编者按: 泰德·哈林顿管理着独立安全评估机构(ISE), 开创汽车黑客的精英安全研究人员, 谁最先利用了iPhone, 首先利用Android操作系统, 首创医疗设备黑客攻击, 并举办黑客活动物联网村. 哈林顿将在ISACA大会上发表主旨演讲 EVOLVE新兴科技虚拟会议, 于11月16日至17日举行, 他最近访问了ISACA Now,分享了他对攻击者和新兴科技领域的看法. 以下是采访实录,为篇幅和清晰度进行了编辑:
ISACA Now:您是如何理解攻击者的思维方式的?
通过研究它们. 安全研究人员的工作是发现系统中的安全缺陷,以帮助推动安全性改进, 要么在该系统中,要么在更广泛的受影响行业中(或两者兼而有之). 为了找到这些漏洞,我们需要像攻击者一样思考. 做到这一点的方法是问很多“如果”的问题, 挑战潜在的假设, 以及——非常重要的——理解动机. 就我个人而言, 我一直很想了解人们为什么会做他们所做的事情,以及他们做出决定的动机是什么. 这不仅适用于有道德的人,也适用于攻击者和恶意类型.
ISACA Now:新兴技术是如何影响威胁形势的?
唯一不变的是变化. 任何从根本上改变的东西都会影响攻击场景. 不管是技术本身的变化, 市场条件, 或者攻击者方法, 变化的每一刻都会影响到事物将如何受到攻击,以及我们需要做些什么来保护它们. 因此,从最简单的意义上说,新兴技术引入了新的攻击方式. 也就是说, 毕竟,也不全是厄运和阴霾, 新技术带来了巨大的好处,我们应该不断追求更好. 结论很简单,随着变化,需要重新考虑系统可能受到的攻击. 但这不应该成为创新的阻碍.
ISACA Now:您对自动驾驶汽车的安全前景有何看法?
我很乐观. 赌注当然高得离谱,因为我们谈论的是,如果自动驾驶系统的安全性失效,人类的生命将处于危险之中. 然而, 正是因为这个原因, 构建这些系统的公司和安全研究澳门赌场官方下载都对解决这个问题非常感兴趣. 一如既往地, 风险是存在的——在某些情况下, 巨大的风险——这种新技术可能会导致不好的结果. 但我相信道德黑客澳门赌场官方下载和安全研究人员的工作,并认为从安全的角度来看,自动驾驶汽车是可行的. 这里隐含的明显假设是,构建这些系统的公司需要投入时间, 努力, 在建立安全系统上投入的资金, 我希望他们会这么做.
ISACA现状:澳门赌场官方下载领导者在调整安全投资时采用的最佳方法是什么?
首先也是最重要的是,摆脱那些几乎束缚所有人的荒谬枷锁. 大多数公司通过找出他们可以获得多少产品和服务来确定他们的安全预算,并使用这些报价来设定他们的预算, 没有意识到他们是基于最便宜的市场. 安全就像任何值得做的事情一样:一分钱一分货. 所以,当预算是基于最便宜的方法时,你会得到最便宜的结果. 这并不是考虑如何保护澳门赌场官方下载所保护的高价值资产的最佳方式. 而不是, 我建议领导者根据以下三种方法中的一种或多种对安全预算进行基准测试:通过总体软件开发预算, 由员工, 或者按收入计算. In 可删节,我列出了应该根据这些不同基准分配的百分比.
ISACA Now:您认为在2022年及以后,澳门赌场官方下载的安全卓越性应该是什么样子?
以下是一些原则:
- 从正确的心态和正确的伴侣开始
- 选择正确的评估方法
- 进行正确的测试
- 破解你的系统
- 修复你的漏洞
- 再黑一次
- 明智地花钱
- 建立威胁模型
- 建立安全
- 赢得销售
每一个都有深入的解释 可删节!
