编者按：我们正朝着2020年的选举飞奔，选举干预方面的重大问题尚未解决——从外国行动者到国内麻烦**者。那么，记者们如何在不影响报道或新闻编辑室的情况下，对所有的噪音进行分类呢？美国最重要的新闻评论家之一、纽约大学新闻学教授杰伊·罗森（Jay Rosen）认为，全国新闻提供商必须努力“找出对自由公平选举和美国民主的最严重威胁。”在一篇关于PressThink的文章中，罗森说，新闻编辑室需要威胁建模团队，它可以仿效Facebook等主要平台的运营商。为了探索这种模式，罗森采访了Facebook前首席安全官、民主和选举安全的公共倡导者亚历克斯•斯塔莫斯（alexstamos）。他们的采访全文发表在下面。

杰伊·罗森：你曾经是雅虎和Facebook的首席安全官，还有其他一些职位。对于那些可能不知道这意味着什么的人来说，CSO应该负责什么？

亚历克斯·斯塔莫斯：传统上，首席信息安全官是公司最高级的人员，他们的任务是保护公司的系统、软件和其他技术资产免受攻击。在科技公司，首席安全官有时被使用，因为只有一个小的物理安全部分的工作。我在雅虎有CISO头衔，在Facebook有CSO头衔。在后一项工作中，我的职责分为两类。

首先是传统的防御性信息安全角色。基本上，监督中央安全团队，试图了解整个公司的风险，并与许多其他团队合作，以减轻风险。

第二个责任领域是帮助防止使用Facebook的产品造成伤害。Facebook的很多团队都在这方面工作，但作为CSO，我负责监督调查团队处理最严重的虐待案件。

滥用是指在技术上正确使用产品造成伤害的术语。利用软件漏洞窃取数据就是黑客攻击。使用产品骚扰他人，或策划恐怖袭击，都是虐待。许多科技公司的产品和运营团队都专注于滥用，我们在硅谷也称之为“信任和安全”。

在这种情况下，我的两个职责领域都有很多合作伙伴，很多工作是协调，并试图通过数百人的努力创建一个连贯的战略。CSO/CISO还有一个重要的角色，那就是作为少数几个能够接触CEO和董事会的高管之一，他们纯粹是偏执狂，能够坦率地谈论公司面临的风险或为他人带来的风险。

你刚才描述的那些职责中，威胁建模的原则在哪里？我称之为“纪律”。也许你还有别的说法。

当我听到大多数人说“威胁建模”时，他们并不是指一些公司所做的正式威胁建模行为，因此我将退后一步，我们可以讨论一些我理解的术语。

请这样做。

威胁建模是一个正式的过程，通过该过程，一个团队将潜在的对手映射到一个系统以及这些对手的能力，映射系统的攻击面和这些攻击面中的潜在漏洞，然后将这两个集合匹配在一起，以建立可能的漏洞和攻击的模型。威胁建模有助于安全团队执行资源管理。

我在雅虎的经理杰伊·罗西特曾经告诉我，我的全部工作都是“投资组合管理”。我有一个固定的（在雅虎，相当小的）人力、运营成本和资本支出预算，我可以部署，所以我必须非常仔细地考虑这些资源的用途如何才能最有效地发现和降低风险。

威胁建模可以帮助您找出在何处部署资源的最佳位置。在微软2002-2010年推出软件安全后，它在科技领域的应用大大增加，在此期间，微软在所有产品团队中实施了正式的威胁建模。微软在其值得信赖的计算项目中面临着巨大的挑战，因为在项目编写多年后，他们不得不重新考虑跨数百个产品和数十亿行代码的设计和实现决策。

因此，威胁建模帮助他们了解应该在哪里部署内部和外部资源。我是这些外部资源中的一员，微软是我在2004年帮助找到的咨询公司最好的客户之一。对这种形式化威胁建模感兴趣的人可以阅读Frank Swiderski和Window Snyder在其著作《威胁建模》（threat modeling）中描述的微软过程。

