标记为“托管安全”的条目

第1页共1页

视频采访我

这是采访我,10月在芝加哥举行的信息安全决策会议上进行。

11月13日发布,2009年下午1:47查看评论

声誉经济中的安全

在过去,我们与计算机的关系是技术上的。我们关心他们有什么CPU和他们运行的软件。我们了解我们的网络以及它们是如何工作的。我们是专家,或者我们依靠别人的专业知识。安全是这项专业技术的一部分。

这正在改变。我们通过网络访问电子邮件,从任何计算机或我们的电话。我们使用Facebook,谷歌文档,甚至我们的公司网络,不管是硬件还是网络。我们,尤其是我们年轻人,不再关心技术细节。计算是基础设施;它是一种商品。它不是关于产品,而是关于服务;我们只是希望它能起作用,例如电话服务、电力或交通网络。

基础设施可以在一个广泛的连续体上传播,范围从一般到高度专业化。电力和水是通用的;谁提供这些东西并不重要。移动电话服务,信用卡,网络服务提供商,航空公司大多是通用的。更专业的基础设施服务是餐饮,理发,以及社交网站。高度专业化的服务包括复杂业务的税务准备;管理咨询,法律服务,以及医疗服务。

这些服务的销售由两个因素驱动:价格和信任。服务越通用,价格越高。它越专业,信任越强。这是一种特殊情况,因为其中很多都是免费的。所以,对于价格不那么重要的专业IT服务和通用IT服务——想想Facebook——如果没有价格,信任会越来越重要。它正在成为一个以声誉为基础的经济体,这对安全有着有趣的影响。

几年前,主要的信用卡公司开始担心大量的信用卡号码从卖家的数据库窃取。他们担心这些可能会破坏公众对信用卡作为互联网安全支付系统的信任。他们知道卖家只会保护这些数据库,使其达到对卖家构成威胁的程度,不会对整个行业造成更大的威胁。所以他们联合起来,制定了一个叫做PCI的安全标准。这是一个完全由行业强制执行的行业,它意识到自己的声誉比卖家的数据库更有价值。

基于声誉的经济意味着基础设施提供商比他们的客户更关心安全。10年前,我在自己的公司认识到了这一点。我们为大公司提供网络监控服务,我们的内部网络安全比我们的客户要广泛得多。我们的客户保护了他们的网络——这就是他们雇用我们的原因,毕竟——但仅限于他们网络的价值。如果我们错误处理了客户的任何数据,我们会失去所有客户的信任。

去年6月,我在伦敦的一次Enisa会议上听到了同样的故事,当一位IT顾问解释说,他早于客户几年就开始对笔记本电脑进行加密。虽然他的客户可能认为丢失数据的风险不值得处理加密问题,他知道如果他丢失了一个客户的数据,他冒着失去所有顾客的风险。

随着它越来越像基础设施,更像一种商品,希望服务提供商将安全性提高到比客户自己所能达到的更高的水平。

在里面,客户从许多渠道了解公司声誉:杂志文章,分析师评论,同事的建议,奖品,认证,等等。当然,只有当客户有准确的信息时,这才有效。在声誉经济中,公司有隐藏安全问题的动机。

你们都经历过声誉经济:餐馆。有些餐馆名声很好,而且都是常客。当餐馆名声不好时,人们不再来了,他们关门了。旅游饭店——其主要景点是其所在地,他们的客户经常对自己的声誉一无所知,即使他们不好,他们也能兴旺发达。有时一家餐馆可以保持它的声誉——杂志上的一个奖项,“人人都知道”的特殊场合餐厅是去的地方——在它的食物和服务被拒绝很久之后。

声誉经济还远远不够完美。

这篇文章最初出现在里面监护人.

