与RMIT共同实现人性化的网络安全

埃里克·劳和马修·沃伦| 2021年11月03日| 27:26

世界杯直播在线直播播客文字记录:RMIT人性化网络安全

大家好,我是Maria Rampa,欢迎来到Aurecon的《再造工程》播客。世界杯直播在线直播

虽然过去两年主要是COVID-19,但这也是网络攻击急剧增加的时期,因为我们越来越多的人远程工作,并通过云应用生成、访问和共享更多数据,形成了安全“盲区”。

但这并不是我们面临的唯一问题。网络攻击已经从仅仅针对电脑和智能手机扩展到伤害整个城市,这是由于我们不断扩大的联系。虽然数据是我们数字化经济不可或缺的一部分,但创新和恶意的机会都在增加。

2021年迄今为止,86%的组织表示,他们至少被一次成功的攻击所影响。据预测,到2025年,全球网络犯罪每年造成的损失将达到近10.5万亿美元,这比全球所有主要非法毒品贸易的利润总和还要多。

值得庆幸的是,有冠军参加了这场精彩的战斗!

当马修·沃伦教授在墨尔本建立RMIT大学网络安全研究与创新中心时,他的目标很简单——将人类对网络安全的理解与现代威胁联系起来。虽然我们在网络安全方面的技术手段正在与颠覆者取得进展,但自上世纪90年代以来,保护我们自己的人性化方面根本没有发展多少。

在这一期的《再造工程》中,Matthew与Aurecon的数据和分析管理负责人Eric Louw讨论了如何使网络安全人性化,以及个人和组织在面对越来越多的在线信息威胁时所面临的独特挑战。他们讨论了我们如何在个人和专业上成为“网络智能”,并在我们的组织和社会中创造一种网络安全文化。

+++++

Eric Louw:欢迎大家,感谢大家抽出时间来讨论网络安全问题。就个人而言,你是如何进入这个领域的?是什么吸引了你?

马特·沃伦:我在网络安全领域工作了很长一段时间,在网络安全被称为信息安全之前。所以真正开始于20世纪90年代,那时我完成了我的本科学位。我获得了在欧盟攻读博士学位的机会,参与了一个为医疗保健制定安全标准的项目。它向我介绍了信息安全对个人、组织和社会的影响。从那以后,这就是我的兴趣所在。在我职业生涯的早期阶段,驱使我对网络安全充满热情的是,我意识到网络安全不仅仅是技术,更重要的是,网络安全的人的方面,以及组织方面。在90年代,当我们谈论如何在安全方面培训人们,如何不用技术做错误的事情时,它们和我们今天所进行的对话是一样的。这是一个我们一直无法解决的问题,网络安全的人性化方面。

Eric Louw:我大概和你是在1992年同一时间开始的。我与人合著了一本叫《计算机病毒管理》的书,这本书由牛津大学出版社出版,但仍然有一些人不相信病毒是真实存在的,作为其中的一部分,我们实际上使用了生物学的类比。我们那时就意识到,这在很大程度上取决于人类的行为和组织问题。祝贺皇家墨尔本理工大学网络安全研究与创新中心成立。该中心的一个重要使命是成为世界一流的多学科网络安全研究中心。也许您可以多讲一点采用这种多学科方法的重要性并突出一些关键学科,它们构成了这一领域的完整图景?

马特·沃伦:谢谢你!如果你看看澳大利亚的情况,澳大利亚现有的大多数网络安全研究中心都非常好,但它们纯粹专注于技术第一的观点,而我们想做一些不同的事情,并把驱动点放在网络安全的多学科方面。我在封锁的第一天开始在RMIT工作,这是我永远记得的事情,在那个遥远的环境中,看看RMIT在网络安全方面做了什么,他们有很多优秀的地方,但没有什么能把他们聚集在一起。这是另一个关键目标将皇家麻省理工学院的优秀人才和研究人员聚集到这个中心。这意味着我们有非常专注于加密、网络安全的技术专家,我们有对政策、小企业、治理、法律方面、人的维度、道德问题感兴趣的研究人员。能够把所有的专业知识集合起来研究问题。我们今年做的一件事是扩大到越南,我们在越南有三个校区。我们在越南有研究人员。这是使该中心开始具有国际焦点的一个重要因素。这是网络安全的一个问题,因为它太国际化了; it impacts every country, every government, every industry, every citizen, it doesn't matter where you are in the world.

