RSAC 2019 | 2049年,世界會更好嗎?
在RSA 2019大會上,“信任”二字被反覆提及。RSA總裁Rohit Ghai與安全戰略專家Niloofar Razi Howe更是在開場致辭中展望2049的世界,並將“信任危機”列為通往未來世界的一大挑戰。他們還邀請到曾獲得奧斯卡最佳女以及多項電影獎項的女演員Helen Mirren,在現場帶來提醒與鼓勵,並與合唱團一起演繹 “Things Can Only Get Better”。這樣的形式,呼應了主題,也令人耳目一新、印象深刻。
資訊洩露事件頻發、虛假資訊氾濫以及監管與政策衝突導致信任崩塌,人與人之間、人與技術之間的信任不復存在,導致安全建設愈發困難。正如Howe在現場所說:
信任之於經濟發展就像水之於生命。我們正面臨信任危機,這個危機如果不解決,會給社會帶來很深的烙痕。只有整個網路空間重建信任,才能迎來更明朗的未來。
未來的至暗時刻
RSA總裁Rohit Ghai在開場演講中表示,放眼未來,2040年之後人類可能會迎來新的發展階段。在我們經歷過農業、工業、網際網路以及數字化轉型之後,生物數字時代將會來臨,生物與技術的結合將帶來更多挑戰。這樣的設想並非天馬行空。隨著數字化程度加深,全球聯網或者互聯的裝置數量以億為單位進行計算,虛擬貨幣逐漸成為新的交易貨幣,全球能源也注重可再生與可持續。此外,3D列印技術投入實踐、太空探索漸有成果,整個社會都在飛速發展向前。生物認證等生物技術已經開始應用到各種場景中,成為每個人獨特的識別特徵。
但是,網路攻擊不斷、資訊洩露頻發、欺詐勒索橫行;社交網路上充斥著虛假訊息,尊重事實的理性討論蕩然無存。各國間看似平靜往來的形勢下暗流湧動,網路中逐漸築起了一堵堵無形的高牆。發言人Howe認為,到2025年左右,全社會都會因為信任危機而動盪不安,安全形勢發生巨大變化,影響到社會發展甚至人類生存。
為了避免這樣的危機,我們要著眼當下,不進要關注威脅和攻擊,還要著眼策略,關注風險管理和信任重構。有了有效的風險和信任管理,才能有底氣擁抱新技術,構建一個更安全的社會。
技術與發展帶來的不安
回顧近兩年的安全會議或演講,都避不開AI和物聯網這兩個話題。泡沫退去、從理念到落地之後,挑戰與爭議逐漸凸顯。
AI
“AI是把雙刃劍”,這句話自AI面世以來,很快就成了共識。很顯然,AI的核心是演算法,演算法部分好壞,只因為使用方法不同而產生不同的效果。同樣的加密方法既可以用於保護資料,也可能用於勒索攻擊。
McAfee 的CTO、首席資料科學家、飛塔的資訊保安顧問,都不約而同提到了AI與信任的關係。他們的言辭著眼於AI在攻擊中的使用及其潛在的風險,意在提醒安全從業者正視並評估新技術的兩面性,合理使用技術,及時規避威脅。
IoT
如今,物聯網裝置已經廣泛應用於公共設施、國家關鍵基礎設施以及日常家居裝置。思科Talos全球威脅情報組副總裁Matt Watchinski在演講中指出,到2020年,全球物聯網裝置數量可能達到2500億。
我們周圍充斥著成千上萬的互聯裝置,每一個都代表著不同的威脅。他們不基於特定的協議而是依賴IP執行。
構建物聯網世界的技術最終會影響IT技術乃至關鍵基礎設施以及能源相關的技術。最終,全世界的執行技術和模式都有可能更改,並帶來新的安全變革。思科物聯網高階副總裁兼總經理Liz Centoni認為,應對OT安全挑戰的關鍵在於瞭解OT團隊與已知的IT環境之間的不同。OT人員可能更關注裝置的可用性,以及更偏向物理安全的安全以及可恢復程度,但對於資料安全、資訊洩露這些問題可能並不在意。要想在這樣的環境中做好網路安全工作,需要良好的溝通與合作,找到合理的解決方案。在IT與OT之間架起一座橋樑。
解決之道
對於未來可能爆發的“信任危機”,Ghai和Howe提出了一些建議,以便防範於未然。
首先,瞭解風險和信任並存。 即使對組織、政治和社會機構的信任度下降,普通 的人與人之間的信任感並未降低。在這樣的場景下,應對方法並非是要徹底消除風險,而是理解、評估以及管理風險。
Ghai指出,2049年,DevSecOps能通過機器實現,而利用 AI也有助於管理風險。“從理論上講,每一項技術都可以用來評估風險並相應地進行調整。 ”此外,在建立時資料時進行持續標記,以跟蹤資料的去向與使用者 。這有助於更好梳理與管理。
第二點是建立人與技術互相監督的機制。 人們可能會對如何使用技術做出正確且有力的決策,但是面對釣魚郵件或欺詐連結卻往往抑制不住好奇心,此時如果利用技術的力量提前檢測預警,就能避免問題。
在處理資料時,機器比人類速度更快、效率更高。而人類善於創造性的東西。在資料的汪洋大海中,人去下指令、問問題,機器去執行。
第三點是建立信任鏈。 Howe認為,可以將聲譽(按照國內的理解,類似於徵信或者信用分)作為衡量可信度的參考。這個聲譽可以看作是分類記賬。如果做了正確的事情,就相當於儲蓄收入;如果不這樣做的話,就相當於支出與縮減。
信任並不需要完美,更仰賴誠實、 責任和透明度。我們可以報告好的事件,披露不好的事件。還 可以用數字信任評分標記產品或服務,貼上信任或 風險的標籤。
小結
當我們展望未來時,往往會充滿希冀與憧憬。科技帶來的變革往往快速甚至超出掌控,所幸總有一群理智且審慎的人著眼於風險並著手去改變與保護。從早期的防病毒與威脅檢測到如今的身份驗證與零信任框架,安全一直在與時俱進,雖然可能步伐不夠快,但從未停下。
2049年的世界究竟會是什麼樣?也許很難回答,但看到這些理念和實踐,也許我們可以選擇相信那時會變得更好。這樣的前提是,能夠敏銳地發掘潛在危機,並持續防禦。正如RSAC 2019所傳遞的理念那樣, “Never trust, always verify” 。這已經反映到很多安全廠商的策略或產品當中。Ghai說,希望今年對於網路安全與信任主題的探討能為各位網路相關從業者帶來頓悟並認真思考、實踐。
*FreeBuf官方報道,轉載請註明來自FreeBuf.COM。