广为认可的软件即服务 ( SaaS ) 交付模式存在显著缺陷,并且正“悄然助长网络攻击者的行为”,引入的广泛漏洞可能会破坏全球经济体系的稳定,该观点出自一位知名金融服务公司首席信息安全官 ( CISO )。
在本周致第三方供应商的公开信中,摩根大通 ( JPMorgan Chase ) CISO Patrick Opet 批评软件公司将 SaaS 定为默认、甚至往往唯一的软件交付方式,这使得客户被迫依赖服务提供商,并将风险集中到这些组织身上。
他表示,尽管这种模式在效率和创新上具有优势,但如今已经清楚地表明它“放大了任何薄弱环节的影响……形成了单点故障,可能引发灾难性的系统级后果”。
Opet 写道:“在摩根大通 ( JPMorgan Chase ),我们亲眼目睹了预警信号。在过去三年中,我们的第三方供应商在其环境中经历了多起安全事件。这些发生在我们供应链中的事件迫使我们必须迅速果断地采取行动,包括隔离部分已被攻破的供应商,并投入大量资源进行威胁缓解。”
尽管他并未在过去几年里众多供应链事件中点名指责任何供应商,Opet 仍然感叹问题似乎不但没有改善,反而在恶化,因为软件供应商在多项固有于 SaaS 的问题上屡屡失责,例如未能对存在漏洞的身份验证 Token 进行安全防护,在未经适当同意或透明度不足的情况下自行获得访问客户系统的特权,以及将下游第四方供应商引入其系统中。
他补充说,自动化和人工智能 ( AI ) 进一步加剧了这些问题,而这些漏洞对对手来说都是众所周知的,这一点从中国威胁行为者战术的变化中可以得到印证,他们越来越倾向于针对那些对客户群拥有深度访问权限的组织。
三步计划
在公开信中,Opet 提出了 SaaS 供应商在问题变得不可克服之前应采取的三个核心步骤。
他呼吁业界在设计阶段就将网络安全放在首位,默认内置或启用安全功能;对安全架构进行现代化改造,以优化 SaaS 集成从而有效降低风险;并加强合作,共同遏制威胁者对互联系统的滥用行为。
AcceleTrex 联合创始人兼首席技术官 Mark Townsend 表示,Opet 的公开信反映出客户普遍对 IT 供应商在确保其产品与服务安全方面做得不够感到不满。
Townsend 说:“在追求领先竞争对手的过程中,多年来已经暴露出不少问题。市场上需要找到一种平衡并向外界展示这种平衡。”
“购买 SaaS 实际上就是在购买一个由供应商部署的系统,你需要将数据托付给他们。许多供应商会提供年度渗透测试报告,并展示其与 SOC2 等标准的一致性,但正如作者所指出的,在这一年内,这些应用及其支持的基础设施中会发生很多事情。”
“这些系统的安全性较为不透明,供应商与消费者之间需要有更多关于如何保障数据安全的透明沟通。”
Townsend 补充道:“如果不给供应商留出退路,就不能过于苛刻。这种开放的讨论能激发建设性对话,而我认为这是既必要又重要的。”
Reversec 的 Donato Capitella 和 Nick Jones,分别担任首席咨询师和研究负责人,他们在通过电子邮件向 Computer Weekly 发表评论时表示,Opet 正确地指出了行业在采用 SaaS 时所面临的关键挑战,尤其是风险集中于少数大供应商以及可见性降低,导致客户在主动检测和响应事件时更加困难。
他们向 Computer Weekly 表示:“在实际操作中,SaaS 应用存在两个非常常见且未能提供足够安全措施的问题。其一是将单点登录功能设在需要额外费用或‘企业’价位计划之后,迫使用户在足够的身份安全和成本之间做出妥协。”
“其二是全面且高保真的审计日志记录,这通常也被限制在昂贵的计划或附加组件之中(如果有的话)。这些限制阻碍了组织预防、检测和应对针对其 SaaS 资产的攻击。”
Capitella 和 Jones 补充道:“我们希望 SaaS 供应商能将这封公开信视为一场集结号,努力为消费者提供默认安全、经过强化的体验。”
好文章,需要你的鼓励
来自耶路撒冷希伯来大学的研究团队开发了WHISTRESS,一种创新的无需对齐的句子重音检测方法,能够识别说话者在语音中强调的关键词语。研究者基于Whisper模型增加了重音检测组件,并创建了TINYSTRESS-15K合成数据集用于训练。实验表明,WHISTRESS在多个基准测试中表现优异,甚至展示了强大的零样本泛化能力。这项技术使语音识别系统不仅能理解"说了什么",还能捕捉"如何说"的细微差别,为人机交互带来更自然的体验。
这项研究提出了"力量提示"方法,使视频生成模型能够响应物理力控制信号。研究团队来自布朗大学和谷歌DeepMind,他们通过设计两种力提示——局部点力和全局风力,让模型生成符合物理规律的视频。惊人的是,尽管仅使用约15,000个合成训练样本,模型展现出卓越的泛化能力,能够处理不同材质、几何形状和环境下的力学交互。研究还发现模型具有初步的质量理解能力,相同力量对不同质量物体产生不同影响。这一突破为交互式视频生成和直观世界模型提供了新方向。
北京交通大学与西蒙弗雷泽大学联合研发的混合神经-MPM方法实现了实时交互式流体模拟。该方法巧妙结合神经物理学与传统数值求解器,在低时空分辨率下运行神经网络并设置保障机制自动切换到MPM,显著降低计算延迟同时保持高保真度。团队还设计了基于扩散模型的控制器,支持用户通过简单草图直观控制流体行为,为游戏、VR和设计领域提供了实用解决方案。
这项研究介绍了EgoZero,一种创新的机器人学习系统,能够仅通过Project Aria智能眼镜捕获的人类示范数据,训练出零样本迁移的机器人操作策略。研究团队提出了一种形态无关的状态-动作表示方法,使用点集来统一人类和机器人数据,并开发了从原始视觉输入中提取准确3D表示的技术。在没有任何机器人训练数据的情况下,EgoZero在7种真实世界操作任务上实现了70%的成功率,展示了强大的泛化能力,为解决机器人学习中的数据瓶颈问题提供了新思路。