从那时起，大多数科技公司都采纳了其中的一些想法，但很少有公司使用这种密集的建模过程。

但是这个词也有更宽松的含义，对吧？

其他人有正式的威胁建模演习，但这样做的重量级机制较少。

通常，当人们谈论“威胁建模”时，他们真正的意思是“威胁构思”，这是一个通过有效地设身处地了解已知对手的潜在风险的过程。

因此，在一家大型科技公司，你可能会让你的威胁情报团队（跟踪已知的参与者及其操作和能力）与产品团队合作，思考“如果我是他们，我会怎么做？”

这通常没有一个大威胁模型那么正式，但同样有用。这也是让产品经理和工程师更偏执的一个很好的练习。安全领导的一个基本组织挑战是处理他们团队与其他团队的不同心态。

人们喜欢相信他们的工作是积极的，有目的的。硅谷将这种自然冲动发挥到了极致，HBO的节目非常准确地模仿了人们在建立稍微好一点的企业资源管理数据库时谈论“改变世界”的方式。

所以产品人天生是积极的。他们考虑如何使用他们正在建造的产品，以及他们和他们认识的人将如何受益。

安全和保障人员把所有的时间都花在最糟糕的滥用产品的痛苦中，所以我们往往只会立即看到任何事情的负面影响。

真相就在中间，让双方共同思考现实威胁的演习真的很重要。

有道理。

另外两种模式：第一种是红队模式。红色团队是一个团队，要么是公司内部的，要么是从外部顾问那里雇来的，假装是对手，尽可能忠实地表现自己的行为。

在Facebook，我们的红队每年两次对公司进行大型演习。这些都是在研究一个真正的对手（比如，***********部，又名APT 17或Winnti）的基础上制定的。

这些练习将从开始到结束模拟攻击。他们将花费数月时间策划这些攻击，并建立无法立即归因于团队的可否认的基础设施。

然后像真正的攻击者一样在校外处决他们。这是一个重要的过程，不仅测试技术漏洞，而且测试“蓝色团队”的响应能力。只有我和我的老板（总法律顾问）会知道这个漏洞不是真的，所以其他人的反应就像他们在真正的危机中一样。这有时不是很有趣。

在Facebook的一个练习开始于一个红队成员访问一个没有人认识他的办公室。他把自己的Facebook徽章藏起来，花时间在每个会议室外面玩一个排定日程的平板电脑。他安装了恶意软件，为团队建立了立足点。从那里，团队能够远程跳转到安全摄像头，然后跳转到安全摄像头软件，然后跳转到软件运行的虚拟化基础设施，然后跳转到企业网络的Windows服务器基础设施。

在这一点上，他们被发现，蓝色小组作出反应。不幸的是，这是在一个星期天的凌晨4点左右（伦敦办公室随时待命），所以我不得不坐在一个会议室里，假装非常担心凌晨5点的这个漏洞。我的表演可能不太好。

在某个时刻，你打电话让蓝队睡觉。但你最终完成了整个反应和缓解周期。

结束后，我们将举行一次马拉松式的会议，红队和蓝队将坐在一起比较记录，一步一步地走过红队走过的每一步。在每一步，我们都会问自己为什么蓝色团队没有发现它，以及我们可以做得更好。

在某些方面听起来像是一部动作片，除了大部分的“动作”都是在键盘上进行的。

是的，一部动作片，除了键盘，穿着巴塔哥尼亚背心的疲惫的人们，还有凌晨3点在免费小吃店的生活。

红队演习将导致最后一个过程，桌面演习。桌面就像一个红队，但压缩，没有真正的黑客。

在这里，你需要让高管和所有非技术团队参与进来，比如法律、隐私、通信、财务、内部审计和高管。

这似乎与我的提议有关。

我不能告诉马克·扎克伯格公司已经被攻破了，然后继续说“抓住你了！那是个练习！”

