我的大部分IT生活都集中在保护和正确分析数据上. 有些产品和系统使这比其他的更容易,就像有些人使这比其他人更容易一样. 说到创新, 我曾见过一些人试图以快速行动的需要为借口,在保护数据方面懈怠. 这从来不是我的观点,因为创新的希望和目标是提供解决方案和服务, 最终, 真正发挥作用了吗. 因此, 如果在实施过程中数据保护不重要, 当从这样的努力中得到的解决方案投入生产时,它很有可能会丢失. 物联网(IoT)就是一个很好的例子。.1 这里的重点通常是上市速度,而不是数据保护.
静止数据/飞行数据
保护数据听起来很简单,直到你开始着手去做. 无论我们看的是什么,这都是真的, 成熟的产品或在创新的边缘切齿. 两者之间的主要区别在于,对于已建立的产品, 我们通常可以利用安全基准, 白皮书, 在保护这些系统方面具有丰富经验的咨询公司, 以及其他资源来帮助我们保护数据. 创新,就其本质而言,不太可能拥有这些资产.
解决这个难题的简单方法是从一开始就设计安全性. 在我们创新的过程中,我们应该在整个过程中围绕数据提出一些典型的问题:
- 存储什么数据?
- 这些数据是如何存储的?
- 是否应该对数据进行加密?
- 数据是如何加密的?
- 传输什么数据?
- 它们是如何传播的?
- 是否使用安全协议??
但我也建议我们走得更远,就我们在创新的过程中正在构建和合作的东西提出更多的问题, 包括:
- 已知的漏洞有哪些?
- 如何利用这些优势?
- 表面积是什么样的?
- 攻击者如何利用它?
- 我们可以扫描和测试漏洞吗?
- 我们有什么缓解方案?
如果这些问题听起来像我们对传统项目和系统提出的问题,那么你是对的. 我在创新方面的经验是,因为我们希望快速行动, 我们可能没有尽职尽责地提出这些问题. 在一天结束的时候, 虽然, 外部世界并不关心组织是否有旧的数据泄露, 陈旧的澳门赌场官方下载资源计划(ERP)系统或通过一些新的和酷的东西丢失数据. 同样的, 无论数据泄露是发生在内部部署系统还是存储在云中的数据,对受害者或投资者来说都无关紧要. 数据泄露就是数据泄露.
那么,为什么要强调这些问题来促进创新呢? 交付速度是任何创新的一个关键方面. 我们能比其他任何人更快,或者至少比我们的主要竞争对手更早到达那里吗? 在追求速度的过程中,尽职调查可以被忽视. 我说“可能是”,因为它取决于组织,可能是团队. 也, 在创新项目中,尽职调查可能更难完成,因为时间窗口通常更小. 一个团队可能有一周的时间对一个相对静态的产品进行渗透测试. 但对于最新的创新努力,同样的努力可能只在计划中有一天的时间. 基于风险的优先级是保护组织的关键.
防止偏见
数据和创新的话题自然会引发对人工智能(AI)和机器学习(ML)的讨论。. 当我们处理数据时,最终会引入一些偏差. 例如, 我们有相当多的研究将选举民意调查与选举结果进行比较,以确定“哪里出了问题”?和“我们大错特错了。?一项研究发现,绝对选举偏差为1.5个百分点的审查4,对608位美国州级总统候选人进行221次投票, 1998年至2014年期间的参议员和州长竞选.2 So, 尽管我们尽了最大的努力, 一些最重要的结果, 我们知道偏见会影响最终的结果. 因此,将这种偏见最小化是至关重要的.
人们可以假设,如果我们将数据分析分配给AI和ML,那么就可以避免很多偏见. 不幸的是,事实并非如此. 搜索机器学习和偏见会显示5篇文章,3 六、七、八种偏见,甚至更多. 关键是,即使我们要求计算资源进行数据分析,也存在偏见. 偏差甚至可能存在于样本本身.
在2004年美国总统大选中, 例如, 当早期出口民调数据被用来预测获胜者时, 数据的解释方式存在重大问题. 其中一个问题是错误的假设,即选民会在一天中始终如一地投票. 如果这些数据是用来发现早期趋势的,那么这个数据集是合适的. 然而, 因为这些数据是用来预测获胜者的, 这些数据没有包括适当的选民抽样,以获得准确的结果.4
即使我们试图避免偏见,它仍然可能潜入数据集. 举个例子, 如果我们试图消除种族偏见, 我们可以从待分析的数据集中消除种族识别, 但也有一些种族因素可能不会引起人们的注意. 其中一个代表就是邮政编码,5 因为住房往往是隔离的,比如在美国. 因此,邮政编码在很大程度上通常暗示着种族数据. 最终, 当我们看到创新和数据, 我们希望确保我们在处理这些数据时是合乎道德的, 大部分的努力应该围绕着消除偏见.6
外部世界并不关心组织是否有旧的数据泄露, 过时的ERP系统或者由于一些新的很酷的东西而丢失数据.
控制传递审计的利弊
云计算领域正在发生大量的创新, 无论是通过使用软件即服务(SaaS)产品, 与供应商托管我们的应用程序, 或基础设施即服务(IaaS), 哪一种方法可以让我们从零件中创建完整的虚拟机, 或平台即服务(PaaS), 哪一个可以让我们将组件组合成一个整体的解决方案. 许多AI和ML属于最后一个,即PaaS. 毕竟, 有些计算机型号需要大量的硬件, 由于规模经济和他们几乎可以随时安排资源利用的事实,云提供商能够比在本地维护这些计算资源更经济有效地提供这些计算资源, 这意味着他们可以有效地为这些资源的使用收取费用.
