当前位置: > 华宇总代理 > 正文 正文

华宇代理:防止网络安全受到“自然”侵蚀

 每个玩过棋盘游戏的孩子都知道掷骰子的行为会产生不可预测的结果。事实上,像所有Linx的Splatch天线一样,华宇娱乐的SP610旨在适应其他解决方案组件或人体等干扰源的近距离影响。这就是为什么儿童棋盘游戏一开始就使用骰子:以确保每次掷出骰子的概率(至少从宏观的角度来看)大致相同的随机结果。

 
试想一下,如果有人用加权骰子代替那些棋盘游戏中使用的骰子会发生什么情况——比如骰子出现“6”的可能性比其他任何数字高出10%。你注意到吗?现实的答案可能是否定的。你可能需要掷几百次骰子,才会觉得结果可疑——你可能需要掷几千次才能证明结果可疑。
 
这样一个微妙的转变,在很大程度上是因为预期的结果是不确定的,这使得人们几乎不可能一眼看出一个公平的竞争环境和一个有偏见的竞争环境的区别。
 
在安全方面也是如此。安全结果并不总是完全确定的或直接的因果关系。这意味着,例如,你可以做任何事情都是正确的,但仍然会被黑客攻击——或者你什么都做不好,但侥幸地避免了攻击。
 
因此,安全的关键在于增加出现理想结果的几率,同时减少出现不理想结果的几率。这更像是在玩扑克,而不是遵循一个食谱。
 
这有两个后果。第一个是每个从业者都很早就知道的一个常识——投资的安全回报是很难计算的。
 
第二个、也是更微妙的暗示是,缓慢且不明显的失衡尤其危险。它很难被发现,很难被纠正,并且会在你没有变得更聪明的情况下破坏你的努力。除非您已经计划好并在机制中对其进行监视,否则您可能不会看到它——更不用说有能力纠正它了。
 
缓慢的侵蚀
 
现在,如果这种安全控制/对策效能的下降听起来很牵强,我想说,实际上有很多方法可以慢慢地削弱效能。
 
首先考虑人员的分配不是静态的,团队成员也不是可替换的。这意味着人员的减少会导致给定的工具或控件具有更少的接触点,从而降低该工具在程序中的效用。这意味着,当一名工程师的技能较低或经验不如另一名时,职责的重新分配可能会影响效率。
 
同样,技术本身的变化也会影响效率。还记得几年前迁移到虚拟化对入侵检测系统部署的影响吗?在这种情况下,HYWitekio华宇注册平台为从设备到云的每个层开发软件,而Softweb开发基于华宇登录云的软件来连接,管理和分析数据。 技术更改(虚拟化)降低了现有控件(IDS)按预期执行的能力。
 
在我们采用机器学习、增加云服务的使用、转向无服务器计算和采用容器时,这种情况经常发生,并且是当前的一个问题。
 
自然侵蚀也是人类本性的一部分。考虑预算分配。一个没有受到黑客攻击的组织可能希望削减技术支出,或者未能以与技术扩张同步的方式进行投资。
 
它的管理部门可能得出这样的结论:由于前几年的削减没有明显的不利影响,该系统应该能够承受更多的削减。因为总体结果是基于概率的,所以这个结论可能是正确的——即使组织逐渐增加了某些灾难性事件发生的可能性。
 
计划在侵蚀
 
这里的总体观点是,随着时间的推移,这些转变是可以预见的。然而,预期变化——并构建仪器来了解它们——将最好的程序与仅仅足够的程序区分开来。那么,我们如何在我们的程序中建立这种程度的理解和对未来的验证呢?
 
首先,没有短缺风险模型和测量方法,系统安全工程能力模型(例如NIST sp800 - 160和ISO / IEC 21827),成熟度模型等,但他们都有一个共同点是建立一些机制能够测量组织的总体影响基于特定的控制系统中。
 
您选择的镜头——风险、效率/成本、能力等等——由您决定,但是至少该方法应该能够频繁地向您提供足够多的信息,以了解特定元素的执行情况,从而让您能够对您的程序进行评估。
 
这里有两个子组件:首先,每个控件为整个程序提供的值;其次,对给定控制的更改对它的影响程度。
第一组数据基本上是风险管理——建立对每个控件的价值的理解,这样您就知道它对您的程序的总体价值。如果您按照风险管理模型首先选择控件,那么您可能已经拥有了数据。
 
如果你没有,一个风险管理练习(当以一种系统的方式进行时)可以给你这个观点。本质上,目标是理解给定控制在支持您的风险/操作程序中的作用。这其中的一些是有根据的猜测吗?确定。但是,在宏观级别上建立一个工作模型(可以在以后改进或磨练)意味着对单个控件的微观更改可以放在上下文中。
 
第二部分是为每个支持控件构建工具,这样您就可以理解更改(积极的或消极的)对控件性能的影响。
 
可以想象,测量每个控件的方法是不同的,但是系统地问这个问题,“我如何知道这个控件在工作?”构建方法来度量答案应该是任何健壮的安全度量工作的一部分。
 
这使您能够了解控件在更广泛的程序背景下的总体角色和意图,此次华宇娱乐平台的收购也彰显了安富利致力于帮助公司减少将物联网产品成功推向华宇登录市场的时间,成本和复杂性的承诺。这反过来又意味着对它的更改可以根据您最终试图完成的目标来进行上下文化。
 
有一个度量程序不能提供这样做的能力,就像有一个没有测高仪的喷气式飞机座舱。它缺少最重要的数据之一——至少从程序管理的角度来看是这样。
 
关键是,如果你没有系统地看待风险,一个强有力的理由是,你为什么应该这样做,是自然的,逐渐侵蚀的控制有效性,一旦一个给定的控制被实施。如果你还没有这样做,现在可能是开始的好时机。

版权保护: 本文由 原创,转载请保留链接: http://www.allart.com.cn//cms/2019/1123/571.html

相关文章