什么是真正的企业安全?如何获得它?供应商的虚假承诺太常见了。在最近的网络世界聊天中,直言不有个足球雷竞技app讳的安全分析师Nick Selby幽默地处理了数据泄露产品的真相、智能手机保护、热点威胁和“解决方案”等问题。Nick Selby领导451集团的企业安全业务。Selby还担任The 451集团的研究运营总监,是应用网络安全研究所的教员。
什么是真正的企业安全?如何获得它?供应商的虚假承诺太常见了。在这个最近有个足球雷竞技app在聊天中,直言不讳的安全分析师Nick Selby幽默地处理了关于数据泄露产品、智能手机保护、热点威胁和“解决方案”的真相。Nick Selby领导451集团的企业安全业务。Selby还担任The 451集团的研究运营总监,是应用网络安全研究所的教员。
Moderator-Julie:欢迎大家,感谢大家的到来。
Nick-Selby:你好,非常感谢你的到来。
Moderator-Julie:在我们等待尼克提出第一个问题的同时,这里是第一个提前提交的问题:安全启动有希望保护的机器人攻击(Computerworld.他们被称为“肉创业家”),似乎很流行。我持怀疑态度。我应该吗?
Nick-Selby:对于你的问题唯一的答案就是我建议你要容易受骗,所以我选A,是的,你应该保持怀疑。机器人攻击是由利用漏洞牟利的人发起的。在Dan Geer和Dan Conway最近发布的拥有价格指数(见IEEE 1 / 2月)中,拥有一个Windows盒子的成本真的很低。他说成本是0.04美元——所以让他们做一些可怕的事情的成本是相当低的,你被抓住的机会更低。当公司站出来声明他们可以承诺保护自己免受僵尸网络攻击时,我会首先问很多问题,并非常谨慎地相信答案。不是说他们在撒谎,只是说他们承诺的是修复一个不断移动的目标。
提:尼克,安全厂商给我们灌输的最大的废话是什么?
Nick-Selby:这听起来像是语义学,但它是供应商使用“解决方案”这个词,并被买家接受的狡猾插入。我可以说,一个生物动态可持续和军事防御的农场是一个“饥饿解决方案”,但把IDS称为“解决方案”有点可笑。它在说,‘哦,太好了,他们解决了入侵的问题!好为他们!”人们现在把一些真正有价值的产品称为解决问题的东西,这确实是阴险的。企业IT就像纽约城——当它完成时将是伟大的。
FAK:尼克,顺着这些思路,你说数据泄漏防护这是一个“产品/解决方案”,还是只是炒作?
Nick-Selby:他们可以阻止数据的故意盗窃,而且他们可以——用供应商自己的话来说,“阻止任何语言、任何渠道的所有泄漏和丢失”。说什么废话!Anti-data泄漏(ADL)的盒子和代理在减少噪音方面做得很好,在阻止愚蠢和无意的泄露方面做得很好,这显然是最普遍的机密和受监管数据传播的来源(按音量(而不是按严重性))。这说明了很多。但是保护你的数据远不仅仅是防止意外泄露,它还包括了解你的公司是如何运作的,以及它将处理的信息转换成支票的过程。3月31日,我们将发布一份关于这个主题的长篇报告,名为《注意差距》。它提出了一个免费的框架,以帮助最终用户更好地掌握如何优先排序和理解在他们的组织中的数据流。然后,它帮助他们对问题进行优先排序,并使用信息让四类相关产品(ADL、磁盘加密、端口和设备控制以及数据库事务监控)的供应商更好地了解他们开始解决企业中未受保护数据问题的需求。
JohnA:尼克:嗯,那么,如果供应商(比如说一场初创公司)出现了他们的感觉是一种解决安全问题的新方法,或者特定问题(例如,更强大的用户身份验证),如果不是,你会称之为什么?身份验证解决方案?
