网络安全要求改变方法
技术设计需要改变,以便网络安全更容易实现,因为作为技术的用户,人们是关键,根据安全行业代表。
“如果我们没有在网络安全背后的一些科学和数据并开始揭开它,我们冒着C1级国家网络安全事件发生了C1级国家网络安全事件,”英国网络安全中心技术总监Ian Levy说: ncsc)。
“我认为我们可以阻止[一个C1级事件]发生,但是我现在看到了网络安全如何谈论的轨迹以及人们如何将人们围绕它的军事模式,让人们认为他们无法捍卫自己,真的很危险,“他告诉赛门铁克水晶球圆桌会议在伦敦。
出于这个原因,LEVY表示,NCSC希望发布数据和证据,以确保人们真正了解如何正确做风险管理。“因为最终,网络安全只是风险管理,这与人力资源没有根本不同,法律或财务风险管理。“
Levy还认为,目前技术倾向于设计的方式对人们来说是不可能的安全要求。
结果,他表示,安全专业人士在过去的25年里度过了,说人是最薄弱的联系。“但这是愚蠢的,”他说。“人们不能成为最薄弱的环节[因为]他们是那些工作的人,他们是在他们的组织中创造价值的人。
“这告诉我们的是,技术系统不是为人建造的。技术人员为技术,而不是正常的人建立系统,“征收说。“我们[NCSC]开始说人是最强的联系如果你能更好地利用你的人,他们可以成为一个组织的第一个和最后一系列的防守。这是需要进行的变化。我们需要停止指责用户并开始使系统可用。“
还专注于网络安全,杰西卡巴克,联合创始人和社会技术领先的人们在网络安全咨询中的重要性重新递交,表示,面对假新闻,重要的是确保人们被教导批判性思考。
“如果我们看看过去一年左右,我们已经洞察了假新闻的影响,或者我会称之为大众社会工程。
“我们已经熟悉了网络安全社会工程的思想,而是在这种更大的规模上思考它,以及既得利益的人如何弥补故事或可以窃取特定的目标信息并以所选择的方式泄漏该信息她说,影响人们的感受大规模的感受。“
Barker说,虽然这种改变心灵和思想的想法并不是新的,人们消费和分享新闻故事的方式发生了变化,人们通常通过智能手机消耗新闻,并倾向于信任他们的社交网络,而不是传统的权威来源。
“这让我们失望了。大约50%的美国公众就Facebook作为他们的主要新闻来源,我们真的没有看到即将到来。虽然研究表明,只有4%的人说他们相信这一消息,但它还表明它仍然会影响他们的感受以及他们如何看待世界,但它们可能不会意识到它,这是一个相当不恐怖的前景, “ 她说。
巴克预测,虽然我们看到了主要针对政治的假新闻,在未来几年,假新闻目标公司和关键杂项将会增加发病率。
“我们正在尝试使用技术来解决这个问题,而计算机在缩放人类能力方面有关处理此问题的作用,我们真正需要关注的是我们如何建立批判性思想,并鼓励创造和消费的人消息来检查和验证故事,“她说。
这也是由法规和内容提供商或出版商无法解决的东西,因为通过将某些东西标记为假新闻,他们需要要小心处理它,因为通过作为假新闻,他们可以无意中促进其进一步的传播。
“我们有一个解决这个问题的集体责任,虽然监管有一个角色发挥作用,但教育也很重要,鼓励每个人在他们分享和教导他们批判性并能够区分中思考的人员更加重要事实和意见使他们不相信他们阅读的一切,“巴克说。
同时同意IAN Levy,人们是“Toobox中最强大的工具”,Cyber Security咨询公司首席执行官首席执行官彼得伍德首席执行官表示,仍然有很多社会工程机会,特别是攻击者经常窃取合法资格,以冒充合法资格人们有权欺骗他人与他们合作。
“窃取合法的凭据使攻击者不仅能够在社交工程师的人们身上,而且还可以进入企业系统来定位,识别,剥夺,损坏甚至容易地操纵数据,”他说。
在水晶球凝视方面,伍德说,虽然很难预测攻击者接下来会做什么,从我们过去所见,似乎在未来的组织和辛勤化的情况下,将面临新的自动攻击秩序。
“现在,网络罪犯已经自动化了沼泽标准攻击。我们已经看到,在将全新的计算机连接到互联网的30秒内,它是ping的,它是端口在45秒内扫描,如果它缺少斑块,它在两分钟内被淘汰,必须是自动化的,“他说。
在未来,木材表示,可以使用相同的大数据分析营销人员使用相同的大数据分析营销人员来识别消费者来识别这些组织内的软目标组织和软目标唯一,以便在这些组织内识别全球的全部黑客流程来扩展到整个黑客过程。网络。
“如果AI [人工智能]和语音模拟足够好,并且在未来五年内,我们可以看到完全自动化的攻击,从而识别真正的呼叫者,从而在未来五年内,我们可以看到所提供数据的exfiltration的完全自动攻击他说,将商品化犯罪服务和组织进行杀戮和组织。
达伦汤姆森,首席技术官和安全公司赛门铁克技术服务副总裁兼副主席,他分享了一切并未丢失的积极观点,尽管越来越多的安全挑战,但组织就会有机会领先于网络攻击者更具关联的世界。
期待未来,他预测,非专家技术用户包括大多数人,是需要开发的网络防御系统中的“秘密酱”。
“我们在正确的方式培训人民的安全行业做了一份不好的工作,我们一直在开玩笑,那些人会受过训练,”他说。“因此,我们处于历史中,我们更加依赖于非专家,这比以往任何时候都做出了良好的决策,人们被要求做出决定,例如,在他们有关于安全证书的消息没有理解消息意味着什么。“
汤姆森预测AI和非专家人员(如专业人士)的聚集在一起,如果他们正在加密他们的备份,系统可以在组织中以规模询问人们,这些备份可以创建一个可以指示赎金软件攻击正在进行的分析。
“这种组合可能导致”爆炸左“,其中”爆炸“是线性时间轴上的违规行为。目前,[安全]行业痴迷于爆炸权。当不好发生时,我们需要尽快回应以检测,响应和恢复。但如果我们要赢得这场战斗,我们需要“爆炸”;我们需要能够预测。
“而我的预测是[未来]事件响应将从根本上意味着不同的东西。“事件”是违约的可能性。他说,“事件”将与我们检测到可能导致违约的能量有关,我们只能通过捣碎艾美群众和非专家群众的技术来收集洞察力。“
因此,汤森表示,安全行业需要用不同的人填充。“我们需要更多的安全开发团队,这些团队由社会学家和心理学家组成,他们知道如何参与非技术用户的群众以及他们将如何回应。
“例如,Symantec正在进行一些工作,以便在用户界面中完成一些工作,以使其丑陋或更少有吸引力随着风险水平增加,以提供视觉提示并劝阻用户与风险网站进行交互,”他说。“我们需要考虑如何让人们关心。”