人工智能如今已經(jīng)進(jìn)入各行業(yè)領(lǐng)域。當(dāng)人們都在討論人工智能帶來的影響和應(yīng)對(duì)工作流程的變化時(shí),網(wǎng)絡(luò)安全專家一直在處理人工智能在惡意攻擊中的應(yīng)用。
盡管具有豐富的經(jīng)驗(yàn),人工智能的日益復(fù)雜總是讓安全專家難以應(yīng)對(duì)。隨著網(wǎng)絡(luò)攻擊者使用更多的自學(xué)習(xí)算法來滲透企業(yè)的網(wǎng)絡(luò),采用的靜態(tài)安全措施已經(jīng)過時(shí)。
那么企業(yè)應(yīng)該怎么做?以下是每個(gè)企業(yè)都必須實(shí)施的三條原則,以應(yīng)對(duì)人工智能應(yīng)用在數(shù)據(jù)泄露方面日益增長(zhǎng)的趨勢(shì)。
(1)進(jìn)行網(wǎng)絡(luò)安全模擬
當(dāng)提到創(chuàng)建強(qiáng)大的安全框架時(shí),進(jìn)行網(wǎng)絡(luò)安全模擬并不是行業(yè)專家們首先想到的做法。然而,網(wǎng)絡(luò)安全模擬不僅僅是安裝一個(gè)模擬平臺(tái)。持續(xù)測(cè)試企業(yè)的安全態(tài)勢(shì)就是模擬的一個(gè)例子。
通過探測(cè)和模仿網(wǎng)絡(luò)攻擊者用來滲透系統(tǒng)的方法,企業(yè)將了解要消除哪些漏洞以及弱點(diǎn)在哪里。安全模擬還包括創(chuàng)建違規(guī)場(chǎng)景并測(cè)試企業(yè)的響應(yīng)情況。
這些練習(xí)與演練非常類似,為企業(yè)提供了設(shè)置強(qiáng)大流程和培訓(xùn)員工采取正確行動(dòng)的機(jī)會(huì)。網(wǎng)絡(luò)安全模擬還擴(kuò)展到安全培訓(xùn)措施。例如,可以將安全培訓(xùn)游戲化,并使用數(shù)據(jù)創(chuàng)建定制的學(xué)習(xí)路徑。
這種方法與典型的安全培訓(xùn)計(jì)劃形成了鮮明對(duì)比,后者依賴于安全專家舉辦的講座或研討會(huì),這樣做可以培養(yǎng)員工的網(wǎng)絡(luò)安全意識(shí),但不能確保他們?cè)诿媾R挑戰(zhàn)時(shí)改變自己的行為。即使他們知道網(wǎng)絡(luò)攻擊媒介,也很可能成為網(wǎng)絡(luò)攻擊者的攻擊目標(biāo)。
模擬演練有助于員工了解在受控環(huán)境中行動(dòng)的重要性,他們可以在所犯的錯(cuò)誤中吸取教訓(xùn)。最重要的是,模擬能夠提供不同級(jí)別的安全意識(shí),并為每個(gè)人提供正確的課程。
例如,為什么開發(fā)人員應(yīng)該接受與銷售助理相同的課程?他們的技術(shù)能力是不同的,他們接受的培訓(xùn)必須反映這一點(diǎn)。模擬可以幫助他們無縫地解釋這些差異。
(2)采用零信任協(xié)議
企業(yè)通常依賴于包括微服務(wù)、云容器和DevOps管道在內(nèi)的基礎(chǔ)設(shè)施擴(kuò)展。這些大多是自動(dòng)化完成的,因?yàn)槿斯?zhí)行和維護(hù)它們幾乎是不可能的。
然而,安全協(xié)議在很大程度上仍然是人工實(shí)施的。例如,盡管通過DevSecOps實(shí)現(xiàn)安全左移,安全挑戰(zhàn)仍然是開發(fā)人員需要克服的,而不是集成。安全團(tuán)隊(duì)為開發(fā)人員開發(fā)代碼模板,但在需要訪問時(shí)仍然需要人工輸入。
