CPS體現了嵌入式系統��,實時系統�,(有線和無線)網絡和控制理論的幾個方面����。
嵌入式系統:CPS最一般的特征之一是�,由于與物理世界直接接口的幾臺計算機(傳感器�����,控制器或執行器)僅執行很少有具體的行動���,它們不需要經典計算機(甚至移動系統)的一般計算能力����,因此它們往往資源有限��。
實時系統:對于安全關鍵系統�,執行計算的時間對于確保系統的正確性非常重要����。
網絡協議:CPS的另一個特征是這些嵌入式系統相互通信��,越來越多地通過IP兼容網絡進行通信���。雖然電力系統等許多關鍵基礎設施都使用串行通信來監控其SCADA系統中的遠程操作����,但直到最近二十年�,系統不同部分之間的信息交換已從串行通信遷移到IP兼容網絡�。
無線:雖然大多數長途通信是通過有線網絡完成的����,但無線網絡也是CPS的共同特征����。嵌入式系統的無線通信在2000年代初以傳感器網絡的形式引起了研究界的極大關注��。
控制:最后�����,大多數CPS觀察并嘗試控制物理世界中的變量��。反饋控制系統已經存在了兩個多世紀�,包括1788年推出的蒸汽調速器等技術�����?��?刂评碚撝械拇蠖鄶滴墨I都試圖用微分方程對物理過程進行建模��,然后設計一個滿足一組所需屬性(如穩定性和效率)的控制器��。
在討論了CPS的這些一般特征之后���,需要注意的是��,CPS是多種多樣的���,它們包括現代車輛���、醫療設備和工業系統�����,所有這些都具有不同的標準����、要求�����、通信技術和時間限制�。因此�����,我們與CPS相關的一般特征可能不適用于所有系統或實現�。
除了AIGC����,2023年還要面臨哪些技術“雙刃劍”��?最近兩個月���,人們驚嘆于AIGC的“超能力”����,但也對AIGC帶來的潛在風險表示擔憂����。ChatGPT之父Sam Altman在最近的一次訪談中表示��,AI在為人類的聰明才智提供力量倍增器的同時���,也可能帶來技術濫用�����、事故等安全風險��。他重點指出「惡意人員運用AIGC技術編寫計算機代碼模型可以用于賦能網絡攻擊」��。
除了AIGC���,勒索攻擊的威脅有增無減���、供應鏈已成為企業數據保護的薄弱環節�����、反欺詐應由體驗優先轉向動態治理等安全問題的爆發���,無一不在給產業數字化提出更多的挑戰����。
IT工業化的發展�����,企業的軟件和應用開發效率得到極大提升��,但對第三方軟件和開源組件的依賴也引入了更多安全風險����。供應鏈攻擊事件連年攀升���,已經成為世界性難題����。作為連通架構的產業互聯網���,其安全脆弱性前所未有�,需要網絡安全產業齊心協力�,打破技術���、行業之間的壁壘�,共同構建產業互聯網安全生態��。
產業各界需攜手共識�����,建立產業發展安全觀�����,建設涵蓋企業人才����、技術���、管理���、生產���、服務等全鏈路數字化協同的安全防御能力�����,打造貫穿企業生命周期的安全免疫體系�。企業參與數字化時代的市場競爭����、謀求新階段的高質量發展����,企業家需要樹立正確的安全觀念�����,了解并研判產業安全發展趨勢��,在戰略上以一把手工程的視角看待安全��,統籌發展與安全��,既要基于安全謀發展�,又要以發展促安全�。
在審計IT一般安全控制以確保信息系統在財務報告中的可靠性時���,數據的完整性是很重要的�����,但機密性是否同樣重要���,則值得商榷�����。如果強大的身份驗證控制已經到位����,并且對數據的直接訪問被嚴格限制在適當的個人身上�����,那么新的控制是否有必要�?在這種情況下��,未經授權的個人獲取和修改數據的風險似乎很低��。為了了解這些控制措施的相關性����,需要仔細研究欺詐和缺乏數據完整性的風險�����。
在對信息系統執行IT審計時����,關鍵的風險因素是數據不安全和欺詐���。2016年���,美國國家標準與技術研究所(NIST)描述了三種可能導致數據完整性問題的網絡攻擊場景:勒索軟件��、數據破壞和數據操縱(內部威脅)���。最近的另一項研究描述了云中的多種攻擊��,可能導致數據完整性問題�����。在連接到互聯網或云的信息系統中�,攻擊面要大得多�,因此�����,數據安全是一個重要問題�����。
云平臺使用的增加以及與之相關的風險因素的增加��,反映在所實施的欺詐數量上���。在最近的一項調查中����,“近70%的遭遇欺詐的組織報告說����,最具破壞性的事件來自外部攻擊或內外的勾結��?���!蓖徽{查表明���,網絡欺詐比資產挪用更常見��。
