每年在我们的隐私与安全论坛上,我们都会举办一个名为“黑客与高管”的会议。在这节课中,我们请一名黑客制造混乱,然后在攻击的不同时刻停下来,询问高管们的反应。今年,我们攻击了应用程序,包括容器化应用程序和无服务器应用程序。两个月前,我们以“黑客与高管”的环节结束了伦敦论坛。作为回顾,以下是我在伦敦和华盛顿的高管们给出的最喜欢的10个回答(注:为简洁起见,有时会对回答进行编辑)。

  1. 艾米:Shaun,作为一名CISO,你如何将应用程序安全与其他必须做的事情放在一起?
    肖恩:一般来说,我喜欢采用基于风险的方法,在这种方法中,我会列举所有的安全风险,对它们进行评级,然后真正关注那些具有最高实际风险的风险。说了这么多,我发现应用程序安全性往往排名靠前,主要原因是它是一个更难解决的问题。在网络安全领域,我们有很多好的工具和丰富的经验。应用程序安全性随着我们开发应用程序的方式不断发展。它非常以人为本:会犯错的人和会犯错的开发人员。这是非常劳动密集型的工作,我们倾向于在应用程序安全方面投入大量资源。
  2. 艾米:您正在做什么来防御被利用的漏洞?
    凯莉:我们已经准备好了。当你毫无准备时,更大的问题就出现了。所以我们会做一些威胁建模,一些场景规划和运行手册。当我们遇到这样的问题时,我们会让人们和决策者做好准备,希望没有这么糟糕。但关键是你必须为此做好准备,并为可能发生的事情做好计划。
    艾米:你准备好退出这个应用程序了吗?你准备好这么做了吗?
    凯莉:完全正确,完全正确。
  3. 艾米:安迪,开发人员在安全方面扮演什么角色?他们在乎吗?
    安迪:我们试着让他们关心。你让他们关心你的安全意识活动和整个安全文化,以及为什么它很重要。我认为其中一个问题是,他们可能在乎,但他们得到了相互矛盾的信息。所以他们有一个部门经理,他会告诉他们所有的时间范围,并在一定深度内达到某个能力点,某个功能点,所以他们会做出妥协,因为这是他们的首要任务。我们需要确保他们意识到这些也是质量问题。你不能在没有质量的情况下交付功能,因为这将危及组织和我们的声誉,最终还会危及他们的奖金和工作。因此,这是关于进行这些对话,并将安全信息传达给第一线的开发人员,以便他们意识到公司关心的不仅仅是功能和日期。
  4. 艾米:那么,Kris,一般的CISO应该对基本的被利用的漏洞场景有多关心呢?
    克丽丝:我的问题是,为什么会发生这种情况?所以从CISO的角度来看,很明显,你应该担心基本的卫生问题。这不应该发生的。您可能需要的不仅仅是传统的入侵检测工具来检测这种攻击,还需要加倍努力修补漏洞,因为在一天结束时,这就是这些坏人如何在组织中穿行并在易受攻击的系统上执行漏洞。
  5. 艾米:伙计,下次应用程序被利用,客户数据被盗时,应该解雇应用开发总监,而不是首席信息官吗?
    男人:我不接受这个问题的前提。当你被入侵时,如果解雇某人是你的主要反应,那么你就保证了优秀的安全人员不会愿意为你工作。这实际上是关于广泛的所有权和明确的责任。如果你的主要行动是在出现问题时解雇某人,人们的自然反应将是不承担责任,因为这样他们的工作就有危险了。我不认为他们中的任何一个人应该被解雇,因为他们应该团结起来,检查为什么会发生这种情况,对他们的用户透明,并在内部讨论如何建立一个系统,以防止这种情况再次发生。
  6. 艾米:你认为从业者最希望他们的高管理解什么?
    男人:一天就那么几个小时。如果你什么都要我做,我什么都做不好。
    香农:我认为每个人都希望看到高管们明白剥削和卫生之间的区别。对于黑客来说,并不是所有的东西都有用,按优先级排序对为组织创造价值是非常不利的。
    肖恩:我要把问题转过来。我认为这是个错误的问题。我认为问题是:安全专业人士需要了解高管们的哪些信息?对他们来说什么是重要的?你不可能有一个成功的安全计划,除非你知道公司高管的动机是什么。
    克丽丝:我想说的是,合规并不等于安全,尤其是在隐私保护方面。我认为他们并没有意识到遵守HIPAA与真正拥有安全保护是两码事。
  7. 艾米:香农,你今天是怎么为应用辩护的?
    香农:防御已经成为我们的主动防御能力。我们看待它的方式非常基于博弈论,最终我们试图实现的是通过首先找到对我们组织影响最大的漏洞和弱点来阻止坏人,本质上是在其他人利用它们做坏事之前阻止利用它们。
    艾米:你的团队有多少人?
    香农:我可能拥有世界上最大的红队之一。我有大约45个人致力于在坏人之前找到并利用他们。
  8. 艾米:Shaun,你将如何防御这种无服务器攻击?
    肖恩:我可以从几个方面回答这个问题。首先,我几乎要回到基本原理。这与这是否是无服务器的事实无关。原始入口是一个已知的漏洞。我认为对我来说最关键的是有一个有效的漏洞程序。这实际上涉及到三件事。一是有办法识别什么东西真的很脆弱。尽管我们喜欢讨论零日攻击,它们很性感,但现实是,大多数成功的攻击都不是零日攻击。这些漏洞早就为人所知了。然后,您必须找出将这些漏洞分配给谁。 Who has to fix the code and do the work? And then you have to have a mechanism that actually holds people accountable for doing that.
  9. 艾米:凯利,一个新的严重漏洞被公布了,它会影响你的应用程序。你打算怎么做呢?
    凯莉:你需要一个跨职能的团队来分析这个漏洞对你整个产业的影响。我们需要做什么来修补所有不同的层?跨职能团队的反应速度有多快?你能采取哪些缓解措施,在什么时间框架内实施?有什么你可以马上做的吗?或者你能在未来几周或几个月里做些什么计划?
  10. 艾米:Arnaud,你提前做了什么来保护这些非常脆弱的应用程序?
    ARNAUD:所以,这是一套技术方面的措施,但也需要走出技术。技术方面很经典,不容易。首先,你得知道你要保护什么。您需要知道需要保护的应用程序列表。所以当你在一个更大的组织中,一个数字是数千,当然,这比一个小组织要复杂得多。当您要保护如此大量的数据时,您需要确定优先级的标准。例如,也许你可以考虑面向外部的应用而不是纯内部的应用。您必须在您的IT资产、您的应用程序和您支持的业务流程之间建立链接。这是一个漫长的过程,但这就是你如何超越it,把这个讨论带到董事会讨论。

你可以在这里查看完整的录音:华盛顿特区。而且伦敦

这些是你最喜欢的吗,还是还有其他你更喜欢的?

再次感谢我的高管小组和黑客:Arnaud Brenac, Shaun Gordon, Shannon Lietz, Kris Lovejoy, Kelly McKillen, Guy Podjarny和Andrew Rose。我还想向我的研究助理凯特·佩萨(Kate Pesa)表示感谢,她通过抄录这两件事使这个博客成为可能。