网络安全

保护生态系统，以保护企业拥有网络安全意识

10月是国家网络安全意识月——每年的这个时候，都会开展提高人们对网络安全重要性认识的活动。这是一个很好的时机，让我们深入思考数十亿种设备、人、企业和机构，它们通过互联网相互连接，形成主宰我们世界的巨大生态系统。保护这些生态系统免受日益增长的网络攻击威胁，是所有生态系统成员的共同责任，包括大公司、小企业、大学和研究组织、非营利公司、政府机构，当然还有他们所有的人。这就是刚刚成立的创新和网络安全生态系统全球生态系统伙伴关系(Global EPIC)背后的想法，该组织汇集了来自世界各地的14个全球生态系统，以促进知识共享和共同创造有效的网络安全解决方案。此外，美国国家标准与技术研究所的网络安全框架——特朗普总统的行政命令现已成为联邦政策——一直致力于通过共同语言、标准和最佳实践来统一支离破碎的网络安全格局，以保障美国组织和生态系统的安全。

由于生态系统只有其最弱的联系，因此必须通过提出正确的安全策略，政策和基础设施来单独维护每个组成部分。这适用于非营利性公司，这些公司经常处理高度敏感的数据，因为它对“营利性企业”或教育机构进行了处理。这些实体中的每一个也必须赋予其员工，以适合于组织内的角色的网络安全知识。除此之外，他们应该想到不断发展的安全实践，以便他们主动而不是反应，预防性而不是治疗。围绕新技术的技能 - 特别是人工智能 - 真的可以帮助实现这些目标。例如，机器学习和预测分析可以聚集在一起来监控网络和交易数据中的数百个参数，并在其进入​​全面吹入攻击之前识别诸如可疑活动的模式。这是一个很大的价值，特别是在我们的时代在传统的发现异常 - 提取攻击者的签名 - 因为每次黑客使用更先进的方法时都会破坏攻击者的签名。AI还可以用于自动化既定的隔离违规系统和网络的实践，以包含损坏，以及发出警报和快速修复的发送。可以部署AI以进行根本原因分析，即安全组织可以在采取进一步行动之前进行咨询。

最后但并非最不重要的是，生态系统应该为网络安全发展一个长期的愿景。建立足够的知识和人才基础以应对未来威胁的加剧至关重要。不幸的是，网络安全资格目前只对那些有高等学位或经验的人开放，这极大地限制了可用的专业人才。如果不断增加的网络攻击数量和种类教会了我们什么，那就是需要了解系统安全(以及其中的漏洞)不是有学问的专业人士的特权。职业游戏玩家和黑客来自不同的教育背景。如果我们能让网络安全教育成为高中和大学课程的一部分，教育机构热情地执行指令，商业组织招募学生并培养他们成为经验丰富的安全专业人士，那么这个生态系统就能将其转化为优势。真正培养一种“安全文化”是多么大的推动啊!

在我写这篇文章的时候，我记得我读过一篇文章，把网络安全比作薛定谔的猫的思想实验。(这个实验展示了一只猫，它可能同时是活的，也可能是死的，这是一种被称为量子叠加的状态，因为它与可能发生也可能不发生的随机亚原子事件有关。)这篇文章认为，当涉及到我们的信息的安全态势时，我们可能同时受到威胁和安全。很像薛定谔的猫。尽管这可能很有趣，但我认为在网络安全的背景下必须回答的真正问题是——谁将承担责任，如何承担责任?我的感觉是，这取决于我们。我们所有的人。