前中情局CISO:金钱买不到安全

Robert Bigman曾担任中情局首席信息安全官,如今他是安全公司2BSecure的总裁。在接受TechTarget记者独家专访时,Bigman认为,首席信息安全官最大的挑战不是新技术,而是如何找到真正意义上能够保护计算机安全的工具。

问:什么技术趋势正在表现为企业的最大挑战?

Robert Bigman:这并非新事物,而是25年来一直的挑战,那就是 :我们如何保护不受安全保护的计算机?现在需要问的问题是 :市场上有什么新工具可以帮忙解决这个问题?25年了,他们还一个没找到。这就是为什么每当你到一个展会,都有新供应商销售新东西。

如果你注意一下今天的科技展会,当你走过展厅并看过各个不同的展位,全都是关于云计算和大数据的。这些产品没有哪个是非常糟糕的,而且我敢肯定他们一定提供了一些很有意义的功能,但坦率地说他们没有解决问题。这个问题就是计算机本身是不安全的。除非你能从架构的角度上正确的做到这一点,否则实在没有多少你可以买的产品。

技术发展趋势是如何保护不受安全保护的计算机。将它们放在云上并不能让他们比在被放到云上之前更安全。散布在移动终端之间也不能让他们比全部限制在计算机数据中心之前更安全。

这些都不是解决问题的方法——它们只是在应对症状而已。这就是我们所说的Nyquil奈奎尔效应:您还没有治愈感冒,但你肯定觉得好了很多。你并没有解决计算机安全问题,但你觉得你已经做了很多事情。相信我:俄罗斯和中国的黑客们根本不在意你应用在你的网络上的产品。它真的不会成为他们的路障。

问:首席信息安全官最忧心忡忡的事是或者看起来是什么?

Bigman:首先,每年,他们跑到高层或CIO那里告诉他们,“我们需要安装这个RSA刚刚出品的滴滴响亮闪闪的玩具。” 我并不是在批评RSA, 这只是一个案例,因为他们今天也在场,相同的也可以是McAfee或其他任何一个供应商。这些都是昂贵的玩具。大公司的企业许可证花费不菲。你很难像买玩具那样,安装它,让他运行,然后一年后回来说,“好吧,我还需要一个做数据丢失保护的。”“再明年,我还需要另一个做数字版权管理的。” 然后,“我需要再一个做云安全的”。最终,首席执行官们会在这方面明智起来,并说,“等一下:为什么我们不去解决这个问题?”

很多首席信息安全官都会认识到,安全问题不像存储设施一样可以购买到,不像计算资源那样可以买到,也不像网络设施可以买到。