CPS體現了嵌入式系統����,實(shí)時(shí)系統��,(有線(xiàn)和無(wú)線(xiàn))網(wǎng)絡(luò )和控制理論的幾個(gè)方面����。
嵌入式系統:CPS最一般的特征之一是���,由于與物理世界直接接口的幾臺計算機(傳感器�,控制器或執行器)僅執行很少有具體的行動(dòng)���,它們不需要經(jīng)典計算機(甚至移動(dòng)系統)的一般計算能力�����,因此它們往往資源有限����。
實(shí)時(shí)系統:對于安全關(guān)鍵系統����,執行計算的時(shí)間對于確保系統的正確性非常重要�。
網(wǎng)絡(luò )協(xié)議:CPS的另一個(gè)特征是這些嵌入式系統相互通信���,越來(lái)越多地通過(guò)IP兼容網(wǎng)絡(luò )進(jìn)行通信�。雖然電力系統等許多關(guān)鍵基礎設施都使用串行通信來(lái)監控其SCADA系統中的遠程操作�����,但直到最近二十年�����,系統不同部分之間的信息交換已從串行通信遷移到IP兼容網(wǎng)絡(luò )�。
無(wú)線(xiàn):雖然大多數長(cháng)途通信是通過(guò)有線(xiàn)網(wǎng)絡(luò )完成的�,但無(wú)線(xiàn)網(wǎng)絡(luò )也是CPS的共同特征�。嵌入式系統的無(wú)線(xiàn)通信在2000年代初以傳感器網(wǎng)絡(luò )的形式引起了研究界的極大關(guān)注����。
控制:最后����,大多數CPS觀(guān)察并嘗試控制物理世界中的變量�����。反饋控制系統已經(jīng)存在了兩個(gè)多世紀��,包括1788年推出的蒸汽調速器等技術(shù)�����?����?刂评碚撝械拇蠖鄶滴墨I都試圖用微分方程對物理過(guò)程進(jìn)行建模���,然后設計一個(gè)滿(mǎn)足一組所需屬性(如穩定性和效率)的控制器����。
在討論了CPS的這些一般特征之后����,需要注意的是��,CPS是多種多樣的�,它們包括現代車(chē)輛�����、醫療設備和工業(yè)系統����,所有這些都具有不同的標準�����、要求���、通信技術(shù)和時(shí)間限制�。因此����,我們與CPS相關(guān)的一般特征可能不適用于所有系統或實(shí)現���。
除了AIGC�,2023年還要面臨哪些技術(shù)“雙刃劍”�?最近兩個(gè)月���,人們驚嘆于A(yíng)IGC的“超能力”��,但也對AIGC帶來(lái)的潛在風(fēng)險表示擔憂(yōu)�����。ChatGPT之父Sam Altman在最近的一次訪(fǎng)談中表示�����,AI在為人類(lèi)的聰明才智提供力量倍增器的同時(shí)��,也可能帶來(lái)技術(shù)濫用���、事故等安全風(fēng)險�����。他重點(diǎn)指出「惡意人員運用AIGC技術(shù)編寫(xiě)計算機代碼模型可以用于賦能網(wǎng)絡(luò )攻擊」�����。
除了AIGC�,勒索攻擊的威脅有增無(wú)減���、供應鏈已成為企業(yè)數據保護的薄弱環(huán)節���、反欺詐應由體驗優(yōu)先轉向動(dòng)態(tài)治理等安全問(wèn)題的爆發(fā)����,無(wú)一不在給產(chǎn)業(yè)數字化提出更多的挑戰��。
IT工業(yè)化的發(fā)展���,企業(yè)的軟件和應用開(kāi)發(fā)效率得到極大提升����,但對第三方軟件和開(kāi)源組件的依賴(lài)也引入了更多安全風(fēng)險�。供應鏈攻擊事件連年攀升���,已經(jīng)成為世界性難題���。作為連通架構的產(chǎn)業(yè)互聯(lián)網(wǎng)���,其安全脆弱性前所未有����,需要網(wǎng)絡(luò )安全產(chǎn)業(yè)齊心協(xié)力���,打破技術(shù)���、行業(yè)之間的壁壘���,共同構建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)��。
