麻省理工学院技术评论最近报道说,华盛顿大学的研究人员将恶意软件嵌入了DNA链,并将感染的DNA侵入计算机。
当我阅读这份报告时,我终于接受了以下的观点:我们从尼安德特人那里接手,创造并推动了让我们能够将事情转移到机器上的进步。作为一个文明,我们运转的很好,但现在可能是我们走入进化的衰退时候了。
当然,我不太认真地对待即将来临的厄运,但生物恶意软件的故事却提醒我两个重要的进展。首先是技术转型的步伐加快。其次,信息和数据安全环境一直在变化。
这两个重要发展的实际影响是什么?我们应该检查、分析和实施新技术。但是,正如我们这样做,我们应该有程序和指导原则,帮助我们确定并尽可能减少新技术带来的安全隐患。
这是否使我们进入某种类型的Catch-22?是。新技术可能正在迅速变化,我们无法预测相关的安全风险。在很多情况下,我们会在实施技术后才会发现风险。然后,我们加紧堵塞漏洞,希望在技术和威胁发展之前完成工作。那么,我们该做什么?
在我看来,在技术和威胁之外,我们可以做两件事情,它们能帮助我们保持良好的安全状态并尽量减少安全风险。
严格定义数据访问
我们中的一些老资历的人回忆起数据字典的日子。当数据存储成本很高时,我们对数据结构非常谨慎。我们花了大量时间来定义数据字典,以确保数据存储在尽可能少的地方,但又能被提供给正确的消费者。
现在,在用例中,数据的标准化压力较小,但数据定义的一个方面仍然可能至关重要:谁或什么需要访问数据?而且,从假设没有人和没有事物可以访问数据开始,我们将会备份数据,直到只有真正需要访问的用户才能访问它们。
这种思想超越了人类,成为服务。在当今的系统架构中,通常是其他系统访问数据。因此,我们需要扩展数据消费者的定义及其访问权限以囊括其他应用程序和服务,然后构建权限规则,以消除无担保的数据访问。
抽象安全技术
技术和威胁有如此多的变化,各种技术可能跟上安全需求吗?或者我们需要将安全性与功能分开?我们应该寻找存在于物联网(IoT)、区块链、认知系统和其他先进技术之外或至少互补的安全工具(权限、分析、规则等)吗?
采用这种方法,我们可以在独特的来自具体技术的创新轨迹上管理安全性,也可能在不必升级特定技术的情况下处理不断变化的威胁。诚然,这增加了复杂性,但技术和安全性的松散耦合可能实际上简化了我们如何处理这两种技术和威胁的未来。
例如,我们中的一些人尽量减少物联网的安全风险。也许我们相信IoT提供商在其产品中提供一定程度的安全性,但不能止于此。然后,随着IoT提供商的任何内容,覆盖了其他以安全为中心的技术;这可以是观察和标记所有设备类型(包括IoT)的行为的软件。除了覆盖更广泛的威胁之外,传统的安全提供商可能会以比IoT提供商更快的周期部署补丁并应对威胁。
我们生活在一个充满歧义、不确定性和追求速度的世界。在这样一个世界里,我们必须假设,我们明天要做的最小化安全风险将会与我们今天所做的不同。我们如何为快速接近的未知数做准备?我的回答似乎总是回到两件事情:严密地定义一些核心规则(如数据访问)和松散耦合(所以我们只能替换我们需要替换的东西,而不是所有与替换的东西有关系的事物)。
本文转自d1net(转载)