NIST网络安全白皮书

NIST CSWP 35 ipd

基因组数据测序工作流程的网络安全威胁建模

基因组数据测序和分析的威胁模型实施示例

罗纳德·普利瓦尔蒂

美国国家标准与技术研究院国家网络安全卓越中心

贾斯汀·瓦格纳

贾斯汀·祖克

美国国家标准与技术研究院材料测量实验室

布雷特·克莱德Einaam Alim

朱莉·斯奈德 伊莎贝尔·布朗

凯文·E·威尔逊 帕特里克·帕普

马丁·沃蒂尼亚克 贾里德·谢尔登

MITRE公司阿拉巴马大学亨茨维尔分校

斯科特·罗斯

菲利普·惠特洛

哈德逊阿尔法生物技术研究所

本出版物可从以下网站免费获取：https://doi.org/10.6028/NIST.CSWP.35.ipd

2024年12月16日

编译 老烦的草根安全观

2025年2月24日

执行摘要

在这篇论文中，国家网络安全卓越中心（NCCoE）基因组数据项目团队演示了如何针对基因组测序和分析所涉及的环境进行网络安全威胁建模。该论文展示了一个常见的四步威胁建模过程，可以作为参与基因组研究、测序和分析规划的组织进行类似威胁建模和确定缓解措施的示例：

1.通过基因组数据处理环境的架构、数据流和高价值数据流图记录“我们在做什么？”（第2.1节）。

2.通过使用STRIDE、MITRE ATT&CK®和攻击树等工具识别环境中的威胁，评估“可能会出什么问题？”（第2.2节）。

3.通过优先考虑已识别的威胁，利用最佳实践指南和现有资源，确定“我们该怎么办？”以帮助确定缓解措施的初始目标的顺序和选择（第2.3节）。

4.通过审查威胁建模练习的结果并确定任何其他活动，包括需要采取额外缓解措施的高优先级领域，来考虑“我们做得好吗？”（第2.4节）。

背景：2008年《遗传信息非歧视法》（GINA）[1]等立法确定了保护遗传数据的必要性，而第14018号行政命令[2]则规定了识别风险和制定包括基因组数据在内的生物数据集保护计划的必要性。网络攻击可能会影响处理基因组数据的系统的机密性、完整性和可用性，从而带来经济、隐私、歧视和国家安全风险。组织依靠基因组数据共享和聚合来推进科学和医学研究，改善健康结果，并在全球生物经济中竞争。基因组数据的网络安全和隐私因数据的性质而变得复杂，数据的性质是不可变的，包括亲属关系、健康和表型，以及基因组学界的广泛、多样和国际组成，其中包括从事生物制药研究、医疗保健、执法、农业和直接面向消费者的基因检测的政府、学术界和行业利益相关者。

该论文是NCCoE更大努力的一部分，旨在让基因组数据处理利益相关者参与进来，以制定解决相关网络安全和隐私问题的实用指南。NCCoE基因组数据网站提供了以前研讨会和出版物的链接，包括美国国家标准与技术研究院（NIST）内部报告（IR）8432，基因组数据的网络安全[3]和IR 8467，基因组数据网络安全和隐私框架社区简档（基因组数据简档）[4]。此外，NCCoE目前正在制定一份以隐私为重点的指南，以解决与隐私相关的问题、威胁和风险，该指南也将发布。

1.导言

本文档提供了一个如何在基因组数据处理环境中进行网络安全威胁建模的示例，以帮助识别潜在的网络安全威胁、其影响和潜在的缓解措施。这些环境代表了政府、学术界和工业界通常用于处理基因组数据的设备、流程和工具的基本实现。

1.1. 用例和范围

这个威胁建模示例解决了脱氧核糖核酸（DNA）测序和分析结果的常见用例。生物经济学的许多产品和服务都依赖于这个用例。请求组织（研究伙伴）将物理“湿实验室”DNA样本和相关元数据（以数字形式）发送给基因组测序实验室，该实验室处理样本并以基因组序列的形式返回数字结果。基因组序列作为研究伙伴数据分析管道的输入。基因组学作为一个科学领域，通过公开共享公开分发的软件，发展迅速。社区通过自由共享该软件受益匪浅，但在基因组数据分析管道中使用该软件时，也应始终如一地实施适当的风险管理实践。在本文中，我们将这种不可信、现成、定制或开源软件（OSS）称为“不可信软件”。图1说明了这个用例。

