亚当Shostack和安德鲁·加奎斯承担三个关键问题的方向。
亚当Shostack合著者的新学校信息安全,安全专家在微软和头目流行的紧急混乱的博客。Forrester Research资深分析师安德鲁•加奎斯前赛门铁克高级项目经理和前项目负责人和@stake的创始人。
读者也可以听的全部音频对话在这里。
网络安全协调员:施密特能完成工作? Shostack:白宫网络安全协调员霍华德•施密特。你的第一印象是什么?
加奎斯:我有两个想法。首先,这个职位已经很困难的人。你看到发生了什么我认为和Mellissa海瑟薇。这是一个艰苦的工作,艰难的期望和很少的权威,所以我想说祝贺霍华德。我很高兴他的加大,我觉得他是身材和血统的人。他以前完成这项工作。我希望他将一些他学到的东西在他的第一回合,并将其应用在他的第二次尝试。但本质上是一个非常艰苦的工作,我很难相信任何人都可以满足预期的角色的工具。
我的第二个想法是,霍华德需要线索一点的他的一些最新的想法。我看到了预测他表示(在文章中”10 2010年IT安全预测”),我认为这是伟大的,他有一个观点。另一方面,很多事情,他表示并不那么多预测他们的担忧。“我们担心社交网络。”Well, sure, we've known that for awhile. "We're concerned about smart phone malware." I would argue that this is a tempest in a teapot and something that will never come to pass in the way most security vendors and security practitioners think it will. But, you know, good for him for expressing an opinion about something that's been expressed before. To me, though, there just wasn't much by way of real forward-looking predictions. I think he's fighting many of the last wars in 2010, and I'm hoping we can get a little more vision out of Mr. Schmidt.
Shostack:是的,但是拜托,这不是安全专家总是做什么?打过去的战争吗?
加奎斯:(笑着说)。
Shostack:响应总是,“SSL和防火墙,SSL和防火墙”。
加奎斯:这是真的。我们打过去的战争。我们很少出下一个。有很少的侦察。你认为霍华德的高度吗?
Shostack:嗯,我认为你的第一个观点是正确的。每个人都说没有权力在这个世界上你不能完成任何事情。我赞同这一观点。但是我认为有很多霍华德可以在这个角色真的关系回总统的透明度甚至包括在他的就职演说。联邦政府是一个收集的一些最大的企业和他们不同在他们的运作方式和他们做什么。结果,我相信这是因为一些FISMA(联邦信息安全管理法案》)——这些机构定期报道us - cert(美国计算机紧急响应小组)的所有事件。雷竞技比分岂不是很壮观的透明度将这些数据,说,“这里是正在发生的事件,”让我们学习吗?我认为这将会是一个革命性的一步,我希望他有权开车,这是符合总统的目标管理与运用服务等举措,因此甚至有一个地方的数据。他有机会讨论情况。很多问题是每个人都想把地毯下的问题,而不是说“这就是企业。” If Howard comes out with the authority that comes with the position and says, "We're having a lot of trouble doing this and we believe everyone else is having an equal amount of trouble, let's talk about it," he can have an impact that doesn't require him to force anyone's hand or to push things.
加奎斯:一对夫妇的想法:这是很有趣的。我相信你说的第一件事是,我们使用的权力赋予的讲坛和一些权力地位强迫或者要求联邦机构集中报告事件和在公共场合放出来,这样人们在私营部门和研究社区可以看看它,学习它,而且我们有一个例子的协作安全事件数据共享。这是你看不到在很大程度上在联邦政府层面,甚至在私营部门——有一些私营部门可以使用和理解。你也提到,我想花一点时间在这,找出方法之间的桥梁的私营部门的专业知识和联邦水平。我考虑公共和私营部门之间的分歧是:不仅仅是它们由不同的法规和行为准则,它是不同的语言。当我认为联邦政府,我认为FISMA FIPS(联邦信息处理标准)和SCAP[安全内容自动化协议]——缩略词人们在私营部门看,说“那到底是什么?”There are words like accreditation and certification that have absolutely no meaning in the private sector. People like us look at that and say "Why would I be involved in federal government security at all? It's just a bunch of paper pushing." To me, it seems like maybe if we can have some other examples out there that are derived from the public experience, then we can start to start to stimulate a dialogue and break down some of these linguistic cultural barriers that prevent us from having workable best practices that apply from one sphere to another. Am I putting words in your mouth?
Shostack:我认为这是一个我期待副作用。我想评论你的评论,这将迫使报告,报告根据现行法律已经是这样了。但,是的,当我看很多联邦政府所做的,有很多我可能看应用的政策。我们希望达到的目标是什么?是管理监督,我们做什么,以确保一定程度的责任吗?但这些家伙也操作防火墙、ids(入侵检测系统),加密程序,他们培训用户,管理用户帐户和访问控制在非常复杂的系统。如果与各种各样的需求,我们可以向他们学习,他们可以从我们身上学到什么?但是第一步必须谈论发生了什么。只要我们看他们所说的,都是关于SCAP FISMA和相关缩写汤,很难建立桥梁。但如果我们可以转入正题,我们可以说,“哦,看,你们正在处理这个问题,以及它如何为你工作吗? Of the 50-odd firewall brands in use in the federal government, which ones are the most effective at stopping attacks? Is there a correlation between firewall brand and the number of attacks that make it through?"
