什么是真正的企业安全?如何获得它?供应商的虚假承诺太常见了。在最近的网络世界聊天中,直言不足球竞猜app软件讳的安全分析师Nick Selby幽默地处理了数据泄露产品的真相、智能手机保护、热点威胁和“解决方案”等问题。Nick Selby领导451集团的企业安全业务。Selby还担任The 451集团的研究运营总监,是应用网络安全研究所的教员。
什么是真正的企业安全?如何获得它?供应商的虚假承诺太常见了。在最近的这足球竞猜app软件在聊天中,直言不讳的安全分析师Nick Selby幽默地处理了关于数据泄露产品、智能手机保护、热点威胁和“解决方案”的真相。Nick Selby领导451集团的企业安全业务。Selby还担任The 451集团的研究运营总监,是应用网络安全研究所的教员。
主持人 - 朱莉:欢迎大家,感谢大家的到来。
Nick-Selby:Hiya,非常感谢即将到来。
主持人 - 朱莉:在我们等待尼克提出第一个问题的同时,这里是第一个提前提交的问题:安全承诺防范僵尸攻击的初创公司(《计算机世界》他们被称为“肉创业家”),似乎很流行。我持怀疑态度。我应该吗?
Nick-Selby:嗯,你唯一的替代答案是我的建议你要容忍受,所以我想我会和你一起去,是的,你应该持怀疑态度。人们推出了利用漏洞的人员推出了BOT攻击。一个拥有Windows中的成本是非常低 - 中丹吉尔和Dan康威最近拥有价格指数(见IEEE Jan./Feb 08年。)他说的成本$ 0.04 - 所以参与得到了很多人的费用做一些糟糕的事情相当低,你的机会将甚至更低。当公司出来并说明他们可以承诺保护僵尸网络,我会首先询问很多问题,并非常小心相信答案。不是说他们撒谎,只是说他们有前途的是解决不断移动的目标。
提:于是尼克,那是安全厂商在美国推动废话的最大负荷?
Nick-Selby:这将听起来像语义,但它是使用“解决方案”一词和买家占用的供应商的狡猾插入。我可以说,一个生物动力学可持续和军事辩护的农场是一个“饥饿的解决方案”,但呼唤着一个“解决方案”是有点荒谬的。这是说,'哦,好,他们解决了入侵问题!对他们有好处!“这真的很有神透的是,人们现在将一些真实但具体价值的产品作为解决问题的东西。企业就像纽约市 - 它在完成后会很棒。
Fak:尼克,沿那些线,怎么样数据泄漏防护这是一个“产品/解决方案”,还是只是炒作?
Nick-Selby:他们可以阻止故意盗窃数据,并且他们可以 - 以供应商自己的话语,“通过任何频道停止任何语言的泄漏和丢失。是什么彻底的tosh!Anti-data泄漏(ADL)的盒子和代理在减少噪音方面做得很好,在阻止愚蠢和无意的泄露方面做得很好,这显然是最普遍的机密和受监管数据传播的来源(按音量(而不是按严重性))。这说明了很多。但是保护你的数据远不仅仅是防止意外泄露,它还包括了解你的公司是如何运作的,以及它将处理的信息转换成支票的过程。3月31日,我们将发布一份关于这个主题的长篇报告,名为《注意差距》。它提出了一个免费的框架,以帮助最终用户更好地掌握如何优先排序和理解在他们的组织中的数据流。然后,它帮助他们对问题进行优先排序,并使用信息让四类相关产品(ADL、磁盘加密、端口和设备控制以及数据库事务监控)的供应商更好地了解他们开始解决企业中未受保护数据问题的需求。
约翰:尼克:好吧,那么,如果一个供应商(比如一个刚起步的公司)提出了一种他们认为是解决安全问题的新方法,或者一个特定的问题(比如,更强的用户身份验证),如果不是身份验证解决方案,你会叫它什么?
Nick-Selby:呃,说真的,我宁可在“产品”这个词上犯错误。
TCH-TDBFG:集成的端点安全套件(即赛门铁克/McAfee)是否与最佳“解决方案”一样有效?
