两个集合匹配在一起，以构建可能的漏洞和攻击的模型。威胁建模对于帮助安全团队执行资源管理非常有用。

我在雅虎的经理杰伊·罗西特(Jay Rossiter)曾经告诉我，我的全部工作就是“投资组合管理”。我有一个固定的(在雅虎，相当小的)人力、运营支出和资本支出预算可以部署，所以我必须非常仔细地考虑这些资源的哪些用途在检测和降低风险方面是最有效的。

威胁建模可以帮助您找出部署资源的最佳位置。在微软2002-2010年的软件安全推广之后，它在技术上的使用大大增加了，在此期间，该公司在所有产品团队中实施了正式的威胁建模。微软在其值得信赖的计算项目中面临着巨大的挑战，因为在编写项目数年后，他们不得不重新考虑涉及数百种产品和数十亿行代码的设计和实现决策。

因此，威胁建模帮助他们了解应该在哪里部署内部和外部资源。我是那些外部资源之一，微软是我在2004年帮助创建的咨询公司最好的客户之一。对这种形式的威胁建模感兴趣的人可以阅读Frank Swiderski和Window Snyder在他们的书中捕捉到的关于Microsoft过程的信息，他们的书名非常有创意，名为“威胁建模”(Threat Modeling)。

从那时起，大多数科技公司都采纳了其中的一些想法，但很少有人使用这种紧张的建模过程。

通常，当人们谈论“威胁建模”时，他们实际上是指“威胁构思”，这是一个通过有效地设身处地为自己着想来探索已知对手的潜在风险的过程。

因此，在一家大型科技公司，你可能会让你的威胁情报团队，追踪已知的参与者以及他们的运营和能力，与产品团队合作，思考“如果我是他们，我会做什么？”

这通常没有大型威胁模型那么正式，但同样有帮助。这也是让产品经理和工程师变得更偏执的一个很好的练习。安全领导面临的基本组织挑战之一是处理其团队与其他团队的不同心态。

人们喜欢相信他们的工作是积极的，有目的的。硅谷将这种自然冲动发挥到了极致，HBO的节目非常准确地恶搞了人们在构建略好一些的企业资源管理数据库时谈论“改变世界”的方式。

所以产品人员天生就是积极的。他们考虑他们正在构建的产品应该如何使用，以及他们和他们认识的人将如何受益。

安全和安全人员把他们所有的时间都花在最坏情况下滥用产品的痛苦中，所以我们往往只会立即看到任何事情的负面影响。

真相介于两者之间，将双方聚集在一起思考现实威胁的演习真的很重要。

另外两种模式：第一种是Red Teaming。红色团队是一个团队，要么是公司内部的团队，要么是从外部顾问那里雇佣的团队，他们假装是对手，尽可能忠实地表现出他们的行为。

在Facebook，我们的红色团队每年对公司进行两次大型演习。这些将是在研究真正的对手(例如，中华人民共和国国家安全部，又名APT 17或Winnti)的基础上组成的。

演习将从头到尾模拟一次攻击。他们会花几个月的时间计划这些攻击，并建立不可否认的基础设施，而这些基础设施不能立即归因于该团队。

然后在校外处决他们，就像真正的袭击者一样。这不仅是测试技术漏洞的重要过程，也是测试“蓝色团队”响应能力的重要过程。只有我和我的老板(总法律顾问)会知道这一漏洞不是真的，所以其他所有人都像在真正的危机中一样做出了反应。这有时并不是特别有趣。

在Facebook的一次演习中，一名红色团队成员访问了一个没有人认识他的办公室。他隐藏了他的Facebook徽章，并花时间在每个会议室外玩一台调度平板电脑。他安装了恶意软件，这些恶意软件大声呼喊，并为团队建立了立足点。从那里，团队能够远程进入安全摄像头，然后进入安全摄像头软件，然后进入运行软件的虚拟化基础架构，然后进入公司网络的Windows服务器基础架构。

在这一点上，他们被检测到了，蓝队做出了回应。不幸的是，这是在周日凌晨4点左右(伦敦办公室随时待命)，所以我不得不坐在会议室里，假装在凌晨5点对这起入侵事件超级担心。我的演技可能不太好。