IT一般安全控制指南已經過時了�。隨著IT環境的不斷變化�����,對數據保護的要求也需要不斷發展�。在測試IT一般安全控制時�����,應考慮對IT環境中的相關應用�����、數據庫���、操作系統和網絡組件進行與安全評估����、數據資產保護����、安全數據傳輸����、端點保護�、漏洞監測�、安全監測和安全處置有關的額外控制措施�����。
澳大利亞再發嚴重數據泄露事件���,涉及800萬用戶個人信息三月初��,澳大利亞非銀行貸款機構 Latitude Financial 遭遇了一次網絡攻擊�,最新情況表明��,其后果可能比先前預估的更加嚴重����。該公司于 3 月 16 日首次透露了這起攻擊事件�,稱有33萬客戶的數據遭到泄露���,而最近����,該公司承認受影響的客戶數量可能達到了800萬之多����。
美國廣播公司新聞報道稱����,黑客已經獲取了客戶的姓名�、地址�、出生日期�����、電話號碼���、護照號碼���,甚至還獲取了月度財務報表����。此外����,有大約570萬條數據來源于2013年之前的歷史數據���,最早可以追溯到2005年���。該公司仍在評估可能涉及重復統計的數據��,并確定受影響客戶的真實數量�。
有Latitude 客戶表示���,由于個人可供識別身份的照片在攻擊中被盜�,讓他們感到“受到了侵犯”���。Latitude 表示���,它將補償客戶更換任何被盜身份證件的費用���。外交和貿易部還證實�����,受影響的護照仍然可以安全使用����。
外部入侵和人為因素是造成數據泄露的兩大主要原因�����。
為防止內部員工的不當操作泄露企業數據�,企業應該定期為員工進行相關培訓來提高安全意識�����。而憑證竊取����、漏洞利用等外部攻擊導致的數據泄露��,往往歸因于企業安全防護建設不到位�,系統存在讓攻擊者有機可乘的薄弱環節����,主動防御才是抵擋攻擊者腳步的最佳選擇��。
軍事基地航拍照片泄露,俄語論壇黑客售賣美國法警局數百GB敏感數據據外媒報道��,一名黑客正在一個俄語論壇上出售據稱是從美國法警局(USMS)服務器中竊取的350 GB數據�。USMS是美國司法部下屬的一個機構�����,通過執行聯邦法院命令���、確保證人及其家人的安全����、查封非法所獲資產等職責為聯邦司法系統提供支持��。
賣家在帖子中將該數據庫標價15萬美元�����,據稱包含美國法警局文件服務器和工作電腦上從2021年到2023年2月的文件�����。這些文件包括具有精確坐標的軍事基地和其他敏感區域的航拍視頻及照片�����、護照及身份證明的副本�、以及有關竊聽和監視公民的細節���,另外還有一些關于罪犯�、黑幫頭目等的信息����。賣家還聲稱����,其中一些文件被標記為機密和絕密�����,并且還包含證人保護計劃的細節����。
除此之外��,USMS還曾在2020年5月披露過另一起數據泄露事件�,其曾于2019年12月泄露過超過38.7萬名前囚犯及現囚犯的詳細信息(包括姓名��、出生日期�、家庭地址和社會安全號碼)���。
可以看到��,即使是政府機構也無法避免遭受網絡攻擊的損失��,現下敏感信息盜竊威脅日益嚴重��,所有組織都有必要在其運營中優先考慮網絡安全措施��,特別是那些涉及處理敏感信息的機構��。并且需要注意到�,事前采取預防措施遠比事后響應更為妥當���。
Code42委托進行的一項數據暴露調查研究表明�����,盡管已經設置了專門的內部人風險管理(IRM)計劃��,大多數公司仍然難以阻止內部人事件造成的數據丟失����。
Gartner分析師Paul Furtado稱:“員工���、合作伙伴和承包商都有不同級別的訪問權限�,各具不同敏感性��,但這些用戶的行為卻沒有得到有效監控�。IT安全開支基本上集中在防范外部威脅和保護邊界不受惡意侵入方面��,未必會對受信內部用戶施行相同等級的預防性數據保護控制措施����,而且通常只在事后才會發現違規行為��?����!?/span>
Kubernetes實時監控公司KSOC聯合創始人兼首席技術官Jimmy Mesta表示:“各個行業都普遍存在內部人風險���,其潛在影響非常廣泛����,從短暫宕機到數據完全丟失都有可能���。企業內部IT基礎設施的日漸復雜和云技術的采用��,使得某些情況下幾乎不可能檢測內部人風險��。內部人風險并非總是源自惡意��,這可能會令檢測變得尤為困難����?���!?/span>
通常情況下���,內部人(員工)只是想方便自己工作而已�����,只不過采取了未經批準的方式導出數據���,或將之共享給了錯誤的人(無權查看數據的人)?����,F有技術和計劃無法檢測和防止意外操作(相對于惡意或疏忽而言)���,事件進一步增加����。領導團隊應足夠重視內部人員的安全保密意識���,提高他們的安全防護能力�,積極推進數據體系安全建設���。