看看安全社区文化的传统支柱以及它们是如何被削弱和损害的,甚至窥视在深度伪造和人工智能引发的偏见和幻觉的世界中这一切可能走向何方。
在攻击性安全中,存在一系列特定于组织的漏洞,这些漏洞会造成风险,从软件/硬件漏洞到流程和人员。攻击者瞄准并利用他们能发现的任何弱点。虽然红队可以揭露和根除组织特定的弱点,但在行业层面,还有另一类漏洞正在不断增加。它不是单一的行为者、漏洞或故意恶意的活动。它体现在政府要求和政策干预,到夸大其词、有时是错误的技术安全警报,再到积极破坏研究或权威行业声音的努力。这是一种虚假信息、错误信息和虚假陈述的文化,它侵蚀了信任,使员工感到困惑,并使追逐幽灵的安全团队不堪重负。让我们来看看安全社区文化的传统支柱,以及它们是如何被削弱和损害的,甚至看看在深度伪造和人工智能引发的偏见和幻觉的世界中,这一切可能会走向何方。
开放季节
安全行业的核心是建立在开放的信息共享和协作的基础上,以使事情变得更好,人们更安全。虽然研究和研究人员“竞争”以吸引注意力,但也有许多公司(甚至是竞争对手)合作寻找和修复弱点并揭露恶意活动的例子。这种传统在非正式和同行之间发挥着最佳作用,其目标是社区进步。然而,随着问题的加剧,外部审查、责任,当然还有行业内的利润也在增加。
这种成熟使更多的利益相关者、看门人和其他间接参与者进入幕后。这导致了一个商业和政治生态系统,其中的动机变得模糊不清,流程和产品的完整性受到议程、商业顾虑和敌对动机的影响。具体来说:
-
政府机构的运作目标往往相互冲突,即公共安全目标与战略地缘政治优势目标
-
权力结构不平衡的行业组织青睐较大的公司。
-
利润取决于快速披露、降低透明度和地域性的商业模式
-
个人崇拜和“摇滚明星”地位淹没了观点和声音的平等,限制了讨论的多样性,甚至减少了同行评审。
让我们来看看这些不祥的“影响者”以及他们对安全团队的影响。
恐惧和厌恶…
最制度化的不可告人的目的在于联邦政府。在日益互联和激进的地缘政治环境中,政府就像神话中的命运女神,试图以多种方式控制我们的数字福祉。
政府影响力最大的问题在于其最保密的“秘密”。美国国家安全局 (NSA) 长期以来一直持有私人漏洞,以确保在网络领域的战略优势,而“影子经纪人”泄密事件暴露了他们的能力范围。
第二个,也是最近的一个,则自诩为公众利益服务。尽管政府在安全风险方面与科技行业进行了更多的合作和沟通,但多项政策举措也在积极推动,要求使用加密后门等机制。虽然这些机制可能有助于某些调查,但后门的存在无疑会给网络犯罪分子带来更多帮助。
前两个挑战是政府自己造成的,而第三个挑战则来自资本主义,资本主义发展得太快,已经远远超出了政府实施控制的能力,在某些情况下甚至无法理解问题的严重性。现实情况是,政府已经完全失去了对一切事件的掌控,从虚假信息到社交媒体平台上猖獗的侵犯隐私行为。
对于安全团队来说,这是他们在保护人们安全的战斗中最混乱和最难控制的战线。政府保密创造了一种环境,安全专业人员对可解决的漏洞(在某些情况下是长期存在的漏洞)的攻击措手不及。围绕削弱技术控制的公共政策辩论导致了与执法部门和政策制定者的关系紧张,甚至使公众对安全行业的看法发生了变化。最后,关于隐私和信息使用的公开声明和姿态导致大量终端用户对某些平台的限制和适当使用感到困惑,并严重混淆了工作/个人领域之间的重叠影响
从不确定的角度
回顾安全专业人员面临的社会挑战,虽然有时是善意的,但围绕技术问题和陷阱的“指导”存在误导性,使安全团队在其组织内的关系变得复杂。
第一种情况是技术使用和实施的行业标准。最令人困惑的是密码构造的白噪声,从长度到复杂性再到更新。甚至美国国家标准与技术研究所 (NIST) 在过去几年中也改变了其指导方针,因为他们认识到繁琐的要求被证明是适得其反的。
社交媒体毫不奇怪地贯穿了本文的各个类别,在本例中是关于如何“收回”从数据隐私到数据主权的一切的虚假帖子——在许多情况下,这些声明听起来似乎合法,但完全是虚假的
如果没有政府机构像 FBI 那样对电池窃取或iPhone最新功能发出警报,我们该怎么办?
这正是安全专业人员和团队在日常工作中真正遇到的问题。从复杂而动态的建议到夸张的标题,这一系列行为导致高管和组织感到困惑。它给安全团队带来了大量有争议的问题,包括政策变化、指令和安全行为的原因和有效性。
给予比欺骗更好
最后一类攻击针对的是安全专业人员的居住地——社区本身。一些最阴险的制造混乱或欺骗行为大多来自有金钱动机的行为者——从彻头彻尾的非法和恶意到彻头彻尾的不道德和自私自利。
在恶意方面,攻击者曾多次试图欺骗安全专业人员,甚至毒害漏洞研究。
最近,在道德方面,社区中的一些人被指控和揭露使用虚假资料来欺骗和控制行业声音,同时试图投射社区支持并从中获利。
虽然其他两类问题会分散安全团队的注意力并浪费资源,但其影响可能更具破坏性。其影响包括社区协作减弱和重要观点被压制的“软影响”,以及研究过程甚至研究人员本身受到损害甚至被武器化的硬影响。
机器里的幽灵
如果这些例子还不够令人不安,等等,还有更多。在我之前的一篇专栏文章中,我谈到了网络犯罪分子对人工智能的使用。这一新兴现实令人担忧,因为它能够提高其中一些欺骗活动的可信度和有效性。反过来,它也会提高监管部门要求削弱控制和后门的频率和力度——最终提高公众接受妥协的意愿。
混乱和妥协的另一个先兆在于人工智能模型和工具本身,从设计/训练不佳的模型,到直接利用模型行为和护栏。与许多技术一样,人工智能部署和实验马匹已经出笼。
原作者:汤姆·伊斯顿
原文始发于微信公众号(河南等级保护测评):恐惧、不确定性和欺骗对安全风险的威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论