acm-header
登录

ACM通信

首页 / 的意见 / 文章 / 首席安全官的职责是什么? /全文
Kode恶性

首席安全官的职责是什么?

作者:George V. Neville-Neil
ACM通信,2019年10月,第62卷第10期,26-27页
10.1145 / 3357227
评论
认为: 打印 手机应用程序 ACM数字图书馆 全文(PDF) 数码版 分享: 通过电子邮件发送 在reddit上分享 在StumbleUpon上分享 在黑客新闻上分享 在推特上分享 在Facebook上分享
分享
气球支撑人飞过鲨鱼出没的水域

信贷:Lightspring

回到顶部

亲爱的KV,

我工作的这家小初创公司一定在不断壮大,因为我们刚刚聘请了一位“首席安全官”,我在这里加了引号,因为我不太清楚这到底是什么意思。与我一起工作的大多数开发人员似乎都编写了很好的代码,如果我理解了您以前的一些专栏文章,这意味着我们也应该有相对较好的安全性。

让我对CSO感到困惑的是,每当我们的首席架构师和我的老板谈论我们的系统如何运行时,我感觉CSO没有在听。事实上,CSO自从加入我们公司以来所做的大部分工作并没有关注我们软件的安全性。相反,他购买第三方安全产品,然后把它们推给开发团队和公司的其他部门。通常情况下,这些系统会阻碍我们完成工作,时不时地它们就会失效,这意味着我们要么停止使用它们,要么找到绕过它们的方法。

这正常吗?我喜欢在初创公司工作,这是我第一次在一家规模大到可以雇佣这样的人的公司工作,所以也许这就是大公司的工作方式,现在是时候跳槽到另一家初创公司了,在那里安全是我们工作的一部分,而不是别人买给我们的东西。

购买和支付

亲爱的买了,

问“CSO有什么用?”就像问“高管有什么用?”这可能是一个内容太多的话题,我无法在一个专栏中阐述,但让我们看看我是否至少可以在这里部分回答您的问题。公民社会组织就像雪花;没有两个是相同的。事实上,任何一个群体的雪花理论都是完全错误的;在任何职位上都有不同的类别,无论是开发人员、营销人员还是c级主管。与任何高管一样,CSO应该是一个专注于安全的领导者,他可以:调查和理解公司在多个层面面临的威胁;描述对组织内不同群体的威胁;然后制定计划来保护公司、员工和资产免受这些威胁。

CSO是一名安全工程师,所以让我们对比一下这两种工作来创建一个我们应该和不应该看到的画面。

CSO会考虑(实际上,优秀的人会做噩梦)各种安全威胁,然后按不同的顺序排列。一种可能的排序是基于威胁被实际执行的可能性。另一个排序是基于威胁实际实现的下行风险。一个很好的例子是对单个系统的攻击和对一整套系统的攻击。

想象一下,你正在某人的手机上开发一个应用程序——这是一项很常见的工作。有人攻击应用程序的可能性是非零的。成功攻击应用程序的单个实例(例如,攻击者可以获得一些数据,但必须拥有被攻击者的手机)与攻击者可以远程从应用程序的多个或所有实例获取数据的下行风险是非常不同的。在前一种情况下,你让一个客户失望了,而在后一种情况下,你让整个用户群失望了。显然,这些心理计算是CSO花时间思考的事情。

另一方面,安全工程师构建系统,如软件、网络体系结构或其他构件,针对已识别的威胁实现特定的安全特性。使用相同的威胁模型映射,安全工程师致力于防止对系统的成功攻击。

电话应用程序的例子仍然是一个例证。安全工程师将处理应用程序代码,以确保它存储任何必须保密的数据,例如,用于在安全的地方进行安全网络通信的密钥,如TPM(可信平台模块),这是现代移动硬件中普遍提供的一种硬件安全模块。当然,安全工程师知道为什么这是必要的,但不会同时担心如何保护公司的网络路由器免受攻击。

一旦公民社会组织制定了威胁模型地图,他们必须确定它是否正确,并适用于正在开发的系统。良好的安全不是一种万能的情况。如果你认为你的CSO没有听取你的首席架构师的意见,那你就应该三思了。我认为他们的讨论会非常激烈,我曾在一家初创公司工作过,他们在进行这样的对话时总会大喊大叫。如果公民社会组织不了解他们试图帮助保护的东西,他们怎么能保护它?