我想我完全可以这样做一次。

正确的。

所以有了一个桌面，你就把所有人**在一起，看看你会如何应对真正的破坏。

我们会在红队演习的基础上**桌面，这样我们就能确切地知道哪些攻击是现实的，以及蓝队的技术反应如何。

我做练习的方式是提前告诉人们留出一整天的工作时间。假设今天是星期二。

然后，那天早上，我们将把场景注入公司的各个部分。我们进行的一次演习集中在GRU闯入Facebook窃取一位欧洲政客的私人信息，然后勒索他们。

所以在太平洋时间午夜，我从这个目标国家的内政部发了一封电子邮件给爱尔兰办公室，负责处理欧洲的隐私请求，说他们认为他们政客的账户被黑客入侵了。

东海岸时间早些时候，华盛顿通讯小组接到《*****》的置评请求

技术小组接到了技术警报。

所有这些人都知道这是一个练习，你必须小心地在邮件上标记上[红队练习]，这样一些律师就不会发现它们，并说你有一个秘密漏洞。

然后，作为CSO，我的工作是记录这些人是如何联系我们团队的，以及白天发生的事情。下午晚些时候，我们召集了全世界40个人（回到人们坐在会议室的时候），讨论了我们的反应。最后，首席执行官和首席运营官拨通了电话，副总裁和总经理向他们简要介绍了我们建议的战略。然后我们通知董事会我们是怎么做的。

这是一个极其重要的过程。

我知道为什么了。

破坏是（希望是）黑天鹅事件。它们很难预测，也很少发生，所以从这些练习中你会发现，内部沟通渠道和责任的指定非常模糊。

在我提到的这个练习中，实际上有两个完全不同的团队在不与另一个团队交谈的情况下工作来应对漏洞。

所以技术红队帮助你提高键盘手的反应，桌面帮助你提高非技术队和执行反应。

另一个好处是，每个人都习惯了被破坏的感觉。

作为一名顾问，我经常这样做（偶尔也会这样做），当你至少在模拟交火中时，保持冷静和做出明智的决定要容易得多。

不管怎样，所有这些都可能是你可以在“威胁建模”下进行的练习

谢谢，作为一个外行，这一切对我来说都是有意义的。关于威胁建模本身还有一个问题。然后是选举年新闻业可能的改编。

威胁建模的最终产品是什么？它对你有什么帮助？换句话说，什么是可交付成果？你给我的一个答案是：它帮助你部署稀缺资源。我可以立刻看到新闻业的相似之处。你只有那么多的记者，那么多的空间在主页上，那么多的警报，你可以发出。但是，还有其他威胁建模的“产品”吗？

最重要的产出是处理不可避免的危机所需的过程和组织变革。

作为一个CISO就像是属于一个冥想的信仰体系，在那里接受死亡的必然性只是通往启蒙的一步。你必须接受违背的必然性。

因此，一个“可交付成果”是你必须做出的改变，为即将到来的事情做好准备。

对于记者来说，我认为你必须接受有人会试图操纵你，也许是以一种有组织和专业的方式。

让我们回顾一下2016年。正如我多次讨论的那样，我认为在俄罗斯针对选举的五项单独行动中，最具影响力的可能是GRU黑客和泄密活动。

虽然DNC/DCCC的调查和他们的电子邮件被泄露有技术成分，但这次行动的真正目的是操纵美国主流媒体，改变他们对待希拉里·克林顿所谓的不当行为的方式。

他们非常成功。

所以，让我们想象一下，《****》雇我来帮助他们建立2020年的威胁模型和实践。这是一个极不可能的情况，所以我会在这里给他们免费的建议。

首先，想想2020年可能的对手。

你还有俄罗斯安全部门。FSB、GRU和SVR。

所以我会帮助收集过去四年中他们造谣行动的所有例子。

是的，我在跟踪。

这将包括GRU的策略，即侵入网站植入假文件，然后将其媒体指向这些文件。当这些文件不可避免地被删除时，他们就把它当作一个阴谋。这是他们对波兰相当于西点军校的地方所做的事情，而且最近有一些活动看起来像是在纳瓦尔尼中毒事件上栽赃假文件。

你有俄罗斯互联网研究机构，以及他们目前的活动。他们也开始转向国内，现在在国内**人员来**内容。Facebook本周打开了其中一个网络。

然而，今年我们有了新的球员！你有中国人。在黑客和造谣的联合行动上，中国确实落后了，但他们正在迅速地弥补时间。科维德和香港危机促使他们在英语中建立更具能力的公开和隐蔽的能力。

