人機合智:安全運營中的人工智能
人工智能是對人類智能的補充����,而不是替代��。在復雜系統的環境中����,尤其是在與快速適應的�、智能化的對手對抗時���,以主動學習為核心的自動化技術將帶來極高的價值����。人類的主要工作是經常性的檢查機器學習系統�,加入新的樣例�����,不斷的調整迭代����。
許多信任人工智能駕駛汽車的網絡安全專業人士�,對人工智能在網絡安全對抗中的作用持懷疑態度���。但是����,在海量數據和告警需要處理的今天�����,自動化操作是提高安全運營團隊效率最有效的方法之一��,基本上也是未來唯一的解決之道�����。
自動化將創造性思維從耗時的操作任務中解放出來�����,尤其是在檢測高級威脅時非常有用�����,關聯分析��、優先級排序���,自動執行低風險的控制措施(如隔離可疑文件或要求用戶重新驗證)�����,這些都可以顯著提高安全運營效率�����、降低網絡風險��。
人工智能或機器學習至少在可見的將來無法成為唯一的網絡安全策略��。在數據的汪洋大海中尋找蛛絲馬跡時����,將機器智能與安全專家的人類智能相結合�����,是且僅是最為實際有效的技術手段�。
零信任網絡訪問2.0
現有的零信任網絡訪問(ZTNA)1.0框架已經得到較廣泛應用���,不過有分析認為�����,這種技術框架并不完善���,存在導致組織攻擊面得不到完整保護����、應用程序管理散亂以及更復雜的技術堆棧等缺陷����。為了幫助現有ZTNA用戶彌補技術應用中的不足���,ZTNA 2.0架構應用而生�。研究人員介紹�,這種新架構的核心目標是實現對所有威脅途徑的所有流量都要能夠進行持續性信任驗證和安全檢查���。
ZTNA 2.0在技術上具有一定優勢����,并且已經受到行業關注��。但是�,ZTNA 2.0還需要通過更多的實際落地案例來表明它能夠真正兌現承諾��。Palo Alto 公司不久前推出了Prisma Access解決方案����,代表著安全廠商正在從產品化的角度落地ZTNA 2.0��。據了解�,Prisma Acces可以在技術堆棧的基礎架構層擴展和保護工作負載���,同時為訪問和完成數據交易的用戶提供ZTNA 2.0安全��。
網絡攻擊已達到了新的水平���,很多組織的應用系統僅因為一次網絡釣魚活動就可能遭到破壞�。ZTNA 2.0表明�����,為了有效控制企業(包括一些已建設零信任體系的組織)的防御缺口�,安全團隊需要更好地控制OSI模型上面幾層的活動��,然后盡快采取針對性的對策����。ZTNA 2.0作為一項標準要真正成熟起來����,還需要在眾多行業有更廣泛的應用和可量化的應用效果�����,這樣其他組織才能在制定預算時說服企業管理層����。
數據安全與效率不能“二選一”
日前�����,國家發展改革委相關負責人指出�,要深化要素市場化改革��,抓好要素市場化配置綜合改革試點���,健全數據要素基礎制度��,加快建設全國統一大市場�����。如何在確保安全的基礎上�,促進數據高效流通使用����、賦能實體經濟���,在數字治理中兼顧效率與安全����,成為近期關注的熱點�。
大數據深刻影響著經濟社會秩序��,帶來時代紅利和生活便利��。但在不少領域���,形形色色的數據壁壘現象還較普遍�,呈現許多數據孤島和數據鴻溝�,未讓數字治理優勢得到充分發揮�。值得關注的是�,不少地方已經在著力予以改進����。例如��,陜西于今年3月將原本各搞一套的“陜西健康碼”和“西安一碼通”合二為一����,整合升級為“陜西一碼通”�,在滿足疫情防控需要的同時方便居民流動�,網友們紛紛點贊�?���!白疃嗯芤淮巍薄耙痪W通辦”“一網協同”“接訴即辦”……種種創新舉措有助于數據高效流通使用�����,既讓群眾少跑腿�����,又為方便市場主體和穩定產業鏈供應鏈賦能�。
“一著不慎���,滿盤皆輸”���,說明關鍵環節和底線思維的重要性��。確保數據安全��,是合理利用數據的重要考量因素之一��。安全需要發展��,發展也離不開安全���。數據高效利用和信息安全不可偏廢��,二者是一體兩面的關系�。國務院印發了《關于加強數字政府建設的指導意見》�����,既提出構建數字政府全方位安全保障體系�����,又強調構建開放共享的數據資源體系����。同時做好兩方面工作固然有難度���,但這樣做有助于行穩致遠���、可靠有序����,構建數字化�����、智能化的政府運行新形態����,也能更好發揮數字政府建設對數字經濟��、數字社會����、數字生態的引領作用�����。
現代的應用安全需要縱深防御
在過去的十年�����,企業網絡的入侵已經變得司空見慣���,大家對邊界安全的關注也在日漸淡化���。但越來越多的公司發現僅僅通過“處于內網”就信任訪問的用戶和設備�����,明顯不足以應對不斷變化的威脅�����。與此同時將業務應用程序重新平臺化為 SaaS 模式��,加上移動和分布式的網絡逐漸成為行業趨勢�����,使得通過VPN接入公司內網顯得老套和繁瑣�����。疫情的爆發圍繞上述趨勢掀起的一場風暴�����,加速了安全的更新換代�。對于任何想要生存下來的公司來說�,采用零信任架構都不再有可商談的余地�。
零信任意味著縱深防御��,關于安全(含現實世界和數字世界)的最重要原則之一就是縱深防御����。通過與單一控制措施來確保安全(就像大門上的一把鎖)進行比較�����,單一措施的效果遠不如采取一系列安全措施的組合能提供更多的安全性��。
