CPS體現(xiàn)了嵌入式系統(tǒng),實時系統(tǒng)���,(有線和無線)網(wǎng)絡(luò)和控制理論的幾個方面���。
嵌入式系統(tǒng):CPS最一般的特征之一是���,由于與物理世界直接接口的幾臺計算機(傳感器����,控制器或執(zhí)行器)僅執(zhí)行很少有具體的行動��,它們不需要經(jīng)典計算機(甚至移動系統(tǒng))的一般計算能力����,因此它們往往資源有限����。
實時系統(tǒng):對于安全關(guān)鍵系統(tǒng)�,執(zhí)行計算的時間對于確保系統(tǒng)的正確性非常重要。
網(wǎng)絡(luò)協(xié)議:CPS的另一個特征是這些嵌入式系統(tǒng)相互通信���,越來越多地通過IP兼容網(wǎng)絡(luò)進(jìn)行通信�����。雖然電力系統(tǒng)等許多關(guān)鍵基礎(chǔ)設(shè)施都使用串行通信來監(jiān)控其SCADA系統(tǒng)中的遠(yuǎn)程操作���,但直到最近二十年,系統(tǒng)不同部分之間的信息交換已從串行通信遷移到IP兼容網(wǎng)絡(luò)�。
無線:雖然大多數(shù)長途通信是通過有線網(wǎng)絡(luò)完成的,但無線網(wǎng)絡(luò)也是CPS的共同特征��。嵌入式系統(tǒng)的無線通信在2000年代初以傳感器網(wǎng)絡(luò)的形式引起了研究界的極大關(guān)注����。
控制:最后,大多數(shù)CPS觀察并嘗試控制物理世界中的變量�����。反饋控制系統(tǒng)已經(jīng)存在了兩個多世紀(jì),包括1788年推出的蒸汽調(diào)速器等技術(shù)�。控制理論中的大多數(shù)文獻(xiàn)都試圖用微分方程對物理過程進(jìn)行建模����,然后設(shè)計一個滿足一組所需屬性(如穩(wěn)定性和效率)的控制器。
在討論了CPS的這些一般特征之后���,需要注意的是��,CPS是多種多樣的�,它們包括現(xiàn)代車輛��、醫(yī)療設(shè)備和工業(yè)系統(tǒng)��,所有這些都具有不同的標(biāo)準(zhǔn)�����、要求�、通信技術(shù)和時間限制��。因此,我們與CPS相關(guān)的一般特征可能不適用于所有系統(tǒng)或?qū)崿F(xiàn)���。
除了AIGC���,2023年還要面臨哪些技術(shù)“雙刃劍”?最近兩個月���,人們驚嘆于AIGC的“超能力”��,但也對AIGC帶來的潛在風(fēng)險表示擔(dān)憂�。ChatGPT之父Sam Altman在最近的一次訪談中表示�,AI在為人類的聰明才智提供力量倍增器的同時,也可能帶來技術(shù)濫用�、事故等安全風(fēng)險。他重點指出「惡意人員運用AIGC技術(shù)編寫計算機代碼模型可以用于賦能網(wǎng)絡(luò)攻擊」�。
除了AIGC,勒索攻擊的威脅有增無減���、供應(yīng)鏈已成為企業(yè)數(shù)據(jù)保護(hù)的薄弱環(huán)節(jié)�、反欺詐應(yīng)由體驗優(yōu)先轉(zhuǎn)向動態(tài)治理等安全問題的爆發(fā)���,無一不在給產(chǎn)業(yè)數(shù)字化提出更多的挑戰(zhàn)�。
IT工業(yè)化的發(fā)展,企業(yè)的軟件和應(yīng)用開發(fā)效率得到極大提升��,但對第三方軟件和開源組件的依賴也引入了更多安全風(fēng)險���。供應(yīng)鏈攻擊事件連年攀升����,已經(jīng)成為世界性難題����。作為連通架構(gòu)的產(chǎn)業(yè)互聯(lián)網(wǎng),其安全脆弱性前所未有���,需要網(wǎng)絡(luò)安全產(chǎn)業(yè)齊心協(xié)力�,打破技術(shù)��、行業(yè)之間的壁壘��,共同構(gòu)建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)����。
產(chǎn)業(yè)各界需攜手共識�,建立產(chǎn)業(yè)發(fā)展安全觀�����,建設(shè)涵蓋企業(yè)人才����、技術(shù)����、管理、生產(chǎn)��、服務(wù)等全鏈路數(shù)字化協(xié)同的安全防御能力��,打造貫穿企業(yè)生命周期的安全免疫體系���。企業(yè)參與數(shù)字化時代的市場競爭�、謀求新階段的高質(zhì)量發(fā)展��,企業(yè)家需要樹立正確的安全觀念����,了解并研判產(chǎn)業(yè)安全發(fā)展趨勢,在戰(zhàn)略上以一把手工程的視角看待安全�����,統(tǒng)籌發(fā)展與安全,既要基于安全謀發(fā)展���,又要以發(fā)展促安全�����。
