通信会社がアプリケーションセキュリティを普及させるためにどのように進歩を遂げるかを学ぶ

ポッドキャストを聞く。 iTunesで検索してください。フルテキストを読むか、コピーをダウンロードしてください。スポンサー:HP。

保険会社のリーダーであるAIGは、優秀なモデルのセンターを通じてビジネス変革とITサービスのパフォーマンスを推進しています; HPディスカバリーのポッドキャスト:McKessonはITをフルビジネスソリューションを提供するサービスプロバイダーにリダイレクトし、KPIを重視してITに投資しますビジネスリーダーをビジネスラガー調査結果の表示; HPとのエキスパートチャットによるセキュリティの理解によるセキュリティの理解:クラウド導入のインヒビターではなくイネーブラー、コントロールとガバナンスを維持しながらITがクラウドを可能にする方法に関するHPとの専門家チャット

Wは、HP Discover Performance Podcastシリーズの最新版を発表しました。次の議論では、大手電気通信事業者がセキュリティにどのように取り組んでいるのか、詳細と戦略を同時に管理し、その価値を多くのタイプの顧客にまで広げる方法について検討します。

ここでは、これらの企業ITセキュリティの問題を調査するため、HPソフトウェアのチーフセキュリティエバンジェリストであるRaf Losという、このスポンサーポッドキャストの共同ホストに加わりました。

また、ITセキュリティとコンプライアンスを重視している大手通信会社のシニアITマネージャであるGeorge Turrentine氏の特別ゲストも大歓迎です。 Georgeはネットワークアーキテクトとしてスタートし、セキュリティアーキテクトに移行し、過去12年間にアプリケーションセキュリティ、動的分析を使用したWebアプリケーションの脆弱性、さらに最近では静的解析を使って脆弱性を研究しています。 GeorgeはCISSP、CISM、およびCRISCで認定を取得しています。

ディスカッションは、Interarbor Solutionsのプリンシパルアナリスト、Dana Gardnerによって司会されています。 [開示:HPはブリーフィングのダイレクトポッドキャストのスポンサーです。]

ここにいくつかの抜粋があります

G ardner:私がよく知っている組織の多くは、セキュリティに重点を置いています。時にはレーザー・レベルでもあります。彼らは、戦術、個々の技術と製品、そして特定の種類の脆弱性に注目しています。しかし、時には戦略が欠落している可能性があり、部分全体の合計よりも大きく、これらの側面の一部に統合が欠如していること、セキュリティにアプローチする方法があることがわかります。

私はそれがあなたがそれを見ているのかどうか、それが大規模な電気通信組織を堅固なものにする重要な側面であるのかどうか、それがセキュリティの姿勢になるのだろうかと思います。

私たちは、組織に対する攻撃が変わった時代と場所にいるのは間違いありません。これまでは、1人の個人または2人の個人によって、組織に対して非常に集中的な攻撃を行うことになっていました。それはブルートフォース型攻撃だろう。この場合、アプリケーションとインフラストラクチャが攻撃されていることがますます増えています。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

企業に対して高度な永続的脅威(APT)を実行しようとしている誰かが、組織内のアラームを止めるつもりはないということです。彼らはレーダーの下にとどまり、一度に少しやっていることに焦点を当てて、何が起こっているのかを人々が必ずしも見ないようにしています。

G ardner:Raf、あなたは何を見ているの?ジョージが指摘しているように、微妙な認識の新しいタイプがありますか?

