• 关于我们 联系我们
当前位置:安全企业动态 → 正文

安全行业所面临的真正问题:自我孤立与缺乏领导

责任编辑:editor007 作者:译东西 |来源:企业网D1Net  2017-02-28 17:35:24 本文摘自:36kr

 

编者按:随着互联网技术的高速发展,信息共享也变得越来越普遍,而其所导致的信息安全问题也日益受到人们的关注。本文揭示了安全行业的两大问题,并为大家介绍微软、Google等公司在面对信息安全时所做的一些举措。

你大可以随意找个安全专家,问问有关信息安全的问题,保准能听到他们抱怨连连:用户点击恶意链接和打开附件,开发人员发布有bug的代码,IT人员在安装应用软件补丁方面的滞后,C套件不理解安全优先级等等。

但事实上,IT正在弄清楚与开发人员合作的方式。今天,许多企业开始认真对待用户培训。实际上,安全专业人士无法相互合作,因为他们都忙着指出别人的错误。

案例:上周,当我参加在旧金山举行的RSA大会时,DeveloperWeek会议也在附近举行。在后面的会议上我只看到一个安全相关的谈话:Pete Chestna,Veracode的开发人员参与主管,谈论了安全是开发商的下一个机会。Veracode在DeveloperWeek也有两个研讨会,讨论公司如何处理devecops(开发和安全性的融合)。

我感到非常惊讶,没有一个专家对软件漏洞和应用程序安全问题表示出担心,毕竟他们是以安全专家的身份参加这个会议的。这就涉及到一个非常严肃的问题,那就是如果他们不和开发人员合作,那这些公司的销售对象到底是谁呢?

安全似乎仍然生活在一个孤岛上,与其余的IT和业务隔离开了。更糟的是,似乎安全有意想要保持这样的距离。似乎在这样的泡沫里,大家更易生存——每个人怀着骄傲的优越感,彼此赞同,而不是走出去进入一个新的环境,敲掉壁垒,与非安全专业人士一起工作做出点儿真正的东西来。

这引发了安全行业面临的第二个大问题:制定解决安全问题的计划以及开发解决这些问题的方法与技术的领导者在哪里?

 微软在哪呢?

微软作为“钻石”赞助商出现在RSA会议上,其以参展商的身份出现,并呼吁达成“网络战争日内瓦公约(Geneva Convention for cyberwar)”。但自从微软在2014年关闭其可信计算团队(Trustworthy Computing Group)之后,该团队就几乎从安全领域中消失了。微软给当时的解散找了一个合理的理由——安全需要成为每个产品团队的一部分,并作为一个总体来掌控全局。

这是从2002年微软推出可信计算团队以来最明显的变化,当时的董事长Bill Gates在给全公司的备忘录中写道:“我们必须将计算机行业的信任度带领到新的高度。

通过可信计算团队,Microsoft围绕安全开发了新的观念模式,并改进了可用性和安全模型。以公司为例,Microsoft展示了其他组织如何在软件开发生命周期中集成安全性,以便在企业安全中发挥最大效能,同时还与合作伙伴一起探讨如何提高每个人的安全——不仅局限于内部。

今天,每个人设定的安全标准都有所不同。科技公司已经找到了适合自己的标准,但没有一个无所不能的领导者可以填补Microsoft和可信计算团队留下的坑。苹果已经在安全方面做了巨大的投资,但其投资仅局限于Mac OS和iOS,并且苹果的保密文化意味着没有人真正知道公司到底做了什么。企业没有办法从苹果那儿学习。

Facebook一直在解决身份问题,但在许多安全领域,其仍然遵循行业趋势,Facebook确实是最早行动的人,但它没有开辟新的途径。大量的创新安全创业公司解决了巨大的挑战,但没有人喜欢Microsoft的这种共享心理,很大一部分原因是因为他们只针对特定的问题。Mozilla曾经是安全领域的宠儿,但它已经很久没有以领导人的角色出现过了。

