安全发明者不必应用:降低设计风险

网络工作吸引人的部分原因是你可以发明, 打造“杀手级应用(app)”或做出新的突破. 这是许多才华横溢的创意人士的魅力所在, 但现实情况是，网络安全领域没有给创造力留下多少回旋余地. 开发人员被鼓励跳出框框思考，而网络安全从业者则被鼓励做相反的事情. 在风险和风险规避方面，网络安全和审计行业不喜欢创新. 这是一件非常好的事情.

为什么一个才华横溢的工程师会放弃创造终极新解决方案的机会呢? 因为太危险了.

经验丰富的网络安全架构师对许多标准网络安全技术的了解和相对较少的新想法接近他们的工作. 当涉及到包含敏感数据的应用程序时，他们绝对会避免重新发明轮子. 基于数据做出决策的前瞻性架构师可能会决定尝试人工智能(AI)或找到一种关联信息的新方法, 但人们永远不会发现一个优秀的网络安全架构师发明一种用于生产的新技术，比如加密算法, 或者编写传输层安全(TLS)或安全断言标记语言(SAML)的替代品. 相反，他们将执行一个令人厌烦的标准. 为什么一个才华横溢的工程师会放弃创造终极新解决方案的机会呢? 因为太危险了.

像任何一个聪明人一样, 你可能会认为，保守的方法导致缺乏进步和创新. 你是对的，令人惊叹的技术总是被遗弃在路边, 就像你成为奥运短跑运动员的梦想一样被粉碎和摧毁. 吞下这颗红色药丸，跟我去兔子洞 矩阵¹ 在这个世界里，放弃梦想，遵循安全标准是有意义的，原因如下:

1. 为了保护自己不被美国联邦政府或其他各方起诉-联邦机构和其他实体可以并将不时对广告索赔提出质疑. 人们必须确定他们做了他们声称要做的事情，否则他们将面临重大风险. 坚持使用官方文件中提到的技术, 以及这些文件(如.g., 根据美国国家标准与技术研究所(NIST)，“加密”一词的含义, 可以避免惩罚措施，并有坚实的法律依据.
2. 因为它们被其他组织使用-这违反了你父母警告你的一切，当他们说, “就因为你的朋友这么做, 不代表这是个好主意吗.奇怪的是，这条规则颠倒过来，在网络安全领域完全有意义. 如果您使用的安全设计或方法与, 例如, 谷歌还是微软, 你将能够在一定程度上根据先例为自己的工作辩护.
3. 因为它们已经被检验过，或者至少被接受了-哈希算法BCrypt, 这是多年来的标准吗, 通过最近的代码审查，发现了一个严重损害其有效性的漏洞. 即使已经进行了大量的验证和测试, 这个被广泛接受的算法出现了一个问题. 尽管如此，普遍使用在一定程度上取代了测试，因为其他人也在这样做. 如果你用了BCrypt，而它出了问题, 那么至少不是你的算法有问题，而是标准有问题. 试图向法官证明你的算法经过了彻底的测试，并且等同于, 或者比, 这一标准将是一项艰巨的挑战, 即使标准并不完美.
4. 因为NIST对所有东西都有文档-像NIST这样的标准制定委员会有很多详细的文件来描述事情的“如何”和“为什么”，有时, 甚至他们的文件也有文件. 他们的工作是制定标准、推荐技术和提供指导. 美国政府严格遵守一套涵盖许多指导方针的标准，不会偏离这些建议. 遵循这个例子并从这些制定标准的机构及其文件的智慧中获益是安全的.
5. 因为你的名字前面没有"医生"-如果你有博士学位的话, 然后也许你可以自制一些新的技术或网络安全方法, 但你可以打赌，它不会被网络安全教条所接受，除非有更多像你这样的人对它表示赞同. 即使在那时, 如果出现问题，导致数据被盗, 这是你的好名字和头衔.
6. 因为来自网络的解决方案(如开源)拥有许可，可以将所有风险都转嫁给您-来自网络的代码, 包括Stack Exchange等网站, 可能已经在非标准数据上进行了测试，并且可能存在可能使您处于危险中的错误或缺陷, 即使作者声称它符合所有标准. 随开放源代码而来的许可证往往会通过包含诸如, “没有任何形式的保证.“如果您使用开源，请选择信誉良好的库，特别是那些被认为是标准的库.
7. 因为其他人更聪明-嗯, 如果你正在读这篇文章，那可能不是真的, 但这是美国政府和标准制定组织的假设. 原因1, 2, 4, 可能是5, 如果您偏离了这些标准，您的组织可能会以糟糕的结果告终. 一个天才也许能够建立世界历史上最好的加密算法，但是, 直到该算法在加密比较图表的顶端赢得一席之地à-la NIST, 它不会被法律接受为加密.
8. 除非你为科技巨头工作, 在这种情况下, 这些原因都不适用于您——加密货币除外-因为数十亿美元和巨大的互联网依赖于你的科技巨头建设, 人们普遍认为，无论您推出什么新协议，都将成为标准. 诚然，大型澳门赌场官方下载通常不会在不进行尽职调查的情况下投入大量资源, 我们倾向于假定他们是无辜的. 谷歌的SPDY协议就是一个例子，一个大公司的标准产生了影响，但仍有改进的空间. 但即使是科技巨头也不愿设计用于生产系统的新加密技术.

对于网络安全架构师来说，在标准中找到安慰是很自然的, 但并不总是针对开发者. 你可以更快地让你自己和你的团队参与进来，而不是自己制作加密货币, 散列算法, 签名和身份验证方法, 还有其他好东西, 你就能越早降低风险. 你错过了一个改变世界的发明吗? 可能. 为了保持低风险，值得错过吗? 绝对.

接受网络安全标准，放弃用超级英雄般的新技术拯救世界的梦想，才是成熟的做法. 坚持使用经过严格测试的传统网络安全技术和标准, 是否无处不在，以至于需要为它们制作补丁, 在技术和法律上都坚如磐石. 在未来, 当你被聪明人的发明所诱惑时, 澳门赌场官方下载你内心的怀疑, 考虑这里的理由，并对你作为(发明家)梦想的破坏者的角色充满信心, 这一切都是为了保护你的数据.

尾注

¹ 导演拉娜·沃卓斯基和莉莉·沃卓斯基., 矩阵，伯班克，加利福尼亚，美国，华纳兄弟，1999年

大卫·克罗斯，CISSP, GCIH, GPEN, GWAPT, ISTQB

黑客和首席安全架构师是什么 亨利·沙因一号. 他从开发部门转到安全部门, 他在哪里创建了包括基于神经网络的成本预测系统在内的应用程序, 文件识别和紧急医疗管理系统. 他喜欢在安全会议上发言并为澳门赌场官方下载服务. 他是犹他证券公司和网络安全合作论坛的董事会成员, 他还曾担任InfraGard的总裁. 当他不保护系统的时候, 支持策略或自动化安全控制, 他正在编写基于语音自动化人工智能(AI)的黑客软件, 为黑客工具做出贡献, 对未来的猜测，或者宣扬人工智能在安全领域的应用.