自从Rich Pethia第一次担任卡耐基梅隆大学计算机紧急响应小组(CERT)的主任以来,20年来发生了很多变化。CERT最初是作为第一个互联网安全响应组织推出的,多年来已逐步发展为更侧重于研究和培训的角色。Pethia是CSO指南针奖的获得者,她与CSO谈到了IT安全和漏洞在20年间发生了多大的变化。
CERT今年将庆祝其成立20周年。说说你刚开始创业的那些日子吧?
回到1988年,当我们开始的时候,互联网大概有20万个系统,几乎所有的系统都在美国。大多数是在大学的研究实验室,一些在政府。尽管互联网还没有被用于商业用途,但有一些是在私营部门。
那年一个研究生在康奈尔大学释放第一个网络蠕虫病毒,它在10或12个小时内阻塞了足够多的机器,并开始在网络上投放足够的流量,使网络陷入困境,对任何活动都毫无用处。所以全国各地的研究人员负责将互联网整合起来,以及他们在华盛顿特区的赞助者,当时是美国国防高级研究计划局,某种程度上自我动员和理解他们需要捕获这段恶意代码。他们对它进行逆向工程,他们知道它利用了什么漏洞,他们把补丁发布给每个人。该事件之后,网络最终启动并运行。
在华盛顿特区有一系列的会议讨论如何解决这些问题。当时的想法是,这可能是互联网一系列问题中的第一个。因此DARPA决定建立CERT协调中心,我们最初的章程是为互联网上存在安全问题的任何人提供响应中心。
在早期,我们花时间去了解网络服务提供商,去了解那些连接到互联网的组织,去了解他们使用的是什么操作系统,使用的是什么协议。在第一年里,我们大概只应对了五到六起事件。大多数都是这样或那样的入室盗窃,因为人们只是好奇,想知道他们能把他们的入室盗窃技术推广到什么程度。在某些情况下,这是恶意的。但在第一年,这是一项非常低级的活动。
我们还成为了产品安全漏洞的报告中心。当时,主要的系统是Unix,所以我们了解了所有的Unix系统供应商,并与他们合作,以便在更广泛的社区中解决问题。
到1995-96年,我们每年收到15000到20000起事件的报告,每年收到6000到7000起新的漏洞报告。
CERT的角色是如何转变成现在的样子的?
这些年来,我们真的远离了回应。我们的另一项使命是帮助其他组织组建应急小组。现在全世界有超过200个CERT团队。他们中的许多人已经走上前来,捡起了大部分的货物。
另外,大约5年前,当创建DHS时,政府决定创建我们的证书这是美国的应急小组。我们支持他们,但他们是美国网络反应的第一线组织。我们离日常反应活动有点远了。
我们仍然带头与供应商合作,解决安全漏洞。很多供应商组织在早期都有非常不成熟的漏洞处理流程。显然,情况已不再如此。神谕和微软而世界上的Ciscos都有非常成熟的流程。但偶尔会出现影响许多不同供应商的非常严重的漏洞。我们的角色是协调这些供应商之间的响应。他们的想法是,所有人同时发布更新,而不会因为某个供应商提前发布了修正,向全世界宣布了问题,而导致社区中的某一部分受到攻击。
供应商联系我们的诚意。这是我们最初的赞助商美国国防部高级研究计划局(DARPA)很快告诉我们的。我们没有权力。没有要求任何人与我们合作。但随着时间的推移,我认为人们已经认识到这种协同活动对社区的帮助最大,并开始尊重这种做法的必要性。
CERT的角色现在是否更多地以研究为基础?你最近在处理哪些事情?
这些年来,我们极大地扩展了我们的研究项目。我们现在大约有三分之二的活动集中在预防事故的工作上,三分之一集中在帮助人们作出反应上。
我们通过寻找商业惯例中的漏洞来前进。在过去的几年里,我们工作的一个重要部分就是网络取证。帮助建立法医方法和工具,帮助执法人员更好地进行调查工作。这不仅指针对计算机的犯罪,还包括用于犯罪的计算机。社区面临的一个问题是,没有足够的训练有素的调查人员来处理这些问题,考虑到我们在世界上看到的计算机犯罪和计算机辅助犯罪的激增。因此,我们正在帮助填补这一空白,为这些组织建立定制的培训,我们通过虚拟培训环境提供。现场特工可以迅速了解如何采取适当的措施保护电脑,并以保存证据链的方式收集信息,以便最终在法庭上站得住脚。
我们开始了解到,随着技术的改变,调查人员每天都会遇到的问题。如果你看看那些在实地调查电脑犯罪的人的标准工具包,它是一个小小的独立设备,你可以插入PC收集数据,做一些在线和离线分析。很快我们就发现,这些东西无法满足当今计算机系统中海量内存和存储的新标准。今天,当你走进一间办公室,发现一台电脑上挂着一兆字节的数据时,这已经不算什么了。因此,建立原型设备来展示如何更好地利用技术来处理这类问题已经成为我们议程的一部分。
我们在组织中看到的另一个差距是他们在组织中实现有效的安全实践的困难。有时组织是由规则驱动的。例如,在联邦政府中,联邦民事机构必须遵守FISMA(联邦信息安全管理法)法规。在私营部门,他们似乎受到某种标准的驱使。
他们似乎在两个方面存在问题:首先是理解如何以降低风险的方式使用这些实践。在很多情况下,我们看到的安全程序都是符合复选框的。另一件事是,我们看到人们努力实现安全实践,在组织中没有其他IT管理、风险管理和连续性实践的集成方式。所以我们最近发布了一种我们称之为弹性工程框架的东西,这是一种集成的模型,组织可以理解他们是否在风险管理方面取得了真正的进展以及如何随着时间的推移衡量这些进展。
在安全性方面,该框架建议哪种操作基准测试?
与基准测试有关的问题是,即使组织处于相同的业务领域,它们在组织和构建信息技术的方式上经常有足够的差异,因此一刀切的基准测试将会产生问题。
在所有情况下,安全性都是特定于内容的。在组织中使用的实践和技术必须适合组织的管理结构和技术的结构方式。所以我认为,对所有组织来说,随着时间的推移,审视自身,看看它是如何改进的,这才是有意义的方法。
应用程序安全性现在正在成为安全性中的一个焦点领域。我们已经到了临界点了吗?
我认为我们正在接近一个转折点。企业在保护网络和操作系统方面做得越来越好。当你想到坏人要完成他想要完成的事情有多困难时,攻击操作系统将会变得越来越困难。我将整个应用领域视为下一道攻击线,因为这是迄今为止人们关注最少的领域。因此,人们将在压力下理解,我们需要在那里做得更好。
但是在应用程序安全性方面还有很多希望。如果您考虑用于检测或尝试检测一种或另一种异常情况的通用安全工具,那么如果您了解应用程序的上下文,这样做会更容易。在操作系统级别上尝试并检测问题是一回事。如果应用程序中存在一些问题,那么尝试检测数据不一致是一个更容易解决的问题。
了解有关此主题的更多信息
这个故事,“Pethia: InfoSec的挑战,变化”最初由方案 。