RSAC 2019 | 网络安全怎样才能变得”更好“?

今年RSA会议的口号是“更好” – 因此,周二上午的主题演讲归结为扭转了一些最近恶化的令人不安的社会趋势。 其中包括“信息战”,旨在破坏公民对媒体及其消费信息的信任,利用社交媒体进行影响力宣传以及人工智能和物联网(IoT)的出现,这既是好处,也是潜在的威胁。 为了进入一个更有希望的未来,网络社区必须致力于重建信任 – 信任技术并信任自己,Niloofar Razi Howe是一位网络安全战略家和企业家,他在主题演讲期间登台亮相。她说:“信任经济如同水对生命意义, 我们正面临信任危机。” 她补充说,这是一场危机,如果不加以解决,可能留下深刻的社会学伤疤。

未来是黑暗的

Howe和RSA总裁Rohit Ghai通过勾勒出对2049年的世界的看法,他的视野变得有些暗淡。到了20世纪40年代,人类进步的第五个伟大时代将是正如火如荼。 在我们熟悉的农业,工业,互联网和数字革命作为历史社会学现象之后,我们将进入一个生物数字时代,他们说,生物学和技术已经融合在一起。

事实上,2049年听起来像一个有趣的地方:数十亿在线使用的数以千万计的连接设备。 传统货币已经被两种主要的全球虚拟货币所取代, 然而这正是黑暗的来源,Howe和Ghai指出如果信任现在没有被重新点燃,他们认为我们的未来将会黑暗。

他们认为,经过多年的选举活动遭黑客攻击和虚假新闻、信息以及通过社交媒体传播,超过一半的美国人在2025年失去了对民主的信心。 Howe说,大多数人在一个“事实,错误信息和意见模糊”的世界中对新闻的独立性和真实性失去了信心。 她补充说,“基于事实的理性话语几乎消失了。 没有人知道政府是否能够或将会解决重要的社会问题。“到2025年,全球贸易战也将全面展开,导致互联网孤立,建立各种数字”墙“,将全球人口分开。

Ghai补充说,仍然设想未来,“在20世纪20年代,信任危机的出现撼动了我们社会的基础。”

人工智能是把双刃剑

增加这种信任危机的是新技术的出现,这些新技术引入了新的潜在攻击面或可用于非预期的恶意后果。 人工智能(AI)已经成为其中最蠢的之一,迈克菲的高级副总裁兼首席技术官Steve Grobman参加了主题演讲,讨论AI以及我们是否可以信任它。

他概述,AI是网络防御的新基础,它将使我们能够在理论上更好地检测威胁并赢得我们的对手。 它还可以通过委派一些自动化任务来帮助解决人才短缺问题,因此人们可以专注于更关键的任务。

问题在于“技术不了解道德”,他说,在不知道或不关心它是否提升战机或医疗特使的飞机机翼之间划出一条平行线。 换句话说:

“相同的加密算法可以防止每月在网络上窃取150字节的数据,或者它可以实现勒索软件攻击,加密的核心只是数学,你不能阻止某人做数学。就像飞行机翼一样,我们不能只专注于帮助我们的潜力; 我们必须了解如何限制以及它将如何被用来对付我们。”

迈克菲的Grobman。

Grobman指出,旧金山的公共安全组织正在利用现代数据科学来优化警察根据犯罪水平和其他指标集中巡逻的地方。并且展示了一个AI模型。

迈克菲首席数据科学家,福布斯科技界50强女性之一Celeste Fralick也在舞台上解释了AI如何实现Ghai和Howe所提到的深度欺骗。

物联网在聚光灯下

另一个削弱信任的领域是围绕越来越多的连接设备,这些设备正在成为关键基础设施,公用事业和制造环境结构的一部分。

思科Talos全球威胁情报组副总裁Matt Watchinski在他的主题演讲中指出了许多预测,这些预测要求物联网设备爆炸 – 其中可能有2500亿(包括传感器等)将被连接起来2020年

“我们周围已经有成千上万的互联设备,都有独特而有趣的威胁配置文件, 他们不再运行专有协议; 他们都有IP。 我们正在谈论交通流量计,红绿灯,所有这些都连接到我们以前没有的IP世界。 我们在物联网中构建的技术正在渗透到我们的IT世界中。最终,他们将流入关键基础设施的运营技术(OT)世界,以及我们如何提供水和电力。 我们将不得不学习全新的OT安全世界。“

思科的Centoni。

阐述这一点,思科物联网高级副总裁兼总经理Liz Centoni也在舞台上解释说,OT的核心安全挑战是了解OT团队 – 以及他们的目标 – 与更好的不同 – 已知的IT环境。

“在运营领域,工厂经理正在追踪OEE等整体设备的有效性, 他正在查看一份安全事故报告 – 因为没有安全事件发生就是美好的一天”

解决信任危机

Ghai和Howe制定了一个三管齐下的计划,以解决这场酝酿中的“信任危机“。

首先,了解风险和信任并存; 接下来,鼓励值得信赖的数字结对; 最后 ,建立信任链。

即使对组织,政治和社会机构的信任度下降,普通人仍然在“信任陌生人,并邀请他们进入自己的家庭,汽车和生活,这要归功于平台在个人之间形成了点对点的信任, “Howe指出,指的是AirBnB,Uber等。

在这种点对点场景中,人们明白这不是消除风险,而是理解,优先排序和管理风险。 所有条纹的信息都应采用相同的方法。

“在2049年,我们有机器练习DevSecOps,并且AI有助于管理风险。 “

从理论上讲,每一项技术都能够自我修补。 数据变得流动,并且为了应对,每一项技术都被用来评估风险并相应地进行调整 。此外,数据应在创建时标记,并持续标记,以跟踪数据的去向和拥有者。

接下来的想法,值得信赖的是人与机器在一起比单独工作更加值得信赖的想法 – 这解决了人工智能的一些问题。

“在大多数任务中,机器可以胜过人类,但是 人类善于创造性的东西,人类更善于知道要问和调查的问题。 因此,想象一下数据的海洋,人类会问问题然后通过机器获取答案。“

第三个想法是信任链,这与声誉有关。

“我们将衡量声誉以衡量可信度, 信任并不需要完美,更多的是诚实,责任和透明度。 报告好事件,披露不好的事件。“

Howe还建议用数字信任评分标记产品:信任/风险:信任商。

最后,Ghai说,他希望回顾RSA 2019并说,“那是4万名网络从业者顿悟的一年 – 并开始着迷于信任格局。 这为前进铺平了道路。“

原文链接:https://threatpost.com/rsa-trust-ai-iot-keynotes/142505/

上一篇:黑客国家队?加密币劫持?还是跨站脚本?2019年威胁态势

下一篇:你需要的都帮你整理好了!RSAC主题演讲资料下载(含155份PPT)