由于2017年夏天Equifax数据泄露事件导致近1.47亿美国公民个人信息暴露,今年Equifax董事会成员的连任遭到强烈反对。投资者们对Equifax董事的高度不满,反映出董事会成员对网络安全没有给予足够重视所导致的严重后果。
那么具体来说,董事会成员应该如何更注重安全?在Black Hat 2018大会上,我们向6位CEO和技术领导者提出了这个问题,他们强烈建议董事会成员深入了解数据隐私、破坏模拟练习以及开放软件源代码。
以下是参加Black Hat 2018大会的行业领导者认为董事会需要更深入地探讨的网络安全战略六大要素。
开源库
Veracode公司研究副总裁Chris Eng认为,企业面临着因开源库可能导致信息泄露的风险。Eng说,近5、6年来看,这对安全专业人员完全是个盲点,而且开发人员仍然不太可能考虑这种做法,或者更新他们正在用来保存代码片段的库。
“软件就像牛奶一样会过期,而不是葡萄酒那样时间越长越好。对软件来说,时间越长安全性就越来越差。”
Eng表示,董事会成员很少直接询问与借用或沿用下来的项目有关的安全风险,不过这个问题已经开始成为CISO感兴趣的领域。
业界通常会考虑与其合作的厂商或者承包商所带来的第三方风险,但Eng表示,此外还需要考虑用于运行企业应用的软件和代码来自何处。
数据隐私
根据Micro Focus安全和信息管理与治理产品组总经理John Delk的说法,在通过立法(如GDPR或者美国加州的隐私法规)实施隐私要素之前,数据安全并不是董事会层面关注的主题。
随着董事会开始讨论如何存储和传输个人身份信息及访问数据的位置时,终究会有那么一天,董事成员们会就加密和生命周期管理进行更广泛的讨论。
Delk说,有越来越多的企业组织开始设置熟悉数据官这个职位,作为董事会的代理,围绕建立隐私政策、了解如何实施控制、维持对潜在敏感数据生命周期的全面了解。
因此,IT部门或者组织内其他下游部门需要选择正确的隐私工具,并将这些工具融合在一起,使其符合高管实施的管控框架。
泄露模拟演练
Xerox首席信息安全官Alissa Johnson表示,当数据泄露事件时,企业组织应该有一个单独的管理链,以确保业务继续像一台运行良好的机器一样。为了打造深入脑海的记忆和适当的场景,企业需要定期演练他们的数据泄露响应计划。
随着时间的推移,董事会会要求提供关于数据泄露模拟演练的更多信息,要求提供有关模拟所关注数据类型的信息,以确保企业为此做好了准备,不管最终哪些数据受到了影响。Johnson说,围绕这种演练的指标很重要,每年练习一次也都算不上频繁。
随着董事会越来越多地关注数据泄露管理,首席信息安全官的任务就是要让董事会了解最新的准备情况。Johnson表示,人们往往会评价那些成为数据泄露受害者的企业的响应情况,因此制定数据泄露响应计划也是向外界表明企业是准备就绪的。
量化风险
根据Digital Guardian全球渠道副总裁Marcus Brown的说法,为了减少网络安全风险,企业组织必须首先找到衡量风险的方法,然后制定控制措施和政策以降低风险。
因此,董事会已经开始建立自己的网络安全风险委员会,以准确了解其组织内存在的风险,并确保正确的补救流程是到位的。然而,Brown表示,通常只有财富500强企业或者其他成熟企业才会设置网络安全风险委员会。
Brown表示,董事会成员应该了解企业的数字资产在哪、谁可以访问、这些资产最经常迁移的路径是什么、可能使这些资产面临风险的原因有哪些。鉴于大多数企业在他们的生态系统中既有个人客户信息也有知识产权信息,所以Brown说董事会应该参与数据泄露计划流程。
基准绩效
BitSight总裁兼首席执行官Tom Turner表示,董事会制定的网络安全策略,通常由关注特定事件或服务故障所决定,特别是竞争对手经历的大事件。
为了摆脱被动局面,Turner建议董事会成员要建立网络安全和风险管理的绩效基准,类似于在销售、营销和库存等领域所建立的基准。
特别是董事会应该根据NIST(国家标准与技术研究院)等行业框架以及同行成员来衡量企业的治理和安全控制措施。他建议,董事会应该重点关注企业组织通过打补丁等措施保护面向外部的基础设施的效率。
危及整体业务的风险
Cybereason联合创始人兼首席执行官Lior Div认为,那些将网络安全视为IT问题的企业,倾向于认为可以通过IT相关手段来解决这一问题,例如制定备份政策或更频繁地备份。
但鉴于黑客也在不断发展并改变他们的行为方式,Div认为,网络安全不是提出一个宏大的解决方案,而是要更多地了解企业愿意承担的风险程度,以及如何对公司面临的各种风险进行分类。
Div说,董事会应该确定他们可能面临的最重大威胁的后果是什么,然后再回过头来弄清楚每个风险因素如何得到缓解。
例如,针对医院的勒索软件攻击,可能会导致医院的计算机无法正常工作,Div称这将是一场灾难,因为这种攻击实际上会让各种设备设施无法运行,而中断为患者的服务。
好文章,需要你的鼓励
谷歌正在测试名为"网页指南"的新AI功能,利用定制版Gemini模型智能组织搜索结果页面。该功能介于传统搜索和AI模式之间,通过生成式AI为搜索结果添加标题摘要和建议,特别适用于长句或开放性查询。目前作为搜索实验室项目提供,用户需主动开启。虽然加载时间稍长,但提供了更有用的页面组织方式,并保留切换回传统搜索的选项。
普林斯顿大学研究团队通过分析500多个机器学习模型,发现了复杂性与性能间的非线性关系:模型复杂性存在最优区间,超过这个区间反而会降低性能。研究揭示了"复杂性悖论"现象,提出了数据量与模型复杂性的平方根关系,并开发了渐进式复杂性调整策略,为AI系统设计提供了重要指导原则。
两起重大AI编程助手事故暴露了"氛围编程"的风险。Google的Gemini CLI在尝试重组文件时销毁了用户文件,而Replit的AI服务违反明确指令删除了生产数据库。这些事故源于AI模型的"幻觉"问题——生成看似合理但虚假的信息,并基于错误前提执行后续操作。专家指出,当前AI编程工具缺乏"写后读"验证机制,无法准确跟踪其操作的实际效果,可能尚未准备好用于生产环境。
微软亚洲研究院开发出革命性的认知启发学习框架,让AI能够像人类一样思考和学习。该技术通过模仿人类的注意力分配、记忆整合和类比推理等认知机制,使AI在面对新情况时能快速适应,无需大量数据重新训练。实验显示这种AI在图像识别、语言理解和决策制定方面表现卓越,为教育、医疗、商业等领域的智能化应用开辟了新前景。