11月12日发布,2009年上午6:30查看评论

安全产品:套房vs.最好的品种

我们知道我们不喜欢购买整合的产品套件:一个很棒的产品和一堆平庸的产品。我们知道购买最好的产品不喜欢什么:多个供应商,多个接口,以及多个不合作的产品。安全产业在这两者之间来回发展,作为新一代的IT安全专业人员,他们重新发现了每个解决方案的缺点。

真正的问题是,这两种解决方案都不起作用,我们不断地愚弄自己,相信我们没有的比我们当时拥有的更好。真正的解决方案是购买结果,不是产品。

说真的?没有人愿意购买它的安全性。人们想买他们想要的任何东西——连接,网络存在,电子邮件,网络化应用程序,不管怎样,他们希望它是安全的。他们被迫把钱花在IT安全上,这是计算机行业年轻人的杰作。购买证券的需求迟早会消失。

它将消失,因为IT供应商开始意识到他们必须提供安全性作为他们销售的任何产品的一部分。它将消失,因为组织开始购买服务而不是产品,并要求安全作为这些服务的一部分。它将消失,因为安全行业将作为一个消费类别消失,并将转而向IT行业推销。

关键的驱动因素是外包。外包是最终的整合者,因为客户不再关心细节。如果我从一家大型IT基础设施公司购买网络服务,我不在乎它是否通过安装新的入侵防御系统来确保安全,通过配置路由器和服务器以避免对基于网络的安全性的需求,或者使用精灵王给它的魔法安全尘。我只想要一份合同来规定服务的水平和质量,我的供应商可以解决这个问题。

它是基础设施。基础设施总是外包的。基础设施如何运作的细节留给提供基础设施的公司。

这就是未来,当这种情况发生时,我们将开始看到一种我们以前从未见过的整合。而不是大型证券公司吞并小型证券公司,无论大小证券公司都将被非证券公司吞并。这已经开始发生了。2006年,IBM收购了ISS。同一年英国电信收购了我的公司,床单,去年,它买了房子。这些不是大型证券公司购买小型证券公司;这些是非证券公司购买大小证券公司。

如果我是赛门铁克和麦卡菲,我会为一个买家做好准备。

这是很好的巩固。不必在一个不太好的单一产品套件或一组不太好合作的同类产品之间进行选择,我们完全可以忽略这个问题。我们只需要找到一个基础设施提供商来解决问题并使其工作——谁在乎怎么做?

这篇文章最初出现作为点的后半部分/与马库斯·兰姆对位信息安全.这是马库斯的一半。

发表于3月10日,2008年上午6:33查看评论

zotob蠕虫

如果你能原谅与飓风的比较,网络流行病就像是恶劣的天气:它们随机发生,它们对人口的某些部分的影响比其他部分更大,你之前的准备决定了你的防守有多有效。

zotob是2004年1月mydome以来的第一次重大蠕虫爆发。它发生得很快——在微软发布了一份重要的安全公告(今年39号)不到5天后。Zotob的影响因组织而异:一些网络被搁置,而其他人甚至没有注意到。

蠕虫在星期天开始蔓延,8月14日。说真的?没什么大不了的,但它在新闻界有很多作用,因为它击中了几个主要的新闻媒体,最著名的是CNN。如果一个新闻机构受到某种影响,它更有可能广泛报道这一点。但我的公司,反网络安全,监控全球500多个网络,我们认为这不值得所有的媒体报道。

到17号,至少还有十几种蠕虫利用了同样的弱点,Zotob变种和其他完全不同的变种。他们中的大多数试图为机器人网络招募计算机,而一些不同的变种互相敌对——偷“拥有的”电脑来来回回。如果你的网络被感染了,真是一团糟。

两周后,18岁,写了原始的zotob蠕虫的人被逮捕了,以及付钱给他写这本书的21岁孩子。看来资助蠕虫的人不是黑客,但更像是一个追求利润的罪犯。

过去几年,蠕虫的性质发生了变化。以前,寻找声望或只是想造成损害的黑客是大多数蠕虫的罪魁祸首。今天,他们越来越多地被罪犯写或委托。通过接管电脑,蠕虫可以发送垃圾邮件,发起拒绝服务勒索攻击,或者搜索信用卡号码和其他个人信息。

