Get best of the week

零信任信息

Google最近将其在北美的所有员工迁移到了远程工作。这是限制SARS-CoV-2传播的措施之一,SARS-CoV-2是导致COVID-19疾病的病毒。对于任何可以做到这一点的公司来说,这都是正确的解决方案。而且,谷歌和其他许多主要的技术公司正计划为通常为公司员工服务的承包商大军支付费用。

但是,五年前Google 领导了向零置信网络的过渡,因此采取了更为重要的行动为其内部应用。其他大多数科技公司也纷纷效仿。尽管这样做不是为了让员工在家中工作,但现在它已使人们可以在短时间内转移到偏远地区。

零信任网络


1974年,Vint Cerf,Yogen Dalal和Carl Sunshine发表了一项突破性的工作,称为“ Internet传输控制程序规范”。从技术角度来看,这项工作为建立Internet的TCP协议的规范奠定了基础。同样引人注目的是在工作中提出了“互联网”一词。这是偶然发生的:大多数工作都用于管理“网络间”传输和“网络间”数据包的程序:网络已经存在,因此有必要弄清楚如何将它们相互连接。

最初,网络是商业的。在1980年代,Novell创建了一个由本地服务器,网卡和PC应用程序组成的“网络操作系统”。该系统允许您在大型公司内创建网络以交换文件,共享打印机和其他资源。结果,Novell的市场地位被客户端操作系统中引入的网络功能,网卡的分发,管理分发渠道的错误以及微软的全面攻势所破坏。但是,保留了具有共享资源的公司Intranet模型本身。

但是,问题还在于Internet本身:将至少一台计算机从本地网络连接到Internet意味着该Intranet的所有其他计算机和服务器实际上都已连接到Internet。为了解决该问题,他们提出了一种基于边界保护的安全系统(“城堡与护城河”,“城堡与护城河”方法):公司需要部署防火墙以保护自己免受来自外部的内部网络的访问。含义是双重的:如果您在Intranet上,则他们信任您;如果在外部,则它们不信任您。


但是有两个问题:

  1. 如果攻击者穿透防火墙,他将获得对整个网络的访问权限。
  2. 如果某位员工不在办公室,则他无权访问Intranet。

为了解决第二个问题,他们提出了VPN技术(虚拟专用网络),由于采用了加密技术,它使远程工作者的计算机可以像在物理上位于公司网络中一样工作。但是,更重要的是在这两个问题中表现出的基本矛盾:您需要从外部提供访问权限,将外部人员保持在外部。

过去十年中的三个主要趋势使这些问题急剧恶化:智能手机,SaaS(软件即服务)方法和云计算。今天,实际上,每个员工都拥有一台移动设备,该设备可以永久连接到Intranet,而不再是需要将笔记本电脑连接到公司网络的随机销售人员或外出的老板。现在,员工无需访问内部网络上托管的应用程序,而需要访问SaaS提供商托管的应用程序。现在,公司资源不再在本地部署,而是托管在公共云中。哪条护城河可以涵盖所有这些情况?

您甚至都不应该尝试:不要将所有内容都放入城堡内,而是将所有内容都放在沟渠外,并认为任何用户都可能构成威胁。因此得名:零信任网络。


使用此模型,信任处于已验证人员的级别:(通常)访问取决于多因素身份验证(例如,密码和受信任的设备或临时代码)。即使经过身份验证,一个人也只能访问非常少量的资源或应用程序。此模型使您能够解决城堡沟渠方法的所有特征问题:

  • 在没有内部网络的情况下,不能有外部攻击者或远程员工。
  • 可以在用户端将单个身份验证扩展到本地资源内的设备和应用程序,SaaS应用程序和公共云(尤其是使用单用户标识原理实现的身份验证,例如Okta或Azure Active Directory)。

简而言之,零置信度计算始于Internet假设:万事俱备,万事俱备。这种计算的特点是,与提供信息安全的物理支持相比,在以更分散,更精细的水平提供访问的情况下,连续决策的交易成本为零,这造成了一个有争议的基本矛盾,这是有争议的方案的基础。

城堡和护城河


锁沟模型不仅限于公司数据。正是在这种范例中,社区一直在思考来自时代,GHM,城堡和护城河的信息。去年秋天,我在《互联网与第三世界》中写道

在中世纪,欧洲的主要组织结构是天主教会。实际上,她在信息传播方面拥有垄断地位:大多数书籍都是拉丁文,由僧侣手动复制。贵族的不同代表与土地上的平民之间存在一定的族裔血统,在天主教会的庇护下,主要是独立的城市国家。

带锁和护城河!

