在RSA 2019大会上,“信任”二字被反复提及。RSA总裁Rohit Ghai与安全战略专家Niloofar Razi Howe更是在开场致辞中展望2049的世界,并将“信任危机”列为通往未来世界的一大挑战。他们还邀请到曾获得奥斯卡最佳女以及多项电影奖项的女演员Helen Mirren,在现场带来提醒与鼓励,并与合唱团一起演绎 “Things Can Only Get Better”。这样的形式,呼应了主题,也令人耳目一新、印象深刻。
信息泄露事件频发、虚假信息泛滥以及监管与政策冲突导致信任崩塌,人与人之间、人与技术之间的信任不复存在,导致安全建设愈发困难。正如Howe在现场所说:
信任之于经济发展就像水之于生命。我们正面临信任危机,这个危机如果不解决,会给社会带来很深的烙痕。只有整个网络空间重建信任,才能迎来更明朗的未来。
未来的至暗时刻
RSA总裁Rohit Ghai在开场演讲中表示,放眼未来,2040年之后人类可能会迎来新的发展阶段。在我们经历过农业、工业、互联网以及数字化转型之后,生物数字时代将会来临,生物与技术的结合将带来更多挑战。这样的设想并非天马行空。随着数字化程度加深,全球联网或者互联的设备数量以亿为单位进行计算,虚拟货币逐渐成为新的交易货币,全球能源也注重可再生与可持续。此外,3D打印技术投入实践、太空探索渐有成果,整个社会都在飞速发展向前。生物认证等生物技术已经开始应用到各种场景中,成为每个人独特的识别特征。
但是,网络攻击不断、信息泄露频发、欺诈勒索横行;社交网络上充斥着虚假消息,尊重事实的理性讨论荡然无存。各国间看似平静往来的形势下暗流涌动,网络中逐渐筑起了一堵堵无形的高墙。发言人Howe认为,到2025年左右,全社会都会因为信任危机而动荡不安,安全形势发生巨大变化,影响到社会发展甚至人类生存。
为了避免这样的危机,我们要着眼当下,不进要关注威胁和攻击,还要着眼策略,关注风险管理和信任重构。有了有效的风险和信任管理,才能有底气拥抱新技术,构建一个更安全的社会。
技术与发展带来的不安
回顾近两年的安全会议或演讲,都避不开AI和物联网这两个话题。泡沫退去、从理念到落地之后,挑战与争议逐渐凸显。
AI
“AI是把双刃剑”,这句话自AI面世以来,很快就成了共识。很显然,AI的核心是算法,算法部分好坏,只因为使用方法不同而产生不同的效果。同样的加密方法既可以用于保护数据,也可能用于勒索攻击。
McAfee 的CTO、首席数据科学家、飞塔的信息安全顾问,都不约而同提到了AI与信任的关系。他们的言辞着眼于AI在攻击中的使用及其潜在的风险,意在提醒安全从业者正视并评估新技术的两面性,合理使用技术,及时规避威胁。
IoT
如今,物联网设备已经广泛应用于公共设施、国家关键基础设施以及日常家居设备。思科Talos全球威胁情报组副总裁Matt Watchinski在演讲中指出,到2020年,全球物联网设备数量可能达到2500亿。
我们周围充斥着成千上万的互联设备,每一个都代表着不同的威胁。他们不基于特定的协议而是依赖IP运行。
构建物联网世界的技术最终会影响IT技术乃至关键基础设施以及能源相关的技术。最终,全世界的运行技术和模式都有可能更改,并带来新的安全变革。思科物联网高级副总裁兼总经理Liz Centoni认为,应对OT安全挑战的关键在于了解OT团队与已知的IT环境之间的不同。OT人员可能更关注设备的可用性,以及更偏向物理安全的安全以及可恢复程度,但对于数据安全、信息泄露这些问题可能并不在意。要想在这样的环境中做好网络安全工作,需要良好的沟通与合作,找到合理的解决方案。在IT与OT之间架起一座桥梁。
解决之道
对于未来可能爆发的“信任危机”,Ghai和Howe提出了一些建议,以便防范于未然。
首先,了解风险和信任并存。即使对组织、政治和社会机构的信任度下降,普通 的人与人之间的信任感并未降低。在这样的场景下,应对方法并非是要彻底消除风险,而是理解、评估以及管理风险。
Ghai指出,2049年,DevSecOps能通过机器实现,而利用 AI也有助于管理风险。“从理论上讲,每一项技术都可以用来评估风险并相应地进行调整。 ”此外,在创建时数据时进行持续标记,以跟踪数据的去向与使用者 。这有助于更好梳理与管理。
第二点是建立人与技术互相监督的机制。人们可能会对如何使用技术做出正确且有力的决策,但是面对钓鱼邮件或欺诈链接却往往抑制不住好奇心,此时如果利用技术的力量提前检测预警,就能避免问题。
在处理数据时,机器比人类速度更快、效率更高。而人类善于创造性的东西。在数据的汪洋大海中,人去下指令、问问题,机器去执行。
第三点是建立信任链。Howe认为,可以将声誉(按照国内的理解,类似于征信或者信用分)作为衡量可信度的参考。这个声誉可以看作是分类记账。如果做了正确的事情,就相当于储蓄收入;如果不这样做的话,就相当于支出与缩减。
信任并不需要完美,更仰赖诚实、 责任和透明度。我们可以报告好的事件,披露不好的事件。还 可以用数字信任评分标记产品或服务,贴上信任或 风险的标签。
小结
当我们展望未来时,往往会充满希冀与憧憬。科技带来的变革往往快速甚至超出掌控,所幸总有一群理智且审慎的人着眼于风险并着手去改变与保护。从早期的防病毒与威胁检测到如今的身份验证与零信任框架,安全一直在与时俱进,虽然可能步伐不够快,但从未停下。
2049年的世界究竟会是什么样?也许很难回答,但看到这些理念和实践,也许我们可以选择相信那时会变得更好。这样的前提是,能够敏锐地发掘潜在危机,并持续防御。正如RSAC 2019所传递的理念那样,“Never trust, always verify”。这已经反映到很多安全厂商的策略或产品当中。Ghai说,希望今年对于网络安全与信任主题的探讨能为各位网络相关从业者带来顿悟并认真思考、实践。
*FreeBuf官方报道,转载请注明来自FreeBuf.COM。
来源:freebuf.com 2019-03-13 09:30:27 by: AngelaY
请登录后发表评论
注册