软件安全责任与复杂网络攻击：挑战与机遇

关键要点

• 软件开发商在安全性上赶工，导致企业频繁遭受黑客攻击。
• 拜登政府呼吁改变法律框架，以便提高软件开发的安全标准，并对开发商进行更多责任追究。
• 当前法律对复杂网络攻击的责任分配存在诸多挑战，尤其是在多阶段攻击的情况下。
• 安全行业及立法者呼吁建立更清晰的责任框架，以提升软件的安全性。

软件开发商为了加快开发进度，常常忽视安全性，导致企业频繁遭到黑客攻击。企业如 SolarWinds因软件不安全而遭到股东起诉，但这些诉讼通常集中于企业的整体网络安全做法，而非软件开发过程。一些案件最终往往在法院之外解决，未能形成法律先例。

认为，如果能让软件公司对他们的不安全软件承担潜在法律责任，并对那些遵循最佳实践的公司提供法律保护，可能会激励行业围绕安全设计的软件开发规范形成共识，改变国家讨论焦点，少指责最终用户在系统被攻陷时的责任。但网络安全专家和政策制定者告诉
SCMedia，这一问题的叙述过于简化，实际上存在复杂的威胁环境。在攻击的多点性质、补丁时间差和商业软件中广泛使用开源组件等方面，使得制定有效法律语言十分困难，这些法律语言难以明确排除不法行为者的责任。

复杂黑客行为使责任分配困难

所有迹象表明，政策制定者将有充足的时间来解决这个难题。代理国家网络主任 Kemba Walden 上个月告诉 SC Media等记者，白宫并不计划在本届国会对软件责任进行立法，但这个问题并不会在短期内消失。政府官员表示，《国家网络战略》的构想预计会有十年的存续期。

许多高级持续性威胁 (APT)
和勒索软件团体依赖复杂的攻击链，利用多个漏洞和漏洞利用手段最终突破组织的网络和设备。有可能某个漏洞让攻击者获取凭证，而另一个漏洞则让他们能横向移动或执行代码。在法庭上追究单个环节制造商的最终责任可能较为棘手。

“如何界定什么是疏忽？到底是某个非常糟糕、根本不关注安全的人？”Fastly 的高级首席顾问 Kelly Shortridge 在接受 SC Media采访时表示。“尤其是对于较小的企业来说，这是在 ‘我是否要快速行动以在市场中竞争？’ 和 ‘我是否要投入大量精力在安全上？’
之间的权衡。这并不是一个健康的选择。”

例子分析： Log4j Library
的漏洞非常普遍，但缺乏明显的责任方。每个公司都需自行进行修复，尽管很多公司依赖的代码曾被广泛认为是安全的，但直到实际被攻击后才发现其风险。

Log4j的安全漏洞在去年被发现广泛存在于商业软件中，但并没有明显的责任人。因其存在于数千种不同的产品中，每家公司都负责制作自己的补丁。虽然责任法律可能会使这些公司面临诉讼，但许多公司在很长一段时间内都认为这段代码是安全的。

例如，十到十五年前实施的类似软件责任法律，可能未曾考虑到最近整个行业在敏捷开发、DevSecOps 或云开发方面的推行。

“我们必须非常谨慎对待如何立法技术，因为技术发展非常迅速。我们需要谨防撰写与特定技术或架构挂钩的法律，特别是与特定漏洞挂钩的法律。”Carielli说，“因此……如果你说有人违反了这一点，法律上的论点将会是什么？你如何证明？”

任何法律框架都会面临其他相关问题，Carielli 提出，企业应在多大“合理时间”内修复 Log4j才能承担责任？他们是否有足够的时间来进行测试和其他措施，以确保漏洞真正消除了？或者，是否会面临一个“两难局面”：匆忙修补以避免诉讼