PDF商业创新盗窃:概述
-BCS 全球竞争力威胁圆桌会议讨论的关键要点概述。
-BCS 全球竞争力威胁圆桌会议关注于新的商业安全现实,这些现实是由于几乎所有商业信息都直接或间接地连接到互联网,以及信息移动速度和数量的增加而产生的。这种新环境催生了一个全新的维度,它体现在一直被认为是重要的商业价值创造资产,以及可能被盗或被利用来损害其所有者的犯罪方式。以下是更广泛对话中的要点。要更深入地了解圆桌会议涵盖的内容,请阅读完整的专家组讨论。——Mache Creeger
新的威胁态势
现在可以从企业窃取的数据的速度和数量,使得犯罪分子能够全面了解企业的所有运营数据,并在另一个地点实施。虽然过去高价值的商业信息更多的是银行代码或秘密发明,但今天的犯罪分子已经扩大了这一定义,将更平凡但有价值的信息包括在内,例如制造流程、供应商、客户、工厂布局、合同条款、雇佣数据和一般诀窍。
因此,鉴于几乎所有商业信息都可以通过互联网直接或间接访问,任何在其行业任何方面表现出领导地位的企业,无论规模大小,现在都可能成为利润丰厚的攻击目标。有了这些信息,攻击者可以将最先进的竞争优势出售给任何能够建立同等业务,而无需原始的前期时间和/或资金投入的人。以下是一些例子
* 一家相对较小的美国地区家具公司——通常不会被认为是拥有关键知识产权的企业——成为国际目标。这家公司的家具设计被一家东南亚家具制造商盗窃,后者随后压低了这家美国公司的价格。
* 攻击者侵入了美国的化工厂和炼油厂,并复制了他们可以获得的每一位运营工厂数据:所有设备的连接方式、所有控制系统以及每个压力、温度、开关和阀门的设置。不久之后,东南亚就涌现了这些行业的新的工厂。据信,这些工厂是遭受攻击的工厂的精确复制品,因此不允许参观者进入。
一个企业领先于其竞争对手的程度,直接关系到该企业从其市场中赚取的利润。对于典型的制造工厂,假设运营的前六年每年成本降低 5% 到 15% 是合理的。这些节省通常占利润的大部分。使用被盗的运营信息来创建竞争对手的复制工厂,实际上是从原始企业窃取了这些利润。
犯罪团伙经常 localized 在特定地理区域,他们通常专门从特定公司或有时是整个行业窃取信息。然而,从这类信息中获益,需要了解西方商业惯例的人——接受过西方教育并在西方行业工作过的经验。这限制了被盗信息的效用,因为这类经验在这些活动最普遍的国家并不容易获得。
过去的智慧不再有效
安全曾经是国家情报机构的领域,专注于国防/国家安全相关的信息盗窃。今天,下一代私营组织已经剥离了这些安全服务以供雇用。传统上,商业界一直将信息安全视为充其量是一种支持服务,最坏的情况是视为一种勉强的购买,很少将安全与创造商业价值的流程结合起来。虽然公司对其传统知识产权的保密性很敏感,但他们通常对其控制系统、公司电子邮件、销售和营销、人力资源数据或其他类型信息的保密性不敏感。
过去的安防智慧反映了一句老话:当被熊追赶时,你不必跑过熊,只要跑过你旁边的人就行了。实施足够的安全措施来鼓励攻击者去其他地方不再是一种有效的策略。今天成为目标意味着,那些追求特定目标的攻击者可能不会轻易放弃,直到他们得到它。在这种快节奏的威胁环境中,不要以为如果您的企业排名第 963 位,您就太靠后而不会受到攻击。您将会受到攻击,而且可能很快就会发生。
建议
使组织成为有吸引力的目标的是特定行业的市场领导地位——例如,技术、成本、风格和时尚,甚至激进的新市场扩张。除了提供防火墙、防病毒、入侵检测等基本安全措施外,您还应该像攻击者一样看待您的组织,并确定哪些信息资产为潜在竞争对手提供有吸引力的价值创造利益。推测攻击者的动机,并在进行此分析时,不要排除破坏声誉和/或数据完整性,因为这是攻击者可能从漏洞中获益的另一种方式。
构建一个安全漏洞矩阵,定义攻击者要成功必须采取的五个步骤
1. 找到目标。
2. 渗透它。
3. 控制它。
4. 掩盖你所做的事情足够长的时间以使其产生效果。
5. 做一些不可逆转的事情。
列出您信息系统的所有组件,例如硬件、系统软件、网络和关键应用程序;并且,考虑到上述步骤,详细说明您的业务漏洞(您为什么可能成为目标?)以及相应的攻击工具及其对策。不要将此审查限制在高级管理层;让组织中广泛的各个部门参与进来,包括较低级别的员工——他们通常最了解什么是关键的,什么是脆弱的。我们的专家组成员 Scott Borg 开发的这种方法将有助于以更全面的方式解决安全问题。人们通常会发现,他们将大部分精力投入到渗透预防和备份上,而留下许多其他领域无人防御。
太多的组织花费他们的安全资源来保护网络边界(防火墙和其他相当低级别的东西,例如协议栈)。今天的大部分威胁都发生在应用层,但许多应用程序没有日志,这使得对这个漏洞区域的监控变得更加困难。
当发生漏洞时,您需要能够尽快了解发生了什么。信息系统的架构应该基于漏洞会发生的假设,并且正确响应所需的功能应该是设计不可或缺的一部分。安全基础设施应该超越技术检测,并包括相关的元数据,以便可以在对业务有意义的上下文中解释事件。提出诸如以下问题:如果有人登录到网络,报告的物理位置是什么?它是否与物理访问控制日志报告相关联?
