在世界数据中心大会(Data Center World)的闭幕主题演讲中,捷蓝航空CISO建议安全专家专注威胁行为者而非合规性。
今年8月,在美国佛罗里达州奥兰多举行的世界数据中心大会的闭幕主题演讲中,捷蓝航空的首席信息安全官Timothy Rohrbaugh 强调了信息共享的重要性,并表示,共享的对象不仅包括团队的其他组成部分,还包括企业所在行业的其他安全团队,即便他们属于竞争对手阵营。
为什么?因为那些试图破坏企业系统的人也在试图破坏企业的竞争对手的系统,而且他们很可能使用了相同的技术。了解攻击者的入侵策略可以帮助企业在攻击发生之前缓解威胁。
他还用体育项目做了一个类比,例如在职业足球赛中,王牌战术永远无法取得像第一次亮相时如此惊艳和震慑性的效果。如果没有电视转播比赛,而且比赛只在两支球队间进行,其他人都看不到,那么你能获取的信息只有最终的比分。这种情况下,对一方球队的优势是他们每个人都能观察到对方的战术,并在接下来的比赛中有针对性地防御。
换句话说,如果一场足球比赛被全球转播,并通过多种不同的角度慢动作回放,向观众展示这场比赛是如何进行的,那么其他球队也能掌握对手的战术,以此制定防御策略。这就是信息共享的意义,IT安全领域亦是如此。
他补充道,“我们要求信息共享实际上是在试图分享威胁行为者在做什么,并对此做出回应。事实上,如今的许多企业正在做分享这件事,我们需要的是充分利用它。这就是威胁情报团队应该努力完成的事情。”
如今,许多行业已经建立了这样的共享组织,主要以非营利性信息共享和分析中心(ISAC)的形式存在,它不仅提供了收集网络威胁信息的资源,而且还提供了一种共享特定事件和威胁信息的方式。
Rohrbaugh表示,“我在离开军队和政府之后,长期从事金融服务工作,我们有金融服务信息共享和分析中心(FS-ISAC)。我们切实落实了共享策略,它实际上成为了一种极好的资源。几年前,我来到捷蓝航空,并为其建立了与金融服务ISAC一样好的信息共享和分析中心。”
安全工作的问题出在哪里?
Rohrbaugh说,共享很重要——尤其当它是有关针对某个行业的威胁信息时——的原因是,安全团队的主要重点应该放在威胁行为者身上,但现在安全工作通常并非如此。
现在,他们大多将自己投身于没有参与设计的框架、复选框以及合规性等等问题上,这会增加IT成本、影响业务效率以及延缓员工获取所需物品的速度。这种方法的问题在于,它无法准确了解威胁是什么?谁在锁定你的客户?谁在觊觎你的基础设施?
Rohrbaugh表示,在捷蓝航空,他希望改变处理安全问题的方式。他说,“我想将威胁情报放在安全计划的核心位置,以推动投资和变革。这就意味着我们需要弄清楚谁在针对我们,他们的目标是什么以及他们使用何种技术策略。然后我们的防御端(也称为‘蓝队’)才能决定做出何种应对策略。”
Rohrbaugh称这种方法为“威胁形式防御”。这意味着我们不用花钱,不用专注某一领域,除非是归因于有真正的威胁行为者正在锁定我们。
每个人都听说过“好高骛远”这个词。我们可以好高骛远,但最重要的还是锁定会发生的事情,如果我们不知道威胁行为者是谁以及使用何种技术策略,我们的防御部署就会分散,无法发挥最大效用,同时还浪费了大量资金。结果也将注定是一场失败的防御赛。
最后,他补充说,“这就是我看待来自政府或第三方的合规计划的方式。他们没有考虑到业务背景、威胁行为者以及他们所追求的目标等等因素。”