最重要的是，在2020年，你有了国内演员。

俄罗斯在2016年的活动，无论是安全部门还是巨魔农场，都有很好的记录。

**造成的崩溃，就像一个不堪重负的邮局。

是的，没错！

我为Lawfare写了一篇文章，想象外国演员利用黑客攻击在选举中**混乱，然后用disinfo传播。现在这很奇怪，因为选举已经被科维德预先窃听了。

各州和地方**必须为大流行性投票做准备的斗争，以及**和共和党参议院有意对应对措施的限制，实际上已经预先侵入了选举——在如何投票、何时投票的问题上，已经有了巨大的困惑，以及这些规则是否得到了公平的应用。

所以，不管怎样，这就是“威胁思维”

正确的。

然后，我会检查我的“攻击面”

对《****》来说，这些攻击面将是这些对手试图向报纸注入证据或叙述的方式。最明显的是被黑客攻击的文件。2016年工作很好，为什么换马？

对此也进行了一些讨论。但据我所知，没有真正的准备。

但我也会考虑GRU的其他行动，比如**假文件，以可否认的方式“泄露”这些文件。（评论页也被证明是攻击面，但这是另一个讨论。）

因此，从这个威胁构思和攻击面映射，我将创建一个现实的场景，然后运行桌面练习。我也会这么做。告诉主要记者、编辑和出版商留出一天时间。

通过他们的SecureDrop注入被盗的文件，用一个假的202号码打电话给一个记者，并声称自己是一个泄密者（用真实的社交媒体等进行支持）。

然后大家聚在一起讨论“在这种情况下我们该怎么办？“看谁做决定，谁会被征求意见。什么是沟通渠道？我认为这是一个真正的平行于它，因为你只有几个小时来回应。

我会注入真实的新数据。“福克斯新闻刚刚报道了这个故事！你是做什么的？然后你做了一个“我们怎么能反应得更好”的验尸报告？”

这样，当GRU发布“万圣节文件”，包括亨特·拜登的私人电子邮件和副总统拜登的假病历时，每个人都在压力下锻炼了做出这些决定的肌肉。

好了，我们有进展了。

我曾写道，我们的大型国家新闻机构应该有威胁建模团队，以便应对美国民主，特别是11月选举中发生的事情。

在这种情况下，我所说的“威胁”并不是指对新闻公司IT系统的攻击，也不是指试图“欺骗”记者的坏行为，而是指整个拥有自由和公平投票权的系统可能会失败的威胁，我们可能会陷入宪法危机，或是一种非常危险的国内混乱，甚至“失去”我们的**民主-这不是玩笑-当然，所有的方式新闻系统作为一个整体可能**纵的战略谎言，或其他方法。

在这种情况下，你认为这个建议——大型国家新闻机构应该有威胁建模团队——到底有多实际？

对于大型组织来说，这是绝对现实的。《****》、NBCUniversal（康卡斯特有一个非常好的安全团队）、CNN（AT&T的一部分，拥有数千名安全人员和一个巨大威胁的英特尔团队）。《*****》可能是盈亏平衡的组织，规模较小的报纸可能难以承受这种压力。

我在想那些大人物。

但即使是小公司也可以而且确实聘请安全顾问。因此，就像在科技领域一样，大公司可以有内部团队，小公司应该请专家来帮助计划几个星期。大机构都有研究这个问题多年的优秀记者。

在技术方面，我们的一个大问题是，产品团队没有适当地咨询内部专家关于这些产品是如何被滥用的，可能是因为他们不想知道。

从我所听到的那些恶作剧中，不同团队的编辑和记者有时会遇到这样的情况，他们没有与在这个节拍上花了多年时间的人进行磋商。

那是可能的，是的。

NBC不应该在没有征求本·柯林斯和布兰迪·扎德罗兹尼的意见的情况下，就拿着偷来的文件运营。《****》需要给妮可·佩尔罗斯和希拉·弗兰克尔打电话。《邮报》，克雷格·廷伯格和伊丽莎白·德沃斯金。

