老兵’看网络安全行业和需要解决的问题

对于信息安全行业的许多人来说,Daniel Miessler无需介绍,因为他’拥有20年行业经验的资深人士,曾在HP和IOActive等公司担任过各种安全职务的专业人员,是OWASP IoT Security Project的负责人,最著名的是该书的作者 无监督学习 播客,新闻通讯和博客。

丹尼尔·米斯勒

除了有效地整理和总结其他人产生的内容外,Miessler还是引起有趣观点和偶发非正统观点的源泉,例如,鉴于与构建功能和结构相比,我们对软件安全的重视程度高,我们拥有的软件安全性恰到好处。扩展业务。

“如果我们损失了更多的钱,或者许多人受伤或丧生,安全性将在一夜之间得到改善。那不是’发生这种情况是因为我们目前拥有的安全性足够好,”他告诉Help Net Security。

但是,他认为,随着新兴市场的出现,现状可能会很快改变。 物联网的扩散 ,开花 隐私挑战 以及我们越来越多的生活被数字化。

“一旦不安全感开始与我们经营成功业务的能力发生冲突–以一种真实的方式,而不仅仅是烦人–和/或人们开始受伤,’s when we’我们将看到法规和激光对工业安全的关注相结合,” he opined.

当前行业问题

尽管信息安全行业在过去的几十年中一直在发展,但它仍处于“wizardry and alchemy” phase, and that’这就是为什么根据Miessler的说法,销售仍然与灾难有关。

违反 他说,黑客和黑客仍然是疯狂而神秘的事情,并且对企业领导者来说是可怕的。恐惧会引起情绪反应,当商人感到害怕时,他们会打开钱包。尽管如此,行业中的大多数人还是真正希望看到组织采用声音 安全措施 和网络犯罪分子越来越短。

“随着行业的成熟,它们变得越来越无聊–例如会计或保险。那’具有讽刺意味的是,安全性目标是:能够将每个决策转化为控制成本和影响成本之间的折衷。现在我们’无处可寻– we’还是一群巫师试图进行会计对话,” he noted.

“更大的问题是我们不’由于安全人员可以使用通用语言来桥接信息安全和业务’不能将他们的风险量化为金钱,而商人最终会从这些术语中看到一切。这就是为什么可以在两者之间进行翻译的人有这种需求。”

需要尽快解决的另一个问题是如何 寻找并雇用合适的人才 网络安全角色。

Miessler认为,此问题是由于大多数公司缺乏入门级网络安全职位和不良的招聘流程所致。

“甚至在infosec中担任入门级职位所需的技能也很重要。如果你不这样做’在系统管理,网络或编程方面有一定基础–或其他与安全性相关的实践经验–您可以多次被跳过以获取职位,” he noted.

“要获得安全保障,您可能要做的最好的事情就是弄清楚雇主正在寻找的确切技能,并让面试在其中的一项或多项中起作用。雇主想知道您可以立即做什么,因为他们不知道’没有时间或风险承受能力来训练新人并可能发现他们’不太适合。您在第一天必须很有用。”

他说,这就是为什么大学实习生和漏洞奖励人在市场上具有如此重要优势的原因–他们进行了已经完成项目的对话,了解了现实世界,即使他们’不是很先进,他们’立即恢复功能。

另一方面,雇主 可以开始 通过减少精力集中在过去使用的过滤和雇用技术(例如学位)上,而将更多精力放在验证和确认候选人可以构建某些东西,编写代码或解决问题上。

未来网络安全行业的问题

如前所述,他预计信息安全行业将在未来五年左右的时间内应对的主要挑战之一是 隐私 。他认为,在物联网和可穿戴设备兴起的推动下,有关所有用途的数据将成为我们经济中的主要货币。

网络罪犯窃取和滥用数据的问题只是问题的一小部分–他指出,真正的问题是数据经纪人,他们以犯罪分子无法企及的方式系统地组织和销售我们的数据。

“如果我们想适当地解决隐私问题,我们需要看看‘legitimate’围绕大多数消费者想要使用其数据完成的业务模型,” he added.

保持行业相关性是另一个重大挑战。

“如果安全组可以’停止违规,公众不会’当一家公司受到损害时,不要再与该公司开展业务,并且该公司可以通过保险获得保护,那么他们很可能会转向基于保险的保护,” he explained.

“在那个世界上,公司问保险公司应该做什么,因为他们’拥有最好的数据保护方式的人。我们’还没有,但我认为未来的信息安全世界将在保险范围内发挥作用。信息安全’最大的问题是无法就减少最大风险的措施做出基于数据的决策,而从激励和业务角度来看,保险公司在收集和利用该数据方面处于最有利的位置。”

分享这个