印刷机发明之后,一切都发生了变化。突然发现,马丁·路德(Martin Luther)对天主教的批评与一百年前扬·胡斯(Jan Hus)所宣称的完全相似,在传播他的观点时,他并不局限于任何小范围(在胡斯(Hus)的情况下是布拉格),但他能够凭借自己的想法到达欧洲。来宝(Noble)借此机会根据短期利益解释圣经,逐渐将天主教教会推离政府。

这导致了新监护人的出现:

正如天主教会保持对信息的控制一样,现代精英制也做了同样的事情,与其说是将新闻报道纳入更广泛的全国共识,不如说是控制新闻界。

经济再次发挥了作用:尽管仍在出售书籍以牟利,但在过去的一个半世纪中,报纸开始阅读更多,然后电视成为了主要媒介。但是,所有这些都是“新闻”的传递工具,通常是通过与大公司密不可分的广告来筹集资金的……从广义上讲,新闻,大企业和政治人物是在全国共识的框架内运作的。

但是,互联网已经威胁到第二级监护人,使每个人都可以发布以下内容:

, , . , . , : . , :

— , . , , .

很难高估这种轻描淡写的全部程度。我刚刚告诉您印刷机是如何推翻第一产业的,这导致了民族国家的出现,新贵族的创造和加强。通过加强平民来推翻第二庄园的后果几乎是无法想象的。

今天的监护人确信这是一场灾难和“错误信息”。从马其顿的青少年到俄罗斯的情报人员,游击队和政客,一切都被视为存在的威胁,其原因很明确:现代媒体模型基于这些媒体是信息的主要来源这一事实。如果存在虚假信息,那么社会将面临虚假信息吗?

增加信息的后果


当然,问题在于,如果我们只关注错误信息(并且确实存在),那么我们就会忽略“发布者自己的”公式的另一部分:真实和错误信息的数量激增。假设所有发布的信息均符合正态分布定律(我仅将此概念用于说明,并不声称这是正确的。显然,由于易于生成信息,因此会有更多的错误信息):


在Internet之前,由于信息总量很小,因此相对绝对误报的总数将很少:


但是,由于有了互联网,信息的总量变得如此之大,以至于即使错误信息所占的份额保持在相同水平,其绝对数量也大大增加了:


因此,今天查找虚假信息要容易得多,搜索引擎对此很有帮助。因此,在《纽约时报》上写这样的故事很容易

尽管社交网络开发公司积极反对,但随着冠状病毒在世界范围内传播,关于它的错误信息也在传播。Facebook,谷歌和推特表示,他们将在发现冠状病毒后立即删除虚假信息,并与世界卫生组织和各种政府组织合作,保护人们免受不正确信息的侵害。

但是,《纽约时报》在每个社交平台上进行的一项研究发现,数十个类似的视频,照片和文字可以穿透筛选器。这些文本不仅以英语书写,而且随着病毒在世界范围内传播,其范围从印地语和乌尔都语到希伯来语和波斯语不等。传播有关冠状病毒的虚假信息和恶意信息,严峻地提醒了研究人员和互联网公司的参与。即使公司必须捍卫真相,它们也经常被互联网骗子和盗贼超越和殴打。关于该病毒的信息太不准确了,世界卫生组织说它面临“信息血症”。

我也在每日更新中写道

这就是“在研究《纽约时报》期间”这个词所告诉我们的:搜索大量世界信息的力量在于,您可以找到想要的一切。毫不奇怪,《纽约时报》希望在主要技术平台上发现错误信息,而记者发现它也就不足为奇了。

但是,我发现分布另一更加有趣当然,Internet允许任何人成为发布者这一事实导致错误信息绝对数量的增加,但是对于以前无法获得的有价值的信息也可以这样说


与发布COVID-19的最后两个月相比,很难找到一个更合适的示例。从一月到今天,Twitter上出现了大量有关SARS-CoV-2和COVID-19的信息,包括支持文章和指向医学文章的链接,这些文章以惊人的速度出版,并且常常与传统媒体相矛盾此外,包括流行病学家和卫生官员在内的许多专家也表达了他们的观点。

在过去的几周中,这个蓬勃发展的网络已经开始对袭击美国的危机发出警报。仅由于Twitter,我们了解到这场危机是很久以前开始的(返回具有正态分布的图示,其影响随着信息量的增加而减小)。

