专家问答:SANS官员谈信息安全商业策略

国外媒体报道,Stephen Northcutt是SANS技术研究所所长,在这次采访中主要是关于信息安全和商业策略以及云时代带来的风险。

记者:当前许多安全问题我们已经处理数十年之久,你是如何看待信息安全这个问题的演变的呢?

SN:比起以前我们在网络问题上已经获得了长足的进步。例如我们现在有网络保护程序并在此方面小有成就。网络攻击的范围越来越大,我们也不断研究更多的路线和更多的代码以因对各类攻击。正因为网络之间的联系越来越紧密,所以更加容易产生漏洞,许多代码暴露在潜在的攻击威胁下。我们需要处理的并不是基础性的问题,细节性的问题每天都在改变,但是这个类的问题并没有太大的变化。能够整合业务的人才是目前我们非常突出的一个需求。一个安全部门的经理首先需要的是沟通技巧。我们的挑战也在于培养沟通技巧,商业需要交流。
在我个人的观察里,人们往往认为复杂性本身就是奖赏。如果我们没有投入大量的精力,并且把问题简化简化再简化,那么常常我们不能在自己能够控制的范围内结束问题。这才是在安全层面、技术层面和管理层面的真正的问题所在。

记者:在今天的安全环境下,您如何看待评估和管理风险?

SN:在信息安全方便我们需要确保自身不会轻视任何一个问题,我们力求把风险呈现给企业的高级管理人使得他们可以做出明智的决策。我觉得可以做到以下3点:
1使用计量检测和定量风险。使用工具如安全信息、事件管理(SIEM)和漏洞管理产品等,始终在内部提供定量评分。
2 需要描述业务目标的风险。不要总是说"可能遭到黑客攻击",我们需要解释数据异常、数据破坏或者篡改的造成的金融成本。
3 我们需要在管理层面上很好的呈现信息。

记者:迈入云计算时代风险会增加吗?

SN:现在黑客可以编写一个非常有效地蠕虫通过传播,它可以清除主机驱动上的所有数据,这是迄今为止我们面临的最具有破坏力的情况。但是09年初一次大型的攻击,黑客闯入了Vaserve,删除100,000网站,其中一半没备份,导致其一去不复返了。这说明了我们正处在一个巨大的风险水平上。令人吃惊的是人们冲进了云计算却没有评估它带来的风险。这种水平的风险甚至超过了银行的次级房贷。