RSA 2019：關於如何讓世界變得更好、信任、AI和IoT

作為全球網路安全領域的行業盛會，RSA一年一屆，高手雲集。3月5日，RSA 2019大會在美國舊金山拉開帷幕，今年大會議題眾多，涉及威脅、加密貨幣攻擊、IoT安全、勒索軟體、安全基礎架構、隱私等諸多話題。

2019 RSA大會的口號是「更好」。因此，周二上午的主題演講歸結為一些最近惡化令人不安的社會趨勢的扭轉。

這其中包括「信息戰」，旨在破壞公民對媒體及其信息消費的信任，利用社交媒體進行影響力宣傳以及人工智慧和物聯網(IoT)的出現，這既是好處，也是潛在的威脅。

為進入一個更有希望的未來，網路社區必須致力於重建信任：信任技術並信任自己。Niloofar Razi Howe是一位網路安全戰略家和企業家，他在主題演講期間登台亮相。 「信任對經濟的重要性正如水對生命的意義。」 她說，「我們正面臨信任危機。」

她補充說，這是一場危機，如果不加以解決，可能留下深刻的社會傷疤。

黑暗的一面

當女演員Helen Mirren出人意料地以短篇獨白開場時，這種產生信任和積極性的主題得以實現。她吟唱了一個充滿希望的文章，即關於網路從業者組成一個社區並在那裡互相支持，即使在逆境中也是如此。

不久之後，當Howe和RSA總裁Rohit Ghai通過勾勒出對2049年世界的看法，他的視野變得有些暗淡。到了21世紀40年代，他們指出，人類進步的第五個偉大時代將是正如火如荼。

在我們熟悉的農業、工業和互聯網以及數字革命作為歷史之後，我們將進入一個生物數字時代。他們說，生物學和技術已經融合在一起。

事實上，2049年聽起來像一個有趣的地方：使用著數以千萬計連接設備的數十億「在線(online)」。傳統貨幣已經被兩種主要的全球虛擬貨幣所取代(儘管「人們可能仍然在比特幣上虧本」)，全球主要由可再生能源驅動。

然而，這正是黑暗的來源，Howe和Ghai指出我們沒有輕易實現2049年的世界，在21世紀20年度就有一些黑暗。在描述這點時，如果信任沒有被重新「點燃」，他們描述了他們所看到的未來。

他們指出，經過多年的選舉季黑客攻擊和民族國家犯下的虛假新聞和信息以及通過社交媒體傳播，超過一半的美國人在2025年失去對民主的信心。Howe說，大多數人在一個「事實、錯誤信息和意見模糊」的世界中對新聞的獨立性和真實性失去了信心。

「基於事實的理性話語幾乎消失了。沒有人知道政府是否能夠或將會解決重要的社會問題。」她補充說。到2025年，全球貿易戰將全面展開，導致互聯網孤立，建立各種數字「牆」，將全球人口分開。

Ghai表示，設想未來，「在20世紀20年代，信任危機的出現撼動了我們社會的基礎。」

人工智慧

這種信任危機的潛在增加源自新技術的出現，這些新技術引入了新的潛在攻擊或可用於非預期的惡意後果。人工智慧(AI)已經成為其中最蠢的一個，邁克菲高級副總裁兼首席技術官Steve Grobman參加了主題演講，討論AI以及我們是否可以信任它。

他講道，人工智慧是網路防禦的新基礎，它將使我們能在理論上更好地檢測威脅並讓我們的對手不斷創新。AI還可以通過委派一些自動化任務來幫助解決人才短缺問題，因此人們可以專註於更關鍵的任務。

然而，問題在於「技術不關心道德」，他說，「相同的加密演算法可以防止每月在網路上竊取150艾位元組的數據，或者它也可以實現勒索軟體攻擊。」加密的關鍵核心在於數學，你無法阻止某人做數學。

當談到人工智慧，他補充道，「像飛行一樣，我們不能僅僅聚焦於它對我們有用的潛力，我們必須了解這些限制以及如何使用它們來對付我們。」

他指出，舊金山的公共安全組織正利用現代數據科學來優化警察根據犯罪水平和其他指標集中巡邏的地方。Grobman指出，可以使用完全相同的數據集來創建一個地圖，讓犯罪分子能夠更有效地犯罪並最大限度地減少逮捕的可能性，並且展示了一個AI模型。

邁克菲首席數據科學家Celeste Fralick也在大會上解釋了人工智慧如何實現Ghai和Howe所提到的the deep fakes(人物換臉)。

「人工智慧非常適合製作非常可信的虛假內容，」她說，然後現場運行一個演示，使用Grobman免費提供的公眾評論創建一個人工智慧模型，創建一個她的話從他嘴裡出來的視頻。