在某个时候，你叫它，让蓝队睡觉。但你最终完成了整个响应和缓解周期。

在这之后，我们将举行一场马拉松式的会议，红队和蓝队将坐在一起交换意见，一步一步地走红队走的每一步。在每一步，都会问自己，为什么蓝队没有发现，我们可以做得更好。

在某些方面听起来像动作片，除了大多数“动作”发生在键盘上。

是的，除了键盘，穿着巴塔哥尼亚背心的疲惫的人，以及凌晨3点在免费小吃店里生活的动作片。

红色团队演习将导致最后一个过程，桌面演习。桌面就像一个红色团队，但被压缩了，没有真正的黑客攻击。

这是涉及高管和所有非技术团队(如法律、隐私、沟通、财务、内部审计和高层管理人员)的地方。

我不能告诉马克·扎克伯格公司被攻破了，然后再跟他说“太棒了！那是个演习！“。

因此，有了桌面，你可以把所有人聚集在一起，共同探讨如何应对真正的入侵。

我们会把我们的桌面建立在红队演习的基础上，这样我们就能准确地知道哪些攻击是现实的，以及技术蓝队是如何反应的。

我进行锻炼的方式是，我们会提前告诉人们留出一整天的时间。假设今天是星期二。

然后，那天早上，我们会把这个场景注入到公司的各个部门。我们进行了一次演习，重点是GRU侵入Facebook窃取一名欧洲政客的私人信息，然后勒索他们。

因此，在太平洋时间午夜，我从这个目标国家的内政部向负责处理欧洲隐私请求的爱尔兰办事处发送了一封电子邮件，称他们认为他们的政客的账户被黑客入侵了。

东海岸时间早些时候，华盛顿通讯团队收到了“华盛顿邮报”的置评请求。

所有这些人都知道这是一次演习，你必须仔细地在电子邮件上打上[红色团队演习]的标记，这样律师才不会发现它们，说你有秘密泄密。

然后，作为CSO，我的工作是记录这些人是如何联系我们团队的，以及白天发生了什么。下午晚些时候，我们把世界各地的40个人召集在一起(回到人们坐在会议室里的时候)，并讨论了我们的回应。最后，首席执行官和首席运营官拨了电话，副总裁和大中华区向他们简要介绍了我们推荐的战略。然后，我们向董事会通报了我们的做法。

入侵是(希望)黑天鹅事件。它们很难预测，而且很少见，所以你从这些练习中发现，内部沟通渠道和职责划分非常模糊。

在我提到的这次练习中，实际上有两个完全不同的团队在不相互交谈的情况下工作来应对漏洞。

因此，技术Red团队帮助您改进动手操作键盘人员的响应，桌面帮助您改进非技术团队和执行响应。

作为一名顾问，我过去一直都是这样做的(现在仍然是偶尔这样做)，当你至少在模拟交火中时，保持冷静和做出明智的决定要容易得多。

无论如何，所有这些都可能是您可以归结为“威胁建模”的练习。

谢谢，作为一个门外汉，这一切对我来说都是有意义的。还有一个关于威胁建模本身的问题。然后谈到选举年新闻可能的改编。

威胁建模的最终产品是什么？这对你有什么帮助？换句话说，可交付的内容是什么？您给我的一个答案是：它帮助您部署稀缺资源。我马上就能看到新闻业的相似之处。你只有这么多记者，主页上有这么大的空间，你可以发出这么多警报。但是，是否还有其他的威胁建模“产品”呢？

最重要的产出是处理危机必然性所需的过程和组织变革。

身为CISO，就像是属于一个冥想的信仰体系，接受死亡的必然性，只是通往开悟之路的一步。你必须接受违约的必然性。

因此，一个“可交付成果”是你必须做出的改变，以便为即将到来的事情做好准备。

对于记者来说，我认为你必须接受有人会试图操纵你，也许是以有组织的、专业的方式。

让我们回顾一下2016年。正如我多次讨论过的，我认为在俄罗斯针对选举的五次单独行动中，影响最大的可能是GRU黑客和泄密行动。

虽然绘制DNC/DCCC的地图和泄露他们的电子邮件有技术成分，但这次行动的真正目标是操纵美国主流媒体，让他们改变对待希拉里·克林顿(Hillary Clinton)被指控的不当行为的方式。

那么，让我们设想一下，“纽约时报”已经聘请我来帮助他们在2020年建立威胁模型并进行实践。这是一种极不可能的情况，所以我将在这里免费给他们提供建议。

因此，我会帮助收集他们过去四年来虚假信息行动的所有例子。

这将包括GRU的策略，即侵入网站植入假文件，然后将他们的新闻机构指向这些文件。当文件不可避免地被移走时，他们就把它说成是一个阴谋。这是他们对波兰西点军校的所作所为，最近有一些活动看起来像是种植假文件来搅乱纳瓦尔尼中毒事件的真相。

这里有俄罗斯互联网研究机构，以及他们目前的活动。他们也进行了调整，现在在国内雇佣了一些人来创作内容。Facebook本周破解了其中一个网络。

然而，今年我们有了新的球员！你有中国人。中国在黑客/虚假信息联合行动上确实是后来居上，但他们正在迅速补上时间。COVID和香港危机促使他们建立更有能力的英语公开和隐蔽能力。