Nick-Selby:我不确定确切的答案,因为我会说它是不同的。但至于“代理人死了吗?”这类问题,我想说的是,非常有趣的是,我们发现,我们看到越来越大的需求——事实上是越来越尖锐和愤怒的需求——来自企业,要求让代理人正确、统一和功能性。我们看到通用电气(GE)淘汰了赛门铁克(Symantec),迈阿密戴德学校系统(Miami Dade School System)淘汰了迈克菲(McAfee),原因是对代理商的统一、性能、更新、客户支持和稳定性不满意。但我们也从终端用户那里听到,他们希望ADL、端口、设备控制和磁盘加密代理与反恶意软件和基于主机行为的IPS等统一。Guardium和Imperva告诉我们,他们对数据库服务器的代理吸收已经达到了惊人的水平。(披露:Guardium是451客户;Imperva不是。)所以我们说,只要代理能工作,能和其他程序很好地合作,而且没有蓝屏窗口,那么代理就有容忍度。
我们认为ADL是更大的东西的重要组成部分,而这个更大的东西可能是第二级反软件供应商,他们对建筑代理略加了解。因此,在这份名单中,我们可以看到AhnLab、Hauri、Grisoft (AVG)、Panda、趋势科技、Sophos、卡巴斯基、BitDefender、GFI Software和其他公司(披露:Sophos是451家客户)是最希望扩展其反恶意软件代理来调查数据泄露的公司。我们看到Utimaco(451客户)和其他磁盘加密供应商也在做同样的事情。那么探员死了吗?算了。只是大多数It人员希望他们是。然而,如果不是因为后者,像BigFix(451的客户)和Lumension(不是客户,而且名字听起来像睡眠辅助处方的公司)这样的公司就没什么可做的了。
Wabe0x90:HauteSecure最近发布了一个新版本的反驱动下载产品。做这类事情的浏览器插件真的有市场吗?
Nick-Selby:如果你问Finjan、Grisoft、赛门铁克和McAfee的人,答案是肯定的。但我认为真正的问题是这种反应的本质。我喜欢像Prevx和Haute这样的公司试图利用用户来收集情报,并为一个中心蜂群提供信息来传播的力量。但在一天结束的时候,它是反应性的,因此,从一开始,它就被定义为八号球的背后——你怎么想?
提:您认为安全供应商正在创建问题,然后他们有解决方案?这听起来非常愤世嫉俗......
Nick-Selby:我看不出我说的话和你认为我说的话之间有什么联系…众所周知,微软都要受责备。我想说的是,安全厂商经常对非常真实的问题有非常有效的说法,但他们太陷入了炒作和营销的循环中,以至于忘记了说英语。以反数据泄露的家伙们为例——他们解决了一个巨大的问题,但他们坚持说他们解决了整个问题,所有的问题!这是虚伪和不必要的分散注意力。
主持人 - 朱莉:一个很好的后续回答是这个预先提交的问题:这些数据泄漏产品的好处是什么?它们有什么新特性?他们在哪些方面改进了?
Nick-Selby:他们都在“阻止愚蠢行为”方面做得越来越好,他们都在帮助管理者更好地了解从组织内部向外部流动的流量。我们最近的调查
Wabe0x90:既然iPhone已经开放了一点,那么移动安全市场将会是怎样的呢?这就是F-Secure一直在等的吗?
Nick-Selby:有趣的是,因为F-Secure似乎远离其非常昂贵的服务手机恶意软件患者的策略。就像在20世纪40年代赌博的那个人那样赌博的人因为纽约纽约越来越大而人们需要扩大,F-Secure是正确的,但很长时间太早了。现在我们开始看到智能手机实际上具有大部分终点的功能,我相信我们将开始看到这些类型的威胁慢慢地出现。看看谁是干草?迈克菲!
提:您认为企业面临的最大的“真正的”安全问题是什么?