许多安全检测工具虽然提供了全面的信息,但以狭隘、非语境化的方式显示这些信息。当安全仅由 IT 部门监督,而不是也从运营总监或董事会获得更以业务为中心的关注时,可能会导致类似的问题。
聘请渗透测试组织将为您提供对您组织漏洞的独立评估。但是,请注意,这些组织总是能找到一些问题,重要的是人们要了解所发现问题的背景,区分解决提出的问题中哪些是重要的,并在您的行业内达到已知的基线。
将信息服务外包给云计算供应商可能对小型公司甚至可能是中型公司来说是一件好事,因为这可能是这些公司首次建立某种程度的专业管理和 24/7 监控。然而,客户需要良好的方法来比较各种供应商提供的安全模型,但在云计算服务提供商市场的这个阶段,这非常难以找到。
确保您的员工有动力保护您业务最重要的价值创造方面。不要给他们激励去选择有限的短期利益,而不是长期的灾难性损失。
不要害怕与您行业中的其他人交谈。合作伙伴/竞争对手正在面临相同类型的威胁,并且所有人都对降低全行业的威胁水平有着既得利益。
安全专业人员应该是组织高级管理层不可或缺的一部分。鉴于几乎所有信息资产都直接或间接地连接到互联网,企业保护其价值创造方面的能力对其生存和发展至关重要。
安全威胁已经演变到包括广泛的组织规模和行业。任何在其领域表现出领导地位的组织,不再局限于拥有高度特定信息资产的大公司,都需要积极地保护其价值创造信息,采取具体步骤来保护它。
因为每个组织都直接或间接地连接到互联网,所以没有人真正可以避开攻击者的触及。采取此处提供的建议将使您在攻击发生时处于更有利的位置来中断攻击。
问
喜欢它,讨厌它?请告诉我们
© 2010 1542-7730/10/1100 $10.00
最初发表于 Queue 第 8 卷,第 11 期—
在 数字图书馆 中评论本文
更多相关文章
Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代人工智能法规的基石。经典的 FL 设计非常强调安全性和隐私性,但以透明度和问责制为代价。CFL 通过将 FL 与 TEE 和承诺相结合,弥补了这一差距。此外,CFL 还带来了其他理想的安全属性,例如基于代码的访问控制、模型机密性和推理期间的模型保护。机密计算的最新进展,例如机密容器和机密 GPU,意味着现有的 FL 框架可以无缝扩展以支持 CFL,且开销较低。
Raluca Ada Popa - 机密计算还是密码计算?
通过 MPC/同态加密与硬件 enclave 进行安全计算,在部署、安全性和性能方面存在权衡。关于性能,这在很大程度上取决于您所考虑的工作负载。对于简单的求和、低阶多项式或简单的机器学习任务等简单工作负载,这两种方法都可以随时在实践中使用,但对于复杂的 SQL 分析或训练大型机器学习模型等丰富的计算,目前只有硬件 enclave 方法对于许多实际部署场景来说足够实用。
Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处提出的实验表明,Parma(在 Azure 容器实例上驱动机密容器的架构)增加的额外性能开销不到底层 TEE 增加的额外性能开销的百分之一。重要的是,Parma 确保了容器组所有可达状态的安全不变性,根植于证明报告中。这允许外部第三方与容器安全地通信,从而支持需要机密访问安全数据的各种容器化工作流程。公司在云中运行最机密的工作流程时获得了优势,而无需在其安全要求上妥协。
Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算通过将监管系统从 TCB 中移除,从而减小 TCB 的大小、攻击面和安全架构师必须考虑的攻击向量,从而有可能提高通用计算平台的安全性。机密计算需要在平台硬件和软件方面进行创新,但这有可能增强对计算的信任,尤其是在第三方拥有或控制的设备上。机密计算的早期消费者将需要就他们选择信任的平台做出自己的决定。
© 保留所有权利。