无效的主角

上次,我写了有关“复杂的对手”,在社会上和技术上都比您优越的不法分子,他们的袭击使您的防御无能为力。那是一团阴暗的栏目。事实上,我感到被迫答应一线希望。下一节将讨论“从根本上使游戏远离坏蛋的方法”。

回想起来,这是一个愚蠢的承诺。它假定任何人都有兴趣在整体架构层次上为共同利益而与信息安全问题作斗争。我不认为他们是。找人不难 他们很感兴趣;他们大多数都在卖产品。

不过,在过去的几个月中,我与几家此类供应商的领导人进行了交谈。聪明的人,例如发明防火墙的Shlomo Kramer,现在已经着手于应用程序安全。比尔·哈里斯(Bill Harris)对PayPal的新天地棋牌钓鱼情有独钟,并将其转变为反新天地棋牌钓鱼的初创公司;罗伯特·巴尔斯(Robert Bales)曾经成立了美国国家计算机安全协会(前身为TruSecure),现在正全力投入反间谍软件业务;和Microsoft的CSO Scott Charney。

这些对话有两点。第一,由供应商和当前政府(即市场力量)欢迎的解决方案在很大程度上已失败。第二,解决问题的整体方法不太可能是近期的情况。哎呀,甚至看看所有这些人都从事销售修补程序的事实,该修补程序仅解决一小部分问题:间谍软件或新天地棋牌钓鱼等而不是试图出售总体解决方案。

正如斯科特·查尼(Scott Charney)所说:“问题是,即使您 认为 全面地讨论信息安全问题,这可能是压倒性的。我们正在谈论一个多学科的问题。”

那在哪里离开我们?看来,就目前情况而言,只有两种方法可以从根本上将力量平衡从复杂的对手身上转移出去:规制和起诉。

规范:我并不孤单。 DHS新天地棋牌安全工作队最近提出建议,在某些情况下,有必要制定法规来保护关键基础设施来自包括Microsoft这样的供应商的任何组织的令人震惊的声明。查尼本人说:“我不像某些人那样反监管。”当然,他也没有拥抱熊的规则。查尼说,制定好的规章制度是有规则的,他(作为曾经写过规章制度的人)似乎有可能使用这种精心设计的政府规章制度来改善信息安全。他说:“假设您无法创建完美的安全性。” “我们至少可以提高标准。”

苏:@Stake的克里斯·威索帕(Chris Wysopal)向我展示了他的公司进入新一代应用程序扫描仪的过程。如果它们像宣传的那样工作(很大的话),则可以从根本上改善编码。他们可以挖掘二进制文件并查看上下文中的缺陷。在开发过程中捕获错误,但还可以确定修复的优先级并生成执行级别的报告。 Wysopal对他的产品的市场机会感到头晕。我所能想到的只是律师。如果存在像这样的合理易用且广泛可用的工具,为什么不应该迫使供应商被迫发展到一定的质量水平,或者面对未进行尽职调查的后果?

现在,确定过失比简单的应用程序扫描要复杂得多,但是,这是重要的一步。我敢打赌,现在有律师在设置软件过失做法,他们无疑会使用这种工具。

但是,监管和诉讼不会自发出现。这些专家和其他人认为,催化剂将是痛苦。更多坏事发生了。这让我想起了一名海岸警卫队被问到他的装备如何获得更多资金以改善港口安全状况时对我说的话。他说,这不会主动发生。只有让人们感到不安全之后,才会发生这种情况。只有在内脏地受到影响后,他们才真正采取行动从整体上解决问题。

他说:“船一定要沉。东西一定要炸毁。”

如果您对解决信息安全问题的整体方法有想法,请给我写信: [email protected]

版权© 2004 IDG通讯,Inc.