SHIMEL:好的。让我向你们三个人提出一个问题。鲸鱼——我不是在贬损鲸鱼——是像国防部,像橡树岭国家实验室那样的例外,要求定制的解决方案,还是较小的商店需要同样的解决方案?
O'Donnell:我认为,威胁的大小将是目标资源价值的一个函数。如果这是一个受欢迎的云计算提供商的所有凭证,或者是下一个F-35改装的蓝图,或者是其他难以量化的货币价值,攻击者就会把他们所有的东西都投进去。他们会想出定制的漏洞,他们会使用训练有素的人,他们会花很多时间和耐心,直到他们得到数据。
这是一个非常不同的威胁,如果你运行一个没有信用卡数据的服务器。那么,这是否意味着你永远不会面临像橡树岭或大型政府实体那样的攻击呢?绝对不是。但它确实意味着如果你是橡树岭或洛克希德马丁或者纳斯达克的人会带着他们的A级游戏,你需要训练有素的人,以及他们可以用来应对威胁的顶尖技术。
Stiennon:我同意。如果你真的没有什么值得偷的东西,就会有一些安全措施。问题是你不能得出这样的结论。我开始看到人们屈服于攻击,他们只是通往真正目标的一个渠道,比如澳大利亚的一家银行受到攻击,而攻击者的最终目标是该银行的矿业资源客户。亚当Nadsdaq提到。这是纳斯达克董事办公桌(Nasdaq's Director's Desk)的网站注射了恶意软件而纳斯达克并不是目标。那是主任办公桌的使用者。
所以这是结论的麻烦,“嘿,我们没有任何东西,所以我们不会看到这种攻击程度。”然后回复是,法律办公室可以承担到适当的过程中可以建立一个洛克希尔或主要的研究实验室。但是将有服务提供商将开始提供,最终我们将看到一直到家庭办公室的工具。
克尔:回到有关分享信息的需要的问题,我认为我们肯定需要互联,我认为云是分享信息的好地方。毕竟,我们都以某种方式互联。我们与外部实体共享数据以处理我们的采购订单,并发送给我们的文件和事物,因此如果他们被感染到我们的后门。我们已经看到各种实体在公司之间存在信任关系,这是一个到另一个人的隧道。我们在网上回来之前的第一件事之一是禁用我们与每个人的信任关系,所以1)我们没有伤害他们,因为我想要做的最后一件事就是被归咎于感染别人的责任,2)我不希望其他人进入我,我无法看到信任关系。因此,我们需要在云中进行互连并分享此信息。我认为这就是我们需要去的方式。
O'Donnell:我们认为,我们产品之间的数据共享至关重要,以及我们一直在宣布的一切FireAMP技术以及IDS/IPS技术在这两个产品之间共享数据方面发挥了重要作用。组织外部的共享和跨不同技术的共享需要花费很多很多年的时间,因为人们担心,通过识别他们已经暴露的威胁,他们可能会向攻击者提供额外的信息。所以,你需要有这样的技术,让人们在不分享威胁的情况下解决它,但如果他们愿意,仍然可以分享数据。否则你会听到有人说:“如果我安装了这个产品,它要求共享,我就不能使用这个产品,因为我不能告诉公众我所经历的威胁,但我仍然需要一些机制来对抗它。”
SHIMEL:同意。现在让我发出一点齿轮。在安全行业中,我们倾向于迎接闪亮的新饰品和最新和最伟大的。理查德,你是这个行业的院长,是一件好事,坏事还是非事?
Stiennon:绝对不购买闪亮的新技术,然后弄清楚如何使用它。从理解威胁开始。实际上,一个更大的问题是远离所谓的风险管理程序,这些程序都是基于识别资产、确定它们的漏洞,然后对它们进行堆栈排序。你永远也做不到,对吧,10年后你还会这么做。最好从认识威胁开始,然后针对每个特定的威胁建立防御。大多数工具都在那里,但其中很多来自非常年轻的公司。
SHIMEL:极好的。凯文,你只能谈论你被允许的谈话,但是一个组织如何像橡树岭实验室一样关于评估安全解决方案,你如何看待一个up-and-comer与建立的新型公司解决方案?
克尔:我们喜欢的一件事是能够看看他们在窗帘后面做了什么的开放性。如果你用魔术盒来找我,并说它可以做x,y和z,你不愿意向我展示它的工作原理,你不会进一步得到很多。显然,我不需要知道所有秘密酱,但我想知道为什么它正在做它所做的事情,而且,不仅可以与我所拥有的工具集成。
我将成为第一个承认我们在这里拥有一些精彩的保质料,我们在这里购买并陷入了我们的网络,因为我没有足够的资源或没有足够的钱购买服务,它从未完全实施过提供的能力。我们实际上是在缩小我们的一些工具并尝试最终有两三个工具的过程,它提供更广泛的可见性的能力,因为我的目标是尽可能多地看到我们拥有的工具,基线的东西,然后让我的专家能够根据更宽的速度钻取。
SHIMEL:好吧,我们在这里结束了。有任何最终建议分享?
Stiennon:我的建议是抛弃当前的风险管理制度,并通过查看三个共同的威胁向量:我们有了Hactivists(与匿名是最明显的例子之一),我们有网络罪犯,我们有民族国家。然后努力去理解每一种方法和目标,然后看看你当前的防御制度,看看它是否已经准备好应对这些。
从像凯文那里那样学习来自凯文的人的课程。因为如果你还没有看到凯文经历过的攻击类型,你就会深深地烦恼,因为你正在经历它们。
SHIMEL:亚当:你的建议吗?
O'Donnell:一件容易的事。你不可能通过从安全供应商那里购买一个黑盒,然后让他们说:“相信我,我们能搞定。”来解决当前面临的威胁。您需要能够让您看到当前正在看到的攻击的技术,以及看似无害的行为的可见性。您需要同时在主机和网络上,并且需要能够将这两个数据点连接在一起。您还需要制定一个计划,以便在出现新攻击时能够控制和应对。因为就像凯文说的,当诺曼底登陆时如果你没有这些工具,你将无法做出反应。
SHIMEL:极好的。最后但并非最不重要的是,凯文?
克尔:你不能只做一件事。技术是有帮助的,但是了解风险和威胁是很重要的,因为你不可能去购买最新的价值数十亿美元的工具。你在一个非常恶劣的环境中工作,你必须想办法发现(坏人),控制他们,然后阻止他们把东西弄出来。并且在遇到麻烦的时候愿意伸出援手。这是我们不害怕的一件事,我感谢管理层从安全的角度支持我们。我们联系了其他国家的实验室,我们联系了工业界,在24小时内,我们有30名来自不同实体的人员在现场帮助我们弄清楚发生了什么。