Интервью с Кевином день, автор "Внутри Ума безопасности: Создание жестких решений"
Мирко Zorz - во вторник, 24 июня 2003 года.
Поставить закладку

Кто Kevin Day? Представьте себя нашим читателям.

Я вырос в Северной Калифорнии, как сын раннего программиста я провел соску в одной руке и клавиатуры в других. Я пришел в информационной безопасности Консалтинг около 9 лет назад, и был принят на работу в нью-йоркской консалтинговой компании в 1999 году Начало в качестве ведущего инженера безопасности, я в конце концов стал менеджером практики безопасности разработки новых концепций и методологий, и разработка проектов высокого профиля для Fortune 500 компаний и правительственных организаций. Совсем недавно, я был одним из основателей Relational безопасности корпорации, организации, которая фокусируется на новых инструментов и методологий для оценки информационной безопасности и управления рисками.

Как вы получаете интерес к компьютерной безопасности?

Потому что мой отец был ранний программистом, я жил и дышал компьютеры и кодирование на протяжении всего моего детства. Как я стал старше, я понял, что это было не мое желание проводить дни и ночи сражающихся кодирования логики. Мое время было сбалансировано между компьютерами, искусством и философией. Все началось, когда я был нанят в больницу на Западном побережье. Ежедневно, у меня были проекты по информационной безопасности бросили свой путь. Это не займет много времени, чтобы понять, что информационная безопасность является идеальным баланс между логическим и творческим. Как говорится в Внутри Ума безопасности, "безопасность не битва творчества человеческого в предсказуемой против логики компьютера ... это непредсказуемая битва между двумя одинаково творческими и динамическими силами: Творчество против творчества." Этот опыт вдохновил мой путь на пути обеспечения информационной безопасности, и я никогда не терял свою страсть к ней.


Какая операционная система (ы) вы используете и почему?

Лично у меня смесь всего в моем доме и офисе. Профессионально, нет ни одного ОС я использую или рекомендовать. Каждый из них имеет свое призвание, каждый из них имеет свою цель, и каждый из них имеет свое место. Битва операционных систем все к часто выходит за пределы безопасности или технологии и земли в мире политики. Тем не менее, я скажу, что удобство рабочего стола Windows, оказывается необходимым во многих случаях-практической жизни. Таким образом, Windows 2000 является моим основным ноутбуком OS с Linux Дуэлью загрузкой.

Как долго вам понадобилось, чтобы написать "Внутри Ума безопасности: Создание жестких решений" и что это было? Любые серьезные трудности?

Идеи для Внутри безопасность Ум складывались в течение многих лет, вдохновленные работают со своими клиентами для решения проблем безопасности. Реальная книга ушло около 8 месяцев, чтобы написать и 18 месяцев для всего процесса публикации.

Сама книга была довольно трудно писать в самом начале. Он не был похож на подручный, и проясняет на правильном балансе философии и практического пример для достижения максимального эффекта, оказался сложной задачей. Кроме того, зная, что вы хотите сказать легко, но относя его к миру не является. Поскольку книга ориентирована на "все зрители," не только технические гуру или профессионалы в области безопасности, большой редакционный уход должны был быть принят, чтобы сделать книгу легко читаемым, с минимальными техническими аббревиатурами.

Какой ответ вы получили от сообщества безопасности в вашей книге? Вы довольны результатами?

Обратная связь была огромна. При изучении нового подхода вы никогда не можете быть уверены в том, как читатели будут реагировать. За короткое время с момента его опубликования, в уме безопасности получили Kudos от нескольких InfoSec публикаций и лидеров безопасности (как Стивен Northcutt из SANS). Я также рад услышать восторженные отзывы о "философии и концепции", Которые являются основной темой книги.

Что вы видите в качестве основных проблем безопасности в Интернете сегодня?