这可能是因为有些人不想把故事拍下来。

是的，他们不想听到“你被耍了”，尤其是如果是独家新闻。

就像硅谷的产品一样，人们不想听到“这种想法从根本上说是危险的”

我认为编辑室威胁建模团队的一个产品是“实时”威胁紧迫性指数，每天重新发布。这将是一个在线和时事通讯上发表的编辑产品，有点像内特·西尔弗的选举预测。

威胁紧迫性指数（Threat emergency Index）将通过合并对每种威胁的后果、可能性和直接程度的评估，对自由公平选举和选举季美国民主的最大危险进行总结和排序。它会随着新信息的出现而改变。在你的视野中，这样一个索引是如何工作的？

我认为这将是有用的，但我怀疑你能否创造出有意义的量化指标。

InfoSec已经花费了数年和数百万的时间试图建立定量的风险管理模型。我们都嫉妒金融机构所做的金融风险建模。

但事实证明，在快速发展的敌对环境中建立这些模型是非常困难的，因为我们仍在学习基本的弱点。

会计有500年的历史。在中国可能更老。

也许不是一个有得分的定量排名，但是一个简单的威胁等级如何？

我认为一个全行业的威胁构思和建模练习将是伟大的。而且对小商店非常有用。我对我的《****》/《邮报》/《全国广播公司》的朋友们说的一件事是，他们真的需要建立一套内部指导方针，指导他们如何处理操纵行为，然后再公布给其他人。这就是InfoSec中各种信息共享和协作组的实际情况。

大公司产生的威胁和想法是公司无法负担内部团队的消费品。

威胁紧迫性指数可能被视为全行业的资源。那么，这些类别——每种威胁的后果有多大、可能性有多大、直接程度有多大——它们实际上是不同的吗？它们对你有意义吗？

你实际上是在谈论创建与MITRE ATT&CK矩阵相当的新闻学。这是一种资源，它将数百家公司的产出整合到一个对手的地图中，以杀死链、技术和响应。

这是一个非常有用的资源，公司试图探索所有的领域，他们应该考虑。

最后一个问题。暂时戴上你的新闻批评帽：你担心美国新闻媒体如何面对这些危险吗？

嗯，我想我会有两个主要的批评。

首先，在过去的四年里，大多数媒体都把大部分时间花在报道科技的失败上，这些失败是非常真实的，而不是他们自己的失败。这扭曲了公众对影响力的看法，将漫无目的的网络恶搞提升到了高度针对性的叙事操纵之上。这也意味着他们仍然有可能受到同样手段的攻击。听一下迈克·巴巴罗和迪恩·巴奎特的播客，很明显有些人认为他们在2016年做得很好。

是的。我写的。迪恩称，最大的问题是没有与足够多的特朗普选民交谈。

第二，媒体在报道造谣方面还真的很差，因为他们给了造谣者巨大的影响力，而这并不是最初的参与者所能获得的。最好的例子是第一个“放慢南希佩洛西”视频。现在，关于**纵的媒体以及模仿和造谣之间的界限，有一场完整的辩论。但即使你认为这段视频有根本性的问题，它的浏览量也很小，直到人们开始在Twitter上指向它，然后在媒体上批评它。这个国内巨魔成了全国新闻！我在MSNBC做了一个关于它的采访，当我谈到我们不应该放大这些东西的时候，他们正在分屏播放视频！

这是个大问题。

我也写过。大多数新闻编辑室都没有很好地考虑到扩大报道的危险性。

因为这种不正确的、占主导地位的叙事方式产生了这样一种观念：每一个辛辣的模因都是俄罗斯的恶棍，任何数量的政治造谣，在自由社会中都是不可避免的，都会自动使选举结果无效。这是一个疯狂的权力给这些人。

你可以认为这是对“新闻价值”系统的黑客攻击。

有人在网上和网络造谣的影响方面做了很好的定量研究，其影响通常比你预期的要温和得多。这并不意味着我们不应该阻止它（特别是在投票造谣的情况下，这会直接影响投票率），但我们需要把网络造谣放在一个对我们的民主风险合理的排名中。

对我们民主制度的风险的合理排序。这就是威胁紧迫性指数。

我很高兴你能报道这些事情。