Nick-Selby:这真的很广,但最重要的事情,我想,是得到一个了解 - 这可能需要一个委员会,由企业的领导者,一个IT领袖,一个应用程序和数据库管理员和安全的领导者 - 什么的流量会在你的网络或通过/从你的服务器,为什么/。什么业务目的我们假设,一个真正的企业范围的基础上,供应由流入我们观察?这时候,我们开始看到我们的IT基础设施损坏或临时业务流程的真正影响。这需要时间,承诺和高级业务领导的支持。并在这一天结束时,我们认为,信息保护是远远超过一个IT问题,业务问题。有什么篮球,我们建立无意中为有问好心人只是努力做好自己的工作走捷径来规避我们的“修复”的下游效果安全专业人士?我们怎样才能修复被破坏的过程,并更好地了解人们是如何工作的,而不是我们如何他们喜欢的工作?获得该水平,企业范围内,非孤立的观点到我们的操作是真的,真的很难 - 我这样说是因为有人做,也有人谈论成百上千的人做同样的事情。最关键的是,有没有神奇的盒子,不该死的“解决方案”,你就从来没有做过。 Ever.
Nick-Selby:另一件让我抓狂的事是人们经常说的“安全电脑是装在水泥里的电脑”之类的话。Helloooooo吗?安全性包括机密性、完整性和可用性。人们需要使用这些东西,而不仅仅是看它。就像即时通讯一样。我们的管理分析师尼克·佩兴斯(Nick Patience)说,使用即时通讯工具有三个不同的步骤:恐慌(“关掉它!现在就关掉它!”);其次是第二步,农民起义(“嘿,我们可以下载Gaim/Skype/随便什么”),紧随其后的是第三步,投降和采用新技术的全企业战略。第2步是由于删除了人们已经在使用的伟大业务工具的可用性。跳过这一步骤直接进入第三步可以获得巨大的ROI,因为无需修复用户为了避免愚蠢的尝试而使用的大量漏洞。
尼迪:当我们谈论企业安全时,我们只谈论决策者。难道终端用户不应该成为整个过程的一部分吗?因为这是大多数问题的开始。
Nick-Selby:大的问题,是的,绝对。我觉得我在咆哮说的最后一件事了一部分寻址完全。什么与最终用户说话时,我们发现的是,绝大多数都是很好的人只是想做好自己的工作,并找到我们周围已经设置了让他们只得到它的路障的方式。所以,看看在你的子网和网络流量,看看弹出是真正重要的;看看你能不能例如配合最流行的服务器的地方到实际的业务流程或其他什么东西......然后找出为什么人们回复到做什么,那就是他们正在做的是你没有的身影,他们会怎么做?然后做一些事情。
ITgirl:那么保持紧张安全性的解决方案是什么,而不是为人们跳过的人跳过太多“篮球”?这是权衡不是吗?如果他们不想要箍,他们并没有得到太多的安全。
Nick-Selby:这又是一个很好的问题。但简单地说,我认为业务应该驱动您的IT和安全基础设施,而不是反过来。这听起来很简单,直到你意识到这在很大程度上是不可能发生的。我们在与终端用户的谈判中发现的真正问题是,在我们对自己的网络进行分析时,我们不知道任何东西在哪里!
提:听起来你确实给了终端用户很多信任。我知道很多都是安全漏洞……
Nick-Selby:完全,但如果我们想到他们实际上要做的事情我们可以想出......哦,上帝,更好的方法可以帮助他们做他们想要的方式,以便我们希望他们这样做。
TCH-TDBFG:关于南汽您是否看到了许多成功的现实企业规模的实现?
Nick-Selby:这取决于你对“成功”的定义——我们相信NAC的定义在过去五年已经改变
Wabe0x90:当我们进入经济衰退时,典型的安全咨询的前景如何?
Nick-Selby:我认为中型和小企业管理由政府或行业规则集如PCI提供一个巨大的咨询机会较小的顾问——这些人未必能承受普华永道或ibm但他们那样燃烧需要更大的弟兄们谁能负担得起。小商店在这里有巨大的机会提供半定制服务和审计。
Fak:我们应该如何开展ADL ?有哪些步骤和工具?
