ISACA Blog | 解决新兴技术中的安全和隐私问题

在这个技术不断发展和网络威胁不断增加的时代，组织必须严格分析那些旨在解决隐私和安全问题的解决方案的有效性。几乎每天都会发现新的威胁和漏洞。当我们把这些与新兴技术的使用结合起来时，网络威胁的风险就会成倍增加。

用于应对安全漏洞和隐私方面漏洞的视角有时是基于数据的，但遗憾的是，更多时候是基于主观分析、偏见和有限的数据集。作为人类，我们根据经验来解决问题，这并不奇怪。与其说这种经验是基于收集的数据集，不如说我们倾向于基于判断和对安全或隐私事件的临界偏差。这里的关键是，由于新时代的技术，个人数据比以往任何时候都更加暴露，但很少受到保护而免于被盗或被破坏。

好消息是，我们目前有几项当代技术，如人工智能（AI）和区块链，可以帮助我们了解安全事件的趋势，分析原因和影响，并揭示个人数据的哪些方面受到威胁。有几个智能安全解决方案本质上是预防性的，可以实施以避免安全或隐私事件；然而，这些解决方案可能不足以解决不可预见的隐私泄露问题，并同时有效地应对它们。因此，人工智能可能在开发网络威胁模型以预测安全和隐私泄露方面发挥重要作用，并帮助安全团队制定主动的解决方案。

©摄图网

在《Verizon 2022年数据泄露调查报告》中指出了三个关键趋势。首先是凭证被盗导致了近63%的数据泄露。另外两个令人震惊的趋势指向内部威胁和过度依赖第三方供应商安全控制。这些趋势表明隐私和安全事件是多么普遍，特别是因为这些攻击的主要原因是被盗的凭证、网络钓鱼、漏洞和僵尸网络。当务之急是思考解决这些问题的创新方法，而不是仅仅依靠监管规则或安全团队应对事件的主观偏见。该报告还指出，新兴技术更容易受到攻击，比过去五年几乎翻了一番。

一体化的解决方案应该包括对暴露于隐私和安全事件中的数据集进行客观分析，并在人工智能模型中训练，可以预测威胁和攻击向量，并从这些事件的根源中学习。这个解决方案可以被添加到任何组织的现有安全基础设施中，从而随时提供警报和威胁情报。一旦这些警报产生，就应该提出智能解决方案的选项（基于历史数据分析）。我们已经看到一些市场参与者的出现，如Cisco Umbrella或开源的威胁情报工具，如Echo Sense。如果这些工具中的任何一个能够建立预测性分析，并利用机器学习来预测和阻止网络威胁，那么在虚拟互联世界中，我们将会在安全和隐私问题上取得一半的胜利。

ISACA Journal | 密码学的未来：对加密数据进行计算

ISACA Vlog | 网络安全是否也需要类似SOX的法规？

趋势与观点 | 利用COBIT和NIST网络安全框架提高企业关键IT系统的网络弹性

编者按：本文于2022年11月7日首次发表 于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点。关于这个话题的进一步见解，请阅读Shini Menon最近的发表于ISACA期刊2022第4卷的文章"新兴技术中的隐私、安全和偏见"。

作者：Shini Menon，CISA, CISM, CDPSE。

翻译：王岩 （Liam Wong），CISA、CDPSE、CISSP、PMP、OCM 11g/12c、PGCA、MCDBA、MCSE，ISACA微信公众号特邀通讯员。

校对：谭辰菲（William Tan），CISSP,CISA,CDPSE,CRISC, ISACA微信公众号特邀通讯员，德国商业银行信息安全经理。