西雅图流感研究故事


关于美国COVID-19危机的最重要信息也许是西雅图流感研究小组成员Trevor Bedford的报告





您可以在这些信息和广泛的社会排斥之间找到直接的联系,尤其是在西海岸:许多公司转为远程工作,旅游业站起来,会议被取消。是的,应该有更多的信息,但是每件事都会有所帮助。不是从官员或监护人那里获得的数据,而是从Twitter那里获得的数据,将会挽救生命。

但是,值得注意的是,这些决定是在没有官方数据的情况下做出的。数周以来,总统淡化了即将来临的危机,疾病预防控制中心和FDA将他们的双手束缚在公共和私人实验室,尽管事实是它们完全被测试工具所束缚,可以帮助确定大量且迅速增长的病例。难以置信,但根据《纽约时报》上一篇文章的文件,贝德福德团队还把棍子放在轮子上:

[1月下旬]华盛顿州卫生部已开始讨论该州正在进行的西雅图流感研究。但是有一个障碍:该项目主要涉及研究实验室,而不是临床实验室,并且他们对冠状病毒的测试未获得美国食品药品监督管理局的批准。因此,除研究人员本人外,该小组不得向其他任何人提供测试结果...

疾病预防控制中心官员一再重申,[检查冠状病毒]是不可能的。2月16日,美国国家免疫和呼吸系统疾病中心员工盖尔·兰利(Gail Langley)说:“如果要将检测结果用作筛查工具,则必须在食品药品监督管理局进行检查。” 但是,由于该实验室没有按照提供医疗服务和医疗服务中心的要求被认证为临床实验室,因此该办公室无法批准。认证过程可能需要几个月的时间。

结果,由朱慧敏(Helena Chu)博士领导的西雅图流感研究人员决定忽略疾病预防控制中心:

, , , , . , , …

« », — . « , ». …

C.D.C. F.D.A. . . « », — . « ».

然而,一个令人震惊的发现改变了官员们对该流行病的看法。西雅图流感研究的参与者迅速分离出病毒基因组并发现了遗传变异,该变异也出现在该国首例冠状病毒感染病例中。

贝德福德(Bedford)引发的风暴以及私人公司和个人的回应由此开始。即使他们的反应比原计划晚了几周,但它的发生要比信息观察者世界发生的要早得多。

互联网和个人验证


如您所知,Internet起源于美国国防部的ARPANET项目。 Surf,Dalal和Sunshine为此开发了TCP网络。然而,与流行的神话相反,目标不是建立能够抵抗核攻击的通信网络。一切都变得平淡无奇:研究人员可使用的高性能计算机寥寥无几,而高级国防研究局(ARPA)希望促进对它们的访问。

尽管核攻击理论的普及有其原因。首先,有动力对于数据包交换的理论研究,它已经变成了TCP / IP协议。其次,互联网稳定的事实:尽管有监护人的努力,任何信息都可以在网络中自由传播(中国除外)。包括错误信息,也非常有价值的信息。对于COVID-19,这会稍微改善一个非常严重的问题。

这并不意味着互联网的可用性将帮助我们解决世界以及冠状病毒历史上的所有问题。但是,当我们经历这场危机时,我们将需要记住Twitter的故事和西雅图流感的英勇研究人员的故事:过度的集中化和繁文tape节阻碍了关键的研究。为了加快研究速度,科学家的责任心以及任何人都可以在互联网上发表的事实帮助了全国人民和公司的反馈。

因此,与其考虑与Internet对抗-围绕信息创建锁和沟渠,并进行各种疯狂的妥协 -值得考虑采用这种情况可以带来什么好处?一切都表明年轻人了解个人验证的重要性。例如,这是牛津路透社的一项研究

在我们的采访过程中,我们没有发现对媒体的信任危机,这在年轻人中经常听到。人们普遍不信任某些政治观点,但是您最喜欢的一些品牌也获得很高的评价。假新闻比民主危机更令人讨厌,尤其是因为问题的严重性与人们对其关注的程度不符。因此,用户感到有能力抑制这些问题。

同样在这项研究中,事实证明,社交网络比离线新闻显示出更多的观点另一项研究的作者认为,政治分化在使用互联网较少的老一辈中最为明显。

我再说一次,我并不是说一切都井井有条,无论是短期内在冠状病毒的历史上,还是在社交网络和中期的信息的直接传播方面。但是,仍然有理由感到乐观,并相信情况会有所改善。我们越来越快地接受这样的想法,即减少监护人的数量并增加信息量将导致创新和好的想法的增加,这与互联网时代长大的年轻人已经学会忽略的错误信息流成比例。

More articles:


All Articles