正文
抵御风险和快速恢复的能力,这并不仅仅是安全的目标,也是其它企业职能的目标。Uber的CEO与司机争吵的新闻曝光后,PR部门需要在最短的时间内控制传播并挽回损失。泰国水灾后,生产计划部门必须立即寻找新硬盘供应商或者与销售部门商议削减出货计划。既然所有的业务流程都将实现数字化,那就必须要让所有业务管理者理解数字化后的信息安全风险并加以主动控制。
实现抵御风险和快速恢复能力,需要的不仅仅是技术方面的投入和改变,业务流程的改变更加重要,需要将信息安全整合至企业整体范围内的风险治理和控制过程中,要求每一个业务部门的管理者在做决策时都必须考虑如何保护数字化基础设施(信息资产)。
管理观念的转变是至关重要的:必须要事先预见并做好充足准备。例如,RSA公司CTO的开幕演讲Planning for Chaos(这个主题也是在说应对‘混乱’)中提到,如果没有预留处置紧急安全事件的预算,安全团队面对突发情况时只会束手无策巧妇难为无米之炊;此外,也需要其它部门如法律人事财务等协同作战,这显然需要事先准备并演练。在新形势下,只依靠传统安全设备采购的方式,将会严重制约安全团队绩效,进而影响并拖慢整个企业的数字化进程。
在这种思路指导下,安全将不再仅是IT部门的职责,而是成为所有业务部门的共同责任。从流程到KPI到预算到人员配置,安全运营都将出现显著变化。如此剧烈的改变,方法论将发挥不可替代的指导作用。
在缺乏自然形成的防守地势和面对人数更多的敌人时,著名军事家腓特烈大帝告诉他的将军们,“格局狭隘的倾向于同时防御所有方向,但目光敏锐的只关注重点;远见卓识的他们防守最糟糕打击并能忍受少量伤害,从而成功避免更大的损失。如果你试图抓住一切,你终将一无所有。”
厘清信息资产重要性并排序,据此规划有针对型的重点防御,是推荐的最佳实践。笔者摘录一些书中的重要观点:
- 缺少明确目标的安全措施只会服务于攻击者
- 与业务部门领导层讨论以确定信息资产和风险的优先级
- 为不同优先级的信息资产提供不同等级的安全保护
- 应有所有可能的安全控制,但是按照不同分级来组织
如何发现高价值资产?作者建议应专注于信息资产而非数据元素,评估业务风险,而不仅是技术风险, 只有对信息资产进行分类,才有可能进一步讨论价值高低和优先级,才有可能制订有针对性的高效保护计划,才有可能实现业务的风险抵御以及快速恢复能力。
从另一个角度来说,只有对信息资产分类,才能与各业务线领导讨论信息安全对其收益的影响,何种情况会造成他所管理的业务出现风险和危机。
自古以来,身份认证都是一个难题,人们逐渐发展出一个简单直观且逻辑安全的方式,用白话来解释就是:我自己掌握一个“秘密”,其他人都不知道;你有一个验证我拥有“秘密”的方法;如果通过验证,你就可以肯定我就是我。现代身份认证都是基于这一逻辑。
UnifyID使用各种传感器,只不过记录了用户行动数据,加上各种概率模型,严格来讲连“something you are”的级别都难以达到,远远无法算做“秘密”。
“生物认证所使用人的特点,在某些情况下,可能被攻击者获取。因此,身份验证的生物识别技术的使用,仅限于强绑定激活后的特定物理认证器,限制激活和连续失败次数,超出后必须要求有其它激活认证因子或认证器要求。”
只有原理和流程严格满足,这才是负责任的安全系统设计。UnifyID产品描述中并没有提到强绑定物理认证器,而其大书特书的跨硬件身份认证,更是背离标准要求方向,严重降低了安全性。
如果其它认证因素能替代生物特征,那就是意味着其认证权限更高,引申含义即往往也代表着更安全的措施,例如账户和密码。UnifyID抛弃了账户和密码吗?显然没有看到任何确定性说法。如果用户不小心崴脚,UnifyID也只能回归账户密码了吧。这样如果弱口令或泄露照样会带来安全风险。
所以笔者一直认为UnifyID所使用的方法,对提升用户体验以及控制风险水平很有帮助,但用于其所吹嘘的身份认证,显然极不靠谱。
前阵子还听说有个创业公司,照搬碟中谍的噱头,利用步态识别做认证,上班考勤打卡开锁进门,只需要装几个摄像头即可。如果大家做过一些面部识别的工作,或者看过一些电视和电影,都会注意到计算机在人脸图片上标出特征点,这些锚点的位置距离等都是算法的输入数据,在阴影下或者化妆或者面部装饰都会干扰锚点的发现提取,进而严重影响准确率。
延伸到步态识别,各位看官也许马上意识到问题所在,如果经常出现干扰锚点识别的场景怎么办?裙子、风衣、长大衣、肥裤子、短裤等等。是不是马上会觉得这种创新毫无意义?
机器学习是科学,不是神术。其基础构建在严谨的数学理论之上,能做什么和能达到什么效果都受制约。妄想必然会受到商业原则的
惩罚。人脸识别能做高安全级别的身份认证吗?请读者自行研读美国国家标准并归纳结论。
安全行业的变化速度之快令人眼花缭乱,紧跟创新潮流并不能保证成功。例如,各位看官有没有意识到,移动安全作为一个品类正在消失,其能力被其它产品线逐渐融合。
去年的圣杯“自动化”今年已经遍地开花,成为追求效率的安全团队选择产品时的首要考虑因素。今年的圣杯毫无悬念,展会现场到处都是包含“机器学习”的宣传材料,铺天盖地目不暇接,都不用费精力探寻。如果各位觉得这仅仅是功能上的升级,那就没有预料到一场更深层次的变革已经悄悄到来。
