企业中不断变化的安全面

当什么是安全和什么不安全不断变化时，企业如何才能专注于正确的事情？

当一家反对者说隐私正在受到侵蚀的公司成为网络攻击和随后的数据泄露的受害者时，这有点讽刺。Clearview AI 已从社交网络上抓取了超过30亿个人的图像，供执法部门用来帮助识别感兴趣的人。如今，随着数据泄露公布了该公司2200个客户的清单，我们还知道Clearview AI的客户包括Macy's和Walmart等美国零售商，以及大专院校。

不过，读者可能会误放置任何违规后的幸灾乐祸。正如Clearview AI的声明尽力澄清的那样，数据泄露现在已成为“现代社会中不可或缺的事实”。这听起来像是一个愚蠢的举动，甚至是宿命论者的回应，但这反映了一个事实，即数据泄露已成为日常生活的一部分。从基本的角度来看，它表明很难获得良好的安全性。但是，这个笼统的声明背后有一些真相值得我们去理解。

随着行业对日新月异的气候和新的威胁做出响应，企业安全也在不断发展。在我撰写本文时，世界上许多地区正在对COVID-19大流行做出反应，政府，非政府组织，国家和国际卫生组织的指导方针在全球和个人公民层面上制定了应对措施。企业正在根据这些组织的建议发布自己的指导，其结果之一是更多的远程员工在工作。

IT安全性并非一帆风顺，因此，业界一直在评估如何最好地防御新的攻击媒介或方法。同样，坏人或女孩总是在寻找旨在改善组织的安全立场的最新技术的方法。这些短期变化对于CISO来说很重要，但是当我们认为某些当今最先进的技术明天可能效果不佳时，这种不断发展的变化就变得最为有趣。

例如，有些公司和据推测的政府正在收集和存储加密数据，包括密码，加密电子邮件，文本消息，PDF甚至语音邮件。人们期望，量子计算将在不久的将来（而不是几百年而不是几百年）实现更快的解密，从而突然使这些资产具有极其宝贵的价值，尤其是在大规模收集时。这将是明智的首席信息安全官考虑加密的数据和基础设施1天迁移到后量子密码术的平台-这是积极的作品NIST。

当许多累积变化的影响相结合甚至打败了好心且勤奋的员工时，瞬息万变的环境给基于规则的企业安全策略带来了更多挑战。考虑一个虚构的IT安全规则，该规则允许用户使用Internet，只要用户不单击任何红色即可。会发生一些错误，但是就规则而言，至少很容易记住。但是随着景观的变化，很快就会添加其他颜色。首先是紫色，然后是黄色，然后是棕色。现在也变成绿色。现在是蓝色。您还在关注吗？随着不断变化的环境迫使规则随着时间的变化而变化和变化，这最终为企业中许多不同系统的用户创建了密密麻麻的纠缠不清的法律。

在高度动态的环境中，一种尝试使用户的生活更轻松的方法是从基于规则的系统中切换，该系统通常基于“您所知道的东西”，而不是专注于“您所为”，这使我们进入了生物识别。一般来说，尽管研究人员愚弄了指纹和虹膜扫描仪，但这项技术在今天还是相当安全的。与以往一样，随着技术的日趋成熟，人们对其缺点的了解也越来越多。随着越来越多的用户，并且随着该技术变得越来越可用，更便宜，更普及，寻找该技术漏洞的动机也越来越多。

同样，两因素身份验证提供了另一层安全保护，而不是单独提供密码，这通常依赖于“您拥有的东西”（可能是物理令牌或通过智能手机传递的唯一SMS代码）。SMS可能容易受到安全链中一部分的破坏，因此，虽然不是完美的方法，但与完全基于规则的系统相比，两因素身份验证确实可以更好地防止未经授权的访问和系统破坏。

面对不断变化的变化和试图适应的发展，也许企业安全的未来是建立在零信任的基础上的。该模型不考虑三个As（身份验证，授权，记账），并相应地限制了访问。在这种思想流派中，严格按照“根据需要”授予对资源的访问权限-不存在对访问权限的推定。但是，对于这种模型是否会使企业用户的生活更加困难，并给试图工作的工人造成不切实际的负担，仍然存在疑问。对于当前的气候而言，尤其如此，因为随着全球工人在这个充满挑战的时期中度过难关，许多人发现自己在偏远的地方工作，也许在不寻常的地方并且工作方式与正常情况不同。

从理论上讲，安全团队可以保护企业中的一切。但是，当周围环境发生变化时，一天安全的系统并不一定会保持这种状态。新的网络威胁和攻击媒介将永远到来，为员工提供新的工作方式。目前，世界正处于大流行之中，这首先给健康带来了迫在眉睫的风险，但也给企业安全团队带来了新的挑战，他们可能突然要应对地理上分散的劳动力。

总会有一些事件和现状发生变化，这意味着今天的安全明天不一定是安全的。有些是可以预见的，而另一些，例如COVID-19，则是黑天鹅事件，似乎无视所有计划。