Nick-Selby:我刚刚从我们的
这些消息灵通的客户通过减少销售周期和精力花在教育上增加供应商的利润;我们的研究表明,这些客户往往更最初购买和部署比更彻底做到无通知客户。在一个供应商,能够清楚的范围和重点是,它的问题和具体领域的广度客户的话说:“我们的梦想的顾客。”他接着说,他的所有客户中,只有一个符合我们的一个“消息灵通”的一个描述。
迈克尔:遵守法规和行业标准是否像大多数供应商认为(或声称)的那样是一个重要的安全驱动因素?
Nick-Selby:我们看到的是,遵纪守法推动了预算。问题是,它也推动了安全购买,这反过来意味着企业允许政府和万事达为他们设定优先级。现在,除非你是万事达,我们认为这是一种虚假的方式继续。但我很遗憾地回答了你的问题:“是的。”我们希望看到更多的是使用遵从性和规则集来获得真正的安全,而不仅仅是遵从性。以PCI为例,它是非常非常规范的,其中90%是你应该做的事情。
尼迪:企业如何快速赶上有线/无线网络的日益复杂性?安全解决方案越来越过时得更快?怎样才能设计出一个好的解决办法保持经济考虑?
Nick-Selby:我们采访过的一位投资银行家谈到了这个问题我认为它在这里很重要。关键不在于攻击来自哪里(有线或无线),而在于被攻击的是什么。我是说,如果有人向你开枪,你会在意他是开车还是坐地铁吗?一段时间以来,我们一直在说,有十年历史的范例有一个大红圈,里面的一切都是好的,外面的一切都是坏的——现在必须让位于一种新的思维方式。看看企业——即使是像the 451集团这样的小公司,它有90名员工,分布在5个办公室和两个国家——越来越依赖面向公共互联网的基于web的应用程序。移动我们的工人,坚持同样的经历是否在办公室或在机场,而这意味着我们需要很多小圆圈——防火墙在我们的王冠,数据库事务监控、多因素身份验证、用户级验证数据从我们的数据库中,端点防火墙等。所以很明显,在企业世界里,几乎所有的联系都是以远程方式进行的,无论你是在赛马场还是在公司总部的16层。这意味着重新思考我们如何包围,如何保护端点,以及如何保护端点的连接,通过Web应用程序防火墙,通过基于Web的应用程序,返回到安全的数据存储库,因此,交易中的每个环节(使用这个术语是指“计算机交换东西”,而不是“某人购买东西”)都尽可能合理地确保安全。
ITgirl:关于无线安全的见解如何?使用WEP/WPA/WPA2并称之为好的?或者是否存在一些企业需要知道而供应商没有告诉我们的关于无线安全的大秘密?
Nick-Selby:实际上没有。WEP还不够好。我的试金石是,如果我能打破它——而我真的、真的没有天赋——那它就糟透了。所以WEP很差劲。我也认为人们已经说了很长一段时间了——WPA或更好的东西并不是什么秘密;它从盒子里出来了。我认为无线IPS以及从用户和基础设施的角度理解什么是无线,什么是可连接的,什么是由你的员工连接的,是非常重要的。
nhguy:在家里Wep怎么样?我住在一个稀疏的人口,WEP应该没问题或者我被误导了?
Nick-Selby:后者,抱歉。问题是:你想不想向一群在你客厅里转悠、吃着你的甜甜圈的联邦调查局特工解释,你不是有意成为他们已经看了六周的儿童色情片的渠道?还是将路由器设置为WPA,从而得到更合理的保护?另一个有趣的问题是,WEP或无保护的Wi-Fi接入点是否真的违反了《爱国者法案》。如果一个丹麦恐怖分子利用你的无保护网络把非法的饼干食谱寄回哥本哈根怎么办?你是在给敌人送物资、安慰和援助吗?我不想在关塔那摩的一个房间里争论这个问题。
迈克尔:布鲁斯·施奈尔不是有个开放的接入点吗?