Eric Louw:如果你能分享一个你最喜欢的研究项目,这可能会突出这些东西是如何发挥作用的,那将是很有趣的。

马特·沃伦:我们正在进行的一个项目被列在《澳大利亚网络安全战略2020》中。这是一个政府项目着眼于网络安全的技术方面,着眼于提高大学部门的能力,以及大学的政策方面,从治理的角度处理安全威胁,从风险的角度,然后从人类的角度,从;提高意识,如何提出网络安全问题,开发培训材料。我之所以选择这个例子,是因为这是为了提升整个部门的安全能力和姿态。当然,我们在新的《关键基础设施法案》中看到的是,大学和研究机构现在被列为具有国家重要性的关键基础设施和系统的一部分。

Eric Louw:有趣的是,谷歌和Atlassian等科技巨头对这项立法提出了一些批评。你和他们一样担心吗?

马特·沃伦:这很奇怪,因为如果你看看澳大利亚,看看我们的关键基础设施建设之旅,在90年代末,澳大利亚政府开始谈论这个问题,他们称之为国家信息基础设施,这个话题已经持续了20年。他们一直在努力支持工业以提高他们的安全。问题是,这并没有真正起作用。这就是为什么我们现在要走这条监管路线,对于关键系统,政府将有潜在的权力介入,保护他们定义的关键基础设施。你所面临的问题,也是像谷歌这样的公司强调关注的原因,是因为关键基础设施的扩展。因此,我们现在将数据存储和处理,即云服务视为关键的基础设施。我提到了高等教育研究,空间技术,有这样一种情况,即非澳大利亚组织控制了澳大利亚部分或部分关键的基础设施,以及国家重要的系统。现在的情况是,澳大利亚联邦政府要求该公司采取行动。所以这也是一种紧张,关于互联网是全球性的,问题是政府不是全球性的,他们是地区性的,事实上你有地区性管辖权的问题,处理全球性的问题或全球性的实体,这是我们看到一些紧张的地方。

Eric Louw:从历史上看,对操作技术和工业控制系统的攻击比对我们传统上认为的IT系统的攻击要少得多。我们开始看到更多这样的袭击,比如对美国最大的燃料供应管道的袭击。他们的密码被泄露了,他们安装了一些勒索软件,最终支付了大约400万美元,因为他们担心整个IT系统会关闭。但更重要的是,关键基础设施的可用性真的是在金字塔的顶端,这与丢失数据无关,这更多的是电网关闭,或供水中断。所以我希望你们能就这方面的差异发表评论。

马特·沃伦:这很有趣,因为除了作为一名研究人员和学者,我还在关键的基础设施系统和商业系统方面担任顾问。很多人的想法总是围绕着信息安全和保护组织资产,因为人们认为工业控制系统和SCADA系统不会被黑,因为它们没有连接到互联网,所以它们是免疫的。但我们看到的是一种趋势,组织已经将他们的技术连接到互联网,他们现在正在投资物联网设备,因为他们希望能够控制这些设备,并能够以一种更有效的方式控制他们的生产或设施。与此同时,它带来了更大范围的安全威胁。如果这些系统受到破坏,就会产生巨大的影响,社会将失去电力,人口将失去水。这些行业有很好的安全保障,因为从工程公司的角度来看,他们非常注重安全和安全意识,但这不会自动转化为网络安全。我看到很多系统或关键的基础设施或国家重要的系统,你走进来,看到监视器被做成五颜六色的便利贴,上面写着密码和用户名,或者你发现支持SCADA系统的技术实际上根本没有内置安全机制。因为事实上,它只是承担一种工业功能,从来没有考虑过安全问题。所以,从那种工程到网络环境,这些支持工业过程的关键技术的真正问题是,由于许多原因,它们实际上没有内置安全机制。或者你对安全的意识水平不如你对安全的意识水平。 The number of engineering mining sites I went on that always amazes me that they always have the safety share at the start of every meeting. And I've never seen a situation where there's been a cyber share where people openly talk about cyber security problems they've come across, or they've noticed the colleague doing something that was sort of poor behaviour. That cultural issue is interesting in an engineering context, because it certainly is there around safety. And it's how to translate that culture into a cyber safety culture as well.

