身为信息安全专家,应该成为“知道该如何做的部门”,而非“只会说NO的部门”。我们必须把重点放在如何让用户安全地做他们想做的事,而非只是跟客户说NO,然后将系统锁住。
作者:趋势科技解决方案产品经理 Menard Osena
两个星期前,我去旧金山参加 RSA 2013 大会,对参会的信息安全厂商的数量留下了深刻印象。除了参加者的因素以及技术性会议里突破性的研究发表外,技术性会议今年的演讲场次也让人耳目一新。
下面是我对于信息安全意识、黑回去,以及合法攻击等值得关注议题的一些经验和想法。
安全意识计划的七个有效习惯
Security Mentem 的 Samantha Manke 和 Ira Winkler 讨论了他们对于安全训练和安全意识间不同的看法。他们强调公司内部安全文化的重要性,让员工可以在日常作业里应用最佳实践,进而在组织中养成长期安全意识。
他们介绍了最近针对财富 500 强大公司,包括保健、制造、食品,金融和零售等行业的研究结果。这次研究重点在这些公司所实行的安全意识活动,以及它们的效果。他们提出了主要发现,并建立了“安全意识计划的七个有效习惯”:
- 建立坚实的基础
- 让组织买单
- 鼓励参与式学习
- 更多创造性的努力
- 收集指标
- 和主要部门合作
- 成为知道该如何做的部门
我对这场演讲的主要感想当然是在最后一个部分。我们身为信息安全专家,应该成为“知道该如何做的部门”,而非“只会说NO的部门”。我们必须把重点放在如何让用户安全地做他们想做的事情,而非只是跟客户说NO,然后将系统锁住。
我知道需要详细定义什么是该做的,而什么是不该做的,这些都应该包含在公司的安全策略中,但我们应该提高标准,将安全性成为帮助业务的一个重要部分,而非阻碍。
“黑回去”和“合法攻击”
在大会期间,我参加了几场有趣的概念讨论,例如“骇回去”和“合法攻击”。其中一场是由 CrowdStrike 的 George Kurtz 和 Steven Chabinsky 所带来的 Highway to the Danger Zone…Going Offensive Legally(进入危险区的高速公路…合法攻击)。讨论重点在于主动防御的想法,利用进攻来对抗会影响公司的目标攻击。他们明确地将这概念和激进黑客主义以及网络私刑(例如人肉搜索)做区分。不过 Steven Chabinsky 同时也是名律师,他也阐述了这中间的复杂性,例如不同国家的法律和规定也不同,让这概念一时很难被清楚界定。
另一场非常类似的讨论是由趋势科技的 Dave Asprey 所主持的 Is it Whack to Hack Back a Persistent Attack。同时参加的还有 EMC 的 Davi Ottenheimer,Titan Info Security Group 的David Willson,以及前面提到的 CrowdStrike 的 George Kurtz。他们讨论着主动防御/黑回去的现象,以及当在网络上实施时,法律、道德和业务层面的责任问题和复杂性。
结论
我个人在这些讨论里所获得的主要感想是,主动防御概念也代表会带来风险与可能的后遗症,结果可能会带来更多问题,而非解决问题。正确的作法应该是,组织,尤其是安全管理者,在面对目标攻击时要有正确的态度,并部署由内而外的防护措施。
我目前认为通过执法单位和私人公司间的相互合作会是最好、最安全的方式,借此可打击APT 高级持续性渗透攻击目标攻击,最好的例子就是去年打击 Rove Digital 的行动。
@原文出处:RSA 2013: On Security Awareness, Hacking Back and Going Offensive Legally
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!