5月20日下午,一年一度的rsa盛会正式落下帷幕。在rsa会议的最后一天,多位演讲嘉宾围绕安全弹性、云安全、安全文化、ai、威胁模型等主题呈现了精彩纷呈的演讲。
1《走向未知-通过安全混沌工程构建安全弹性》
演讲者:aaron rinehart(cto and co-founder verica @aaronrinehart)、jamie dicken(director, security assurance resilience @jamie_dicken)
系统工程复杂度是安全管理的一大难题。随着系统复杂度的上升,可能出现的故障数量也会随之增加。演讲者提出可以运用安全混沌工程来构建系统的安全稳定,即安全弹性。混沌工程是指在系统上进行实验,并观察系统如何对各种混乱输入因素进行响应的科学。通过主动的安全混沌工程测试可以提升系统安全性,持续性验证能够减少安全方面的不确定度。
演讲者还介绍了一个安全混沌工程用例,其中包含了事件响应、安全观测、验证安全控制以及合规监测四个方面。演讲者也提到安全混沌工程跟红队测试的区别:红队测试聚焦在“能够找到一条线路攻击进去吗?,而安全混沌工程聚焦在“所有的安全防护都已部署并且正常工作了吗?”。
最后演讲者建议企业应尽早开展安全混沌工程来构建系统安全弹性,因为常见的软件测试只能验证系统功能性需求,而安全混沌工程可以验证出系统安全性需求。
2《七大ai违规行为:了解如何防范不安全的学习》
演讲者:davi ottenheimer(vp trust and digital ethics, inrupt)
近十年来,ai在众多领域的应用确实大大提高了生产力。但是许多负责ai风险团队的结果显示:如果缺乏全面仔细的考虑,ai赋能业务的同时可能还会带来安全风险,并且其损失将远远超过收益。
演讲者引用了可信ai研究和咨询专业公司adversa发表的业界首个全面人工智能安全性和可信度研究报告,报告指出目前安全性与可信度问题出现最多的ai领域是计算机视觉(65%),其次是分析、语言和自治系统。在计算机视觉中经常出现语义歧视、性别歧视、危险操作等违规行为的一般在七个领域,具体包括翻译、书面(语音)识别、情感(健康)认知、性别分类、视觉(面部)识别、威胁检测和交通安全。
在ai应用越来越广泛的今天,政府和有关企业应当建立可执行的安全学习工程行动计划,包括近期战术和长期战略规划,比如创建威胁模型、成立道德检讨委员会、建立产品测试和审核流程、分配执行层独立执行等。同时企业应紧密跟踪最新ai威胁,实施ai安全意识计划,并保护自身ai产品开发生命全周期。
3《混合云中的加密模式》
演讲者:mark buckwell(executive security architect,ibm)
随着混合云的扩张和应用上云的发展,如何构建数据加密方案确保混合云数据加密的有效、可信和弹性,保护高度敏感的业务数据不受特权管理员的影响,成为了混合云数据保护的首要挑战。演讲者通过分析混合云加密面临的设计决策、限制和风险,综合考虑实施有效加密和密钥管理的原理、架构和组成,并对比传统的标准集成加密方案,提出了一套比较完善的混合云集成加密凯发官网入口首页的解决方案。如下图所示。
该凯发官网入口首页的解决方案提供一个体系架构和一套部署模式。体系架构能够实现云化的密钥集成管理,对所有静态数据加密使用内置加密和密钥管理,对多租户使用多云密钥管理功能,集中控制密钥管理,使用文件、文件夹或数据库加密来保护特权用户和外部威胁代理,确保云服务提供商之间的加密数据可移植性,同时扩展支持本地存储和文件、文件夹或数据库加密,构建公共云中的加密控制平面。部署模式通过带hsm(硬件安全模块)的云密钥管理器和本地加密管理器,将弹性嵌入到加密和密钥管理中,在混合云的不同区域实现加密数据的实时同步和加密数据库的近实时同步。
4《重视文化:将人员放在安全的核心位置》
演讲者:jinan budge(forrester research首席分析师)
员工情绪和凯发k8国际首页登录的文化对于安全来说至关重要。安全是一个情绪化的话题,而员工又对周围环境有着非常敏感的触觉。演讲者提出企业人文环境建设4部曲,以实现组织战略性和安全文化变革。
第1步 构建人员地图,将其分为支持者和阻碍者,重点管理阻碍者,并从集体动力、权威、远见、稀缺性、交流与关系等方面进行说服或影响他们。
第2步 管理公司的文化和价值观。据调查数据统计,超过80%的员工希望在符合他们个人价值观的公司里工作。
第3步 注重纵向、横向和外部的影响。建立一个以人为中心的安全程序、一个有影响力的关系网络,组织宣传力、上层执行力、下属支持度和外部信任度都必不可少。
第4步 投资自己。提高自身的领导能力,学习沟通和公共演讲技巧,拓展自身技能,并注重自身与员工心理健康。
5《使用威胁建模提高合规性》
演讲者:adam shostack(shostack & associates)
软件工程师理想的一天是解决客户遇见的问题、写代码、优化产品、改变世界,然而现实中软件工程师的一天不仅要完成原本的工作,还要考虑成本、风险、缓解措施、性能、安全性、隐私权、可访问性、设计内容、地理和政治问题、凯发k8国际首页登录的合作伙伴以及可编程性等各种问题。来自于不同方面的合规目标、不同的优先级、永无休止的需求流……如何解决合规性引起的冲突逐渐成为企业管理者的噩梦。演讲者提出不妨采用威胁建模方式,通过模型表示系统间的结构关系,以结构化方式梳理“可能出问题的地方,同时将威胁建模和合规性相结合,构建pci威胁模型、pci流程模型、pci系统模型等,系统模型如下图:
通过对企业的威胁进行建模,对威胁进行结构化、系统化和全面处理,不仅可以提高安全性,还可以减少团队之间的冲突,让合规性从“否定”部门转变为有用的协作者。
- 关键词标签:
- 天融信 安全弹性 云安全