Nick-Selby:这就是为什么他的光头。
Wabe0x90:Vista会让AV市场变得不重要吗?
Nick-Selby:很好的问题-我认为我们现在看到了Vista在AV行业的动态影响,它还没有真正,像,做什么。但我们看到新兴产业出现在支持Vista几乎做的事情,我认为我们可以看到当前第二和第三层的AV供应商制造产品,扩大或提高Vista的内置特性使它们更有用的或明智的。
BillJ32:它对移动工人推荐使用无线热点时是否安全地向移动工人安全起见是安全的?
Nick-Selby:让我们的用户在公共热点上活动的想法让我感到不安,但也是我们无法摆脱的。我认为保护端点——我们又回到了第二层AV和端点代理的下一代,在端点和应用端使用防火墙和行为检测方法是至关重要的。这是一个巨大的问题,它可以追溯到早期关于外围化的答案,并继续向前,我们将如何在未来几年连接并获得人们日益要求的胖客户体验。
主持人 - 朱莉:预先提交的问题:你认为未来最大的安全技术是什么?为什么?
Nick-Selby:这听起来有点胡话,但我真的对Voltage的新格式保存加密感到兴奋[披露:电压是我们的客户,但它没有支付我们任何东西说我在这里所说的或任何其他具体的关于它],因为它允许处理信用卡的公司和有可能只有16位数字的卡号(而不是长的加密字符串)的遗留系统将信用卡号码转换为加密号码。Voltage声称,他们用来进行转换的算法与AES 128一样难以逆转,并展示了一份在公共领域已经存在了很长时间的证明图纸。我认为基于身份的加密本身是另一个很好的进步。
nhguy:给我的智能手机杀毒怎么样?我看到很多卖家都在卖。
Nick-Selby:我认为WAB0X90的早期问题开始朝着这一点,我们认为这将越来越成为威胁。有趣的是,我认为这将在最酷,最流行的脂肪移动客户之后,如果每个人试图一次打破某个装备,这可能是一个真正的震惊。但是立即?我今天不会跑出来买任何东西,但我会观看和等待,看看,根据我的智能手机的酷程度越来越多的利益。
BillJ32:对我来说,有什么最简单的方法可以知道是否有内部人士窃取了我公司的数据?
Nick-Selby:这是一个很难回答的问题。愤世嫉俗的我说,去工作,打开门,但现实是内部威胁及其检测是越来越令人烦恼的问题。我之前谈到的关于查看业务流程,查看净流,使用你现在拥有的而不是购买最新和最好的是最简单的方法。使用应用层防火墙、IDS和ngrep以及任何你必须搜索的敏感字符串——不是规范的,但对你如何做业务敏感。将它们记录到一个文本文件中,并时不时地阅读它。如果你看到了不该看到的东西,找出原因。这也回到了做一个受过教育的客户——ADL、数据库事务监控、端口和设备控制这些人都可以帮助你做到这一点,但当你走进来的时候,你知道的越多,你就越有可能从这种关系中得到更多。
尼迪:任何石蕊检验为每月(/天)的安全性一样PEAP,EAP解决方案/ TLS等能安全管理员只是一定要使用哪一个比其他?
Nick-Selby:我害怕“安全试金石”的概念,因为我们做生意的方式都是不同的。没有一刀切的办法。对我来说重要的东西对你来说毫无价值,反之亦然。但事实是,无论你是制作手工奶酪还是导弹系统,总有一些东西是你需要的,对你的生存至关重要,你应该让业务需求驱动你保护什么以及如何保护。
ITgirl:哪种安全产品作为SaaS产品比作为传统软件产品购买更好?
Nick-Selby:我会说消息传递这是显而易见的。谷歌/Postini产品提供消息过滤,每个用户每年25美元,比我能得到的任何地方都好得多。我们使用了主持的Zimbra和Barracuda,这很棒——比我们坐在一起试着自己做的时候好多了。日志管理,防火墙管理——任何不是你的核心能力,而是别人的都是很好的候选人。[披露:梭鱼不是客户。我不知道谷歌是不是。我认为雅虎(收购了Zimbra)可能是这样。
主持人 - 朱莉:预先提交的问题:LifeLock(或其他反身份盗窃)组织得到了几位颇受尊敬的安全专家的认可。也有人说,这种服务简直是敲竹杠。到底发生了什么事?