俄罗斯2016年的活动，无论是从安全部门还是巨魔农场，都得到了很好的记录。

我为劳费尔写了一篇文章，想象外国演员利用黑客在选举中制造混乱，然后用虚假信息传播。现在很奇怪了，因为选举已经被COVID预先黑了。

州和地方政府不得不为大流行投票做准备的斗争，以及政府和共和党参议院故意限制回应的做法，实际上已经提前打入了选举-因为在如何投票、何时投票以及规则是否得到公平应用方面，已经会出现巨大的混乱。

对“纽约时报”来说，这些攻击面将是这些对手试图向该报注入证据或叙述的方式。最明显的一个就是被黑客攻击的文档。2016年工作得很好，为什么要换马呢？

关于这一点已经有过一些讨论。但据我所知没有真正的准备。

但我也会考虑GRU的其他行动，比如创造假文件，并以不可否认的方式“泄露”它们。(点评页面也被证明是一个攻击面，但这是另一回事。)。

因此，根据这种威胁思维和攻击面地图，我会创建一个现实的场景，然后进行一次桌面演习。我会以完全相同的方式来做这件事。告诉主要记者、编辑和出版商留出一天的时间。

通过他们的SecureDrop注入被盗的文件，根据假202号码的信号呼叫记者，并声称自己是泄密者(以真正的社交媒体为后盾，等等)。

然后把大家召集在一起，讨论“在这种情况下我们该怎么办？”看看谁做决定，谁会被征询意见。沟通的渠道是什么？我认为这与IT入侵有真正的相似之处，因为你只有几个小时的时间做出回应。

我会注入现实的新数据。“福克斯新闻刚刚报道了这件事！你是做什么的？“。从那之后，你做了一次尸检，“我们怎样才能做出更好的反应呢？”

这样，当GRU公布“万圣节文件”时，包括亨特·拜登的私人电子邮件和副总统拜登的假医疗记录，每个人都在压力下行使了做出这些决定的力量。

我已经写过，我们的大型国家新闻机构应该有威胁建模团队，以应对美国民主正在发生的事情，特别是11月的选举。

在那种情况下，我所说的“威胁”并不是指对新闻公司IT系统的攻击，也不是指试图“欺骗”记者的不良行为者，而是威胁说，整个拥有自由和公平投票的制度可能会失败，我们可能陷入宪法危机，或非常危险的一种内乱，甚至“失去”我们的民主-这不是开玩笑-当然，还有整个新闻系统可能被战略谎言或其他方法操纵的所有方式。

在这种背景下，你认为这个建议-大型国家新闻机构应该有威胁建模团队-真的有多实际？

对于大型组织来说，这绝对是现实的。“纽约时报”、NBC环球(康卡斯特拥有一支非常优秀的安全团队)、CNN(隶属于美国电话电报公司，拥有数千名安全人员和一支庞大的威胁情报团队)。华盛顿邮报可能是盈亏平衡的组织，较小的报纸可能很难负担得起这一点。

但即使是小公司也可以而且确实会聘请安全顾问。因此，就像在科技行业一样，大公司可以有内部团队，而规模较小的公司应该请来专家帮助制定几周的计划。大机构都有研究这个问题多年的优秀记者。

这与科技有很大的相似之处。在科技领域，我们的一个大问题是，产品团队没有适当地咨询内部专家这些产品是如何被滥用的，可能是因为他们不想知道。

从我听到的流言中，这有时是发生在不同团队的编辑和记者没有与在这一领域工作多年的人进行咨询的情况。

NBC在没有征求本·柯林斯和布兰迪·扎德罗兹尼意见的情况下，不应该携带被盗的文件。“纽约时报”需要给妮可·佩罗斯和希拉·弗伦克尔打电话。“华盛顿邮报”，克雷格·蒂姆伯格和伊丽莎白·德沃斯金。

它可能会发生，因为也许有些人不想让这个故事被否决。

是的，他们不想听到“你被耍了”，特别是如果这是独家新闻的话。

就像硅谷的产品一样，人们不想听到“这个想法从根本上说是危险的”。

我认为可能来自编辑部威胁建模团队的产品之一是“实时”威胁紧急指数，每天都会重新发布。这将是一种在线和时事通讯中发布的社论产品，有点像内特·西尔弗(Nate Silver)的选举预测。

威胁紧迫性指数将通过合并对每个威胁的后果、可能性和紧迫性的评估，对自由公正的选举和选举季美国民主面临的最大威胁进行总结和排名。随着新信息的到来，情况会发生变化。在您的愿景中，这样的索引是如何工作的？

我认为这将是有用的，但我怀疑你能否创造出有意义的量化指标。

信息安全公司已经花费了数年时间和数百万美元来尝试创建量化风险管理模型。我们都羡慕金融机构所做的金融风险建模。

但事实证明，在发展非常迅速、充满敌意的情况下尝试构建这些模型。

.