当安全研究人员在寻找事件的真相时,他们几乎不可能获得太多的信息。但是为了保护隐私,收集尽可能少的信息是很重要的。这时隐私和安全就出现了冲突的端倪。
安全专业人员会争辩说,强大的安全性可以保护系统中的信息。隐私保护专业人员会指出,没有任何安全制度是万无一失的,最容易保护的信息就是你从未收集到的信息。
缓解这种紧张关系的关键是详细定义网络安全所需的信息,并在合理的取证所需的时间内保留数据,然后根据既定隐私政策,清除一切个人身份信息。
加密和可见性的冲突
有些人从“加密一切”的立场开始,甚至还有以完全加密为目标的组织。大多数安全专业人员都乐于加密,直到恶意软件作者开始加密他们的有效载荷和流量,这令恶意软件对于许多安全产品是不可见的。
现在,许多隐私专家欣然承认,加密所有东西并不是保护隐私的灵丹妙药。不过,他们确实认为这是一项有用的技术,许多人表示,他们认为,强加密是任何隐私制度的基础技术。“强加密”的定义之一是不存在后门或已知的漏洞,无论是罪犯利用或安全专业人员作为他们工作的一部分。
安全专家希望能够检查其网络中所有数据包的内容。到目前为止,已有很多技术可以实现这一目的,包括“中间人”技术,该技术可以解密隧道,检查内容是否含有恶意软件,然后在发送回来之前重新加密。TLS 1.3将使解决加密与可见性的冲突变得更加困难。
永久或短暂的数据存储
一些目光敏锐的博士用新的数据分析技术来研究存档的数据集并取得新的发现。一些安全研究人员看到了这一点,并想到了将所有收集的数据永久保存在一起才可能进行取证分析。
隐私专业人士却对这样的想法感到很无奈,这是因为数据隐私保护的一个关键是保证数据只要它完成收集它的特定任务,然后就安全地清除文件。
这个论点因恶意软件平均停留时间(感染和发现之间的时间)而变得复杂,目前大约180天。发现入侵时保持数据足够长的存储时间以进行取证是必要的 - 正如匿名化或混淆数据一样,这些数据保留了相当长的时间。保留一般数据并丢弃个人隐私数据可能是一种方法 - 如果是从长远角度考虑的话。
本地与远程的冲突
“数据或垃圾”是一种直白的表述。敏感数据在其限定的权限范围内进行存储和处理,并且安全专业人士应该考虑对这些数据的异地备份存储。
出于监管的原因,从隐私的角度来看,数据应该保持(或远离)特定的法律管辖区。安全团队应该会想到这一点,当所有的密钥数据都在一个安全机制或某个严格控制的环境中时,安全问题能够得到最好的解决。
当每个团队都试图从他们的职能角度来存储数据时,安全和隐私专业人员可能会出现冲突。这种紧张关系可以由法律规定来缓解,而法律规定会带来最严厉的惩罚。
结构化与单点的冲突
零信任安全性要求在每个人或机器接口上进行重新认证。这使得应用程序基础架构的每个部分都保持安全,但是要使系统工作,需要许多不同的凭据和密钥。隐私专业人士喜欢确保基础设施的每个部分都是安全的,但也喜欢最小化与任何个人相关的凭证数量。
这是一种安全架构上的冲突。隐私专家经常把数据的上下文作为隐私制度的一部分来讨论,而零信任安全的核心是没有上下文。
焦点应该放在结构化安全还是单点安全上?每个系统的目标都是系统及其数据的安全性,但根据系统的查看方式,事物的优先级可能会有很大的不同。
匿名化与可识别的冲突
用户身份验证基于用户身份和特权的确定性。当用户通过身份验证时,隐私可以得到增强,但是当用户完成身份验证过程后,用户的信息会被隐藏或混淆。
特定身份应该与每个应用程序活动和网络事务紧密联系在一起吗?每个系统标识应附带多少个人身份信息(PII)?对于安全和取证,答案是“很多”。至于隐私,就没那么重要了。
这种冲突是在如何匿名化信息的同时,仍在维护认证过程,并在出现问题时获取有价值的取证。缓解的方式是在该流程指定在保持安全性的同时,厘清可以将多少个人身份信息(PII)绑定到用户标识。
已知和未知的冲突
基于安全的原因,用户的操作行为正在被监视。安全部门回应有关被监视的投诉:“如果你没有做错什么,你不应该介意被监视。”隐私部门回应同样的抱怨:“如果你没有做什么错事,那么你做什么跟别人也没关系。”
在商业环境中,除少数特定例外情况外,员工不会对隐私抱有期望。另一方面,客户和合作伙伴可能对隐私保护抱有很大期望,而且这些期望受到法规和用户协议的支持。
解决问题和冲突的关键不是取消安全监控活动,而是对为了安全防护而收集、分析和存储数据的行为设置合理的限制。
安全和隐私防护之间可以形成良性的互动关系。当两者关系处理得当时,意味着可以在维护客户、员工和合作伙伴的隐私的同时,增强整个应用程序和数据基础架构的安全性。
(责任编辑:安博涛)