Nick-Selby:我是谁给了它一个竖起大拇指的优点之一。我是LifeLock顾客(不打折,我想他们可能是我们的客户),我可以说,它的作品至少标榜尽可能设置和维护警报。我也freecreditreport.com决然不是免费服务的客户,和Equifax公司或益百利或其中的一个,和我保持密切关注,所以我看到什么LifeLock不适合我。他们对你的车换机油的比喻是最好的一个 - 当然,你可以自己做。来吧,如果你想与信用局处理。这是我的好核心竞争力之外。此外,征信机构是为了保护贷款人,不是你,和工作人员,似乎完全由机动车新泽西州登记处或移民局的毕业生。可怕的经历。我宁愿支付LifeLock $ 100元左右一年来对付他们。如果你有与环联,益百利和Equifax公司wrassle的时间和兴趣,有它 - 它是免费的空气集欺诈陈述每隔90天,最后我检查。
默认用户:App 保护正在得到更多的关注,并正在被讨论为更高的优先级。您对该新兴技术领域有何看法?
Nick-Selby:非常酷。我们认为这是一个真正痛苦和必要的发展,这是一种文化冲击,而不是技术冲击。这必须是我们看待想象、开发、测试和推出应用程序的方式的自上而下的改变。以下是我们喜欢的一些公司:Veracode, Clockwork, Fortify(不记得是否有我们的客户),但我们也喜欢6西格玛方法,将你的应用程序开发周期视为从安全代码培训开始,包括编码,开发测试,审计,然后测试,然后在QA、产品或虚拟的产品映像中进行动态测试——但是测试、测试、测试和烘焙。在这方面做得很好的公司是通用电气和许多投资银行,它们已经做了多年。小公司会用传统的方式来做——快,快,快,把它弄出来,在混合中解决它——这意味着你总是回去,以完成业务的名义解决一些你本可以更早解决的问题。这是一种错误的经济,因此将安全性测试纳入应用程序开发和QA阶段是至关重要的,正如我所说的,这对许多人来说将是痛苦的。动态测试后是很容易的。
主持人 - 朱莉:我们最后一个预先提交的问题:对于那些想要保护手机用户不被窃听的公司来说,移动语音加密是一项正在兴起的技术。它的优点/缺点是什么?
Nick-Selby:加密的声音!它就像一个喷气背包——我当然想要它,但我绝对不需要它,它只是很酷。说到酷,KoolSpan(披露:不是451客户)刚刚推出了TrustChip,它允许带有SD卡槽的智能手机进行加密语音和其他应用程序,价格大约为300美元/次——太酷了。它也是一个优雅的方式来解决该问题的扩展信任——也就是说,TrustGroups声称它是可配置的方式意味着,仅仅因为一个信托B, C和B信托,这并不一定意味着一个信托C很棒,但我们怀疑KoolSpan的资金。话是这么说,我的一个聪明绝顶的朋友在一个不切实际的实验室里工作,他花了一天的时间去检查那个东西,说它和我想的一样酷。所以,请打开语音加密电话!缺点呢?所以你在逼我,我就从天上找一个:我想,加密电话可能会把你的线路直接发送到任何监控你电话的联邦机构的眉部——如果没有,加密语音通话又有什么问题呢?
主持人 - 朱莉:谢谢你,尼克,为是当今我们的客人,感谢各位的光临。
Nick-Selby:所以这真的很有趣!
主持人 - 朱莉:请在日历上注明我们下次聊天的时间,美国东部时间下午2点。
- 3月25日星期二,思科网络简化了Neil Anderson
- 周二,3月25日,安全培训,以提高你的职业生涯的助推器,与亚当·戈登
你可以加入聊天或在聊天主页上发布问题//m.banksfrench.com/chat/