你能事先做些什么来保护自己不受佐托布及其亲属的伤害?“安装补丁”答案很明显,但这并不是真正令人满意的。补丁太多了。虽然一个计算机用户可以轻松地设置补丁来自动下载和安装——至少是Microsoft Windows系统补丁——但大型企业网络不能。太频繁了,补丁会导致其他东西断裂。

很高兴知道哪些补丁实际上很重要,哪些补丁听起来很重要。在八月的那个周末之前,本来可以保护Zotob的补丁只是另一个补丁;到周一早上,这是系统管理员为保护网络所能做的最重要的事情。

微软在8月9日发布了六个新补丁,三个指定为关键(包括Zotob使用的一个)重要的一点是,两个中等。你能事先猜出哪一个是关键的吗?下一个补丁版本,你知道你可以推迟哪些,哪些你需要放弃一切,测试,并跨网络安装?

既然不可能事先知道会发生什么,你对蠕虫的反应在很大程度上决定了你的防御能力。你可能需要快速反应,你当然需要准确的回答。因为事先不可能知道必要的反应是什么,您需要一个响应过程。员工来来往往,因此,确保有效安全的连续性的唯一方法就是一个过程。你需要准确及时的信息来推动这个过程。最后,你需要专家来破译信息,决定要做什么,实现一个解决方案。

佐托布风暴既典型又独特。它在漏洞发布后不久就开始了,但我不认为这有什么不同。即使是使用六个月漏洞的蠕虫,也会发现大量的互联网未被修补。真是个惊喜,但他们都是。


本文将发表在2005年11月/12月的IEEE安全与隐私。

11月11日发布,2005年上午7:46查看评论

攻击趋势:2004年和2005年

反网络安全,股份有限公司。,监控35个国家的450多个网络,在每个时区。2004年,我们看到5230亿网络事件,我们的分析人员调查了648000张安全“门票”。下面是对目前互联网上发生的事情的概述,以及我们预计在未来几个月会发生的事情。

2004年,41%的攻击是未经授权的行为,21%的人在扫描,26%是未经授权的访问,9%是DoS(拒绝服务)。3%的人滥用了申请。

在过去的几个月里,我们在卷中看到的两个攻击向量分别针对RPC(远程过程调用)服务的Windows DCOM(分布式组件对象模型)接口和Windows LSASS(本地安全机构子系统服务)。这些似乎是病毒和蠕虫作者的最爱,我们预计这一趋势将继续下去。

病毒趋势看起来不太好。在2004年的最后六个月里,我们看到了大量基于浏览器漏洞(如gdi-jpeg图像漏洞和iframe)的攻击,以及复杂蠕虫和病毒攻击的增加。仅在过去六个月,就发现了1000多种新的蠕虫和病毒。

2005年,我们希望在野外能看到更复杂的蠕虫和病毒,合并复杂行为:多态性蠕虫,变质蠕虫,以及利用入口点遮蔽的蠕虫。例如,spybot.keg是一个复杂的漏洞评估蠕虫,它通过IRC通道向作者报告发现的漏洞。

我们希望看到更多的混合威胁:利用恶意代码和漏洞相结合的代码发起攻击。我们预计微软的IIS(Internet信息服务)Web服务器将继续成为一个有吸引力的目标。随着越来越多的公司迁移到Windows 2003和IIS 6,然而,我们预计对IIS的攻击会减少。

我们还希望看到点对点网络作为传播病毒的媒介。

目标蠕虫是我们开始看到的另一个趋势。最近有一些蠕虫使用第三方信息收集技术,比如谷歌,用于高级侦察。这就产生了一种更智能的传播方法;不是传播散射光,这些蠕虫集中在特定的目标上。通过第三方信息收集确定目标,蠕虫减少了随机选择目标时通常产生的噪音,从而增加了发布和第一次检测之间的机会窗口。

