CISA提出的安全设计承诺无实际约束力吗？

该协议是自愿的，不具备法律效力且可灵活应用于公司所有或其中一款产品或服务。不过，签署企业认为，该协议或有助于推动良好的安全实践和行业投资。

Claroty 公司是签署方之一，其首席隐私官 Grant Geyer 指出，“我认为它代表时代思潮。它是对越来越多的企业按照某种标准运营的认可，它让其它跟进的企业变得更加舒服和开放。”

不强制也没问题

CISA 提出的设计安全协议提出多项改进提升的领域，主要分为七大类：多因素认证 (MFA)、默认密码、减少整体漏洞类型、安全补丁、安全披露策略、CVE漏洞以及入侵证据。

该协议中并未包括任何变更性内容，也并不具备任何强制性。但对于参与企业而言，不止如此。

另外一家签名企业 Huntress 的高级威胁运营总监 Chris Henderson 提到，“虽然协议并不具有直接权力，但我认为开始定义预期是一种间接权力。”他表示，例如“在私营行业，有很多家企业实际凭借产品中的安全工具牟利。你会看到很多企业对安全特性收费，因为这些安全特性被认为很容易增加收入。实际上，其中很多安全特性的交付实际上并不会造成任何额外成本。”

Henderson 认为这项协议可能是无需颁布新法规就可推动公私合作伙伴关系的一种新方式。他指出，“我认为安全设计协议是通过私营行业和政府合作伙伴关系，推动的并不是法规，而是改变了人们对于‘合理的’期望。如果你的产品提供多因素认证或单点登录机制，但需要付费才可获取，而你的一名客户因为没有支付这些机制而遭攻陷，那么你是否造成了这种过失？”

另外一家签署企业Qualys 的首席信息安全官 Jonathan Trull 认为该协议的本质是经济性的。Trull 解释称，“在商业领域，你拥有两种（激励性）机制。你是合规的，这种核对性对于公开上市企业而言是强制的且证券交易所要求执行的。之后你获得更强大的机制：那么钱会流向哪里？”他的希望是这些基本的安全原则开始影响技术买家。他表示，“我希望买家能够停下来并询问，‘你为什么不签署呢？自愿的也无妨。’”

不止影响漏洞

Geyer 认为，不管企业是如何看待该协议的，协议本身在一些根本安全问题的对话重构方式方面具有重要意义。

例如，在漏洞管理方面，虽然组织机构知道在漏洞出现时要修复，但正如CISA在报告中提到的那样，“当前的绝大多数已遭利用漏洞是由常可被大规模阻止的漏洞类型造成的。”

Claroty 公司的Team82团队近期分析超过2000万资产时发现，22%的工业运营技术 (OT) 设备和23%的联网医疗设备 (IoMT) 中包含CVSS评分为9.0或更高的漏洞。然而，仅有1.3%的工业OT设备和1.9%的IoMT 设备中包含至少一个已遭利用漏洞，并直接和Web 而非通过安全访问解决方案进行通信。

Geyer 指出，“所以如果你用传统方式的话，那么必须修复23%的资产。这不仅是个庞大的数字，我们还发现当拓宽风险范围时（从只是一个漏洞到更多内容如默认密码、明文、通信、这份协议涵盖的内容），你只需要关注1.3%的资产。如果你确实采取了捕获所有23%资产的方式，那么结果就是你可能失去43%的高风险如默认凭据等。因此，CISA 采取一种更加宽泛的风险看法而非仅关注漏洞，这一点极其重要。这就是传统智慧的力量，而传统智慧从投入和影响方面都被误导了。”