松耦合,严密的数据访问可以最大限度地降低新技术的安全隐患

日期: 2017-09-11 作者:Niel Nickolaisen翻译:余彦 来源:TechTarget中国 英文

麻省理工学院技术评论最近报道说,华盛顿大学的研究人员将恶意软件嵌入了DNA链,并将感染的DNA侵入计算机。 当我阅读这份报告时,我终于接受了以下的观点:我们从尼安德特人那里接手,创造并推动了让我们能够将事情转移到机器上的进步。作为一个文明,我们运转的很好,但现在可能是我们走入进化的衰退时候了。 当然,我不太认真地对待即将来临的厄运,但生物恶意软件的故事却提醒我两个重要的进展。

首先是技术转型的步伐加快。其次,信息和数据安全环境一直在变化。 这两个重要发展的实际影响是什么?我们应该检查、分析和实施新技术。但是,正如我们这样做,我们应该有程序和指导原则,帮助我们确定并尽可能减少新技术带来的安全隐患。

……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

麻省理工学院技术评论最近报道说,华盛顿大学的研究人员将恶意软件嵌入了DNA链,并将感染的DNA侵入计算机。

当我阅读这份报告时,我终于接受了以下的观点:我们从尼安德特人那里接手,创造并推动了让我们能够将事情转移到机器上的进步。作为一个文明,我们运转的很好,但现在可能是我们走入进化的衰退时候了。

当然,我不太认真地对待即将来临的厄运,但生物恶意软件的故事却提醒我两个重要的进展。首先是技术转型的步伐加快。其次,信息和数据安全环境一直在变化。

这两个重要发展的实际影响是什么?我们应该检查、分析和实施新技术。但是,正如我们这样做,我们应该有程序和指导原则,帮助我们确定并尽可能减少新技术带来的安全隐患。

这是否使我们进入某种类型的Catch-22?是。新技术可能正在迅速变化,我们无法预测相关的安全风险。在很多情况下,我们会在实施技术后才会发现风险。然后,我们加紧堵塞漏洞,希望在技术和威胁发展之前完成工作。那么,我们该做什么?

在我看来,在技术和威胁之外,我们可以做两件事情,它们能帮助我们保持良好的安全状态并尽量减少安全风险。

严格定义数据访问

我们中的一些老资历的人回忆起数据字典的日子。当数据存储成本很高时,我们对数据结构非常谨慎。我们花了大量时间来定义数据字典,以确保数据存储在尽可能少的地方,但又能被提供给正确的消费者。

现在,在用例中,数据的标准化压力较小,但数据定义的一个方面仍然可能至关重要:谁或什么需要访问数据?而且,从假设没有人和没有事物可以访问数据开始,我们将会备份数据,直到只有真正需要访问的用户才能访问它们。

这种思想超越了人类,成为服务。在当今的系统架构中,通常是其他系统访问数据。因此,我们需要扩展数据消费者的定义及其访问权限以囊括其他应用程序和服务,然后构建权限规则,以消除无担保的数据访问。

抽象安全技术

技术和威胁有如此多的变化,各种技术可能跟上安全需求吗?或者我们需要将安全性与功能分开?我们应该寻找存在于物联网(IoT)、区块链、认知系统和其他先进技术之外或至少互补的安全工具(权限、分析、规则等)吗?

采用这种方法,我们可以在独特的来自具体技术的创新轨迹上管理安全性,也可能在不必升级特定技术的情况下处理不断变化的威胁。诚然,这增加了复杂性,但技术和安全性的松散耦合可能实际上简化了我们如何处理这两种技术和威胁的未来。

例如,我们中的一些人尽量减少物联网的安全风险。也许我们相信IoT提供商在其产品中提供一定程度的安全性,但不能止于此。然后,随着IoT提供商的任何内容,覆盖了其他以安全为中心的技术;这可以是观察和标记所有设备类型(包括IoT)的行为的软件。除了覆盖更广泛的威胁之外,传统的安全提供商可能会以比IoT提供商更快的周期部署补丁并应对威胁。

我们生活在一个充满歧义、不确定性和追求速度的世界。在这样一个世界里,我们必须假设,我们明天要做的最小化安全风险将会与我们今天所做的不同。我们如何为快速接近的未知数做准备?我的回答似乎总是回到两件事情:严密地定义一些核心规则(如数据访问)和松散耦合(所以我们只能替换我们需要替换的东西,而不是所有与替换的东西有关系的事物)。

作者

Niel Nickolaisen
Niel Nickolaisen

人力资源咨询公司O.C. Tanner Co.的CTO。该公司坐落于盐湖城,负责设计和执行员工识别程序。他是改造IT和IT领导力方面的高产作家和演讲者。他获得了MIT工程硕士,以及犹他州立大学的物理学学士和MBA。

相关推荐

  • 托管服务如何充分发挥物联网的作用

    但采用物联网并不是一件简单的事情。目前很少有公司拥有所需的技能或基础设施来安全高效地部署物联网技术。托管服务提供商(MSP)非常适合担当这一重要角色。

  • IT,OT和IoT的未来

    IT,OT和IoT之间到底有什么样的关系?IT和OT的真正融合还须等待多久?企业中的物联网案例有哪些?硬件信任根能否保物联网安全?答案尽在本期。

  • 硬件信任根能否保物联网安全?

    我们逐渐意识到,物联网安全性不应被视为事后考虑,而应作为优先的设计参数。实现这一目标的最有效方法之一,是为物联网设备配备基于硅的硬件信任根。

  • 【专家建议】如何减轻新兴技术带来的安全隐患

    公司都在寻求尖端技术带来的好处,但减轻安全风险往往得不到重视。CIO需要做出改变。高管们面临一个困难的选择:利用新技术来获得竞争优势,同时会增加新的安全风险,或者暂缓实施,直到新兴技术的风险得以解决,但在市场上处于落后。