良好的安全不是一种万能的情况。

这让我想到了安全工作中最不为人知的部分,无论是从业人员还是被从业人员所了解的部分。安全角色始终是一个帮助角色:这个人,或者更多时候是一群人,必须帮助他们周围的每个人了解威胁,并能够向他们指出帮助他们解决问题的资源。

安保行业有太多具有军事背景或军事思维的人,他们可以在严厉的惩罚下命令和强迫人们以某种方式行动。大多数软件公司不是军事单位,大多数工程师嘲笑这种命令和控制。您指出,您和您的同事已经开始反对强加给您的安全系统,而这实际上是可能出现的最糟糕的结果,因为它使系统的安全性远远低于安全系统根本不到位的情况。

你所描述的另一个问题是,CSO喜欢购买质量有时可疑的系统,随着互联网的普及和对越来越多系统的安全需求,这种情况已经恶化。在互联网出现之前,你只需要保护你的电脑,地下室里那台笨重的东西,以及一些拨号调制解调器,以防止内部人员入侵,这已经够糟糕的了。现在,您的系统和软件可以从任何地方和任何地方受到攻击,如果查看SSH (Secure Shell)日志,就会发现它们是这样的。

随着任何行业的发展,它不可避免地吸引了一部分“只是为了赚钱”的人和公司,这使得谨慎和深思熟虑的决策变得更加重要。安检行业播下了大量的恐惧、不确定和怀疑,你可以在几乎所有机场的广告中看到:垃圾邮件发送者出来找你,每台笔记本电脑里都有两种病毒!确实存在着令人讨厌的威胁,尽管在缓解、对策和总体发展实践方面仍有有趣的工作,但安全仍将是一场军备竞赛,至少在可预见的未来是这样。

CSO目前正在进行的操作被称为“支票簿安全”,这是一种处理威胁的特别危险的方法。虽然市场上肯定有很好的安全产品,但事实是,如果没有仔细的计划和仔细的考虑,你不能简单地通过购买一个产品或一套产品来实现安全。您必须考虑如何使用该产品,它是否解决已识别的威胁,以及它是否与您的公司的工作集成。在这三个方面的任何一个失败都意味着你正在把大笔钱浪费掉。

KV

ACM队列的q戳相关文章
queue.acm.org

毫无意义的PKI
一个有态度的koder, KV回答您的问题。他不是礼貌小姐。
https://queue.acm.org/detail.cfm?id=1147526

浏览器安全:外表可能是骗人的
与耶利米·格罗斯曼、本·利夫什茨、丽贝卡·贝斯和乔治·内维尔-尼尔的讨论
https://queue.acm.org/detail.cfm?id=2399757

CTO圆桌会议:恶意软件防御
这场战斗比我们大多数人意识到的要严重得多。
https://queue.acm.org/detail.cfm?id=1731902

回到顶部

作者

乔治·v·内维尔·尼尔kv@acm.org)是Neville-Neil Consulting的东主及ACM队列编辑委员会。他从事网络和操作系统代码方面的工作,教授各种与编程相关的课程,并鼓励您的评论、俏皮话和与他相关的代码片段通信列。

版权归作者所有。
向所有者/作者请求(重新)发布权限

数字图书馆是由计算机协会出版的。版权所有©2019 ACM, Inc.

没有找到条目

登录全面访问
忘记密码? »创建ACM Web帐号
文章内容:
Baidu
map