图1.基因组测序工作流程

1.2. 组织定制

处理基因组数据的组织需要保护这些数据，因为如果人类基因组数据被暴露，这些数据具有很高的价值，也会给个人带来隐私风险。组织需要一个流程来指导选择适当的网络安全能力，以将基因组数据的保密性、完整性和可用性风险降低到可接受的水平。每个组织在定制这个例子以选择和实施适当且具有成本效益的网络安全能力以实现组织成果时，都应该考虑自己的目标和优先事项。该组织还应定期评估其网络安全态势，考虑新技术和威胁，以确定网络安全结果中的差距，并优先采取缓解措施。

NIST IR 8467《基因组数据概况》为处理基因组数据的组织提供了一份优先任务目标列表，并对CSF 2.0子类别（或结果）进行了优先级排序，以支持实现这些任务目标。基于基因组材料测序的用例，项目团队从基因组数据概况[4]中选择了三个相关的任务目标，如表1所示。

表1.基因组测序工作流程任务目标

在整篇论文中，为基因组数据概况中的一个或多个任务目标优先排序的CSF 2.0子类别列在括号中，缩写为（CSF子类别；任务目标）。例如，CSF子类别GV。OC-01：“了解组织使命并为网络安全风险管理提供信息”来自治理（GV）职能和组织背景（OC）类别。它被优先指定为任务目标8，缩写为（GV.OC-01；MO:8）。

1.3. 威胁和风险

在生物经济中，组织将有不同的任务目标，因此，尽管面临类似的网络安全威胁，但风险也不同。同一威胁在两个不同的组织或用例中可能具有不同的影响或可能性。例如，拒绝服务威胁可能对时间敏感的疾病监测产生很大影响，但对农业研究人员的影响较小。为了最大限度地提高本文用例（测序基因组材料）的适用性，该过程侧重于威胁而不是风险，这是特定于组织及其用例的。“威胁”一词与“风险”不同

l威胁是“任何可能对组织运营（包括使命、职能、形象或声誉）、组织资产或个人产生不利影响的情况或事件”[5][6]。

l风险是“衡量一个实体受到潜在情况或事件威胁的程度，通常是以下因素的作用：（i）如果情况或事件发生，将产生的不利影响；以及（ii）发生的可能性”[5][7]。

威胁建模场景可适应不同的利益相关者，他们可以将其特定的组织依赖性（i）不利影响和（ii）计算其风险所需的威胁发生可能性带入威胁模型。威胁建模场景甚至可以适应上述之外的不同风险和漏洞评估，这可能适用于不同的用例场景（例如，对于医疗器械制造商提交设备供美国食品和药物管理局（FDA）批准的用例[8]）。

潜在风险的确定将指导组织制定风险战略，消除、减轻、接受或转移威胁责任，以满足其组织的特定风险承受能力和适用的法律或监管要求。

1.4. 威胁建模概述

NCCoE团队使用4问题框架[7]（如图2所示）通过回答以下问题来构建威胁建模过程：

1)我们在做什么？

2)可能会出什么问题？

3)我们该怎么办？

4)我们做得好吗？

虽然问题是按顺序列出的，但这个过程是迭代的，如图中的箭头所示。每个问题都是通过本文中概述的具体技术来解决的。一个问题的答案可用于修改之前的答案或突出显示之前问题答案的不完整性。

由于一些基因组测序仪在用作《美国联邦法规》第21篇第809.3部分定义的体外诊断产品时被视为医疗器械，因此本文使用了《威胁建模医疗器械手册》（《手册》）[9]中描述的威胁建模方法，该方法基于“威胁建模宣言”[10]中所述的方法。美国食品药品监督管理局在其关于医疗器械网络安全的上市前指导中[8]提到了一种威胁建模方法，并建议医疗器械制造商实施威胁建模来分析和识别医疗器械中的安全问题。该手册也可以作为非医疗器械制造商组织进行威胁建模的指南，正如本文所述。

由于此威胁模型适用于对同一威胁具有不同风险的各种利益相关者，因此将提出一些可能的缓解措施。然而，组织将根据其任务、执行威胁建模过程的目标、与特定用例相关的风险、系统生命周期的阶段以及可支配的资源来选择特定的缓解措施。因此，本文将不提供缓解措施的完整列表和问题4的答案。第2.3节提供了反映基因组工作流程中常见威胁和实施的潜在缓解措施。单个组织可以通过结合特定任务和用例的概率和影响，将威胁转化为风险。计算出的风险可以帮助他们选择是减轻、接受、转移还是消除特定的威胁。

1.5. 读者

原文始发于微信公众号（老烦的草根安全观）：基因组数据测序工作流程的网络安全威胁建模