普普安全資訊一周概覽(0409-0415)

作者:

時間:
2022-04-15
01
安全是物聯(lián)網(wǎng)項目的主要挑戰(zhàn)


市場上芯片的缺乏,以及新冠肺炎大流行對全球供應(yīng)鏈的持續(xù)影響還不足以阻擋阻止物聯(lián)網(wǎng) (IoT) 的發(fā)展。根據(jù) IoT Analytics 的數(shù)據(jù),預(yù)計到2021年,活躍的物聯(lián)網(wǎng)設(shè)備的數(shù)量將達(dá)到123億臺,到2025年將達(dá)到270億臺以上。

然而,安全性并沒有隨著物聯(lián)網(wǎng)的急劇崛起而獲得應(yīng)有關(guān)注。Gartner研究副總裁厄爾·珀金斯(Earl Perkins)說:“創(chuàng)新的步伐要求人們更加關(guān)注保護(hù)數(shù)百萬臺設(shè)備,其中大多數(shù)設(shè)備都連接到(主要是無線)網(wǎng)絡(luò)。不幸的是,這些設(shè)備中的許多在軟件和基礎(chǔ)設(shè)施層面幾乎沒有安全性”。

不難得出結(jié)論,缺乏解決安全問題的能力最終會影響物聯(lián)網(wǎng)項目。在卡巴斯基的一項研究中,57%的受訪組織認(rèn)為,網(wǎng)絡(luò)安全風(fēng)險是項目實施的最大障礙。這一能力缺失可能來自于這樣一個事實,即物聯(lián)網(wǎng)為設(shè)備、平臺、操作系統(tǒng)和網(wǎng)絡(luò)連接類型增加了許多新的安全風(fēng)險和挑戰(zhàn)。


普普點評

物聯(lián)網(wǎng)項目非常分散,具有典型的行業(yè)特性,并且需要大量的集成工作。相比之下,傳統(tǒng)的 IT 項目有大約 80% 的共同需求。物聯(lián)網(wǎng)實施需要解決傳統(tǒng)系統(tǒng)、物理約束、協(xié)議、多供應(yīng)商解決方案,并在可用性、可擴(kuò)展性和安全性之間保持合理的平衡。為了滿足這些要求,安全最終成為一項巨大的挑戰(zhàn)。


普普安全資訊一周概覽(0409-0415)
02
供應(yīng)鏈安全面臨困境但是可以管理和緩解


在19世紀(jì)后期,馬車是英國許多城市主要交通工具,然而隨處可見的馬糞不僅惡化了空氣,還污染了水源,并加速了疾病的傳播。

雖然采用鏟子和手推車等一些方法進(jìn)行清理,但當(dāng)時的技術(shù)和方法并不能完全解決街面上的馬糞問題。直到機(jī)動車輛的出現(xiàn),這些城市才徹底地擺脫了這個困境,因此說這個困境當(dāng)時充其量只能管理它。

這可能是當(dāng)今供應(yīng)鏈安全狀況所面臨的困境。但供應(yīng)鏈安全不是一個問題,因為沒有簡單的解決方案或方法。

供應(yīng)鏈安全是一個復(fù)雜而混亂的困境,可能很長時間之后才能得到解決。而這種區(qū)別使人們能夠更好地對面臨的安全挑戰(zhàn)進(jìn)行分類,做出更好的決策,并避免因?qū)o定挑戰(zhàn)采用錯誤的方法而產(chǎn)生的挫敗感。

如果供應(yīng)鏈安全是一個問題,那么應(yīng)該可以找到解決方案。然而,無論安全供應(yīng)商怎么關(guān)注,都缺乏能夠全面解決供應(yīng)鏈安全挑戰(zhàn)的解決方案。


普普點評

在網(wǎng)絡(luò)安全中,經(jīng)常在“完成”時很難知道或表達(dá)清楚。將問題與困境分開會有所幫助。當(dāng)涉及到問題時,當(dāng)符合最新的最佳實踐和標(biāo)準(zhǔn)(一個困難但可以實現(xiàn)的移動目標(biāo))時,就完成了。但是當(dāng)涉及到供應(yīng)鏈安全這樣的困境時,人們需要知道面臨的這種困境可能是長期的。

普普安全資訊一周概覽(0409-0415)
03
云存儲--零信任的最后一道防線


零信任讓安全團(tuán)隊自動分割其網(wǎng)絡(luò)以防止網(wǎng)絡(luò)攻擊。為此,零信任架構(gòu)構(gòu)建了一個基于超粒度訪問權(quán)限的安全環(huán)境,這些權(quán)限會自動分配和實時重新分配給用戶。

這種程度的自動化意味著零信任可以提供增強(qiáng)的安全性,同時讓安全團(tuán)隊不必人工分配或重新分配其企業(yè)網(wǎng)絡(luò)的訪問權(quán)限。它還減少了員工安全程序的摩擦和挫敗感,因為可以保證在幾分鐘內(nèi)更改權(quán)限。