Nick-Selby:呃,说真的,我宁可在“产品”这个词上犯错误。
TCH-TDBFG:集成的端点安全套件(即赛门铁克/McAfee)是否与最佳“解决方案”一样有效?
Nick-Selby:我不确定确切的答案,因为我会说它是不同的。但至于“代理人死了吗?”这类问题,我想说的是,非常有趣的是,我们发现,我们看到越来越大的需求——事实上是越来越尖锐和愤怒的需求——来自企业,要求让代理人正确、统一和功能性。我们看到通用电气(GE)淘汰了赛门铁克(Symantec),迈阿密戴德学校系统(Miami Dade School System)淘汰了迈克菲(McAfee),原因是对代理商的统一、性能、更新、客户支持和稳定性不满意。但我们也从终端用户那里听到,他们希望ADL、端口、设备控制和磁盘加密代理与反恶意软件和基于主机行为的IPS等统一。Guardium和Imperva告诉我们,他们对数据库服务器的代理吸收已经达到了惊人的水平。(披露:Guardium是451客户;Imperva不是。)所以我们说,只要代理能工作,能和其他程序很好地合作,而且没有蓝屏窗口,那么代理就有容忍度。
我们认为ADL是更大的东西的重要组成部分,而这个更大的东西可能是第二级反软件供应商,他们对建筑代理略加了解。因此,在这份名单中,我们可以看到AhnLab、Hauri、Grisoft (AVG)、Panda、趋势科技、Sophos、卡巴斯基、BitDefender、GFI Software和其他公司(披露:Sophos是451家客户)是最希望扩展其反恶意软件代理来调查数据泄露的公司。我们看到Utimaco(451客户)和其他磁盘加密供应商也在做同样的事情。那么探员死了吗?算了。只是大多数It人员希望他们是。然而,如果不是因为后者,像BigFix(451的客户)和Lumension(不是客户,而且名字听起来像睡眠辅助处方的公司)这样的公司就没什么可做的了。
wabe0x90:HauteEcure最近发布了新版本的防脱离驱动下载产品。是否真的是浏览器插件的市场,这是这样的事情?
Nick-Selby:如果你问Finjan、Grisoft、赛门铁克和McAfee的人,答案是肯定的。但我认为真正的问题是这种反应的本质。我喜欢像Prevx和Haute这样的公司试图利用用户来收集情报,并为一个中心蜂群提供信息来传播的力量。但在一天结束的时候,它是反应性的,因此,从一开始,它就被定义为八号球的背后——你怎么想?
提:您是否认为安全供应商正在制造问题,而他们有解决方案?这听起来很愤世嫉俗……
Nick-Selby:我看不出我说的话和你认为我说的话之间有什么联系…众所周知,微软是对一切责备。我所做的是说的是,安全供应商往往有很有效果来说是关于非常真实的问题,但他们在炒作和营销周期中陷入了忘记说英语。采取反数据泄漏伙伴 - 他们解决了一个巨大的问题,但他们坚持说他们解决了整个问题,所有这些!它是不诚实的,不必要的分散注意力。
Moderator-Julie:一个很好的后续回答是这个预先提交的问题:这些数据泄漏产品的好处是什么?它们有什么新特性?他们在哪些方面改进了?
Nick-Selby:他们都在“停止愚蠢”中变得越来越好,他们在帮助管理人员越来越好,对从他们的组织内部移动到外面的流量有更多的可视性。我们最近的调查
wabe0x90:既然iPhone已经开放了一点,那么移动安全市场将会是怎样的呢?这就是F-Secure一直在等的吗?
Nick-Selby:有趣的是,你说F-Secure似乎放弃了为手机恶意软件患者提供服务的昂贵战略。就像那个在20世纪40年代在纽瓦克的房地产上赌博的家伙,因为纽约变得太大了,人们需要扩张,F-Secure是对的,但时间太长,太早了。现在我们开始看到智能手机实际上有很多终端功能,我相信我们将开始看到这类威胁慢慢出现。看看谁在晒草?迈克菲!
