网络犯罪非常强大,会影响您最初可能不会考虑的网络攻击目标。当未经授权的用户获得对敏感信息的访问权限时,他们可以窃取个人数据、植入恶意代码或引入勒索软件。仅在2021年上半年,我们就目睹了两次针对在物理空间中大量运营的关键行业的网络攻击:燃料管道和肉类加工。物理和数字世界,如物理访问控制和视频、逻辑访问控制、凭证和无线设备,包括射频识别(RFID)、近场通信(NFC)和基于物联网(IoT)的系统,正在融合。物理世界和数字世界是可以互换的,使验证成为货币,以确保人员、产品、服务和系统实现其预期目的并在正确的时间访问正确的上下文。使用凭据验证身份即使在最早的安全实施中,一个核心问题也很突出:你是你声称的那个人吗?这个问题一直存在,从老式的手动验证到网络和自动化安全流程。凭证可以作为可重复使用的令牌或作为唯一的自定义标识符;例如,考虑通用停车证与您的个人驾照。这些令牌和标识符可以在具有不同个性化级别的物理或数字设备中采用不同形式,旨在保护物理和信息访问。然而,无论使用何种媒介,凭据在概念上都以类似的方式运作。在检查凭据时,我们寻求安全流程和用户体验之间的平衡。虽然雇主需要相信他们的数据受到保护,但不能过度限制员工——无效的安全措施会扼杀创新。不仅正式员工需要可靠的访问权限,还必须有一个安全、简化的流程来接待访客、临时工和其他客人。传统物理世界中最近的安全讨论突出了网络挑战,但安全问题早在第一台计算机问世之前就已引起人们的关注。几个世纪以来,我们一直依靠物理设备来限制对特定空间的访问,并且我们继续开发它们。例如,想想今天的物理锁和钥匙是多么复杂。除了经典的锁和钥匙概念外,物理凭证还采用个性化标识的形式,例如护照和徽章。可以亲自或通过安全镜头检查这些设备,以从一个位置监控多个物理接入点。无论行业和应用如何,现代公司都需要对人员、硬件、软件和数据进行物理保护。举个日常生活中的例子,运输安全管理局(TSA)通过在我们接近机场时检查护照和真实身份证件来关注人身安全和文件。消费者希望在飞行时安全,但他们不想排一个小时的队。不断发展的数字世界互联网带来了前所未有的连通性,但在保护您无法触及的内容方面也带来了陌生的挑战。无需任何物理接触即可访问受保护的数字信息。然而,保护物理世界的许多相同的大局考虑仍然适用。用户希望在不影响他们快速找到所需信息或应用程序的能力的情况下获得简化的体验。网络安全有很多方面,最普遍的问题之一是对用户进行身份验证。在这方面,我们面临着许多与现实世界中相似的身份挑战。正如物理密钥可能丢失或被盗一样,密码也可能丢失或被盗。密码有一层额外的复杂性——弱密钥可能会磨损得更快,但仍掌握在用户手中。另一方面,弱密码可能允许未经授权的访问。一份2017年数据泄露调查报告发现,81%的黑客相关入侵利用了被盗密码或弱密码。数字环境需要逻辑访问控制,在快速发展的网络威胁领域提出了一系列新的复杂挑战。通过逻辑访问控制保护数字信息需要行业领导者的专业知识,以便用户可以安全可靠地访问适当的数据。成为物理数字身份在任何环境中都具有挑战性,无论是物理环境还是数字环境。然而,传统凭证在物理环境(例如护照)中可能与在数字空间(密码)中看起来不同——但它们真的需要如此吗?举一个简单的例子,考虑汽车钥匙。传统上,这些设备是纯物理的,用于开门和点火,但它们已经发展到包括数字组件。您不仅可以解锁汽车并获得物理访问权限,还可以启动引擎,自动调整为您保存的用户设置,并添加逻辑访问权限。虽然这两种访问模式——物理访问和信息访问——传统上是相互隔离的,但物理和数字安全系统之间的界限正在迅速模糊。更进一步,汽车制造商正在研究指纹和面部识别等生物识别技术,以期完全取代物理钥匙。随着物理锁和钥匙发现了数字锁和钥匙,传统的ID工作也在同步发展。在美国许多州,驾驶执照现在可以在智能手机上获得。数字疫苗护照有助于加快过境和国际旅行,同时保护敏感的健康信息。将纸质记录转化为现成的移动和数字应用程序可带来一致性、透明度和效率,克服标准身份验证流程中的瓶颈。物理和数字身份验证的融合带来了几个好处,但随着这些应用程序的发展,新的安全威胁也在不断发展。低端物联网设备旨在以低功耗和最小中断运行简单的软件,这给设计安全基础设施带来了许多挑战。这些安全问题扩展到日益复杂的医疗系统,在这些系统中,传统的非数字设备通过物联网(或NFC和RFID)连接到智能系统。这些由低功耗、低存储设备组成的庞大物联网网络极大地增加了网络攻击面;他们将历史上指定为物理安全或信息安全的角色混为一谈。多因素身份验证(MFA)提高了任何验证过程的安全性。MFA在数字空间中越来越普遍;一项服务可能需要密码和移动应用程序确认才能登录。医疗策略更有优势,用物理钥匙打开一把锁,然后用密码打开另一把锁。这种两步式安全系统已被证明在数字世界和物理世界中都是可靠的。网络安全和基础设施安全局(CISA)同意涵盖物理和网络安全的系统提供最全面的攻击保护。随着物理世界和数字世界变得更加可互换,融合的医疗保健安全方法可以更好地识别、预防、减轻和应对威胁。融合鼓励跨部门的信息共享和统一的安全策略,从而增强整体的稳健性和弹性。展望未来无论环境、语言、地区或行业如何,我们都将继续面临影响全球日常生活的日益复杂的网络攻击。从笔记本到平板电脑,从胶卷到文档,从信件到电子邮件,从钥匙到指纹,我们日常生活的方方面面几乎都在数字化。在正确的时间获取正确的信息是关键任务:网络攻击可能导致燃料和食物短缺、窃取政府机密信息、泄露个人财务和健康信息,或导致危及生命的基础设施故障。虽然当我们的电子设备出现故障时可能会产生可怕的后果,但数字化仍有无数机会继续改善全球各地的生活。医疗机器人已经可以执行精密的微创手术,其精度要求超过人手。在分秒必争的紧急情况下,救护无人机可以比传统的急救人员更早到达现场。自动驾驶汽车希望每年减少机动车造成的伤亡人数。尽管面临重大范式转变的挑战,但我们日益重要的医学世界继续以深刻而有意义的方式改变人类体验,提高生活质量,并最终拯救生命。
