在第5届全球网络安全会议本次会议,蒂姆·马修斯坐下来与Josh Bressers,产品安全在技术主管弹性,以讨论应用程序云安全。他们专注于围绕云安全的挑战以及极客驱动的防御工作的作用。Josh 的组织 Elastic 是领先的企业搜索公司,在为搜索、日志记录、安全和分析用例构建自我管理服务方面拥有专业知识。
云的兴起意味着什么?
根据 Bressers 的说法,“过去人们很容易相信您的系统是安全的。他们在防火墙后面。有明显的外围防御。也许您甚至需要进入实体建筑才能访问您的网络。”
随着云的兴起,攻击面增加,网络攻击呈指数级增长,意味着更大的风险。布雷瑟斯同意了吗?
“有也没有。我想知道我们以前是不是在自欺欺人,”主持两个播客、开源安全播客和Bressers 说。
“很明显,攻击者没有得到信息受到防火墙保护的备忘录。我认为云现在给你的一个优势是你不能假装你有这些防御。您的系统位于互联网上。人们登录它。云让我们更诚实,因为你不能假装有一些保护。”
Bressers 和 首席营销官 Tim Matthews 之间广泛而引人入胜的对话涉及云安全领域的几个问题。但是 Bressers 一直回到一个主题。信息安全专业人员始终需要为新威胁做好准备。
“我的生活可能会被一些意想不到的利用或攻击彻底颠覆,”他说。“这可能是今天没人知道的事情,但我们明天都会知道。你早上醒来,就像,’我不知道当我打开我的邮箱时会发生什么。’ 但这就是我们每天的生活。”
合作帮助Elastic面对未知并提高网络安全
这就是为什么当 Matthews 询问是什么漏洞让 Bressers 夜不能寐时,他很难回答任何细节。他最担心的是他不知道的事情。
“唐纳德·拉姆斯菲尔德 (Donald Rumsfeld) 的那句名言是关于如何存在已知的、已知的未知和未知的未知。关于我们的基础设施和攻击者,我们还有很多不了解的地方。”
也就是说,布雷瑟斯说他确实知道一件事。“与像 它这样走在网络安全前沿并在打击恶意攻击方面拥有独特专业知识的组织合作非常有价值。”
Elastic 开源软件是为数以千计的企业网站上的搜索活动提供支持的幕后引擎。该公司拥有广泛的产品,反过来又扩大了潜在的攻击面。
Elastic的私人漏洞赏金计划
几年前,Elastic 悄悄地开始与其合作,慢慢启动一个私人漏洞赏金计划,以调动研究人员的集体力量来识别漏洞。结果:
Bressers 说:它帮助我晚上入睡,因为我觉得其中一些未知数,这些人会帮助我找到它们。” “这是一次了不起的经历。它一直是我们很好的合作伙伴。我们一直超级、超级开心。”
Elastic 在 Security@2021 上首次公开谈论的这种合作关系,由于几个原因而运作良好。一方面,漏洞赏金计划中的极客非常擅长识别安全漏洞。此外,Elastic 的公司文化专注于解决问题,而不是指责。发现漏洞时无需指责。Bressers 说:“我通常甚至无法告诉你哪个团队对问题负责。但每个人都有责任提出解决方案。
“当问题浮出水面时,会有真正的兴奋。一个例子是漏洞赏金猎人发现的节点 YAML 处理器中的一个令人难以置信的微妙缺陷。我们就像,’它是如何进入那里的?’”Bressers 回忆道。“但我们喜欢那种东西。我们将这些错误发送给开发人员,99% 的情况下,他们会说,“天哪,他们是怎么找到这个的?” 他们很好奇。”
Elastic 甚至要求极客在他们演示错误的地方录制视频——这是一种分享漏洞情报的创造性方式,并且可以作为帮助团队改进的可教时刻。
“这真的很酷,因为现在我们有了从开发人员到极客的联系。他们正在一起工作。与其合作使我们的开发人员变得更加强大和有价值。”
如何展示投资于安全计划的价值
当然,所有信息安全团队面临的一项挑战是向领导层展示投资于安全工作的价值。许多组织和部门将安全视为成本中心。关于添加极客主导的安全程序的讨论可能更加敏感。Bressers 说:“关键是要正确看待极客攻击的成本。现在将资金投入漏洞赏金中是否更具成本效益,或者以后冒着全面黑客攻击的风险?”
“你必须考虑你的业务,”他说。“你在哪里赚钱?如果您有更多的漏洞或更少的漏洞,会发生什么?我不一定认为有一个简单的答案。但我认为,与五年前谈论极客、漏洞赏金和所有这些东西时相比,这次谈话可能更容易。它现在经常出现在礼貌的谈话中。”
全行业云安全的积极变化
至于全行业的云安全,Bressers 认为正在发生积极的变化。他认为,更严格的政府监管即将到来,尽管这可能是喜忧参半。他说,随着他们等更好的安全工具和程序的加入,“感觉好人正在齐心协力。”
“在这个行业很容易受到压制,”布雷瑟斯说。“但让我充满希望的是我看到了今天地球上发生的一切。在安全方面,我看到很多组织和政府都在关注。过去,常常有这样的态度,即我们无能为力。让我们把手伸向空中。我再也看不到了,这很鼓舞人心。”
📮评论