她說，「這可能會造成巨大的混亂。」最重要的是，Fralick還解釋了如何使用AI創建自動化的、有針對性的消息傳遞，將「魚叉式網路釣魚的有效性與傳統網路釣魚的規模」相結合，以及如何自行攻擊AI引擎。

例如，她演示了如何讓圖像分類器認為企鵝的圖片實際上是煎鍋的圖片。

「想像一下，使用這種對抗機器學習惡意軟體分類和其他網路防禦模型，」她說。

火熱的物聯網(IoT)

另一個信任被削弱的領域是圍繞越來越多的連接設備，這些設備正在成為關鍵基礎設施、公用事業和製造業環境的一部分。

思科Talos全球威脅情報副總裁Matt Watchinski在他的主題演講中談到許多預測，這些預測物聯網設備爆炸時代到來，截至2020年，將有2500億物聯網設備連接，包括各種感測器。

「我們周圍已經有成千上萬的互聯設備，都有獨特而有趣的威脅配置文件，」他說，「它們不再運行專有協議，它們在IP上運行。我們正在談論交通量、紅綠燈，所有這些都連接到我們以前沒有IP的世界。我們在物聯網中構建的技術正在滲透到我們的IT世界。最終，它們將進入關鍵基礎設施的運營技術(OT)世界。我們將不得不學習全新的OT安全世界。」

闡述這一點，思科物聯網高級副總裁兼總經理Liz Centoni解釋說，OT的核心安全挑戰是了解OT團隊以及他們的目標——不同於已知的IT環境。

「在運營領域，工廠經理正在追蹤OEE等整體設備的有效性，」她說，「他正在查看一份安全事故報告，因為沒有安全事件的日子是非常好的一天。」

OT管理人員還會查看可用性統計信息。比如，有多少客戶在停電時受到影響以及持續多長時間？「這就是監管機構對它們的衡量標準，」Centoni指出，「他們關注安全性、可用性和彈性，而不是數據丟失。」

她認為，「他們並不認為可見性是一種安全手段，他們認為這是獲取運營洞察力的一種方式。」

她總結說，有效地解決安全問題需要學習。「了解OT環境—結交新朋友了解如何提出正確的問題，以便在考慮安全性之前了解對他們來說重要的事情。」她補充說，「作為系統的捍衛者，我們必須成為IT和OT之間的橋樑。」

解決信任危機

所有這些挑戰：信息戰的可能性避免、避免基於事實的討論的公民以及人工智慧和物聯網創建安全的商業和消費者環境的新障礙，這些都歸結為信任。

因此，Ghai和Howe制定了一個三管齊下的計劃，以解決這場醞釀中的「信任危機」。

這些是：首先，了解風險和信任並存;其次，鼓勵值得信賴的數字結對;第三，建立信任鏈。

首先，即使對組織、政治和社會機構的信任度下降，普通人仍然忙於「對陌生人充滿信任，讓他們進入自己的家、汽車和生活，這要歸功於平台在個人之見形成了點對點的信任。」Howe指出，比如Airbnb、Uber等。

在這種點對點場景中，人們理解這不是消除風險，而是理解、優先排序和管理風險。所有條紋的信息都應採用相同的方法。

「在2049年，我們有機器練習DevSecOps，」Ghai說，並指出人工智慧有助於管理風險。「從理論上講，每一項技術都能自我修補。數據變得流動，並且為了應對，每一項技術都被用來評估風險並相應地進行調整——它具有『蜘蛛俠意識』，就像人類的直覺一樣。」

此外，他補充說，數據應在創建時標記，並持續標記，以跟蹤數據的去向和擁有者。

「在大多數任務中，機器可以勝過人類，」Ghai解釋道，「人類善於創造性的東西，更善於知道要問和調查的問題。因此，想像一下數據的海洋，人類會問問題和機器獲取答案。」

第三個想法是信任鏈，這與聲譽有關。

「我們通過衡量聲譽來衡量可信度，」Howe說，「把它想像成一個分類賬，當你做正確的事情時，你會存款;當你不這樣做的時候，就會取款。」

她補充說，「信任並不需要完美，更多的是誠實、責任和透明度。報告好的事件，披露不好的事件。」Howe還建議用數字信任評分標記產品。(原文：https://threatpost.com/rsa-trust-ai-iot-keynotes/142505/ 作者：Tara Seals)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！