SecTor安全大会的主题演讲上,IBM Resilient Systems的首席技术官,安全大师布鲁斯・施奈尔,阐明了为什么要对软件和物联网(IoT)设立更多监管。
施奈尔在11月15号发布的主题演讲时说,时至今日,每样东西基本上都是一台计算机,无论是一辆汽车、一块手表、一部手机,还是一台电视机。IoT由很多部分组成,包括收集数据的传感器,算出该对数据做什么的计算能力,还有影响现实世界的制动器。
施奈尔说:"传感器就是眼睛和耳朵,致动器是手和脚,中间的就是大脑了。我们正在创建的,是可以感知、思考并行动的互联网――这基本上就是机器人的经典定义了。"
我们正在打造世界那么大的机器人,而大多数人甚至都没意识到这一点。
这意味着,互联网安全,如今已变成"万物"安全。因此,他指出,汽车行业如今应纳入计算机安全专家,因为车辆现在就是计算机,网络世界的所有经验教训哪里都适用。
如今,可用性和完整性威胁非常重要,因为可对生命和财产造成现实威胁。漏洞可造成的后果如今已大为不同。黑客搞崩溃你的电脑让你损失数据,可跟黑了你的汽车让你失去生命是完全不一样的。
施奈尔认为,很多现有安全范式,在当今IoT新世界里,起不了作用。传统软件公司和大型移动设备供应商,比如苹果和谷歌,是有专门的安全团队的,但IoT供应商的情况并非完全如此。对此,施奈尔称,IoT设备往往得不到快速修复,如果有修复的话……
家用数字录像机(DVR)已沦为Mirai僵尸网络的组成部分,而大多数人是只要设备能工作,就压根儿不关心的。防御Mirai很难,因为这不仅仅是修复一下Windows就能搞定的。
监管时代
网络安全的问题,仅靠行业本身是不能有效解决的。施奈尔建议,政府应参与进来,帮助监管技术安全。随着联网设备进入管制行业,施奈尔预言,这些绝大程度上毫无监管的计算机软件,也需要改变了。
历史上也出现过新技术的采用带来新政府机构和法律法规设立的先例。汽车、飞机、无线电和电视机的出现,全都衍生出了新的政府机构和相关法律。
"20世纪里,新技术一直在塑造新机构。"
市场自身不能解决的问题有很多,因为市场通常受短期利益驱动,解决不了集体行为问题。另外,企业势力也需要一个相应的制衡力。
政府,是我们解决此类问题的方法。
施奈尔预计,联网技术法规方面需要讨论和解决的问题会有很多,但他认为,真的没有比政府监管更好的办法可以确保网络安全了。基本上,他在SecTor安全大会上做主题演讲的目的,也就是提升认知,让网络安全人士参与到政府的政策对话中。
作为技术人员,我们需要参与到策略制定中来,因为IoT带来了大量的潜在重大风险。随着互联网安全成为万物安全,所有安全都具有了技术组成部分。
"只要策略制定者不懂技术,我们永远制定不出正确的策略。"
相关阅读
Cloudflare物联网安全新品上线 用集中式控制替代IoT监管
在线可信联盟:IoT安全与全球变暖一样 形势严峻需要共担责任
黑客技术官网地址:http://www.hackdig.com/
9月前,翻译还没有什么存在感――至少从信息安全的角度看来如此。将一种语言的内容转化成另一种并不在CSO列出的高危数据之列。但之后,挪威新闻机构NRK报道了世界上最大的油气公司之一――挪威国家石油公司(Statoil)的数据泄露事件。
据NRK的报道,Statoil公司460亿美元的业务往来使用了translate.com,一个免费在线工具,用来翻译"解雇通知、裁员与外包计划、密码、代码信息和合同等"。当大学教授Lise Lyngsnes Randeberg用谷歌搜索Statoil的时候,却检索到了部分该公司使用translate.com翻译的信息内容。
"哇,这是什么?"他告诉NRK,"这都是来自政府机构、组织以及私营企业的信息。"也就是说,这些信息对Randeberg或任何Google用户来说都理应是保密的。
整个翻译行业可以预见信息泄露的到来。"我们10年前就对公司发出了这种警告",Don DePalma,著名语言行业咨询公司Common Sense的剑桥首席策略师说道,"这是个逐渐兴起的问题,基于在线翻译的工作方式来看:信息公开与否的标志是什么?"
