人机合智:安全运营中的人工智能
人工智能是对人类智能的补充,而不是替代。在复杂系统的环境中,尤其是在与快速适应的、智能化的对手对抗时,以主动学习为核心的自动化技术将带来极高的价值。人类的主要工作是经常性的检查机器学习系统,加入新的样例,不断的调整迭代。
许多信任人工智能驾驶汽车的网络安全专业人士,对人工智能在网络安全对抗中的作用持怀疑态度。但是,在海量数据和告警需要处理的今天,自动化操作是提高安全运营团队效率最有效的方法之一,基本上也是未来唯一的解决之道。
自动化将创造性思维从耗时的操作任务中解放出来,尤其是在检测高级威胁时非常有用,关联分析、优先级排序,自动执行低风险的控制措施(如隔离可疑文件或要求用户重新验证),这些都可以显著提高安全运营效率、降低网络风险。
人工智能或机器学习至少在可见的将来无法成为唯一的网络安全策略。在数据的汪洋大海中寻找蛛丝马迹时,将机器智能与安全专家的人类智能相结合,是且仅是最为实际有效的技术手段。
零信任网络访问2.0
现有的零信任网络访问(ZTNA)1.0框架已经得到较广泛应用,不过有分析认为,这种技术框架并不完善,存在导致组织攻击面得不到完整保护、应用程序管理散乱以及更复杂的技术堆栈等缺陷。为了帮助现有ZTNA用户弥补技术应用中的不足,ZTNA 2.0架构应用而生。研究人员介绍,这种新架构的核心目标是实现对所有威胁途径的所有流量都要能够进行持续性信任验证和安全检查。
ZTNA 2.0在技术上具有一定优势,并且已经受到行业关注。但是,ZTNA 2.0还需要通过更多的实际落地案例来表明它能够真正兑现承诺。Palo Alto 公司不久前推出了Prisma Access解决方案,代表着安全厂商正在从产品化的角度落地ZTNA 2.0。据了解,Prisma Acces可以在技术堆栈的基础架构层扩展和保护工作负载,同时为访问和完成数据交易的用户提供ZTNA 2.0安全。
网络攻击已达到了新的水平,很多组织的应用系统仅因为一次网络钓鱼活动就可能遭到破坏。ZTNA 2.0表明,为了有效控制企业(包括一些已建设零信任体系的组织)的防御缺口,安全团队需要更好地控制OSI模型上面几层的活动,然后尽快采取针对性的对策。ZTNA 2.0作为一项标准要真正成熟起来,还需要在众多行业有更广泛的应用和可量化的应用效果,这样其他组织才能在制定预算时说服企业管理层。
数据安全与效率不能“二选一”
日前,国家发展改革委相关负责人指出,要深化要素市场化改革,抓好要素市场化配置综合改革试点,健全数据要素基础制度,加快建设全国统一大市场。如何在确保安全的基础上,促进数据高效流通使用、赋能实体经济,在数字治理中兼顾效率与安全,成为近期关注的热点。
大数据深刻影响着经济社会秩序,带来时代红利和生活便利。但在不少领域,形形色色的数据壁垒现象还较普遍,呈现许多数据孤岛和数据鸿沟,未让数字治理优势得到充分发挥。值得关注的是,不少地方已经在着力予以改进。例如,陕西于今年3月将原本各搞一套的“陕西健康码”和“西安一码通”合二为一,整合升级为“陕西一码通”,在满足疫情防控需要的同时方便居民流动,网友们纷纷点赞。“最多跑一次”“一网通办”“一网协同”“接诉即办”……种种创新举措有助于数据高效流通使用,既让群众少跑腿,又为方便市场主体和稳定产业链供应链赋能。
“一着不慎,满盘皆输”,说明关键环节和底线思维的重要性。确保数据安全,是合理利用数据的重要考量因素之一。安全需要发展,发展也离不开安全。数据高效利用和信息安全不可偏废,二者是一体两面的关系。国务院印发了《关于加强数字政府建设的指导意见》,既提出构建数字政府全方位安全保障体系,又强调构建开放共享的数据资源体系。同时做好两方面工作固然有难度,但这样做有助于行稳致远、可靠有序,构建数字化、智能化的政府运行新形态,也能更好发挥数字政府建设对数字经济、数字社会、数字生态的引领作用。
现代的应用安全需要纵深防御
在过去的十年,企业网络的入侵已经变得司空见惯,大家对边界安全的关注也在日渐淡化。但越来越多的公司发现仅仅通过“处于内网”就信任访问的用户和设备,明显不足以应对不断变化的威胁。与此同时将业务应用程序重新平台化为 SaaS 模式,加上移动和分布式的网络逐渐成为行业趋势,使得通过VPN接入公司内网显得老套和繁琐。疫情的爆发围绕上述趋势掀起的一场风暴,加速了安全的更新换代。对于任何想要生存下来的公司来说,采用零信任架构都不再有可商谈的余地。
零信任意味着纵深防御,关于安全(含现实世界和数字世界)的最重要原则之一就是纵深防御。通过与单一控制措施来确保安全(就像大门上的一把锁)进行比较,单一措施的效果远不如采取一系列安全措施的组合能提供更多的安全性。