在審計IT一般安全控制以確保信息系統(tǒng)在財務(wù)報告中的可靠性時����,數(shù)據(jù)的完整性是很重要的,但機密性是否同樣重要�,則值得商榷。如果強大的身份驗證控制已經(jīng)到位�,并且對數(shù)據(jù)的直接訪問被嚴(yán)格限制在適當(dāng)?shù)膫€人身上,那么新的控制是否有必要����?在這種情況下,未經(jīng)授權(quán)的個人獲取和修改數(shù)據(jù)的風(fēng)險似乎很低�。為了了解這些控制措施的相關(guān)性,需要仔細(xì)研究欺詐和缺乏數(shù)據(jù)完整性的風(fēng)險���。
在對信息系統(tǒng)執(zhí)行IT審計時��,關(guān)鍵的風(fēng)險因素是數(shù)據(jù)不安全和欺詐���。2016年,美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)描述了三種可能導(dǎo)致數(shù)據(jù)完整性問題的網(wǎng)絡(luò)攻擊場景:勒索軟件�����、數(shù)據(jù)破壞和數(shù)據(jù)操縱(內(nèi)部威脅)�。最近的另一項研究描述了云中的多種攻擊,可能導(dǎo)致數(shù)據(jù)完整性問題��。在連接到互聯(lián)網(wǎng)或云的信息系統(tǒng)中�,攻擊面要大得多,因此��,數(shù)據(jù)安全是一個重要問題�����。
云平臺使用的增加以及與之相關(guān)的風(fēng)險因素的增加���,反映在所實施的欺詐數(shù)量上��。在最近的一項調(diào)查中����,“近70%的遭遇欺詐的組織報告說,最具破壞性的事件來自外部攻擊或內(nèi)外的勾結(jié)��?���!蓖徽{(diào)查表明,網(wǎng)絡(luò)欺詐比資產(chǎn)挪用更常見����。
IT一般安全控制指南已經(jīng)過時了。隨著IT環(huán)境的不斷變化�,對數(shù)據(jù)保護(hù)的要求也需要不斷發(fā)展。在測試IT一般安全控制時�����,應(yīng)考慮對IT環(huán)境中的相關(guān)應(yīng)用��、數(shù)據(jù)庫����、操作系統(tǒng)和網(wǎng)絡(luò)組件進(jìn)行與安全評估��、數(shù)據(jù)資產(chǎn)保護(hù)���、安全數(shù)據(jù)傳輸、端點保護(hù)�、漏洞監(jiān)測����、安全監(jiān)測和安全處置有關(guān)的額外控制措施。
澳大利亞再發(fā)嚴(yán)重數(shù)據(jù)泄露事件����,涉及800萬用戶個人信息三月初,澳大利亞非銀行貸款機構(gòu) Latitude Financial 遭遇了一次網(wǎng)絡(luò)攻擊�,最新情況表明,其后果可能比先前預(yù)估的更加嚴(yán)重��。該公司于 3 月 16 日首次透露了這起攻擊事件��,稱有33萬客戶的數(shù)據(jù)遭到泄露���,而最近��,該公司承認(rèn)受影響的客戶數(shù)量可能達(dá)到了800萬之多�����。
美國廣播公司新聞報道稱���,黑客已經(jīng)獲取了客戶的姓名����、地址�、出生日期、電話號碼���、護(hù)照號碼�����,甚至還獲取了月度財務(wù)報表�。此外�,有大約570萬條數(shù)據(jù)來源于2013年之前的歷史數(shù)據(jù),最早可以追溯到2005年�����。該公司仍在評估可能涉及重復(fù)統(tǒng)計的數(shù)據(jù),并確定受影響客戶的真實數(shù)量���。
有Latitude 客戶表示����,由于個人可供識別身份的照片在攻擊中被盜��,讓他們感到“受到了侵犯”����。Latitude 表示���,它將補償客戶更換任何被盜身份證件的費用�。外交和貿(mào)易部還證實��,受影響的護(hù)照仍然可以安全使用�。
外部入侵和人為因素是造成數(shù)據(jù)泄露的兩大主要原因。
