麻省理工學院技術評論最近報道說,華盛頓大學的研究人員將惡意軟件嵌入了DNA鏈,并將感染的DNA侵入計算機。
當我閱讀這份報告時,我終于接受了以下的觀點:我們從尼安德特人那里接手,創造并推動了讓我們能夠將事情轉移到機器上的進步。作為一個文明,我們運轉的很好,但現在可能是我們走入進化的衰退時候了。
當然,我不太認真地對待即將來臨的厄運,但生物惡意軟件的故事卻提醒我兩個重要的進展。首先是技術轉型的步伐加快。其次,信息和數據安全環境一直在變化。
這兩個重要發展的實際影響是什么?我們應該檢查、分析和實施新技術。但是,正如我們這樣做,我們應該有程序和指導原則,幫助我們確定并盡可能減少新技術帶來的安全隱患。
這是否使我們進入某種類型的Catch-22?是。新技術可能正在迅速變化,我們無法預測相關的安全風險。在很多情況下,我們會在實施技術后才會發現風險。然后,我們加緊堵塞漏洞,希望在技術和威脅發展之前完成工作。那么,我們該做什么?
在我看來,在技術和威脅之外,我們可以做兩件事情,它們能幫助我們保持良好的安全狀態并盡量減少安全風險。
嚴格定義數據訪問
我們中的一些老資歷的人回憶起數據字典的日子。當數據存儲成本很高時,我們對數據結構非常謹慎。我們花了大量時間來定義數據字典,以確保數據存儲在盡可能少的地方,但又能被提供給正確的消費者。
現在,在用例中,數據的標準化壓力較小,但數據定義的一個方面仍然可能至關重要:誰或什么需要訪問數據?而且,從假設沒有人和沒有事物可以訪問數據開始,我們將會備份數據,直到只有真正需要訪問的用戶才能訪問它們。
這種思想超越了人類,成為服務。在當今的系統架構中,通常是其他系統訪問數據。因此,我們需要擴展數據消費者的定義及其訪問權限以囊括其他應用程序和服務,然后構建權限規則,以消除無擔保的數據訪問。
抽象安全技術
技術和威脅有如此多的變化,各種技術可能跟上安全需求嗎?或者我們需要將安全性與功能分開?我們應該尋找存在于物聯網(IoT)、區塊鏈、認知系統和其他先進技術之外或至少互補的安全工具(權限、分析、規則等)嗎?
采用這種方法,我們可以在獨特的來自具體技術的創新軌跡上管理安全性,也可能在不必升級特定技術的情況下處理不斷變化的威脅。誠然,這增加了復雜性,但技術和安全性的松散耦合可能實際上簡化了我們如何處理這兩種技術和威脅的未來。
例如,我們中的一些人盡量減少物聯網的安全風險。也許我們相信IoT提供商在其產品中提供一定程度的安全性,但不能止于此。然后,隨著IoT提供商的任何內容,覆蓋了其他以安全為中心的技術;這可以是觀察和標記所有設備類型(包括IoT)的行為的軟件。除了覆蓋更廣泛的威脅之外,傳統的安全提供商可能會以比IoT提供商更快的周期部署補丁并應對威脅。
我們生活在一個充滿歧義、不確定性和追求速度的世界。在這樣一個世界里,我們必須假設,我們明天要做的最小化安全風險將會與我們今天所做的不同。我們如何為快速接近的未知數做準備?我的回答似乎總是回到兩件事情:嚴密地定義一些核心規則(如數據訪問)和松散耦合(所以我們只能替換我們需要替換的東西,而不是所有與替換的東西有關系的事物)。
京公網安備 11010502049343號