RSAC 2019 | 網絡安全怎樣才能變得”更好“?
責編:gltian |2019-03-07 14:35:39今年RSA會議的口號是“更好” – 因此,周二上午的主題演講歸結為扭轉了一些最近惡化的令人不安的社會趨勢。?其中包括“信息戰”,旨在破壞公民對媒體及其消費信息的信任,利用社交媒體進行影響力宣傳以及人工智能和物聯網(IoT)的出現,這既是好處,也是潛在的威脅。?為了進入一個更有希望的未來,網絡社區必須致力于重建信任 – 信任技術并信任自己,Niloofar Razi Howe是一位網絡安全戰略家和企業家,他在主題演講期間登臺亮相。她說:“信任經濟如同水對生命意義,?我們正面臨信任危機。”?她補充說,這是一場危機,如果不加以解決,可能留下深刻的社會學傷疤。
未來是黑暗的
Howe和RSA總裁Rohit Ghai通過勾勒出對2049年的世界的看法,他的視野變得有些暗淡。到了20世紀40年代,人類進步的第五個偉大時代將是正如火如荼。?在我們熟悉的農業,工業,互聯網和數字革命作為歷史社會學現象之后,我們將進入一個生物數字時代,他們說,生物學和技術已經融合在一起。
事實上,2049年聽起來像一個有趣的地方:數十億在線使用的數以千萬計的連接設備。?傳統貨幣已經被兩種主要的全球虛擬貨幣所取代,?然而這正是黑暗的來源,Howe和Ghai指出如果信任現在沒有被重新點燃,他們認為我們的未來將會黑暗。
他們認為,經過多年的選舉活動遭黑客攻擊和虛假新聞、信息以及通過社交媒體傳播,超過一半的美國人在2025年失去了對民主的信心。?Howe說,大多數人在一個“事實,錯誤信息和意見模糊”的世界中對新聞的獨立性和真實性失去了信心。?她補充說,“基于事實的理性話語幾乎消失了。?沒有人知道政府是否能夠或將會解決重要的社會問題。“到2025年,全球貿易戰也將全面展開,導致互聯網孤立,建立各種數字”墻“,將全球人口分開。
Ghai補充說,仍然設想未來,“在20世紀20年代,信任危機的出現撼動了我們社會的基礎。”
人工智能是把雙刃劍
增加這種信任危機的是新技術的出現,這些新技術引入了新的潛在攻擊面或可用于非預期的惡意后果。?人工智能(AI)已經成為其中最蠢的之一,邁克菲的高級副總裁兼首席技術官Steve Grobman參加了主題演講,討論AI以及我們是否可以信任它。
他概述,AI是網絡防御的新基礎,它將使我們能夠在理論上更好地檢測威脅并贏得我們的對手。?它還可以通過委派一些自動化任務來幫助解決人才短缺問題,因此人們可以專注于更關鍵的任務。
問題在于“技術不了解道德”,他說,在不知道或不關心它是否提升戰機或醫療特使的飛機機翼之間劃出一條平行線。?換句話說:
“相同的加密算法可以防止每月在網絡上竊取150字節的數據,或者它可以實現勒索軟件攻擊,加密的核心只是數學,你不能阻止某人做數學。就像飛行機翼一樣,我們不能只專注于幫助我們的潛力;?我們必須了解如何限制以及它將如何被用來對付我們。”
邁克菲的Grobman。
Grobman指出,舊金山的公共安全組織正在利用現代數據科學來優化警察根據犯罪水平和其他指標集中巡邏的地方。并且展示了一個AI模型。
邁克菲首席數據科學家,福布斯科技界50強女性之一Celeste Fralick也在舞臺上解釋了AI如何實現Ghai和Howe所提到的深度欺騙。
物聯網在聚光燈下
另一個削弱信任的領域是圍繞越來越多的連接設備,這些設備正在成為關鍵基礎設施,公用事業和制造環境結構的一部分。
思科Talos全球威脅情報組副總裁Matt Watchinski在他的主題演講中指出了許多預測,這些預測要求物聯網設備爆炸 – 其中可能有2500億(包括傳感器等)將被連接起來2020年
“我們周圍已經有成千上萬的互聯設備,都有獨特而有趣的威脅配置文件,?他們不再運行專有協議;?他們都有IP。?我們正在談論交通流量計,紅綠燈,所有這些都連接到我們以前沒有的IP世界。?我們在物聯網中構建的技術正在滲透到我們的IT世界中。最終,他們將流入關鍵基礎設施的運營技術(OT)世界,以及我們如何提供水和電力。?我們將不得不學習全新的OT安全世界。“
思科的Centoni。
闡述這一點,思科物聯網高級副總裁兼總經理Liz Centoni也在舞臺上解釋說,OT的核心安全挑戰是了解OT團隊 – 以及他們的目標 – 與更好的不同 – 已知的IT環境。
“在運營領域,工廠經理正在追蹤OEE等整體設備的有效性,?他正在查看一份安全事故報告 – 因為沒有安全事件發生就是美好的一天”
解決信任危機
Ghai和Howe制定了一個三管齊下的計劃,以解決這場醞釀中的“信任危機“。
首先,了解風險和信任并存;?接下來,鼓勵值得信賴的數字結對; 最后?,建立信任鏈。
即使對組織,政治和社會機構的信任度下降,普通人仍然在“信任陌生人,并邀請他們進入自己的家庭,汽車和生活,這要歸功于平臺在個人之間形成了點對點的信任, “Howe指出,指的是AirBnB,Uber等。
在這種點對點場景中,人們明白這不是消除風險,而是理解,優先排序和管理風險。?所有條紋的信息都應采用相同的方法。
“在2049年,我們有機器練習DevSecOps,并且AI有助于管理風險。?“
從理論上講,每一項技術都能夠自我修補。?數據變得流動,并且為了應對,每一項技術都被用來評估風險并相應地進行調整 。此外,數據應在創建時標記,并持續標記,以跟蹤數據的去向和擁有者。
接下來的想法,值得信賴的是人與機器在一起比單獨工作更加值得信賴的想法 – 這解決了人工智能的一些問題。
“在大多數任務中,機器可以勝過人類,但是?人類善于創造性的東西,人類更善于知道要問和調查的問題。?因此,想象一下數據的海洋,人類會問問題然后通過機器獲取答案。“
第三個想法是信任鏈,這與聲譽有關。
“我們將衡量聲譽以衡量可信度,?信任并不需要完美,更多的是誠實,責任和透明度。?報告好事件,披露不好的事件。“
Howe還建議用數字信任評分標記產品:信任/風險:信任商。
最后,Ghai說,他希望回顧RSA 2019并說,“那是4萬名網絡從業者頓悟的一年 – 并開始著迷于信任格局。?這為前進鋪平了道路。“