现在只剩下Google了。在某种程度上,Google很适合Microsoft设置的模式,利用其在搜索领域的优势和其Chrome浏览器的普及程度,推动其他人获得更高的安全性。Google是第一个声明其浏览器不再信任那些使用不安全SHA-1证书的网站的人。它推动证书颁发机构采用公开证书透明度政策,主要是因为公司不断发现欺诈性数字证书。这为那些有兴趣利用Chrome对FIDO进行验证支持的开发人员提供了数据库。

它也做到了回归到解决内部安全问题上,例如其最近的白皮书讨论了其推出的硬件安全密钥可以帮助员工处理多因素身份验证这一问题。在斯诺登公布了国家安全局跟踪数据中心并拦截互联网流量这一消息后,该公司加密了所有进出数据中心的互联网流量。

在RSA会议上,Google讨论了耗时7年才发布的BeyondCorp框架。其中网络被认为是不可信的,信任是基于公司对用户和连接到网络的设备的了解程度。BeyondCorp开始于员工使用无数的设备接受周围防线,如防火墙和其他可信网络安全设备等,并且不断地在网络内外跳转。

尽管如此,Google倾向于采取一种独家方法。这样做并不表示可以一起解决安全问题,并真正培养和谐的生态系统。它利用其市场地位发出担保声明,让其他公司决定是否跟随。该公司通过白皮书展示自己的成功,Google是这样说的:“每个人都做错了,只有我们知道如何做才是正确的。”

在如今竞争激烈的社会中,为每个人提供更好的安全这样一种想法是自古就有的,或许每个人都需要参与其中,并共同努力。“唯一有效的方式是谷歌的方式”,也许谷歌的这种风格是适合现在的安全行业的。可是,这种方式能带给我们什么结果呢?我们需要眼见为实。

翻译来自:虫洞翻翻     译者ID:YLS  编辑:郝鹏程

关键字:谷歌安全模型Google

本文摘自:36kr

x 安全行业所面临的真正问题:自我孤立与缺乏领导 扫一扫
分享本文到朋友圈
当前位置:安全企业动态 → 正文

安全行业所面临的真正问题:自我孤立与缺乏领导

责任编辑:editor007 作者:译东西 |来源:企业网D1Net  2017-02-28 17:35:24 本文摘自:36kr

 

编者按:随着互联网技术的高速发展,信息共享也变得越来越普遍,而其所导致的信息安全问题也日益受到人们的关注。本文揭示了安全行业的两大问题,并为大家介绍微软、Google等公司在面对信息安全时所做的一些举措。

你大可以随意找个安全专家,问问有关信息安全的问题,保准能听到他们抱怨连连:用户点击恶意链接和打开附件,开发人员发布有bug的代码,IT人员在安装应用软件补丁方面的滞后,C套件不理解安全优先级等等。

但事实上,IT正在弄清楚与开发人员合作的方式。今天,许多企业开始认真对待用户培训。实际上,安全专业人士无法相互合作,因为他们都忙着指出别人的错误。

案例:上周,当我参加在旧金山举行的RSA大会时,DeveloperWeek会议也在附近举行。在后面的会议上我只看到一个安全相关的谈话:Pete Chestna,Veracode的开发人员参与主管,谈论了安全是开发商的下一个机会。Veracode在DeveloperWeek也有两个研讨会,讨论公司如何处理devecops(开发和安全性的融合)。

我感到非常惊讶,没有一个专家对软件漏洞和应用程序安全问题表示出担心,毕竟他们是以安全专家的身份参加这个会议的。这就涉及到一个非常严肃的问题,那就是如果他们不和开发人员合作,那这些公司的销售对象到底是谁呢?

安全似乎仍然生活在一个孤岛上,与其余的IT和业务隔离开了。更糟的是,似乎安全有意想要保持这样的距离。似乎在这样的泡沫里,大家更易生存——每个人怀着骄傲的优越感,彼此赞同,而不是走出去进入一个新的环境,敲掉壁垒,与非安全专业人士一起工作做出点儿真正的东西来。

这引发了安全行业面临的第二个大问题:制定解决安全问题的计划以及开发解决这些问题的方法与技术的领导者在哪里?

