谷歌的安全与隐私工程副总裁Gerhard Eschelbeck昨天在RSA安全会议上向座无虚席的听众讲述了他的职业生涯。谷歌是在鱼缸里运作的,因为它的商业模式依赖于消费者、企业用户和隐私监管机构,它们相信谷歌可以在其数据中心存储大量数据。2020欧洲杯预赛考虑到这种审查和巨大的计算规模,谷歌很吸引人。它是建立最佳安全实践的基准。
埃切尔贝克在“保护用户数据”的明确使命声明中谈到了他的安全团队与公司的云服务和广告业务模式的结盟。
龙缘
根据Eschelbeck的谷歌在谷歌上的规模就像谷歌的所有东西一样,它很激烈。他说,当他两年前他为工作采访时,他不知道责任的极端或运作的规模。他承认,当他被要求估计谷歌的数据中心和网络的面试时,他的CSO地位,他的估计数量太低了两到三个数量级。2020欧洲杯预赛
与大多数安全专业人士一样,Eschelbeck将细节靠近背心;然而,他确实提供了规模谷歌源代码基础的一个例子,即他守卫偷窃和与恶意代码的入侵和感染。今天的环境 - 谷歌的源代码存储库有20亿行,增加了85万台工程师每天互动。
不去看演出?看到所有的新闻+
Eschelbeck在一些背景下充满了他的角色。在20世纪90年代中期开始的职业生涯中,攻击的类型和防御在四年周期中演变,以应对平台的演变。病毒成为了蠕虫,成为间谍软件,然后作为联网的PC被演变为云互联的PC的普遍网络。然后移动,现在移动云启动了一个并行周期,呈现出一些相同和新的挑战。
他相信云安全挑战恰到好处。但期待2020年,他看到了一个庞大的互联网网络,它在加密,身份验证和软件更新中提供了需要工程突破的尚未解决的问题。这些挑战现在应该解决,而不是在系统达到规模的四年内。
Eschelbeck拥有一个600人的团队,其中一半是开发人员和产品经理、项目经理、管理员和运营人员。基于谷歌的用户和基础设施总是受到攻击的假设,它全天候运行,遍布全球。
谷歌安全团队的一些成员致力于构建保护数据的工具。其他人则研究威胁图景,即消费者和数据中心所使用的不断演变的技术所面临的不断演变的威胁。2020欧洲杯预赛他们总是在考虑下一个利用时问这样一个问题:坏人使用的新技术是什么,他们必须对此作出回应?
Eschelbeck引用了谷歌安全团队速度和敏捷性的一个例子,发现了一个严重的缓冲区溢出条件在广泛使用的Linux Glibc库中。多个团队被扰乱并在并行流中工作。谷歌的信号团队监控了攻击的基础设施。研究人员证明,在其他研究人员寻求未被发现的变种的情况下,可以利用这种缺陷。并行谷歌工程师在Redhat的工程师工作,以创建补丁并测试它。最后,最后一步是通知Linux社区Glibc利用的风险和补丁的可用性。
Eschelbeck表示,他最大的责任是继续进行研究和创新,为产品打造更好的安全性和隐私保护。这与无人驾驶汽车和悬浮在气球上的互联网接入网络应用于隐私和安全领域的创新模式相同。
创新承诺的一个例子是Project Zero。零日漏洞是指以前从未被用于破坏主权或企业安全的不法分子、犯罪分子和民族国家发现的漏洞。这样的漏洞是无法检测到的,因为它没有一个可以让信号团队警惕的已知签名。谷歌成立了一个全职团队,致力于检测尚未检测到的漏洞,不仅在谷歌软件中,而且在其用户使用的任何软件中。他还说,资助安全研究社区和参与相关开源社区很重要。
Eschelbeck的团队还与所有的产品团队合作,为他们提供构建安全软件的建议,并在发布之前仔细检查代码。他们可以否决释放,如果他们认为有可能被利用。生活在鱼缸里,无论大小违约对用户信任的影响都没有区别。
他不断担忧的一个是如何通过谷歌的全球硬件供应链从外部验证的内容。与Facebook和Amazon等大多数平台公司一样,谷歌从商品硬件组件中汇集了其计算基础架构。随着越来越多的公司成长为大型平台公司并采用类似的商品硬件基础设施,攻击飞机变大,冒险,验证成为一个更大的问题。
可以推测,安全团队可能会将安全作为一种服务产品,或者Eschelbeck对中小型企业的困境感同身受,因为他在思考,如果没有谷歌的规模和CSO组织,他们如何生存。
公民社会组织效仿Eschelbeck和谷歌将是明智的,因为该公司的基础设施比大多数企业领先数年,并且拥有工程资源和规模来解决悬而未决的威胁和改进的防御。