這是零信任的技術(shù)清單,但在他們甚至可以考慮遷移到自動化訪問權(quán)限之前,所有團(tuán)隊都應(yīng)該考慮一個主要的先決條件,而這個先決條件是誰應(yīng)該首先訪問哪些信息以及為什么訪問。

這是一個基本問題,但它掩蓋了安全團(tuán)隊在全面實現(xiàn)自動化之前必須解決的主要需求。企業(yè)需要花費大量時間對其企業(yè)內(nèi)部的各個利益相關(guān)者進(jìn)行審計和細(xì)分,并審查和分解零信任架構(gòu)應(yīng)該識別的所有數(shù)據(jù)和流程類別。


普普點評

總之,零信任架構(gòu)是最大化現(xiàn)有工作負(fù)載安全性并確保備份保密和安全的絕佳方式。但為了實現(xiàn)業(yè)務(wù)連續(xù)性的最終目的,零信任架構(gòu)需要與業(yè)務(wù)日?;顒痈綦x且進(jìn)行不可變的數(shù)據(jù)存儲。有了這最后一道防線,才能保證企業(yè)運營的連續(xù)性和安全性。

普普安全資訊一周概覽(0409-0415)
04
進(jìn)入物聯(lián)網(wǎng)時代:保護(hù)隱私是否為時已晚?


我們生活在一個相互聯(lián)系日益緊密的世界,對數(shù)字技術(shù)的擁抱繼續(xù)模糊公共和私人之間的界限?;ヂ?lián)網(wǎng)的形成使來自世界各地的人們能夠獲得和共享信息,而物聯(lián)網(wǎng)將進(jìn)一步改變我們與周圍世界交流和互動的方式。

物聯(lián)網(wǎng)(IoT)是指物理對象和設(shè)備通過互聯(lián)網(wǎng)相互連接并交換數(shù)據(jù)的網(wǎng)絡(luò)。物聯(lián)網(wǎng)領(lǐng)域出現(xiàn)于2000年代中后期,當(dāng)時人均互聯(lián)網(wǎng)連接設(shè)備數(shù)從2003年的0.08臺迅速增長到2010年的1.84臺。2020年,物聯(lián)網(wǎng)兼容產(chǎn)品數(shù)量首次超過非物聯(lián)網(wǎng)產(chǎn)品數(shù)量。到2025年,預(yù)計全球物聯(lián)網(wǎng)連接將超過300億次,平均每人將擁有近4臺物聯(lián)網(wǎng)設(shè)備。

這些物聯(lián)網(wǎng)設(shè)備的復(fù)雜系統(tǒng)將有益于并幫助我們?nèi)粘I畹脑S多領(lǐng)域,但同時也將收集大量的個人數(shù)據(jù),并對隱私構(gòu)成嚴(yán)重威脅。隨著進(jìn)入物聯(lián)網(wǎng)時代,物聯(lián)網(wǎng)設(shè)備的開發(fā)者、制造商、監(jiān)管機(jī)構(gòu)和消費者必須共同努力,解決這些主要的隱私和安全問題。


普普點評

隨著企業(yè)紛紛推出物聯(lián)網(wǎng)技術(shù),監(jiān)管機(jī)構(gòu)必須讓他們負(fù)責(zé)收集和處理來自物聯(lián)網(wǎng)設(shè)備的數(shù)據(jù),并確保消費者意識到這些做法。政府需要與設(shè)備制造商和消費者權(quán)益倡導(dǎo)團(tuán)體建立聯(lián)系,建立強(qiáng)大的行業(yè)標(biāo)準(zhǔn)來保護(hù)物聯(lián)網(wǎng)數(shù)據(jù)。在物聯(lián)網(wǎng)實施重新定義隱私之前,現(xiàn)在必須制定解決這些問題的明智政策。

普普安全資訊一周概覽(0409-0415)
05
人工智能和機(jī)器學(xué)習(xí)在數(shù)據(jù)安全中的應(yīng)用


人工智能是一種專注于制造可以輔助和自動化流程的智能機(jī)器的技術(shù)。在算法的幫助下,人工智能試圖讓軟件像人類大腦一樣思考。簡單來說,人工智能的使命就是在機(jī)器中實現(xiàn)人類智能。機(jī)器學(xué)習(xí)是人工智能的一個子集;其允許機(jī)器在不需要提供算法的情況下,準(zhǔn)確預(yù)測結(jié)果,并從用戶那里學(xué)習(xí)他們期望它如何運行。機(jī)器學(xué)習(xí)的主要任務(wù)是研究算法,使機(jī)器能夠接收信息和統(tǒng)計分析數(shù)據(jù),并提供可接受的輸出。隨著輸入數(shù)據(jù)來源的增加,行業(yè)先驅(qū)們?nèi)栽谂Υ_保信息的足夠安全性。

數(shù)據(jù)被認(rèn)為是組織擁有的最重要的資產(chǎn)之一。因為企業(yè)存儲從客戶憑證到員工數(shù)據(jù)庫,再到過去企業(yè)的所有類型的信息,而這些信息是組織不希望公開的。當(dāng)這些信息被黑客攻擊時,可能會對組織的聲譽造成嚴(yán)重的損害。數(shù)據(jù)安全中的人工智能和機(jī)器學(xué)習(xí)技術(shù)可以幫助組織實現(xiàn)保護(hù)其信息的目標(biāo)。