然而,依赖云供应商通常意味着依赖他们的安全控制,而不是我们自己的. 例如, a cloud provider is responsible for physical security of the data centers and the servers and storage they offer to customers; users of that cloud provider’s services are not. 然而,用户对什么是可接受的,什么是不可接受的有一定的期望. 此外,外部审计人员也有期望. 考虑传递审计的更好方法是“遵从性继承”.这是云安全联盟(CSA)使用的术语。.7
换句话说, 对于组织的遵从性需求的某些方面, 它可以从供应商那里继承控件和对所述控件的测试. 大多数大型云提供商都有专门用于报告标准的资源, 法律法规要求他们遵守. 客户可以要求从控制测试中获得适当的报告,并详细说明哪些服务和产品符合哪些标准.
乍一看,所有这些听起来都很棒. 事实上,它经常是. 因为规模经济, 云计算提供商能够从他们的支出中获得更多, 从而产生比大多数组织自己能够提供的更好的安全措施和产品. 也, 当地组织的政治不适用, 因为控制是由第三方处理的. 从这个角度来看,传递审计对组织来说是一个巨大的好处.
然而,传递审计的问题是,事情有时做得太过了. 每个主要的云提供商都有某种形式的共享责任模型,表明提供商负责什么以及客户必须处理什么. 多年来,我们已经看到了足够多的报告案例,清楚地表明组织经常选择性地忽略责任的“共享”方面,并为此付出高昂的代价. 云提供商并不能完成所有的工作.
也, 因为它是一个共享模型, 有时可能很难确定提供者的控制是否足够,或者组织是否需要添加自己的控制, 如果组织被允许这样做的话. 从合规性的角度来看,除了云计算中不允许的物理安全性之外,组织还为自己的资源做了许多事情. 关键是要了解每一方的责任,并努力澄清事情不太清楚的领域. 在一天结束的时候, 该组织仍然对其数据负责, 不管他们被关押在哪里.
我们不会因为计算资源正在进行分析而回避偏见问题.
保护数据很难,但很有必要
在创新方面,我们明白快速行动是必要的. 然而,我们不能忽视数据保护. 如果有的话,我们需要从一开始就包括适当的保护. 当我们有更多的时间时,我们通常会问一些问题,但创新并不能让我们绕过这些问题. 它要求我们更快地回答或评估它们.
创新还意味着使用新工具以我们以前没有的方式分析数据. 人工智能和机器学习是我们现在掌握的“新”技术的好例子. 然而,我们必须记住,仅仅保护数据是不够的. 我们还必须负责任地、合乎道德地使用数据. 我们在处理数据时面临的最大问题之一是偏见. 有些偏差很容易发现,比如采样不正确. 其他偏见可能更难识别和减轻, 比如用邮政编码来代表种族. 我们不会因为计算资源正在进行分析而回避偏见问题.
最后,越来越多的创新转向了云计算. 因此,我们必须仔细审查云提供商提供的控制方式. 我们不只是看,我们还必须依靠他们,在我们所谓的传递审计中. 传递审计很棘手,因为云提供商不会处理所有事情. 整体解决方案需要共同承担责任. 重要的是要理解这种共同的责任,并知道云提供商负责什么,哪些属于我们的组织. 有时情况会变得模糊,但我们还是要想办法解决. 毕竟,如果发生数据泄露,该组织将成为头条新闻.
尾注
1 芦苇,J.; “IoT Security and the Internet of Forgotten Things,” 安全情报2022年3月22日. http://securityintelligence.com/articles/iot-security-internet-forgotten-thing/
2 Houshmand,年代.-M.; D. Rothschild; S.Goel; A. Gelman; “Disentangling Bias and Variance in Election Polls,” 美国统计协会杂志,卷. 113, no. 522, 2018, p. 604‒614, http://www.tandfonline.com/doi/full/10.1080/01621459.2018.1448823
3 Metwalli,年代. A; “Five Types of Machine Learning Bias Every Data Scientist Should Know,” 迈向数据科学2021年2月24日 http://towardsdatascience.com/5-types-of-machine-learning-bias-every-data-science-should-know-efab28041d3f
4 安德森,N.; F. Fiore; “Early Data for Kerry Proved Misleading,” 洛杉矶时报, 2004年11月4日 http://www.latimes.com/archives/la-xpm-2004-nov-04-na-pollsters4-story.html
5 乔治,一个.; “Thwarting Bias in AI Systems,卡内基梅隆大学工程学院, 匹兹堡, 宾西法尼亚, 美国, 2018年12月, http://engineering.cmu.edu/news-events/news/2018/12/11-datta-proxies.html
6 丘格V.; “Handling Data Bias: A Journey Towards Ethical AI,” 迈向数据科学2022年7月5日 http://towardsdatascience.com/handling-data-bias-9775d07991d4
7 Mogull R. et.al.; 安全指南:云计算关键领域的重点4.0. 云安全联盟,美国,2017,p. 56, http://cloudsecurityalliance.org/download/security-guidance-v4/
K. Brian kelley b| cisa, cdpse, cspo, McSe, security +
是一个主要关注Microsoft SQL Server和Windows安全性的作家和专栏作家吗. 他目前担任数据架构师和独立的基础设施/安全架构师,专注于Active Directory, SQL Server和Windows Server. 他曾担任过无数其他职位, 包括高级数据库管理员, 数据仓库架构师, web开发人员, 事件响应团队领导和项目经理. 凯利在24小时通会上发表了讲话, PASS数据峰会, 它/ Dev连接, sqlconnection, 科技安全和取证调查会议, IT GRC论坛, 以及各种SQL星期六, 代码营和用户组.