结合使用访问代理,身份提供商和API网关,为基于用户和设备身份的应用,资源和数据访问提供粗粒度访问控制。创建应用且对应用的每个请求都基于RBAC/ABAC服务进行授权,可以确保在应用层执行细粒度的访问控制,因为应用层中有着最多的谁被允许在哪些资源上执行哪些操作的上下文。一旦授权服务允许操作,使用数据过滤可以仅返回用户可以访问的数据,从而减少“手工”编写查询代码的需求。最后数据代理可以根据用户和应用正在访问的字段的细粒度属性对数据源的查询进行独立授权。所有这些方法的组合使用可以更好地提高安全性。
云安全测试清单的7个要素
云安全是各种规模企业的首要任务。根据最近进行的一项研究,数据泄露在过去一年影响了近一半的企业和组织。云计算漏洞通常是由人为错误引起的,例如权限配置错误或密码薄弱。但是,使用基于云的服务还有许多其他潜在风险。其中包括恶意攻击、数据泄露和服务中断。云安全测试是验证企业的云计算环境是否安全并满足其特定安全要求的最佳方式。云安全测试清单的7个要素:
政策和程序:定义并记录企业的云安全政策和程序。
访问管理:实现对云计算资源访问的控制。
网络:将网络配置为仅允许授权的访问。
备份和数据恢复:在发生灾难或数据丢失时实施备份和数据恢复策略。
安全补丁和更新:使用最新的安全补丁和升级确保云计算环境安全。
日志记录和监控:建立日志记录和监控以检测和调查可能的安全危机。
数据加密:加密敏感数据并限制对机密信息的访问
云安全是一个困难且不断变化的主题。但是,通过执行这一清单中的任务,可以帮助确保云计算环境是安全的。通过遵循这一清单中的步骤并与受信任的提供商合作,企业可以将业务放心地迁移到云平台。云计算是一个比大多数人想象的更复杂的主题,理解它可以帮助企业确保数据安全。
新型恶意软件 CloudMensis 正对 Mac 设备部署后门
据Bleeping Computer网站7月19日消息,未知身份的攻击者正在使用以前未被检测到的恶意软件对 MacOS设备部署后门。据悉,ESET研究人员于 2022 年 4 月首次发现这种新恶意软件,并将其命名为 CloudMensis,其主要目的是从受感染的 Mac 中收集敏感信息。该恶意软件支持数十种命令,包括屏幕截图、窃取文档、记录键盘信息等。根据ESET的分析,攻击者在 2022 年 2 月 4 日用 CloudMensis 感染了首台 Mac,感染媒介未知。在 Mac 上部署后,CloudMensis 可以绕过 macOS Transparency Consent and Control (TCC) 系统,该系统会提示用户授予应用程序截屏或监控键盘事件的权限,阻止应用程序访问敏感的用户数据,让用户能够为安装在其系统上的应用程序和连接到其 Mac 的设备(包括麦克风和摄像头)配置隐私设置。
虽然 ESET 只看到这种恶意软件在野外滥用此漏洞,但诸如此类攻击者不乏绕过 TCC 的方法,比如利用由微软发现的 powerdir 漏洞 ( CVE-2021-30970 )、CVE- 2021-30713等漏洞,从而监控受感染Mac的屏幕、扫描连接的可移动存储设备查找任意文件,并记录键盘事件。
ESET认为,利用漏洞绕过MacOS隐私保护措施的攻击行为表明,攻击者正在积极尝试最大限度地提高其攻击活动的成功率,虽然CloudMensis尚未利用0Day漏洞进行攻击,因此建议用户使用最新版的MacOS系统。
企业数据出境风险自评估服务的探索实践
为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。2022年7月7日,国家互联网信息办公室根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规出台了《数据出境安全评估办法》(以下称《办法》)。《办法》坚持安全和发展并重,明确了数据出境安全评估的流程和要求,并对开展数据出境风险自评估时应重点评估的事项进行规定,对规范促进数据依法有序流动具有十分重要的制度价值和实践意义,标志着我国数据治理法治实践走出关键一步。
《办法》所称数据出境活动包括:
(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;
(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。
数据出境自评估,是我国在数据出境方面的又一重要制度安排。风险自评估使得企业能够及时发现自身风险,确保相关数据安全出境,落实企业社会责任。企业应积极主动开展自评估,努力做到数据出境自评估常态化,对自身风险做到自查自纠,同时应加强与网信部门等监管机构的沟通协调,确保数据安全流动。随着数字经济的发展,未来中国的数据流动制度将会更加具体和完善。