你说的是真的联合会.在任何大型企业中,身份管理都不是小事。当你开始谈论联邦,它只会放大它。在国防工业中,我们做任何事情都不是孤立的。我们与同行、分包商和客户都有很多合作项目。因此,你必须愿意信任彼此对身份和属性的断言,比如公民身份。这真的需要一个非常开放和可信的过程,外部审计和可信的桥梁的复杂系统。目前还没有人真正做到这一点。我们刚刚用Certipath Bridge(一组国防公司建立的与联邦政府PKI系统交叉认证的PKI桥)对我们的公钥基础设施进行了交叉认证。我们只是在等待联邦桥认证局(Federal Bridge [Certification Authority])和国防部(Department of Defense)解决它们之间的一些问题,并相互进行交叉认证。 Once that happens, we will really have an end-to-end, trusted-identity environment with our primary customer and our peers. But even when you have all those together, it still doesn’t allow us to pass nationality for ITAR purposes. It’s one thing to trust another company’s audited identity process and say, “I believe their process, that’s John Doe.” But it’s a whole different proposition to say, “I trust you to tell me that John Doe is a U.S. citizen,” because the penalties are so high for being wrong. At this point it time, that’s just a bridge too far.
黑客们经常互相交谈并分享信息。你是如何与其他公司的同事分享信息的?
我们所有在国防工业的人都有一个共同的目标,那就是保护我们的知识产权和我们客户的数据。我们真的必须这么做。我们国家的技术领先直接转化为在战场上拯救我们军队的生命。是的,我们彼此和政府共享了很多技术威胁数据。我们是一个非常紧密的社区;我们都认识彼此,这很有帮助。美国国防部和国土安全部早就知道分享的价值。他们最近通过国防工业基地部门协调委员会(Defense Industrial Base Sector Coordinating Committee)推动了网络防御共享,并在克服政府和行业合作伙伴之间共享的一些法律、文化和安全障碍方面取得了巨大进展。我们真的认为这是一个重大的进步。
你用什么工具与其他公司共享数据?
通常是电话,基于保密协议。我们会定期聚在一起,但通常我们会尽量让它更实时。
所以,如果你们遇到了一个特别阴险的新威胁,你们就拿起电话互相打电话吗?
这正是我们要做的。
你觉得有必要更正式一点吗,不管是常规会议还是其他形式的会议?
我们有社区信息共享和分析中心,这些中心建立在国土安全部部门协调委员会的周围。目前国防工业还不存在这种技术。但国防工业基地的部分工作是研究我们是否需要一个更正式的国防工业信息共享论坛。我认为这是会发生的;我只是不确定时间线是什么。
前面您谈到了教育用户的必要性。你如何教育像雷神这样规模的劳动力,让他们了解各种社会工程策略?
我们每年都有针对雷神公司环境的意识培训。我们的许多员工还必须接受每年一次的国防部专业培训。但我认为真正的价值来自于创造一种安全的氛围,你必须让每个员工都参与到任务中来。我们通过相当持续但相当简短的沟通向人们展示可能发生的情况。我发现人们对网络安全有着强烈的好奇心,员工们对一个写得很好的网络安全战争故事非常感兴趣。如果你能在其中加入一点幽默,那就更好了。在我们的一场宣传活动之后,我们接到的那些认为事情可疑的人的电话数量真的增加了。
这些活动通常需要做些什么?
很多时候,每个用户早上登录的都是我们门户网站主页上的文章。它也可以是在各种会议上分发的传单和会议上的演讲。只要你能让公司开展一场宣传活动,我们都会去做。
你是从哪里想到这些东西的——你自己创造出来的吗?
有时我们会编造一些例子。有时候,我们会把自己看到的东西改了,然后把它作为一个例子,让它成为我们阻止的那个公司的一部分。你可以浏览任何(IT行业)出版物,获得许多潜在的沟通机会。
Desmond是事件编辑有个足球雷竞技app也是马萨诸塞州Southborough的一家IT出版公司PDEdit的总裁。可以通过paul@pdedit.com联系他。