今年,在美国圣保罗召开的secure360会议上,SANS研究院的研究总监MN Alan Paller解释了在保持政府部门和私营部门的IT系统安全运行方面美国还缺少哪些东西。
Paller表示,保护系统免于攻击的主要问题不是技术的问题,而是"人"的问题。我们需要培训更多精通各种安全技巧(黑客技术、渗透测试、应用程序安全、密码学,以及网络流量监测等技巧)的人。"当涉及到某些技巧时,比如数据包深度监测,我们就会面临很大的问题,"Paller在他的主题演讲中指出,"实际上这是一个严重的全国性问题。"
如果新闻报道中出现了政府机构以及公共企业的数据泄漏事件(比如今年早些时候那些攻击Google、Adobe和100家其他公司的事件),那么就说明"严重的全国性问题"这种说法似乎只称得上是轻描淡写而已。除了这些事件本身,我们似乎正在像零售行业泄漏信用卡数据一样迅速地泄漏国家机密和公共企业的知识产权。
那么Paller建议我们该做什么呢?Paller指出,我们应该寻找那些最好的以及最聪明的人员来应对这个挑战,而不应该只凭一些备受质疑的安全认证证书来选拔人才。关于这一点,我也同意:那些认证证书并不会显示一个人有多少能力,或者一个人有多擅长他的工作。
发现人才的一种方法是通过比赛进行选拔,比如U.S. Cyber Challenge比赛。"有才能的人会在竞赛中脱颖而出,"他表示。
那么,对于政府机构或者公司来说,建立并部署一个天才团队的最好办法是什么呢?Paller表示,需要一个经历过高水平培训的安全专家小组,包括应用程序安全、渗透评估、网络安全等各个方面的培训。安全小组还需要经过交叉培训,具备企业所需要的各种技巧。这些都是必备的因素,除非你想继续成为黑客容易攻击的目标。
今年的Secure 360会议是从Rich Mogul的报告"安全行业如何才能真正有效(Putting the Fun in Dysfunctional: How the Security Industry Really Works)"而开始的。他的发言主题是利用经济学和心理学知识来分析安全行业所发生的事情。
有些内容引起了我的注意:
我们作为一个行业在杀毒软件和防火墙上面的投入比其他所有安全保护产品的总和还要多。
许多企业都是"被动做出反应的,但不是主动去应对。" 像其他人一样,Rich也喜欢提醒人们,安全事件的应对比其他大多数事情都重要;你可以不配置DLP工具(在这里只是举个例子,无意冒犯各位出席会议的 DLP供应商),但是你必须具备处理突发事件的能力。
比起长期风险,我们能够更好的处理短期风险;"害怕—反应—购买产品"这种局面似乎是大多数企业在应对安全事件时的全部步骤,但是牢固的规则遵从重新将经济驱动因素结合在了一起,得出了一个结论——审计风险反而大于攻击风险。这一点很有趣,根据他的观点企业只需要注意法律和监管规则就可以了,因为如果违反了的话,那些都会导致直接的处罚。
我以前从Securosis公司那里听到一种奇怪的观点:"让我们在安全方面更好"不会对卖掉安全工具和服务有帮助,就算产品质量比现在的好很多也不行。其实,这些产品的卖点是害怕安全威胁,或者说害怕黑客攻击和罚款。
接下来,Marcus Ranum做了一次名叫"软件战略问题(Software as a Strategic Problem)"的演讲,内容发人深省,当然也会引起某些争论。其主要思想是:对于超级敏感的政府或国家安全来说,COTS以及外包软件开发都是错误的。国家的机构需要回到雇佣、保持和使用内部员工的方法。他认为,这是唯一能够避免未来遭遇严重安全问题的方法。他曾经对比过两种方法:"从头开始编写软件以解决问题"与"使用非常灵活的COTS软件并花费资源进行永久的配置,以后再对其进行配置。"他还呼吁这种定制软件一定要着眼于"零维护和零管理"。
最后,Marcus显然对于美国政府没有为Windows开启后门程序而感到失望,因为这似乎错失了很容易主导世界的机会。关键引述如下:"如果美国想要在全球经济中保持竞争力,并阻止外界对其战略、企业以及商业网络的广泛渗透,那么企业和政府机构应该停止对商业软件的依赖,并回到自己编写代码的时代。"
另一名研究人员Gal Shpantzer在会上还介绍了USB隔离问题。其主要思想是:鉴于大多数电脑都极易被黑客控制,我们怎么还在使用它们去处理诸如银行业务等敏感应用呢?他还对一些常见的处理方式进行了一番回顾:比如使用专用PC、"泡沫(bubble)"方法,以及USB启动方法等。
secure360由美国中西部安全联盟(Upper Midwest Security Alliance)筹划,它是一个由安全职业人员组成的非盈利性组织,为公众提供价格适宜的世界一流安全技巧、思想和实践,以便提高中西部地区商业、政府以及基础设施的安全水平。