提:您认为企业面临的最大的“真正的”安全问题是什么?
Nick-Selby:很广泛,但是最重要的,我认为,是理解——这可能需要一个委员会组成的商业领袖,一个领袖,一个应用程序和DBA和交通的安全领袖——在您的网络或通过/ /从你的服务器和为什么。在真正的企业范围基础上,我们认为我们所观察到的流的业务目的是什么?这时,我们开始看到中断的或特别的业务流程对我们的IT基础设施的真正影响。这需要时间、承诺和高级商业领导的支持。最后,我们认为信息保护更多的是一个业务问题,而不是IT问题。作为安全专业人员,我们在不经意间设置了什么障碍,让善意的人们只是在努力完成他们的工作,从而走捷径来绕过我们的“修复”?我们如何修复被破坏的过程,更好地理解人们是如何工作的,而不是我们希望他们如何工作?要把那种水平的、全企业范围的、非竖井式的观点引入我们的运营中,是非常非常困难的——我这样说,是作为正在做这件事的人,以及与成百上千做着同样事情的人交谈的人。关键是没有魔法盒,没有该死的“解决方案”,你永远都不会结束。永远。
Nick-Selby:
尼迪:当我们谈论企业安全时,我们只谈论决策者。难道终端用户不应该成为整个过程的一部分吗?因为这是大多数问题的开始。
Nick-Selby:问得好,没错。我想我在我的咆哮中说的最后一件事就是完全解决这个问题。当我们与终端用户交谈时,我们发现大多数人都是很好的人,他们只是在努力完成自己的工作,并找到绕过我们设置的障碍的方法,让他们直接进入游戏。所以看看你的子网和网络的流量是非常重要的,看看会有什么跳出来;看看你能不能例如领带最受欢迎的服务器在一个实际的业务流程或其他东西……然后找出为什么人尽其恢复是他们做的,你不知道他们会做……然后做些什么。
ITgirl:那么,如何才能保证严密的安全,同时又不给人们设置太多的“障碍”呢?这就是权衡,不是吗?如果他们不想要篮球圈,他们就得不到保障。
Nick-Selby:这又是一个很好的问题。但简单地说,我认为业务应该驱动您的IT和安全基础设施,而不是反过来。这听起来很简单,直到你意识到这在很大程度上是不可能发生的。我们在与终端用户的谈判中发现的真正问题是,在我们对自己的网络进行分析时,我们不知道任何东西在哪里!
提:听起来你确实给了终端用户很多信任。我知道很多都是安全漏洞……
Nick-Selby:完全正确,但如果我们想想他们实际上想做什么,我们可以得出……哦,上帝,用我们希望的方式帮助他们做他们想做的事情。
TCH-TDBFG:关于南汽您是否看到了许多成功的现实企业规模的实现?
Nick-Selby:这取决于你对“成功”的定义——我们相信NAC的定义在过去五年已经改变
wabe0x90:当我们陷入衰退时,典型安全咨询的前景是什么?
Nick-Selby:我认为中型和小企业管理由政府或行业规则集如PCI提供一个巨大的咨询机会较小的顾问——这些人未必能承受普华永道或ibm但他们那样燃烧需要更大的弟兄们谁能负担得起。小商店在这里有巨大的机会提供半定制服务和审计。
FAK:我们应该如何开展ADL ?有哪些步骤和工具?
Nick-Selby:我刚刚从我们的
这些消息灵通的客户通过减少销售周期和花费在教育上的精力来增加供应商的利润;我们的研究表明,与不知情的客户相比,这类客户倾向于购买更多的初始产品,并更彻底地部署。用一个供应商的话说,能够清楚地说明问题的范围和宽度以及特定优先级领域的客户是“我们的梦想客户”。然后他说,在他所有的顾客中,只有一个符合我们所说的“消息灵通”的人。
迈克尔:遵守法规和行业标准是否像大多数供应商认为(或声称)的那样是一个重要的安全驱动因素?