因此,許多訪問都是預(yù)先確定的,以確保應(yīng)用程序的最佳性能。問題是這些硬編碼的訪問控制為惡意行為者滲透系統(tǒng)提供了一種簡(jiǎn)單的方法。由于基礎(chǔ)薄弱,對(duì)此類基礎(chǔ)設(shè)施進(jìn)行測(cè)試毫無意義。
零信任是解決這個(gè)問題的最佳方法。零信任非常適合DevOps框架,它依賴于自動(dòng)化和API來連接企業(yè)中龐大的基礎(chǔ)設(shè)施。這使得安全團(tuán)隊(duì)有更多的時(shí)間專注于重要的問題。
零信任工具還能夠使安全團(tuán)隊(duì)授予基于時(shí)間的訪問權(quán)限,并對(duì)其云容器施加額外的加密控制。因此,企業(yè)可以控制數(shù)據(jù),即使它駐留在云計(jì)算服務(wù)商的云平臺(tái)中。云計(jì)算服務(wù)商安全密鑰的漏洞不會(huì)影響企業(yè)的數(shù)據(jù)安全,因?yàn)楦郊訉涌梢蕴峁┍Wo(hù)。
除了采用零信任工具,企業(yè)還可以遵循經(jīng)過時(shí)間考驗(yàn)的安全框架,例如MITRE ATT&CK,以確保其安全設(shè)備遵循最佳實(shí)踐。安全框架可以防止企業(yè)重復(fù)工作,并為其提供一組易于復(fù)制的工作流。
其結(jié)果是構(gòu)建了一個(gè)經(jīng)過行業(yè)專家預(yù)先驗(yàn)證的強(qiáng)大框架。
(3)檢查操作流程
如今,DevOps幾乎出現(xiàn)在每個(gè)企業(yè)中,但它往往忽略了安全性在創(chuàng)建偉大產(chǎn)品中的作用。零信任安全工具幫助企業(yè)將安全性向左轉(zhuǎn)移,但要?jiǎng)?chuàng)建安全文化,必須深入挖掘并檢查其流程。
在通常情況下,安全性是一個(gè)文化問題,而不是基于流程的問題。開發(fā)人員習(xí)慣于在緊張的時(shí)間安排下工作,可能無法采用新的基于安全的措施,包含安全性的關(guān)鍵是將其自動(dòng)化并集成到DevOps管道中。
首先是使用預(yù)先驗(yàn)證過安全性的代碼模板,接下來,在每個(gè)開發(fā)團(tuán)隊(duì)中嵌入安全團(tuán)隊(duì)成員。通過這種方式,開發(fā)人員在需要幫助時(shí)可以很容易地獲得行業(yè)專家的幫助,最后,企業(yè)高管必須宣揚(yáng)安全在創(chuàng)造偉大產(chǎn)品中的重要性。
安全性與企業(yè)正在開發(fā)的任何功能一樣,都是一種產(chǎn)品特性,所以要與企業(yè)的員工溝通這一點(diǎn)。隨著時(shí)間的推移,他們會(huì)明白這一點(diǎn),并開始認(rèn)真對(duì)待安全問題。隨著人工智能的迅速發(fā)展,每個(gè)員工現(xiàn)在都要對(duì)安全負(fù)責(zé)。
結(jié)語(yǔ)
網(wǎng)絡(luò)安全模擬、采用零信任協(xié)議和檢查操作流程是企業(yè)對(duì)抗人工智能對(duì)安全態(tài)勢(shì)構(gòu)成威脅的良好方法。歸根結(jié)底,安全是一個(gè)文化問題。當(dāng)與正確的工具結(jié)合使用時(shí),企業(yè)將會(huì)顯著降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)