Eric Louw:另一个障碍是,你可能是一名IT网络安全专家,但并不真正知道如何解决OT(运营技术)网络问题,部分原因是你提到的一些问题,过时或可能过时的系统或软件与硬件紧密结合,以及许多它们是在预先连接的时代开发和安装的事实。所以你现在有了一个攻击面。20位IT网络安全专家对应一个OT网络安全专家。

马特·沃伦:同样令人惊讶的是,当我们进入物联网时代时,我们仍然面临这样的问题:物联网设备不具备安全性,或者它们的安全性很差,或者默认的安全性设置。我总是给我的同事和学生们介绍一个网站,上面展示了世界各地的免费网络摄像头。这只是组织机构不知道的一个例子,或者他们没有在网络摄像头上启用安全功能,这只是一种简单的技术。

总的来说,澳大利亚面临着网络安全技能短缺的问题。问题是,一旦你开始进入那些利基领域,无论是OT安全还是SCADA,你知道专业化变得越来越少。在澳大利亚政府的2020年网络安全战略中,这当然是他们强调的事情之一,即网络安全技能是澳大利亚的主权问题。澳大利亚面临的最大挑战之一是我们投资越来越多,越来越依赖不同的证券,不同的技术。需要哪些技能呢?同样,工程师们也面临着同样的问题,在工程的小众领域,并不一定需要这些领域的技能。

Eric Louw:我很感兴趣的是你对澳大利亚的看法,我们是否是一个有一定规模的国家,我们在每个地区都有一定的临界质量,我们是否面临澳大利亚特有的其他挑战。

马特·沃伦:澳大利亚的面积相当于欧洲,人口约为2500万。因此,这意味着我们的关键基础设施在各个人口中心之间的连接很薄弱。这确实引发了许多潜在的漏洞,不仅来自网络事件,也来自物理事件。在澳大利亚,当人们谈论关键的基础设施时,也会有关于抗灾能力的讨论,因为现在有一种联系正在发生。当我们在维多利亚发生森林火灾时,它几乎摧毁了墨尔本的供水系统。我们差一点就失去了主电源。所以我们开始看到气候变化与自然灾害的增加有联系。然后你会看到这些事件对关键基础设施的影响。这将是对未来的一个有趣的讨论,如何保护我们的关键基础设施,不仅仅是针对那些网络事件,还针对那些由于潜在灾难场景增加而产生的其他物理事件。

关于关键基础设施的一个有趣的事情是,你不能将国家A和国家b进行比较。如果你看看新加坡,一个城市国家,他们所有的关键基础设施都是在这个城市国家内定义的。但是,他们的水源来自马来西亚。所以,另一个国家为新加坡提供水源又成了一个问题。

Eric Louw:我对你们的研究人员所关心的广泛问题很感兴趣。也许你可以强调一些在网络安全中普遍存在的道德困境或道德问题。

马特·沃伦:我们现在看到人工智能在处理安全局势方面做出决策的数量在增加。但是你会遇到一个关于人工智能偏见的问题,因为这些规则,这些系统是基于程序员,设计它们的人。所以再一次有例子证明AI系统会做出错误的决定,因为它们基于性别、种族或刻板印象做出决定。这就是我们变得更加依赖技术的一个例子。但由于人类参与了设计,这项技术变得有缺陷。并不是他们故意让它有缺陷,而是因为他们的妆容。以及他们的世界观从何而来。我们有研究伦理问题的项目,比如超越死亡的数据。如果有人去世了会怎么样?他们的数据会怎么样? Who actually owns their data? Is it treated as an entity that can be shared with others?