為防止內(nèi)部員工的不當(dāng)操作泄露企業(yè)數(shù)據(jù)����,企業(yè)應(yīng)該定期為員工進(jìn)行相關(guān)培訓(xùn)來提高安全意識。而憑證竊取���、漏洞利用等外部攻擊導(dǎo)致的數(shù)據(jù)泄露��,往往歸因于企業(yè)安全防護(hù)建設(shè)不到位�����,系統(tǒng)存在讓攻擊者有機可乘的薄弱環(huán)節(jié)���,主動防御才是抵擋攻擊者腳步的最佳選擇���。
軍事基地航拍照片泄露,俄語論壇黑客售賣美國法警局?jǐn)?shù)百GB敏感數(shù)據(jù)據(jù)外媒報道,一名黑客正在一個俄語論壇上出售據(jù)稱是從美國法警局(USMS)服務(wù)器中竊取的350 GB數(shù)據(jù)���。USMS是美國司法部下屬的一個機構(gòu)����,通過執(zhí)行聯(lián)邦法院命令����、確保證人及其家人的安全、查封非法所獲資產(chǎn)等職責(zé)為聯(lián)邦司法系統(tǒng)提供支持�����。
賣家在帖子中將該數(shù)據(jù)庫標(biāo)價15萬美元,據(jù)稱包含美國法警局文件服務(wù)器和工作電腦上從2021年到2023年2月的文件���。這些文件包括具有精確坐標(biāo)的軍事基地和其他敏感區(qū)域的航拍視頻及照片�����、護(hù)照及身份證明的副本����、以及有關(guān)竊聽和監(jiān)視公民的細(xì)節(jié)�,另外還有一些關(guān)于罪犯、黑幫頭目等的信息�。賣家還聲稱,其中一些文件被標(biāo)記為機密和絕密�,并且還包含證人保護(hù)計劃的細(xì)節(jié)�����。
除此之外��,USMS還曾在2020年5月披露過另一起數(shù)據(jù)泄露事件��,其曾于2019年12月泄露過超過38.7萬名前囚犯及現(xiàn)囚犯的詳細(xì)信息(包括姓名�����、出生日期、家庭地址和社會安全號碼)���。
可以看到����,即使是政府機構(gòu)也無法避免遭受網(wǎng)絡(luò)攻擊的損失�����,現(xiàn)下敏感信息盜竊威脅日益嚴(yán)重����,所有組織都有必要在其運營中優(yōu)先考慮網(wǎng)絡(luò)安全措施,特別是那些涉及處理敏感信息的機構(gòu)��。并且需要注意到�,事前采取預(yù)防措施遠(yuǎn)比事后響應(yīng)更為妥當(dāng)。
調(diào)查:IRM計劃也擋不住內(nèi)部人造成數(shù)據(jù)泄露Code42委托進(jìn)行的一項數(shù)據(jù)暴露調(diào)查研究表明����,盡管已經(jīng)設(shè)置了專門的內(nèi)部人風(fēng)險管理(IRM)計劃,大多數(shù)公司仍然難以阻止內(nèi)部人事件造成的數(shù)據(jù)丟失����。
Gartner分析師Paul Furtado稱:“員工����、合作伙伴和承包商都有不同級別的訪問權(quán)限�����,各具不同敏感性���,但這些用戶的行為卻沒有得到有效監(jiān)控���。IT安全開支基本上集中在防范外部威脅和保護(hù)邊界不受惡意侵入方面,未必會對受信內(nèi)部用戶施行相同等級的預(yù)防性數(shù)據(jù)保護(hù)控制措施�,而且通常只在事后才會發(fā)現(xiàn)違規(guī)行為?�!?/span>
Kubernetes實時監(jiān)控公司KSOC聯(lián)合創(chuàng)始人兼首席技術(shù)官Jimmy Mesta表示:“各個行業(yè)都普遍存在內(nèi)部人風(fēng)險���,其潛在影響非常廣泛,從短暫宕機到數(shù)據(jù)完全丟失都有可能�����。企業(yè)內(nèi)部IT基礎(chǔ)設(shè)施的日漸復(fù)雜和云技術(shù)的采用,使得某些情況下幾乎不可能檢測內(nèi)部人風(fēng)險�。內(nèi)部人風(fēng)險并非總是源自惡意,這可能會令檢測變得尤為困難�。”
通常情況下�,內(nèi)部人(員工)只是想方便自己工作而已,只不過采取了未經(jīng)批準(zhǔn)的方式導(dǎo)出數(shù)據(jù)��,或?qū)⒅蚕斫o了錯誤的人(無權(quán)查看數(shù)據(jù)的人)?���,F(xiàn)有技術(shù)和計劃無法檢測和防止意外操作(相對于惡意或疏忽而言),事件進(jìn)一步增加�。領(lǐng)導(dǎo)團(tuán)隊?wèi)?yīng)足夠重視內(nèi)部人員的安全保密意識,提高他們的安全防護(hù)能力��,積極推進(jìn)數(shù)據(jù)體系安全建設(shè)����。