移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。
对IT部门来说,安全问题的方程式一直如此复杂,难于求解。而随着移动设备的泛滥,这种情况更加严重。
当前,日常工作不在局限于个人电脑,而装有关键业务应用和数据的设备则可能出现在任何地方,导致企业面临着更大的风险。只要一台没有设置密码的手机遗失,就可能让企业造成损失。因此,移动设备安全培训是极其重要的。
本文中, ISACA(国际信息系统审计协会)的委员会成员Eddie Schwartz就当前的移动安全威胁、移动安全培训的价值,以及常见问题发表了自己的看法。Schwartz同时还是网络安全厂商White Ops的首席运营官。
当前最迫切解决的移动安全问题是?
Eddie Schwartz:很多用户缺乏保护自己移动设备的观念,比如不设置密码、使用简单的四位数PIN以及将设备遗留在他人触手可及的地方等。因此,对终端用户来说,必须树立安全配置和使用的观念。
目前,罪犯们已具备这样的能力:在各种平台上安装木马应用,伪装成用户所需的功能以及对不同流程进行干预,比如侵入到网络广告链条中,或在特定平台上安装服务和流程以窃取用户数据、获得电话控制权。即便在未安装恶意软件的情况下,设备也可能被诸如HTTP重定向等技术所影响,从而脱离用户的控制。
目前,主流厂商大概6到9个月会发布一次同款手机的新版本。移动应用无时无刻不在更新中,至今我们仍无法洞察这种频繁更新的背后到底隐藏着什么。同时,有些操作系统也谈不上安全可靠。另一方面,企业也无法对用户行为作出约束,比如禁止使用三星Galaxy S7或者iPhone 6s等。在这个快速变化的世界,安全措施和规制必须灵活、敏捷应对。
IT专家该如何应对快速的变化?
Schwartz:很重要的一点是,针对具体工作岗位进行全面的移动安全培训,让员工学会如何保护自己设备上的公司资产。同时,持续对用户进行灌输,提醒其良好的安全习惯。
我们必须对自己的安全性负责。假设居住在一个充满危险的社区中,你就不能让门窗大开并期望什么事都不会发生。必须意识到,互联网并不总是一个友好、和平的环境,我们必须让门窗紧闭——至少,不主动对不法分子发出邀请。
安全团队必须永远保持警惕、制定相关标准并监督其执行情况。就当下情况来说,很多时候安全团队并未做到这些。他们没有真正控制底层的操作系统,很多现成的应用存在着各种安全隐患。总体来说,要确保安全策略的持续可用,对任何人都是一项艰巨的工作。
移动安全方面,IT部门可能犯的最主要的错误是?
Schwartz:最主要的问题在于将移动安全与桌面系统的安全等同视之。另一个问题就是过于自信,认为一切都在自己掌控之下。我的建议是,如果遇到问题无法解决,就去向那些专注于相关领域的专业合作伙伴寻求帮助。
好文章,需要你的鼓励
随着大语言模型在人工智能时代展现强大力量,可穿戴设备成为收集人体数据的重要载体。通过实时监测血压、心率、血糖等生命体征,结合AI边缘计算能力,医疗正向个性化转型。基因治疗、数字孪生技术让每个人都能拥有专属的医疗数字化身,实现从"报销型医疗"向"创新循证医疗"的转变,为疾病预防和健康管理带来革命性突破。
哥伦比亚大学研究团队开发了MathBode动态诊断工具,通过让数学题参数按正弦波变化来测试AI的动态推理能力。研究发现传统静态测试掩盖了AI的重要缺陷:几乎所有模型都表现出低通滤波特征和相位滞后现象,即在处理快速变化时会出现失真和延迟。该方法覆盖五个数学家族的测试,为AI模型选择和部署提供了新的评估维度。
在巴黎举办的欧洲开放基础设施峰会期间,专门用一整天时间讨论VMware迁移问题。博通收购VMware后许可证价格上涨,导致客户运营成本大幅增加。开源开发者展示了将VMware虚拟机迁移到开源替代方案的产品。Forrester分析师指出VMware客户对此感到信任破裂。OpenStack等开源解决方案虽然复杂度较高,但提供了健康的开源生态系统替代方案。
这项研究首次发现AI推理模型存在"雪球效应"问题——推理过程中的小错误会逐步放大,导致AI要么给出危险回答,要么过度拒绝正常请求。研究团队提出AdvChain方法,通过训练AI学习"错误-纠正"过程来获得自我纠错能力。实验显示该方法显著提升了AI的安全性和实用性,用1000个样本达到了传统方法15000个样本的效果,为AI安全训练开辟了新方向。