Nick-Selby:我们看到的是,遵纪守法推动了预算。问题是,它也推动了安全购买,这反过来意味着企业允许政府和万事达为他们设定优先级。现在,除非你是万事达,我们认为这是一种虚假的方式继续。但我很遗憾地回答了你的问题:“是的。”我们希望看到更多的是使用遵从性和规则集来获得真正的安全,而不仅仅是遵从性。以PCI为例,它是非常非常规范的,其中90%是你应该做的事情。
尼迪:企业对日益复杂的有线/无线网络的追赶速度有多快?安全解决方案正在更快地过时?如何在考虑到经济因素的情况下设计一个好的解决方案?
Nick-Selby:我们采访过的一位投资银行家谈到了这个问题我认为它在这里很重要。关键不在于攻击来自哪里(有线或无线),而在于被攻击的是什么。我是说,如果有人向你开枪,你会在意他是开车还是坐地铁吗?一段时间以来,我们一直在说,有十年历史的范例有一个大红圈,里面的一切都是好的,外面的一切都是坏的——现在必须让位于一种新的思维方式。看看企业——即使是像the 451集团这样的小公司,它有90名员工,分布在5个办公室和两个国家——越来越依赖面向公共互联网的基于web的应用程序。移动我们的工人,坚持同样的经历是否在办公室或在机场,而这意味着我们需要很多小圆圈——防火墙在我们的王冠,数据库事务监控、多因素身份验证、用户级验证数据从我们的数据库中,端点防火墙等。所以很明显,在企业世界里,几乎所有的联系都是以远程方式进行的,无论你是在赛马场还是在公司总部的16层。这意味着重新思考我们如何包围,如何保护端点,以及如何保护端点的连接,通过Web应用程序防火墙,通过基于Web的应用程序,返回到安全的数据存储库,因此,交易中的每个环节(使用这个术语是指“计算机交换东西”,而不是“某人购买东西”)都尽可能合理地确保安全。
ITgirl:关于无线安全的见解如何?使用WEP/WPA/WPA2并称之为好的?或者是否存在一些企业需要知道而供应商没有告诉我们的关于无线安全的大秘密?
Nick-Selby:实际上没有。WEP不够好。我的litmus测试是,如果我可以打破它 - 我真的,真的是不平衡的 - 那么它很糟糕。所以wep sucks。我也认为人们一直在说这一点 - WPA或者更好并不是一个秘密;它出来了。我认为,无线IP和从用户和基础架构的理解视角是无线的,并且通过您的员工连接并连接到您的员工非常重要。
NHguy:家里的WEP呢?我住在人口稀少的地区,WEP应该没问题,还是我被误导了?
Nick-Selby:后者,抱歉。问题是:你想不想向一群在你客厅里转悠、吃着你的甜甜圈的联邦调查局特工解释,你不是有意成为他们已经看了六周的儿童色情片的渠道?还是将路由器设置为WPA,从而得到更合理的保护?另一个有趣的问题是,WEP或无保护的Wi-Fi接入点是否真的违反了《爱国者法案》。如果一个丹麦恐怖分子利用你的无保护网络把非法的饼干食谱寄回哥本哈根怎么办?你是在给敌人送物资、安慰和援助吗?我不想在关塔那摩的一个房间里争论这个问题。
迈克尔:布鲁斯·施奈尔不是有个开放的接入点吗?
Nick-Selby:这就是他秃头的原因。
wabe0x90:Vista会让AV市场变得不重要吗?
Nick-Selby:很好的问题-我认为我们现在看到了Vista在AV行业的动态影响,它还没有真正,像,做什么。但我们看到新兴产业出现在支持Vista几乎做的事情,我认为我们可以看到当前第二和第三层的AV供应商制造产品,扩大或提高Vista的内置特性使它们更有用的或明智的。
BillJ32:建议移动工作者在外出时使用无线热点是否安全?
