一些安全行业巨头挥舞四肢、使劲强调,警告参加2012年信息安全世界会议和博览会(the 2012 InfoSec World Conference and Expo)的与会者,单纯依靠科技来确保网络安全是一个非常不可取的IT安全策略。
一些安全界的知名人士:Tenable网络安全公司(位于哥伦比亚马里兰州)的首席安全官Marcus Ranum,Lares咨询公司(位于丹佛)的创始人和首席安全顾问Chris Nickerson,以及一位前Verizon的风险分析师、目前担任一家金融机构运营风险部门主任的Alex Hutton,他们都直言不讳的对与会者表示,他们在保护公司网络方面是失败的,而且,如果他们不摆脱满足合规性的心态、不了解他们的业务是如何工作的、不更为积极主动进行安全防护,他们将继续失败。专家小组说道,与其购买另一台自动化安全设备,首席信息安全官应该弄清楚自己公司的核心资产是什么,并聘请和培养人才来分析他们的系统日志、保护公司的核心数据。
“安全这东西不是火箭那类难度的科学,它注重的是细节,”Ranum说道,“安全产业有一个趋势,即将一些东西从聪明人的手里转移到蠢人的进程。处理大数据是救不了你的,真正救你的是那些检查大数据的人。”
与会者:很难接受演讲者说的话
据会议的组织者说,该会议中有一部分是轻松的讨论,而大多数是设定好的话题,这是为了给听众们一些真相,尽管那些话就像苦不堪言的药,实在令人难以下咽。在一个同与会者进行问答的环节中,当Nickerson要求一位听众解释自己公司的使命时,该听众说不出来,他在麦克风前哑口无言。
“我认为你们应该试着去保护对公司重要的东西。你必须去问问题,”Nickerson面对与会者这样说道,“如果只是同质化(homogenous),说我可以保护所有东西,这就是个失败的策略。当你用这种思路工作、试图保护整个企业时,那就太疯狂了。”
对于那些试图运用合规标准或其他模式来保护企业,而没有基于企业的业务定制合适模式的首席信息安全官们,Nickerson抨击了他们。标准化和同质化注定是失败的策略,他补充道。
“我们应该通过计划的第一步,承认我们有问题,然后试着解决并从中学习,”Nickerson说道,“在学习一般战斗规则方面我们已经失败了,我们现在要保护的东西是基于某些人的标准竭尽所能的保护那些东西。而不是根据自己的能力范围(什么能做什么不能做)。”
作为与会者,一位不愿透露姓名的IT安全主管表示,小组成员们坦率和毫无歉意的语气可能让一些安全专业人士感到受辱。他说道,许多负责企业安全计划运营的人是在有限的IT员工和经费条件下努力监视并保护关键系统的。
“我们是被企业业务本身所约束和限制的,我认为我们已经尽了最大努力通过手上仅有的工具完成工作,”与会者说道,“对我们大多数人来说,大幅度改变总体方案然后向高层管理人员证明的成本太高了。”
反威胁业务发展
此外,小组成员还以他们的观点,解释了一些企业如何正确的实施安全。Hutton介绍了他公司的海量数据仓库。该公司几乎所有的东西都关系到其数据仓库,它捕获MAC地址并关联来自不同系统的日志数据来跟踪用户、检测异常行为。
该公司基本上把IT人员从安装者和维护者变成了反威胁业务专家,他说道。但大多数企业与此相反,它们专注于购买技术,以满足一个特定的合规目标。
“你的威胁主要来自审计师和监控者,因为你的大部分时间都花在这上面了,”Hutton说,“我们测量一切,除了对行为进行统计分析,我们什么都不做。”
在回答与会者的问题时,Ranum说道,没有一个企业把安全做得很好。有一些政府机构是“深刻知道的”。他解释道,找到一个安全法宝是非常随机的。目前正在做的一些最好的信息安全企业有生物技术方面的巨头Amgen和化妆和身体护理零售商玫琳凯,后者依靠其产品的独立经销商赚钱。
据Ranum,企业最大的忧虑之一是顾问人员从其他咨询公司挖走客户。所以企业已经设计了一个数据库,不允许一个人去查询客户资料。“他们发现了数据管理问题,解决该问题,然后继续向前。”