今年秋天,我一直在美国各地的不同场所发表我对网络战的看法。我在这篇安全博客中也强调了一个要点,那就是中国正在从事活跃的工业和军事间谍活动。接着我介绍了我的安全网络结构理论,简要地说:网络应该是安全的。如果你拥有一个网络,你应该防止蠕虫、病毒和黑客企图通过网络传播。(注意,这与NAC截然相反,后者以同样的方式陈述:拥有脏网络,但只有在验证其状态后才信任主机,以及去周界化,即总结为:脏网络,干净主机。)
当我来到密歇根州东南部时,我被我的发现震惊了。一位与会者在世界上最大的汽车制造商之一负责安全评估,但他不相信我关于安全网络的理论。他说
“那不能工作。那么可信的第三方网络呢?你不能用防火墙来过滤他们的流量!”
他说这是一家“可信赖的第三方”合资企业,在——你猜对了——中国!我的天啊美国的工业巨头之一与中国有着不受限制的联系。
汽车公司的供应商呢?他们是值得信赖的第三方吗?你的赌注。
在PricewaterhouseCoopers的时候,我在世界上一些最大的组织做过很多安全评估。第三方连接是我最喜欢关注的地方之一。我写了普华永道的第三方联系最佳实践。最让我开心的是,我写了一篇文章,说有一个客户通过T1连接到普华永道提供的外包人力资源服务!即使你的审计师也不应该被“信任”,因为他们的网络是安全的,他们不是。
另一位负责全球最大汽车供应商网络架构的与会者说:
“这太疯狂了,我提出了所有这些与合伙人打交道的警告,但高管们总是基于财务需要而无视这些警告。”
不相信任何你连接到的网络。政府机构、合作伙伴、外包商和审计人员必须通过明确的政策进行防火墙,限制他们访问您的资源。此外,在这些网络连接上应应用IPS和AV全过滤。使用网络行为分析来提醒你这些链接上的变化或异常活动。(妈祖,阿伯,Lancope,Intellitactics在应用程序层使用数据库和web应用程序监控和防火墙作为附加层。(Imperva,AppSec Inc .))
不要相信你与任何远程连接到汽车行业的第三方的连接。他们的网络可能属于中国。