 微软在哪呢?

微软作为“钻石”赞助商出现在RSA会议上,其以参展商的身份出现,并呼吁达成“网络战争日内瓦公约(Geneva Convention for cyberwar)”。但自从微软在2014年关闭其可信计算团队(Trustworthy Computing Group)之后,该团队就几乎从安全领域中消失了。微软给当时的解散找了一个合理的理由——安全需要成为每个产品团队的一部分,并作为一个总体来掌控全局。

这是从2002年微软推出可信计算团队以来最明显的变化,当时的董事长Bill Gates在给全公司的备忘录中写道:“我们必须将计算机行业的信任度带领到新的高度。

通过可信计算团队,Microsoft围绕安全开发了新的观念模式,并改进了可用性和安全模型。以公司为例,Microsoft展示了其他组织如何在软件开发生命周期中集成安全性,以便在企业安全中发挥最大效能,同时还与合作伙伴一起探讨如何提高每个人的安全——不仅局限于内部。

今天,每个人设定的安全标准都有所不同。科技公司已经找到了适合自己的标准,但没有一个无所不能的领导者可以填补Microsoft和可信计算团队留下的坑。苹果已经在安全方面做了巨大的投资,但其投资仅局限于Mac OS和iOS,并且苹果的保密文化意味着没有人真正知道公司到底做了什么。企业没有办法从苹果那儿学习。

Facebook一直在解决身份问题,但在许多安全领域,其仍然遵循行业趋势,Facebook确实是最早行动的人,但它没有开辟新的途径。大量的创新安全创业公司解决了巨大的挑战,但没有人喜欢Microsoft的这种共享心理,很大一部分原因是因为他们只针对特定的问题。Mozilla曾经是安全领域的宠儿,但它已经很久没有以领导人的角色出现过了。

现在只剩下Google了。在某种程度上,Google很适合Microsoft设置的模式,利用其在搜索领域的优势和其Chrome浏览器的普及程度,推动其他人获得更高的安全性。Google是第一个声明其浏览器不再信任那些使用不安全SHA-1证书的网站的人。它推动证书颁发机构采用公开证书透明度政策,主要是因为公司不断发现欺诈性数字证书。这为那些有兴趣利用Chrome对FIDO进行验证支持的开发人员提供了数据库。

它也做到了回归到解决内部安全问题上,例如其最近的白皮书讨论了其推出的硬件安全密钥可以帮助员工处理多因素身份验证这一问题。在斯诺登公布了国家安全局跟踪数据中心并拦截互联网流量这一消息后,该公司加密了所有进出数据中心的互联网流量。

在RSA会议上,Google讨论了耗时7年才发布的BeyondCorp框架。其中网络被认为是不可信的,信任是基于公司对用户和连接到网络的设备的了解程度。BeyondCorp开始于员工使用无数的设备接受周围防线,如防火墙和其他可信网络安全设备等,并且不断地在网络内外跳转。

尽管如此,Google倾向于采取一种独家方法。这样做并不表示可以一起解决安全问题,并真正培养和谐的生态系统。它利用其市场地位发出担保声明,让其他公司决定是否跟随。该公司通过白皮书展示自己的成功,Google是这样说的:“每个人都做错了,只有我们知道如何做才是正确的。”

在如今竞争激烈的社会中,为每个人提供更好的安全这样一种想法是自古就有的,或许每个人都需要参与其中,并共同努力。“唯一有效的方式是谷歌的方式”,也许谷歌的这种风格是适合现在的安全行业的。可是,这种方式能带给我们什么结果呢?我们需要眼见为实。

翻译来自:虫洞翻翻     译者ID:YLS  编辑:郝鹏程

关键字:谷歌安全模型Google

本文摘自:36kr

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^