另一个我们预计在2005年会继续的2004年趋势是犯罪。黑客行为已经从一个以恶名为目标的业余爱好者的追求,转变为以金钱为目标的犯罪追求。黑客可以出售未知的漏洞——“零日攻击”--在黑市上给那些利用它们闯入电脑的罪犯。拥有被入侵机器网络的黑客可以通过将其出售给垃圾邮件发送者或钓鱼者来赚钱。他们可以利用它们攻击网络。我们已经开始在互联网上看到刑事敲诈:黑客网络中的黑客威胁要对公司发动DoS攻击。这些攻击大多针对边缘行业——在线赌博,在线电脑游戏,网络色情——以及对离岸网络的攻击。这些勒索越成功,罪犯越有胆量。

我们希望看到更多针对金融机构的攻击,因为罪犯在寻找新的欺诈手段。我们还希望看到更多的内幕攻击具有犯罪获利动机。大多数针对目标的攻击——与机遇的攻击相反——都源自被攻击组织的网络内部。

我们还希望看到更多政治动机的黑客攻击,无论是针对国家,“政治”公司工业(石油化工,药物,等)。或政治组织。虽然我们不希望看到恐怖主义在互联网上发生,我们确实希望看到有政治动机的黑客发起更多令人讨厌的攻击。

互联网仍然是一个危险的地方,但我们不能预见人们或公司会放弃它。使用互联网的经济和社会原因仍然过于引人注目。

这个散文最初出现在2005年6月发行的队列.

6月6日发布,2005年下午1:02查看评论

安全信息管理系统

计算机安全行业因过度炒作和不充分销售而有罪。一次又一次,它告诉客户必须购买某种产品才能保证安全。一次又一次,他们购买产品,但仍然没有安全感。

防火墙并没有阻止网络攻击者——事实上,“周长”的概念有严重缺陷。入侵检测系统(IDSS)不能保证网络安全,尽管抗病毒产品很流行,但蠕虫和病毒仍然会造成相当大的损害。在这种情况下,我想评估安全信息管理系统,或者模拟人生,其中承诺解决一个严重的网络问题:日志分析。

计算机日志是安全信息的金矿,不仅包含IDS警报,但是来自防火墙的消息,服务器,应用,以及其他网络设备。您的网络每天产生这些日志的兆字节,其中隐藏着攻击的足迹。诀窍是足够快地找到并对它们做出反应。

分析日志消息可以确定攻击者是如何入侵的,他接触到的,是否增加后门,等等。日志分析背后的想法是,如果您可以实时读取日志消息,你可以知道攻击者在做什么。如果你反应足够快,你可以在他受伤之前把他踢出去。这是安全检测和响应。日志分析工作,是否使用模拟人生。

更好的是,它可以抵御各种各样的风险。与点解决方案不同,安全监控是通用的。日志分析可以检测攻击者,而不管他们的策略如何。

但是西姆斯没有达到宣传的程度,因为它们缺少了许多其他计算机安全产品所缺少的基本要素:人类智能。防火墙经常失败,因为它们的配置和维护不正确。IDS通常是无用的,因为没有人响应他们的警报——或者将真正的攻击与错误的警报分开。模拟人生也有同样的问题:除非有人类专家在监视他们,他们什么都不辩护。这些工具只有和使用它们的人一样有效。

模拟人生需要警惕:攻击可以发生在一天中的任何时间和一年中的任何一天。因此,人员配备需要5名全职员工;更多,如果你有更专业的主管和后备人员。即使一个组织能找到所有这些人的预算,在当今的就业市场上雇用他们是非常困难的。对一个组织的攻击并不经常发生,不足以让这样一个有才干的团队参与进来并感兴趣。

早在1999年,我创立了反坦克网络安全;我们销售一种称为托管安全监控的外包服务,训练有素的安全分析人员在其中监控IDS警报和日志消息。由于我们的分析师从网络中实时获得的信息以及他们的培训和专业知识,分析人员可以检测正在进行的攻击,并为客户提供他们无法实现的安全级别。

1999年在建设反坦克监测服务时,我们研究了Intelli战术和电子安全等公司的日志监控设备。那时候,它们在任何地方都不足以让我们使用,所以我们开发了自己的专有系统。今天,因为使用反坦克系统的分析人员的才干,它比任何商业模拟机都好。我们能够在设计时考虑到我们的专家检测和响应分析师,而不是一般的系统管理市场。

网络安全的关键是人,不是产品。堆积更多安全产品,比如模拟人生,只有我们的网络没有帮助。这就是为什么我相信网络安全最终会被外包的原因。没有其他经济有效的方法来可靠地获得你需要的专家,因此,没有其他经济有效的方法来可靠地获得安全性。

它最初出现在2004年9月/10月发行的IEEE安全与隐私杂志.