產(chǎn)業(yè)各界需攜手共識���,建立產(chǎn)業(yè)發(fā)展安全觀(guān)��,建設涵蓋企業(yè)人才����、技術(shù)����、管理���、生產(chǎn)��、服務(wù)等全鏈路數字化協(xié)同的安全防御能力�����,打造貫穿企業(yè)生命周期的安全免疫體系����。企業(yè)參與數字化時(shí)代的市場(chǎng)競爭�����、謀求新階段的高質(zhì)量發(fā)展��,企業(yè)家需要樹(shù)立正確的安全觀(guān)念�,了解并研判產(chǎn)業(yè)安全發(fā)展趨勢����,在戰略上以一把手工程的視角看待安全��,統籌發(fā)展與安全���,既要基于安全謀發(fā)展�,又要以發(fā)展促安全�。
IT一般安全控制已經(jīng)過(guò)時(shí)了嗎����?在審計IT一般安全控制以確保信息系統在財務(wù)報告中的可靠性時(shí)�,數據的完整性是很重要的����,但機密性是否同樣重要�,則值得商榷��。如果強大的身份驗證控制已經(jīng)到位�����,并且對數據的直接訪(fǎng)問(wèn)被嚴格限制在適當的個(gè)人身上���,那么新的控制是否有必要�?在這種情況下�,未經(jīng)授權的個(gè)人獲取和修改數據的風(fēng)險似乎很低�����。為了了解這些控制措施的相關(guān)性����,需要仔細研究欺詐和缺乏數據完整性的風(fēng)險�����。
在對信息系統執行IT審計時(shí)�����,關(guān)鍵的風(fēng)險因素是數據不安全和欺詐�����。2016年���,美國國家標準與技術(shù)研究所(NIST)描述了三種可能導致數據完整性問(wèn)題的網(wǎng)絡(luò )攻擊場(chǎng)景:勒索軟件��、數據破壞和數據操縱(內部威脅)���。最近的另一項研究描述了云中的多種攻擊���,可能導致數據完整性問(wèn)題�。在連接到互聯(lián)網(wǎng)或云的信息系統中��,攻擊面要大得多���,因此�����,數據安全是一個(gè)重要問(wèn)題�。
云平臺使用的增加以及與之相關(guān)的風(fēng)險因素的增加�����,反映在所實(shí)施的欺詐數量上���。在最近的一項調查中����,“近70%的遭遇欺詐的組織報告說(shuō)�����,最具破壞性的事件來(lái)自外部攻擊或內外的勾結�?��!蓖徽{查表明�,網(wǎng)絡(luò )欺詐比資產(chǎn)挪用更常見(jiàn)���。
IT一般安全控制指南已經(jīng)過(guò)時(shí)了�����。隨著(zhù)IT環(huán)境的不斷變化�����,對數據保護的要求也需要不斷發(fā)展�。在測試IT一般安全控制時(shí)�����,應考慮對IT環(huán)境中的相關(guān)應用����、數據庫�、操作系統和網(wǎng)絡(luò )組件進(jìn)行與安全評估��、數據資產(chǎn)保護����、安全數據傳輸����、端點(diǎn)保護�����、漏洞監測���、安全監測和安全處置有關(guān)的額外控制措施���。
澳大利亞再發(fā)嚴重數據泄露事件�,涉及800萬(wàn)用戶(hù)個(gè)人信息三月初��,澳大利亞非銀行貸款機構 Latitude Financial 遭遇了一次網(wǎng)絡(luò )攻擊�����,最新情況表明����,其后果可能比先前預估的更加嚴重����。該公司于 3 月 16 日首次透露了這起攻擊事件����,稱(chēng)有33萬(wàn)客戶(hù)的數據遭到泄露�����,而最近��,該公司承認受影響的客戶(hù)數量可能達到了800萬(wàn)之多�����。
美國廣播公司新聞報道稱(chēng)�����,黑客已經(jīng)獲取了客戶(hù)的姓名���、地址����、出生日期���、電話(huà)號碼�����、護照號碼�,甚至還獲取了月度財務(wù)報表�。此外�,有大約570萬(wàn)條數據來(lái)源于2013年之前的歷史數據��,最早可以追溯到2005年���。該公司仍在評估可能涉及重復統計的數據�����,并確定受影響客戶(hù)的真實(shí)數量�。
有Latitude 客戶(hù)表示����,由于個(gè)人可供識別身份的照片在攻擊中被盜�����,讓他們感到“受到了侵犯”�。Latitude 表示��,它將補償客戶(hù)更換任何被盜身份證件的費用�。外交和貿易部還證實(shí)����,受影響的護照仍然可以安全使用�。