加奎斯:是的。对我来说是有意义的。所以,你的底线是什么,亚当?施密特是一个很好的约会呢?糟糕的约会?你如何阻碍他成功的机会吗?
Shostack:施密特是个不错的约会。正如你指出的那样,这是一个困难的工作。我认为最大的问题是,你想要的成功?他会让问题消失吗?不。我们总是会有网络犯罪。我们总是人侵入联邦计算机。如果问题是如果他将做得更好,我认为问题的关键是如果他决定做一些相同的我们一直在做的事情还是要问一些事情为什么不起飞或成功。我相信,他会带来新的思考。我给他一个60%的成功机会。
加奎斯:哇。不坏。我的底线是:他是一个公平的选择。我希望看到更多的人一个有远见的人谁不是改作去年的脆弱性的故事。除此之外,我认为他能做的最好的事情就是选择一系列即兴重复的主题。这有点像奥巴马竞选本身:挑选几个事情真的执行了,就去做吧。例如,你要安全的联邦机构吗?好,很好。有很多方法可以做到这一点。你要工作的消费空间,让消费者更加意识到,作为一个结果,不受外面发生了什么? Are you going to work to provide some consistency among the different agencies? Probably not, but that's certainly an angle you could go on as well. I think for me the answer is: Pick an objective, one or two things you can do well, and go with it. Otherwise, it's going to be a very watered-down role without a lot of authority or results to show for it. I give him a 50-50 chance at succeeding. Unsuccessful means flaming out and leaving within a year or a year-and-a-half.
Shostack:将超过以往任何沙皇已经通过的作用。(笑)。
数据泄露:意识提升吗?加奎斯:你和我很多看的一些数据泄露事件,突然出现的一些集中和整合区域。这些东西好安全吗?他们是推动企业预算和意识?或者你认为这些东西仅仅是进入了另一个时代的蛇油销售东西的广告,要解决这一问题呢?人们会蜂拥购买full-disc加密喷涂审计师的而不是作为一种安全措施?
Shostack:在短期内,你不愤世嫉俗的观点是不准确的。但是人们一直跟随最新的安全技术和最新的威胁来移动他们的故事。这是一个自然的一部分业务。这个故事是老虎伍兹,除非你把你的品牌故事。
加奎斯:我想你是对的。或者,更准确地说,老虎伍兹,你从这个故事分离你的品牌。
Shostack:我认为从长远来看,我的主题是围绕透明度。我们人一遍又一遍地做同样的事情。在战壕里的人都知道有问题我们不能好好处理。我们需要解决不同的问题。对我来说,像Verizon的伟大之处报告,数据损失数据库一样,是任何偏见或弱点,它们足够大的数据集,我希望看到Verizon人释放更多的底层数据——但有很足够,足够的跨组织的研究,我们可以得到一个处理的事实,是的,丢失和被盗笔记本电脑实际上是一个大问题。他们被剥削吗?好吧,我们真的不知道我们争论,因为你必须披露事件,但没有办法跟踪和事件之间的影响。如果我的社会安全号码在一个胶带脱落的卡车,我们可以认为,直到蓝色的脸因为没有了解发生了什么。我不确定我们会得到透明度如何结束的事情。但是没有这样的理解,你知道,很多人谈论我们如何需要在安全风险管理,我们需要一个受损的风险触发之前我们告诉人们。 I think the risk-of-harm trigger is the lawyer's full-employment act because 1.) You're going to pay a set of lawyers to argue about it, and 2.) The minute you make the call, you're going to expose yourself to litigation from someone who doesn't like the call that you made. In the end, though, notifying people has turned out to be not a bad thing. If you look at the Ponemon Institute's numbers and you look at the expected current cost versus the future cost: The current costs are declining and the future costs are going up. What do you think?
加奎斯:嗯,其实我觉得接二连三的数据违反信息披露法律是很棒的因为你开始得到一些真正的透明度。我使用大量的数据损失DB的家伙的信息很经常,我们建议客户做的一件事当试图证明安全倡议使用这样的一个数据库,发现同学的例子有类似的麻烦,用它来证明这一倡议。当你发现那些真正的具体的例子,很容易想象的场景,使更明显而现实的危险。另一个非常有趣的关于违反信息披露法律bass-ackwards的方式,它是推动美国接近欧盟如何处理个人信息,减少一种商品,可以由商家拥有和移动,把它变成一个更有毒的商品。雷竞技比分这可能意味着我们避开成欧盟数据保护机制。
Shostack:底线:把这个更上一层楼,你觉得会是什么呢?