10月20日发布,2004年下午6:03查看评论

施耐尔:到2010年安全外包普及

Bruce Schneier是Mountain View的创始人兼首席技术官,总部位于加利福尼亚的MSSP Countrane Internet Security Inc.和作者应用密码学,请秘密和谎言,请和超越恐惧.他还出版了密码程序,免费的每月通讯,必威体育官方为各种出版物撰写专栏文章。施耐尔在searchsecurity.com上谈到了最新的威胁,在上周通过电子邮件和电话进行的两部分采访中,微软正在进行的安全斗争和其他话题。在本期中,他谈到了开源与封闭源,安全管理的未来和博客的传播。

开源产品比封闭源代码更安全吗?

施耐尔:比这复杂得多。要分析软件产品的安全性,需要让软件安全专家分析代码。在封闭源代码模型中,您可以通过雇佣他们来做到这一点,或者,您可以在开放源码模型中通过公开代码并希望他们免费这样做来做到这一点。两种方法都有效,但显然后者更便宜。也不能保证。有很多开源软件没有人分析过,也没有人比所有没有人分析过的开源产品更安全。但是还有Linux之类的东西,Apache或OpenBSD可以得到很多分析。当正确分析开源代码时,没有比这更好的了。但是仅仅公开发布代码并不能保证。

扬基集团最近的一份报告称,到2010年,企业将把90%的安全管理外包出去;越来越多的企业将安全作为应对日益增长的威胁和遵守HIPAA和Sarbanes-Oxley等法律的首要任务。你同意吗?

施耐尔:我认为,到2010年,无论合规性问题如何,网络安全都将大部分外包出去。这是基础设施,基础设施总是外包的……最终。我最后说,因为公司通常要花好几年的时间来适应它。但是网络安全与税收筹划没有什么不同,法律服务,食品服务,清洁服务或电话服务。它将被外包。我相信,各种合规问题,就像你提到的法律,导致公司增加安全预算。这和我在你关于微软的问题中提到的经济驱动力是一样的。如果公司没有足够的安全保障,就加大对他们的惩罚力度,这些法律促使公司在安全上投入更多。这对每个人都有好处。

加密程序怎么样了?

施耐尔:加密程序目前拥有约10万个读卡器;每月有7.5万人收到电子邮件,另有2.5万人在网上阅读。当我在1998年开始的时候,我不知道它会变得这么大。我真的想过要收费,这将是一个巨大的错误。我认为加密程序成功的关键在于它既有趣又诚实。安全是一个非常丰富的话题,新闻里总有一些事情要谈。上个月我谈到了航空公司的安全问题,奥运会和手机。这个月我要谈谈学术自由,选举的安全,护照上还有射频识别芯片。

有些人把加密程序比作博客。这是一个合理的比较吗?

施耐尔:从某种意义上说,这是合理的,因为只有一个人在写他感兴趣的话题。但形状因素不同。博客是基于网络的期刊,定期更新。Cryptogram是一个每月的电子邮件通讯。必威体育官方有时候我希望我能有一个博客的即时性,但我喜欢定期出版的规则。我认为我有更多的读者,因为我把内容推到我读者的邮箱里。

你认为博客比传统媒体更有用,作为向IT经理获取最新安全新闻的一种方式吗?

施耐尔:博客速度更快,但它们是未过滤的。他们绝对是获取最新消息的最快方式——关于安全或任何其他主题——只要你不太关心准确性。传统的新闻来源比较慢,但质量更高。所以它们都很有用,只要你了解他们的相对优势和弱点。

比尔·布伦纳,新闻作家
2004年10月5日|searchsecurity.com网站

10月8日发布,2004年下午4:52查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。