外部入侵和人為因素是造成數據泄露的兩大主要原因����。
為防止內部員工的不當操作泄露企業(yè)數據���,企業(yè)應該定期為員工進(jìn)行相關(guān)培訓來(lái)提高安全意識�。而憑證竊取���、漏洞利用等外部攻擊導致的數據泄露�,往往歸因于企業(yè)安全防護建設不到位����,系統存在讓攻擊者有機可乘的薄弱環(huán)節�,主動(dòng)防御才是抵擋攻擊者腳步的最佳選擇�。
軍事基地航拍照片泄露,俄語(yǔ)論壇黑客售賣(mài)美國法警局數百GB敏感數據據外媒報道��,一名黑客正在一個(gè)俄語(yǔ)論壇上出售據稱(chēng)是從美國法警局(USMS)服務(wù)器中竊取的350 GB數據�����。USMS是美國司法部下屬的一個(gè)機構���,通過(guò)執行聯(lián)邦法院命令�����、確保證人及其家人的安全��、查封非法所獲資產(chǎn)等職責為聯(lián)邦司法系統提供支持�����。
賣(mài)家在帖子中將該數據庫標價(jià)15萬(wàn)美元��,據稱(chēng)包含美國法警局文件服務(wù)器和工作電腦上從2021年到2023年2月的文件�����。這些文件包括具有精確坐標的軍事基地和其他敏感區域的航拍視頻及照片����、護照及身份證明的副本��、以及有關(guān)竊聽(tīng)和監視公民的細節��,另外還有一些關(guān)于罪犯�、黑幫頭目等的信息�����。賣(mài)家還聲稱(chēng)���,其中一些文件被標記為機密和絕密�����,并且還包含證人保護計劃的細節����。
除此之外����,USMS還曾在2020年5月披露過(guò)另一起數據泄露事件����,其曾于2019年12月泄露過(guò)超過(guò)38.7萬(wàn)名前囚犯及現囚犯的詳細信息(包括姓名��、出生日期�、家庭地址和社會(huì )安全號碼)�����。
可以看到��,即使是政府機構也無(wú)法避免遭受網(wǎng)絡(luò )攻擊的損失�,現下敏感信息盜竊威脅日益嚴重�����,所有組織都有必要在其運營(yíng)中優(yōu)先考慮網(wǎng)絡(luò )安全措施�,特別是那些涉及處理敏感信息的機構�����。并且需要注意到���,事前采取預防措施遠比事后響應更為妥當�。
Code42委托進(jìn)行的一項數據暴露調查研究表明�����,盡管已經(jīng)設置了專(zhuān)門(mén)的內部人風(fēng)險管理(IRM)計劃���,大多數公司仍然難以阻止內部人事件造成的數據丟失�����。
Gartner分析師Paul Furtado稱(chēng):“員工�����、合作伙伴和承包商都有不同級別的訪(fǎng)問(wèn)權限����,各具不同敏感性����,但這些用戶(hù)的行為卻沒(méi)有得到有效監控�����。IT安全開(kāi)支基本上集中在防范外部威脅和保護邊界不受惡意侵入方面�,未必會(huì )對受信內部用戶(hù)施行相同等級的預防性數據保護控制措施�,而且通常只在事后才會(huì )發(fā)現違規行為��?����!?/span>
Kubernetes實(shí)時(shí)監控公司KSOC聯(lián)合創(chuàng )始人兼首席技術(shù)官Jimmy Mesta表示:“各個(gè)行業(yè)都普遍存在內部人風(fēng)險�,其潛在影響非常廣泛����,從短暫宕機到數據完全丟失都有可能��。企業(yè)內部IT基礎設施的日漸復雜和云技術(shù)的采用�,使得某些情況下幾乎不可能檢測內部人風(fēng)險���。內部人風(fēng)險并非總是源自惡意���,這可能會(huì )令檢測變得尤為困難�?�!?/span>
通常情況下�����,內部人(員工)只是想方便自己工作而已�����,只不過(guò)采取了未經(jīng)批準的方式導出數據����,或將之共享給了錯誤的人(無(wú)權查看數據的人)?,F有技術(shù)和計劃無(wú)法檢測和防止意外操作(相對于惡意或疏忽而言)��,事件進(jìn)一步增加��。領(lǐng)導團隊應足夠重視內部人員的安全保密意識��,提高他們的安全防護能力��,積極推進(jìn)數據體系安全建設�����。