现在是安全领导人挑战教条的时候了

现在是安全领导人挑战教条的时候了

一个好的安全计划的关键要素是什么?

你为什么这样回答?

似乎很多安全知识都是“传下来的”。我们为数据和证据驱动的决策感到自豪,同时认为安全性太难衡量和确定。好奇,不是吗?

NSS实验室的首席技术官jasonbrvenik(LinkedIn,@vrybdpkt)建议,是时候挑战我们的假设,质疑安全教条,以获得更好的结果了。杰森的职业生涯以认识困难的挑战和应用新技术和策略来应对风险为特点。

作为 首席技术官 NSS实验室, Brvenik负责监督公司著名的安全技术独立测试和验证,帮助买家找到“安全的真相” 总工程师 思科首席安全架构师办公室,在思科以27亿美元收购 火源 2013年。 布尔韦尼克是一个 Sourcefire研究员兼安全策略副总裁 在收购时。他在Sourcefire工作了11年,为安全行业最具影响力和破坏性的公司之一领导各种业务和技术运营,专注于网络安全和打击恶意软件。

他摆出一个姿势,向我们的安全教条发起挑战:

我总是对我们网络安全领域的假设和教条的巨大影响感到惊讶,因为我们在一个客观结果的世界中运作。当像万纳克里或诺佩提亚袭击这样的重大事件充斥新闻周期时,这些现有的态度仍然只是表面下的,最容易被发现。

首先看看假设。安全方面几乎没有什么是确定的,但令人吃惊的是,有多少决策仍然是由直觉反应和假设的真实性来引导的。以分层安全的“纵深防御”概念为例。没有人不同意这里的理论。然而,尽管我们现在的世界是移动和云驱动的,这个模型仍在无限期地继续,新的层不断地部署在彼此前面,以至于实际管理所有层带来了新的挑战。

防御太深,无法管理复杂的安全问题,因为新的工具提供了暂时的安心,掩盖了是否有任何真正的好处抵消其额外成本的问题。风险资本家可能不喜欢听到这句话,但我认为,我们已经饱和了与勒索软件等已知的安全支出催化剂作斗争的产品,而勒索软件可以而且应该与现有的技术和实践抗衡。

现在看看媒体、高管和其他重要受众经常使用的、以安全为特征的教条式论点。我们仍然听到有声音说,勒索软件受害者得到他们应得的,因为他们没有修补。其他专家猛烈抨击运行任何遗留软件版本的用户。在网络领域,指责受害者并不比在其他地方更容易被接受。还有一些人断言,开发人员甚至不能在道德上终止几十年前的代码的软件更新。还有谁听说过归因是防御姿势的一个关键的基本原则,除非它是完全不相关的时间和资源的浪费?

教条从何而来?指责供应商和市场炒作太容易了。教条最终是由教养来滋养的。在不同的组织中,我们都在不同的时间学到了安全,在不同的组织中,我们发现了令人放心的“真理”。根据我们的导师和我们服务的组织,归因的本能、人为因素和其他闪点对某些CISO来说是完全有意义的,而对其他CISO来说则是不理性的。

随着我们每个人对更多的行政问题和监督作出回应,我们有责任重新思考我们方便的例证和论点。

有时在激烈的场合提出问题比记录一个论点更重要。我们永远不会有所有的答案,总是借鉴经验,但这并不意味着我们应该满足于猜测或两极分化的对话。

杰森搞定了。我们依靠教条和假设来做决定,同时寻找证据。我确实认为,我们正处于这个行业的关键时刻,我们越是提出这个问题,建设性地挑战我们的假设,在寻求真理的过程中相互支持,我们就越会做得更好。

你对我们行业的教条和假设有何看法?你建议我们如何打破一些神话,共同努力创造一个更美好的明天?

把它带到我们的Facebook页面或者在Twitter上与我们联系(@catalyst&@vrybdpkt)。

准备,准备,反应!