Eric Louw:我们越来越依赖人工智能为我们做各种各样的事情,包括保护它们所在的系统。我们都看到了围绕假新闻的令人不安的趋势。关于真相的争论真的很有趣。这条界线似乎变得越来越模糊,因为某些人为了自己的利益而这么做。但这确实让事情变得非常困难,因为你怎么知道你处理的是事实证据,例如,人工智能系统的训练原料。所以我很想知道你对这件事的看法,因为有时候感觉有点失控。

马特·沃伦:关于假新闻的问题很有趣,因为很多假新闻都是通过社交媒体网站发布的。问题在于它们是全球性的。Facebook每月有16亿用户,他们太大了,他们无法实时管理自己。至少像Facebook和YouTube这样的平台,他们有一个适当的管理过程,最终这些内容可以被删除。现在的问题是,像WhatsApp这样的点对点通讯应用,像Telegram这样没有中心点控制、更注重隐私的系统,属于某个群体的用户可以共享信息。如果这个小组是关于一个可以分享虚假信息的话题,那就没有办法反击了。

Eric Louw:如果你认为正在发生的一些事情有点像军备竞赛,你会使用你所能使用的所有工具。无论你是罪犯、竞争对手还是外国演员,所有这些都可能被证明是可怕的武器。我对你的观点很感兴趣。

马特·沃伦:当你谈论威胁行动者时,一个关键的挑战是,有很多威胁行动者。每个威胁者都有不同的动机,不同的能力。这就是为什么由于威胁和风险的数量之多,网络安全对组织(更不用说政府)来说变得如此困难和复杂的原因之一。它们并不总是基于技术的问题。许多组织在网络安全上投入了大量资金,他们有一个非常成熟的网络安全方法,然后他们成为网络钓鱼攻击的受害者,因为有人发送了电子邮件,犯了一个错误,点击了一个链接,不小心下载了恶意软件或勒索软件到组织中。然后再回到,这个组织是如何建立他们的系统的?他们有把网络细分到位吗?如果他们不这样做,那么整个组织都处于危险之中。所以它开始回到那些不一定与网络有关的其他决定。它们与基础设施更相关。 It's only when you see an incident like ransomware, then you see that relationship between one decision around infrastructure and how that set up with the security impact. But the problem you then have in regards to the fake news is that that's an information attack, and there's no technology that can protect against that. Now, we're going to see the issue of deep fakes. Where you actually see speeches from like former President Barack Obama, who gives a presentation, which he never gave in reality.

Eric Louw:这对观众来说很有说服力,这就是新闻。

马特·沃伦:这将是我们面临的问题,如何理解现实和虚构之间的区别,对于那些使用系统或每天接触到类似信息的公民来说,对于他们能够做出那些价值判断,我认为这是一个主要问题。我看到假新闻和深度造假可以开始影响国家的民主,开始让公民脱离民主进程,而民主进程实际上帮助我们成长和扩张了这么多代人。

我与波罗的海国家就假新闻以及一个大邻国能够影响他们的选举和国内政治对话的影响做了很多工作。在这些国家,参加投票的人数减少了。因此,这实际上表明,政治脱离正在发生,因为人们没有成为民主进程的一部分。

Eric Louw:另一个平行的,我想,我们看到的技术方面是越来越自动化。因此,更多的过程和系统被信息系统控制。随着人工智能的能力越来越强,这一趋势只会持续下去。我想知道你是否能解释一下,那些接受人工智能和自动化的组织在建立这种高度自主的系统来运行它们的业务时,是否有特殊的考虑。

马特·沃伦:我和工程学院合作的一个领域是关于自动驾驶汽车的影响。以及网络安全的影响。许多自动驾驶系统将由人工智能系统来运行,这些人工智能系统可以控制自动驾驶车辆的行动和车辆的运动,如果能够操纵这些系统,就会产生重大后果。劳斯莱斯推出了他们的第一艘自动船,如果它能够被控制或操纵,这将产生重大影响。我们看到了苏伊士运河的情况,一个船长犯了一个错误,封锁了苏伊士运河,对全球贸易产生了影响。想象一下,当你转向自动化系统时,你可以对苏伊士运河这样的地方进行协同攻击,只需要让船只封锁它,这将对供应链产生巨大的影响。这是我们现在在COVID恢复中看到的事情之一。人们担心我们的供应链现在变得多么脆弱。因此,网络可以作为一种潜在的方式,进一步破坏这些脆弱的供应链。

Eric Louw:我觉得我们还可以再谈两三个小时。对全世界来说,这是一个非常重要的领域,可以采用这种多学科的方法,而不是对网络安全的概念过于狭隘。你用这种广泛而全面的方式来解决这个问题,这是我们唯一能跟上这个飞速发展的领域的方法。谢谢你的宝贵时间。