結合使用訪問代理�,身份提供商和API網關����,為基于用戶和設備身份的應用���,資源和數據訪問提供粗粒度訪問控制��。創建應用且對應用的每個請求都基于RBAC/ABAC服務進行授權���,可以確保在應用層執行細粒度的訪問控制��,因為應用層中有著最多的誰被允許在哪些資源上執行哪些操作的上下文��。一旦授權服務允許操作����,使用數據過濾可以僅返回用戶可以訪問的數據���,從而減少“手工”編寫查詢代碼的需求�。最后數據代理可以根據用戶和應用正在訪問的字段的細粒度屬性對數據源的查詢進行獨立授權���。所有這些方法的組合使用可以更好地提高安全性�。
云安全測試清單的7個要素
云安全是各種規模企業的首要任務��。根據最近進行的一項研究�����,數據泄露在過去一年影響了近一半的企業和組織����。云計算漏洞通常是由人為錯誤引起的����,例如權限配置錯誤或密碼薄弱���。但是���,使用基于云的服務還有許多其他潛在風險����。其中包括惡意攻擊���、數據泄露和服務中斷����。云安全測試是驗證企業的云計算環境是否安全并滿足其特定安全要求的最佳方式���。云安全測試清單的7個要素:
政策和程序:定義并記錄企業的云安全政策和程序���。
訪問管理:實現對云計算資源訪問的控制�。
網絡:將網絡配置為僅允許授權的訪問����。
備份和數據恢復:在發生災難或數據丟失時實施備份和數據恢復策略�。
安全補丁和更新:使用最新的安全補丁和升級確保云計算環境安全��。
日志記錄和監控:建立日志記錄和監控以檢測和調查可能的安全危機���。
數據加密:加密敏感數據并限制對機密信息的訪問
云安全是一個困難且不斷變化的主題�。但是���,通過執行這一清單中的任務�����,可以幫助確保云計算環境是安全的����。通過遵循這一清單中的步驟并與受信任的提供商合作�,企業可以將業務放心地遷移到云平臺�����。云計算是一個比大多數人想象的更復雜的主題�,理解它可以幫助企業確保數據安全����。
新型惡意軟件 CloudMensis 正對 Mac 設備部署后門
據Bleeping Computer網站7月19日消息��,未知身份的攻擊者正在使用以前未被檢測到的惡意軟件對 MacOS設備部署后門���。據悉���,ESET研究人員于 2022 年 4 月首次發現這種新惡意軟件����,并將其命名為 CloudMensis���,其主要目的是從受感染的 Mac 中收集敏感信息��。該惡意軟件支持數十種命令���,包括屏幕截圖�����、竊取文檔���、記錄鍵盤信息等����。根據ESET的分析�,攻擊者在 2022 年 2 月 4 日用 CloudMensis 感染了首臺 Mac�����,感染媒介未知�。在 Mac 上部署后�����,CloudMensis 可以繞過 macOS Transparency Consent and Control (TCC) 系統���,該系統會提示用戶授予應用程序截屏或監控鍵盤事件的權限��,阻止應用程序訪問敏感的用戶數據�����,讓用戶能夠為安裝在其系統上的應用程序和連接到其 Mac 的設備(包括麥克風和攝像頭)配置隱私設置��。
雖然 ESET 只看到這種惡意軟件在野外濫用此漏洞�����,但諸如此類攻擊者不乏繞過 TCC 的方法����,比如利用由微軟發現的 powerdir 漏洞 ( CVE-2021-30970 )����、CVE- 2021-30713等漏洞�����,從而監控受感染Mac的屏幕�、掃描連接的可移動存儲設備查找任意文件�,并記錄鍵盤事件��。
ESET認為�����,利用漏洞繞過MacOS隱私保護措施的攻擊行為表明�,攻擊者正在積極嘗試最大限度地提高其攻擊活動的成功率��,雖然CloudMensis尚未利用0Day漏洞進行攻擊���,因此建議用戶使用最新版的MacOS系統�����。
企業數據出境風險自評估服務的探索實踐
為了規范數據出境活動��,保護個人信息權益�����,維護國家安全和社會公共利益���,促進數據跨境安全�����、自由流動�����。2022年7月7日����,國家互聯網信息辦公室根據《中華人民共和國網絡安全法》��、《中華人民共和國數據安全法》�����、《中華人民共和國個人信息保護法》等法律法規出臺了《數據出境安全評估辦法》(以下稱《辦法》)����?!掇k法》堅持安全和發展并重�,明確了數據出境安全評估的流程和要求��,并對開展數據出境風險自評估時應重點評估的事項進行規定����,對規范促進數據依法有序流動具有十分重要的制度價值和實踐意義���,標志著我國數據治理法治實踐走出關鍵一步�����。
《辦法》所稱數據出境活動包括:
(1)數據處理者將在境內運營中收集和產生的數據傳輸�、存儲至境外�����;
(2)數據處理者收集和產生的數據存儲在境內�,境外的機構��、組織或者個人可以訪問或者調用�。
數據出境自評估��,是我國在數據出境方面的又一重要制度安排�����。風險自評估使得企業能夠及時發現自身風險��,確保相關數據安全出境���,落實企業社會責任��。企業應積極主動開展自評估�,努力做到數據出境自評估常態化�,對自身風險做到自查自糾���,同時應加強與網信部門等監管機構的溝通協調��,確保數據安全流動���。隨著數字經濟的發展��,未來中國的數據流動制度將會更加具體和完善����。