К счастью, мы эволюционировали за рамки вопроса "Является ли информационная безопасность проблемы," который был первым главным препятствием. Теперь мы застряли на том, что информационная безопасность является человеком, который приходит, чтобы исправить наши проблемы безопасности, когда нам нужна помощь. Все часто, потребность в безопасности вызвана ограниченным набором обстоятельств. "Добавление новой ссылки WAN? Предоставление доступа для удаления пользователей? Suring сеть? Назовёй в экспертах безопасности первым", Таким образом, проблема такова:

Безопасность не может быть изолирована таким упрощенным инициирующих событий, как правило, признается исполнительной и управления персоналом. Но, как мы обучаем руководитель, менеджер и технический персонал, чтобы увидеть за это и знать, когда и где вопросы безопасности требуют внимания.


Основная цель моей книги, чтобы научить людей, как "думать" с точки зрения безопасности и как быть лучше оснащены, чтобы признать проблемы безопасности. Безопасность будет по-прежнему будет проблемой, если только "профессионалы в области безопасности" распознавать и решать вопросы безопасности. Чтобы быть по-настоящему безопасным, каждый менеджер, директор, и техник в организации необходимо иметь некоторое понимание основных принципов безопасности.

Что вы думаете о полном раскрытии уязвимостей?

Как аргументы бушевать назад и вперед с плюсами и минусами раскрытия информации об уязвимостях, несколько идей, которые были широко приняты.

1. Продавцы являются более разгневаны писать, "Ошибка свободный код" и реагировать на воздействия и подвиги, если они общеизвестны.

Наоборот

2. Создание экспозиции общеизвестной открывает окно возможностей для каждого сценария-Kiddy в мире, чтобы использовать его в своих интересах.

Я согласен, что лучшие решения могут включать в себя время задержки ответа, где разоблачения / эксплойты сообщается с центральным органом. Я также согласен, что это агентство должно нести ответственность за обращение связанных сторон (как правило, поставщики), которые затем данные X дней, чтобы разработать патч или сделать их раскрытие, прежде чем она станет достоянием общественности. Это в соответствии с главой о "Secretless безопасности" и идея, что ничто не может считать секретной или неизвестной к "плохие парни", И делая вид, что это секрет может работать только против нас. Это также очень incenting поставщиков, так как те, кто не ответили на этом типе сценария, будет значительно увеличены пословицы "яйцо на их лице."

Я вижу много аргументов против такого подхода, и я бы, конечно, не так фиксируется как сказать, решение этой простой. Это далеко слишком большое тема, чтобы обеспечить простой "Да, я согласен" или "нет, я не" ответ.

Что, по вашему мнению, самая большая проблема в области защиты информации на уровне предприятия?


Самая большая проблема в области управления рисками информационной безопасности в масштабе предприятия. Организации сталкиваются с трудностями, чтобы получить в свои руки вокруг безопасности, когда она имеет так много аспектов и возможностей. Средние и крупные компании потратили последние несколько лет строит арсенал средств и технологий для решения точка-в-временных проблем (один ряд проблем = один инструмент / решения). Но теперь организации должны рассмотреть так много уязвимостей & разоблачения, так много инструментов & технологии, и так много правил & стандарты, что такое туннельное зрение уже не возможно. Организации призываются принять практику управления рисками информационной безопасности, распространяющиеся от бизнес-требований к руководящим правилам, техническим деталям. И все это должно быть достигнуто в условиях сокращения бюджетов и увеличения угрозы со стороны внешнего мира.

Какие у тебя планы на будущее? Любые новые интересные проекты?

Я очень возбужден о новой технологии, мы разработали в RelSec. За последние несколько лет мы работали над созданием RSAM (Relational Security Manager, оценка), которая предоставляет клиент и консалтинговые компании с открытой и адаптируемой основой для оценки / управления рисками, и гарантии в крупномасштабном образом. Возможности этой технологии огромны, далеко за пределами моих ожиданий от мира безопасности. Я полагаю, что это будет стандартным средством безопасности для оценки и управления рисками в ближайшие годы, и я очень рад быть связанным с ним с самого начала.