马特·沃伦:谢谢你能和你谈话真是我的荣幸,埃里克。我想从历史背景和未来背景来分享我对网络的看法。

+++++

我希望你喜欢这期《重塑工程》!——这是一段进入层次密集的网络安全世界的非凡旅程。

我们希望听到你对这期节目和我们的播客系列的反馈,所以为什么不给我们写一篇评论,告诉我们未来你想听到的话题呢!世界杯直播在线直播你可以订阅Spotify或苹果上的Engineering Reimagined,并在社交上关注Aurecon的更新。下次见,谢谢收听。

苹果公司的标志谷歌的徽章Spotify徽章

显示记录

随着互联网从90年代的新鲜事物演变为今天我们所熟知的必需品,我们已经开始依赖它作为安全信息的避难所。但是,就像任何安全的情况一样,总有机会出现破坏者。

网络攻击已经从仅仅针对电脑和智能手机扩展到伤害整个城市,通过我们不断扩大的连接。而数据是我们的数字化经济在美国,创新和恶意的机会都在增加。

2021年到目前为止,86%的组织表示,他们至少受到过一次成功的攻击。据预测,全球网络犯罪危害巨大到2025年每年将花费近10.5万亿美元。

随着科技的现代化,网络安全行业的发展呈指数级增长不断变化的威胁反对;根据马修·沃伦教授的说法,我们作为人类的理解变化很小。“在90年代,当我们谈论如何围绕安全培训人们,如何不用技术做错误的事情;它们和我们今天的对话是一样的……这是一个我们一直无法解决的问题,网络安全的人性化方面。”

这是一个几十年前的问题,沃伦教授希望通过建立RMIT大学网络安全研究与创新中心.“澳大利亚现有的大多数网络安全研究中心都非常好,但它们纯粹专注于技术第一的角度,而我们想做一些不同的事情,并把驱动点放在网络安全的多学科方面。”

在本集《再造工程》中,Warren教授与Aurecon数据与分析管理负责人Eric Louw就如何人性化网络安全、网络安全和网络安全之间的关系以及跨国组织在网络安全威胁下面临的独特挑战进行了交谈。

额外的资源

在本集中提到的缩写和术语:

  • ——操作技术
  • SCADA-监察控制和数据采集的首字母缩写-一个收集和分析工业设备数据的系统
  • 威胁的演员—国家、团体或个人恶意攻击网络安全水平较低的区域,获取并损害他人信息的行为

满足我们的客人

了解更多关于Eric Louw和Matthew Warren的信息。
Eric Louw-主管,数据,风险和分析,Aurecon

Eric Louw

Aurecon的Principal, Data, Risk & Analytics

Eric领导Aurecon的数据、风险和分析团队。他拥有30年领先管理咨询公司和独立战略顾问的经验。他与人合著了三本商业书籍,以及许多文章和学术论文。

Matthew Warren- RMIT网络安全研究与创新中心(CCSRI)主任

马修·沃伦

RMIT网络安全研究与创新中心主任

Matt是RMIT大学的教授,主要研究网络安全和计算机伦理。他曾多次获得国家和国际资助机构的资助和奖项,并在澳大利亚、芬兰、香港和英国任教。

你也可能喜欢……

用太空数据中心建立绿色数据中心

来自SpaceDC的卡罗琳·哈林顿(Carolyn Harrington)和尼克·斯塔夫鲁拉基斯(Nick Stavroulakis)讨论了在亚洲建立迫切需要的数据中心所面临的挑战。亚洲是全球增长最快的市场之一。

享受我们的播客?世界杯直播在线直播

关于播客的更新,请在社交媒体上关注Aurec世界杯直播在线直播on。订阅我们的时事通讯,留下评论让我们知道你的想法。

如果你想参与,请联系我们。

男孩对着麦克风大喊

如何收听我们的播客世界杯直播在线直播

新的播客?世界杯直播在线直播或者不知道如何找到它们?

了解它们是什么,以及如何收听Aurecon的播客。世界杯直播在线直播

耳机品牌工程再造
最重要的

不幸的是,您使用的是Aurecon不支持的web浏览器。

请将您的浏览器更改为以下选项之一,以改善您的体验。

支持的浏览器: