网络安全,要想成功,必须是一个团队运动,“前国土安全部部长迈克尔·切尔托夫告诉与会者的高级网络安全中心(中心)发布会上波士顿联邦储备银行周二上午。
切尔托夫,切尔托夫集团的创始人和执行主席,谁给了在会议上演讲,题为“左的繁荣:整个杀伤链如何以及在哪里投资,”组织表示,孤军作战,尤其是那些只关注预防维护他们的安全的网络攻击是“命中注定”。
不,这是一个惊喜观众,其中包括众多信息安全专家一直在说教,消息一段时间。他们熟悉的切尔托夫图像调用“M&M”防御——外但是内心柔软,过去一年的大部分灾难性的重大违反已通过造成的内部人士或攻击者破坏内部人士。
他们也意识到攻击表面几乎是无限的“物联网”(物联网)世界爆炸扩大智能嵌入式设备的数量。
“互联网的体系结构创建连接完全不同于我们身体生活我们的生活方式,”切尔托夫说,指出物理文档传播需要,积极行动,或盗窃。
与互联网,”一切都连接在默认情况下,”他说,“所以你研究可以成为更广阔的世界的一部分。相机在你的电脑可以创建“老大哥”在自己的房间里。”
再加上从BYOD在工作场所到应用程序允许用户调整热,锁好车门,更多的在家里,可穿戴的医疗设备,智能汽车,关键基础设施和航空,很明显,切尔托夫说,“你不是要消除风险——这是关于风险管理。”
迈克尔·切尔托夫
有效地完成的,他说,这可以减少漏洞造成的损失从灾难性的危害水平。
但到目前为止,甚至风险管理没有那么好。切尔托夫指出许多“非常内行”组织已经违反了在过去的一年。
看看摩根大通(JP Morgan)在网络安全的前沿,”他说。“我们一直在阅读故事漏洞在白宫和俄罗斯人穿透一大堆的目标包括电网。”
不过,切尔托夫表示,他将“一个令人鼓舞的消息。”他说波士顿和新英格兰地区“有知识的火力”通过团队合作提高风险管理。“这这一群体的象征,”他告诉观众。
“你不能等待政府帮你吧,”他说。添加“政府确实有价值情报和战术。但每个人都是战场的一部分。”
他说,将有助于缓解“无力感”,他在许多组织中观察到。他说一位高管告诉他,他的公司甚至不知道网络是什么,和认为,“如果我们不知道,坏人不知道。”
“这是一种无助感,”他说。“我们需要让人们知道他们可以有影响。”
切尔托夫表示,对风险管理有三个主要组件:威胁,漏洞和后果。
威胁,他指出,来自罪犯寻求利润从偷来的id和信用卡,黑客,国家和业内人士(或那些能冒充内部人士。
的破坏,他说,可以从个人尴尬的丧失知识产权损害国家的基础设施,甚至全球金融体系。虽然人们可能会认为,即使敌对国家不想让全球金融危机,“在这样一个世界的制裁,目的可以摧毁,”他说。“我们需要抵御能力。所有你要做的就是回到2008年知道脆弱的全球金融体系的信任。”
关于漏洞,他说每个组织需要确定其优先考虑的是什么。“你没有,或修复?你需要一个内部架构反映了这一点,”他补充说,安全必须严格,内外周边以来将“人慢下来,但它不会阻止他们。你需要持续的监控,知道发生了什么。
最后,解决的后果意味着了解,“你打算如何处理你要突破的现实。”
他说,这需要一个“危机管理”的剧本,每个人都知道,经常排练。他说,他的公司经常在客户公司发现很多人,认为他们知道这个计划,但没有。这是弹性的关键。”
与他人和团队合作面临着同样的威胁,他说,意味着,“你会完全有理由认为你将度过任何事情扔在你。”
障碍有效的合作依然存在,然而,根据他人的事件。的创始人和CEO威廉德质量洞察力的全球伙伴关系,推出研究会,并支持在开场白,虽然说合作是一个值得追求的目标,大多数公司,“很难找到人才,即使是在一个地区著名的学术新英格兰。
但是,早上在一个小组讨论后,那里也谈合作,凯蒂·Moussouris首席策略官HackerOne,建议,”巨人,未开发储备人才是黑客,如果我们从他们感兴趣而不是起诉他们。”
她承认的黑客做的是违法的,但说:“很多人想做正确的事——报告漏洞和固定。需要有更好的方式,我们不应该鼓励他们保持安静,但加入球队的防守队员。”
Moussouris,曾供职于微软,引用了该公司的移动大约十年前招募黑客从波兰自称LSD(谵妄的最后阶段)后,他们发现了一个漏洞,导致释放冲击波蠕虫。
“这是一个真的进步继续微软的一部分,”她说。
这个故事,“切尔托夫:网络安全需要团队合作”最初发表的方案 。