Nick-Selby:让我们的用户在公共热点上活动的想法让我感到不安,但也是我们无法摆脱的。我认为保护端点——我们又回到了第二层AV和端点代理的下一代,在端点和应用端使用防火墙和行为检测方法是至关重要的。这是一个巨大的问题,它可以追溯到早期关于外围化的答案,并继续向前,我们将如何在未来几年连接并获得人们日益要求的胖客户体验。
Moderator-Julie:预先提交的问题:你认为未来最大的安全技术是什么?为什么?
Nick-Selby:这将听起来hum,但我真的很兴奋,关于电压的新格式保存加密[披露:电压是我们的客户,但它没有给我们报答我在这里在这里或其他任何其他任何东西的东西,因为它允许加工信用卡的公司拥有遗留系统,这些系统可能只能为卡号(与长加密字符串相对)将信用卡号转换为加密号码的16位数字。电压声称它们用于使转换的算法与AES 128一样难以反转,并且在很长一段时间内显示了在公共领域的工作中的长时间绘制。我认为基于身份的加密本身是另一个良好的一步。
NHguy:给我的智能手机杀毒怎么样?我看到很多卖家都在卖。
Nick-Selby:我认为wab0x90之前提出的问题已经开始向这个方向发展,我们确实看到这将日益成为一种威胁。有趣的是,我认为这将首先针对最酷和最受欢迎的胖手机客户端,如果每个人都试图一次性破坏特定的齿轮,这将是一个真正的冲击。但立即吗?我今天不会跑出去买任何东西,但我会观察和等待,随着我的智能手机有多酷,我的兴趣越来越大。
BillJ32:对我来说,有什么最简单的方法可以知道是否有内部人士窃取了我公司的数据?
Nick-Selby:这是一个很难回答的问题。愤世嫉俗的我说,去工作,打开门,但现实是内部威胁及其检测是越来越令人烦恼的问题。我之前谈到的关于查看业务流程,查看净流,使用你现在拥有的而不是购买最新和最好的是最简单的方法。使用应用层防火墙、IDS和ngrep以及任何你必须搜索的敏感字符串——不是规范的,但对你如何做业务敏感。将它们记录到一个文本文件中,并时不时地阅读它。如果你看到了不该看到的东西,找出原因。这也回到了做一个受过教育的客户——ADL、数据库事务监控、端口和设备控制这些人都可以帮助你做到这一点,但当你走进来的时候,你知道的越多,你就越有可能从这种关系中得到更多。
尼迪:对每个月(/天)的安全解决方案(如PEAP、EAP/TLS等)进行测试。安全管理员是否可以确定使用哪一个?
Nick-Selby:我害怕“安全试金石”的概念,因为我们做生意的方式都是不同的。没有一刀切的办法。对我来说重要的东西对你来说毫无价值,反之亦然。但事实是,无论你是制作手工奶酪还是导弹系统,总有一些东西是你需要的,对你的生存至关重要,你应该让业务需求驱动你保护什么以及如何保护。
ITgirl:哪种安全产品作为SaaS产品比作为传统软件产品购买更好?
Nick-Selby:我会说消息传递这是显而易见的。谷歌/Postini产品提供消息过滤,每个用户每年25美元,比我能得到的任何地方都好得多。我们使用了主持的Zimbra和Barracuda,这很棒——比我们坐在一起试着自己做的时候好多了。日志管理,防火墙管理——任何不是你的核心能力,而是别人的都是很好的候选人。[披露:梭鱼不是客户。我不知道谷歌是不是。我认为雅虎(收购了Zimbra)可能是这样。
Moderator-Julie:预先提交的问题:LifeLock(或其他反身份盗窃)组织得到了几位颇受尊敬的安全专家的认可。也有人说,这种服务简直是敲竹杠。到底发生了什么事?