在线翻译服务的实现方式
这一切如何发生?下面是translate.com不得不说的事情:
translate.com的免费、以志愿者为基础的机器翻译方式是不会泄露信息的。有两个版本的translate.com解决方案。出问题的这个免费版本,使用大量在线翻译服务,同时结合了志愿翻译者审核改正的翻译内容。初始的志愿部分内容已经关闭,所有和志愿者相关的翻译均已移除。在线机器翻译目前仍未免费并且不会保存内容。
一般来说,免费在线翻译是这样实现的:你输入的每个词在翻译引擎中储存,机器学习利用这些词以及其翻译优化后续结果。这意味着任何在你之后使用的人都可以获取这些信息。信息是否上传到谷歌,取决于工具服务器的存储方式和地点。
形成一个安全的翻译机制
为了避免个人翻译信息的泄露,第一步是决策员工能否使用免费工具。在BASF(注:巴斯夫股份公司)来说,答案是永远不能使用。独立技术咨询顾问Kirti Vashee指出,在意识到员工会将新产品邮件、商业计划、PPT演示文稿在线翻译之后,公司封禁了所有的免费翻译工具。
对于没那么严峻的情况,你可以根据主题限制免费工具的使用。例如产品运输信息可以使用软件翻译而收货合同不可以。Vashee说尽管这样也会造成麻烦:员工会使用免费翻译来查询内容本身,"使用谷歌和必应翻译因为他们自带中文备忘,只是想要了解这人到底在说什么?"。不懂这个语言的员工难以在不翻译的情况下了解这个话题是否敏感。
更为安全的选择是形成自己的机器学习引擎并且开展自有翻译。大众汽车是这样做的,Vashee解释,"他们为规避暴露信息给外部而不用外部的引擎。"2016年大众的利润为2516亿美元这比很多主权国家的GDP还多,例如智利、芬兰。在这个企业规模,内部化翻译工具是很简单的,对其他类型的企业来说,还是很不现实的。
作为一种选择的专业翻译服务同样存在风险
所以在将数据输入到随机工具的选择之外,可以选那些专业的翻译公司吗?选择翻译公司主要基于其服务质量,周转效率和费用。为了保证信息安全,询问潜在供应商他们收发翻译文档的方式。如果回答是电邮,那就要小心了。"电子邮件比其他线上传输危险10倍,因为个人邮箱很容易被黑。"Vashee说。
邮件也很容易被转发――而且大多翻译公司都这么做。举个例子,一个译者拿到人类学内容的翻译工作,语言是英翻波兰语。其中需求要素改变,译者也会改变,那么结果就是,即便是最大的翻译公司也不一定保证内部资源能满足所有需求。Depalma说,"行业内外包很普遍",翻译公司会将工作外包给其他供应商。
"比如有人希望将阿尔巴尼亚语翻译为波兰语,"他解释,"这是很小众的需求,所以不会做到全年无休地防护。"当你的文档通过邮件传到指定翻译公司,他们转发给其他人,可能是个你从未听说过的波兰小公司,但是你的信息数据并不会在那存储。这个公司再将你的文档转发给其他地方的独立译者。
"这是一个环环相套的锁链,"Depalma说。平均26%的翻译公司的收入来自其他的翻译公司,这些占据了全世界1/4的翻译工作量。
"只要你的文档流出公司,就进入了未知的世界。"最终,如果找不到著作权,你的这些工作就会上传到translation.com,但这次不同,你是付钱给翻译公司把内容上传了。根据Common Sense的统计,64%的专业翻译表示同僚经常使用网上的免费翻译服务。
一旦你的信息进入未知世界,你就只能依靠防护、安全机制,也就是寄希望于所有接触过你的文档信息的人保密。
对一个机构来说这是太庞大的一份信任。就如同俄罗斯谚语所说,相信但是要验证。在你的文档在翻译过程中追踪你的数据,Vashee推荐使用翻译管理软件(TMS),一个专门针对翻译行业的工具,追踪文件从传输开始到传送回来。
有了TMS,任何对数据的访问都要经过你直接同意;在你不知晓的情况下文件也不会被转发。
你需要提供访问权限。比如提供100个账号供人访问文档,那么任何授权人的操作都在你掌控之下。安装好的TMS系统给你提供一种高级别的防护。
这种保护也不是完美的。TMS系统销售给翻译公司及客户;高级系统内容直接从GitHub、AdobeCQ以及其他平台生成,这之间连接的防护、以及TMS存储文档的方式都有风险。
更重要的是,你使用的TMS工具会允许译者拿走数据么?Depalma提到译者倾向于将TMS中的文档复制到他们更喜欢用的工具中,他们登录、导出,马上你的文档又置于未知荒野了。你需要关闭TMS的这个允许译者导出数据的功能。
无论你用技术手段防护的多么严密,翻译过程中的最高风险永远在于译者。即便他们没有真的导出你的数据,他们还能截屏然后识别文字处理,然后导出到其他工具中。在他看来,这种方式的泄露仅存在理论上的可能。但是在今年9月前,挪威国家石油公司Statoil也是这么认为的。
相关阅读
没有评论:
发表评论