普普點評

由于現(xiàn)代企業(yè)從眾多來源積累數(shù)據(jù),因此確保信息安全對企業(yè)來說是至關(guān)重要的。數(shù)據(jù)安全中的人工智能和機(jī)器學(xué)習(xí)可以幫助安全分析師減少當(dāng)局防止數(shù)據(jù)被盜竊所花費的時間。人工智能和機(jī)器學(xué)習(xí)通過使用提供給其的算法來保護(hù)信息,還可以了解具體的威脅是如何分類的。

普普安全資訊一周概覽(0409-0415)
06
云安全的未來發(fā)展趨勢


政策方面,2021 年 7 月 12 日,工信部公開征求對《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動 計劃 (2021-2023 年 )( 征求意見稿 )》的意見。征求意見稿指出:面向多云、云原生、邊緣云、分布式云等新型云計算架構(gòu),發(fā)展多云身份管理、云安全管理平臺、云安全配置管理、 云原生安全、云災(zāi)備等技術(shù)產(chǎn)品,推動云架構(gòu)安全發(fā)展。

面向云環(huán)境中云服務(wù)器、虛擬主機(jī)、 網(wǎng)絡(luò)等基礎(chǔ)資源,加強(qiáng)基礎(chǔ)信息采集水平,提升能夠面向雙棧(IPv4、IPv6)的流量可視化、 微隔離、軟件定義邊界、云工作負(fù)載保護(hù)等安全產(chǎn)品能力,保障云上資源安全可靠。面向云 上業(yè)務(wù)、應(yīng)用等服務(wù),提升安全訪問服務(wù)邊緣模型、云 Web 應(yīng)用防火墻、云上數(shù)據(jù)保護(hù)等安全產(chǎn)品效能,保障云上業(yè)務(wù)安全運行。國際市場研究機(jī)構(gòu) 于 2021 年 4 月發(fā)布的全球云安全市場報告顯示,預(yù)計將在 2026 年達(dá)到 676 億美元。市場增長的驅(qū)動力主要是持續(xù)增加的云服務(wù)依賴、網(wǎng)絡(luò)犯罪和新型網(wǎng)絡(luò)攻擊的趨勢。


普普點評

如果云原生安全成為原生安全,那就說明云原生已經(jīng)融入到了各行各業(yè),成為普適的云計算場景。事實上,隨著國家大力推動新基建戰(zhàn)略,包括 5G、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等信息基礎(chǔ)設(shè)施,云計算、人工智能等新技術(shù)基礎(chǔ)設(shè)施,數(shù)據(jù)中心等計算基礎(chǔ)設(shè)施等。而這些基礎(chǔ)設(shè)施,未來或多或少都會與云原生技術(shù)有所聯(lián)系。

普普安全資訊一周概覽(0409-0415)
07
你的郵件安全嗎?企業(yè)數(shù)據(jù)安全路在何方


跟傳統(tǒng)的信息傳輸模式相比,電子郵件具有很強(qiáng)的時效性、便捷性,然后隨著電子郵件在社會的廣泛應(yīng)用,隨之而來的安全保密問題日漸突出,機(jī)密泄漏、信息篡改、假冒地址、垃圾郵件等令人煩惱不堪,相應(yīng)的安全保密防護(hù)需求越來越迫切。國家在保密工作上先后頒布了各種保密法律,并發(fā)展保密技術(shù),應(yīng)用高端技術(shù)手段保護(hù)國家和企事業(yè)機(jī)密的安全,特別是加強(qiáng)郵件安全保密技術(shù)的應(yīng)用,已成為當(dāng)前安全保密工作的重要工作內(nèi)容之一。

據(jù)報告分析,電子郵件威脅與行為分析 、身份欺騙相結(jié)合、釣魚網(wǎng)站、惡意軟件和漏洞。為了逃避普通電子郵件安全技術(shù)的檢測,特別是那些只依賴于標(biāo)準(zhǔn)殺毒軟件和聲譽的技術(shù)的電子郵件安全技術(shù),電子郵件威脅已經(jīng)變得越來越復(fù)雜。

多年來,我們看到電子郵件安全威脅的形式和意圖已經(jīng)發(fā)生多次變化,從通過垃圾郵件活動制造混亂和拒絕服務(wù)到現(xiàn)在流行的勒索軟件和電子郵件欺詐威脅等。


普普點評

為保護(hù)客戶的利益,維護(hù)客戶數(shù)據(jù)安全,郵件用戶使用郵件證書對電子郵件進(jìn)行數(shù)字簽名并加密傳輸,一方面可以保證郵件發(fā)送者身份真實性,另一方面保障了郵件傳輸過程中不被他人閱讀及篡改,并由郵件接收者進(jìn)行驗證,確保電子郵件內(nèi)容的完整性。