Nick-Selby:我是给它点赞的专业人士之一。我是LifeLock的客户(没有折扣,我认为他们可能是我们的客户),我可以说,至少在设置和维护警报方面,它像宣传的那样有效。我也是freecreditreport.com的客户,它显然不是免费的服务,还有Equifax或Experian之类的网站,我密切关注着这些网站,所以我看看LifeLock为我做了什么。他们关于给你的车换油的类比是最好的——你肯定能自己做。如果你愿意,去和信用机构打交道吧。这远远超出了我的核心能力。此外,信用机构是为了保护放贷人,而不是你,而且工作人员似乎都是新泽西机动车登记局(New Jersey Registry of Motor Vehicles)或移民局的毕业生。可怕的经历。我宁愿每年支付LifeLock 100美元左右来处理这些问题。如果你有时间也有兴趣和TransUnion、Experian和Equifax较量,那就试试吧——据我所知,每90天就可以免费发布一份欺诈报表。
默认的用户:App 保护正受到越来越多的关注,并被视为一个更高的优先事项。你对这个新兴的技术领域有什么看法?
Nick-Selby:非常酷。我们认为这是一个真正痛苦和必要的发展,这是一种文化冲击,而不是技术冲击。这必须是我们看待想象、开发、测试和推出应用程序的方式的自上而下的改变。以下是我们喜欢的一些公司:Veracode, Clockwork, Fortify(不记得是否有我们的客户),但我们也喜欢6西格玛方法,将你的应用程序开发周期视为从安全代码培训开始,包括编码,开发测试,审计,然后测试,然后在QA、产品或虚拟的产品映像中进行动态测试——但是测试、测试、测试和烘焙。在这方面做得很好的公司是通用电气和许多投资银行,它们已经做了多年。小公司会用传统的方式来做——快,快,快,把它弄出来,在混合中解决它——这意味着你总是回去,以完成业务的名义解决一些你本可以更早解决的问题。这是一种错误的经济,因此将安全性测试纳入应用程序开发和QA阶段是至关重要的,正如我所说的,这对许多人来说将是痛苦的。动态测试后是很容易的。
Moderator-Julie:我们最后一个预先提交的问题:对于那些想要保护手机用户不被窃听的公司来说,移动语音加密是一项正在兴起的技术。它的优点/缺点是什么?
Nick-Selby:加密的声音!它就像一个喷气背包——我当然想要它,但我绝对不需要它,它只是很酷。说到酷,KoolSpan(披露:不是451客户)刚刚推出了TrustChip,它允许带有SD卡槽的智能手机进行加密语音和其他应用程序,价格大约为300美元/次——太酷了。它也是一个优雅的方式来解决该问题的扩展信任——也就是说,TrustGroups声称它是可配置的方式意味着,仅仅因为一个信托B, C和B信托,这并不一定意味着一个信托C很棒,但我们怀疑KoolSpan的资金。话是这么说,我的一个聪明绝顶的朋友在一个不切实际的实验室里工作,他花了一天的时间去检查那个东西,说它和我想的一样酷。所以,请打开语音加密电话!缺点呢?所以你在逼我,我就从天上找一个:我想,加密电话可能会把你的线路直接发送到任何监控你电话的联邦机构的眉部——如果没有,加密语音通话又有什么问题呢?
Moderator-Julie:谢谢你,尼克,今天你是我们的客人,谢谢你的到来。
Nick-Selby:所以这真的很有趣!
Moderator-Julie:请在日历上注明我们下次聊天的时间,美国东部时间下午2点。
- 3月25日,星期二,思科网络简化与尼尔安德森
- 3月25日,星期二,亚当·戈登的安全培训,提升你的职业生涯
你可以加入聊天或在聊天主页上发布问题//m.amiribrahem.com/chat/