L os:微妙なことが物です。誰も仲間入りのハッカーになりたくはありません。報酬は高いかもしれませんが、捕まって逮捕される危険性も高いです。誰かが侵入してあなたのウェブサイトを悪用しようとしているという考えは今日でも最高の幼稚なものです。誰かが一度それを私のところに置くと、良いハッカーはあなたが何か月後に捉えるものです;偉大なものは、決して見ることができません。

それが私たちが心配していることです、そうです。どのような流行語を使用していても、攻撃は進化しており、攻撃者は進化しており、進化しているよりも早く進化しています。

私が前に言ったように、それは暗闇の中でホタルを追うようなものです。私たちは、あなたがサポートしている会社や組織に関連する実用的なセキュリティを実行するのではなく、一日の輝かしい、まばゆいものを追いかける傾向があります。

G ardner:私が見たことの1つは、アプリケーションセキュリティとは違って、ネットワークセキュリティを管理するのに異なる組織、さらには異なる文化があることです。そして、しばしば、彼らは彼らは可能性があります。そして、それは彼らの異なる防御の間にいくつかの亀裂をもたらす。

Georgeは、通信業界では、強力なネットワークの歴史と理解を得て、より多くのアプリケーションやサービスをそのネットワーク上に展開し始めているという点で、サービスプロバイダーが有利に働いていることに気付きました。ネットワークとアプリケーションの間の文化的な隔たりを橋渡しすることで、あなたが前進していると言えることはありますか?

私たちは、攻撃と周囲に集中して、誰もが鋭い外見を通過していないことを確認しようとしていました。問題は、現代のネットワークのシナリオでは、アプリケーションなどをホスティングしているときに、イベントを開催するためのドアがすでに開かれていることです。ユーザーがアクセスするための経路を開かなければならなかったからですネットワークに接続し、サーバーにアクセスし、ビジネスを行うことができます。あなたはこれらの穴を開けました。

一次障壁

残念ながら、開かれた穴は攻撃の道です。そのため、アプリケーションはデータ保護の第一の障壁となっています。多くの人々は、必ずしもアプリケーションのセキュリティが実際に組織内の攻撃と防御の最前線であることを理解することに移行していません。

つまり、アプリケーションが自分自身を守るだけでなく、脆弱性やコードの欠陥から解放され、誰かがアクセスしてはいけないデータを簡単に取得できるようにする必要があります。

G ardner:Raf、アプリケーションがファイアウォールの内側にあったため、ある程度の時間の間、アプリケーションの方がやりやすいように聞こえるかもしれません。ネットワークは保護される予定だったので、私はそれについて考える必要はありませんでした。さて、ジョージが指摘しているように、アプリケーションは公開されています。アプリケーションの開発とライフサイクルの考え方を変える必要があると思います。

LOS:Danaは、2001年のように数年間、非常に大規模な企業で時間を過ごしていたため、アプリケーションの所有者が戻ってくる時間を教えてもらえません。これを修正する必要があります。アプリケーションがファイアウォールの内側にあるため、これは大きなリスクではありません。

ラフロス

しかし、それでも遠くに戻っても、それはまだコープアウトでした。その当時、周辺は腐敗し続けていたからです。今日、それはただのことです。それが現実です。

周囲のこの侵食は、何も本当は内部がないという事実と相まって、これはすべて困難になります。ジョージがすでに述べたように、アプリケーションは単にバグのないことだけでなく、実際に不確実な環境にそれらを置く場合に自分自身を守るために作られています。そして私たちは良い一日にインターネットを不確実と呼び、1日おきに非常に敵対的であると呼ぶでしょう。

消費者は機能豊富なアプリケーションを求めているため、開発者はアプリケーションを開発して豊富な機能を提供しています。問題は、同じ開発者が教育を受けておらず、安全なコードを作成する方法を習得していないことです。

もう一つは、あまりにも多くの組織が、起こっている可能性のある大きなイベントを見る傾向があるということです。しかし、ハッカーたちは大きなイベントを探しているわけではありません。彼らは実際に静かに来て、そのアクセスを活用できる小さなバックドアを探しています。インフラストラクチャ内のアプリケーションとサーバー間の信頼を活用して、他のボックスや他の場所に自分自身を昇格させ、データにアクセスします。

リトルアプリケーション

それは周囲から保護されていたことを当然のように取っていました。しかし今はそうではありません。ほとんどのセキュリティ部門が無視するこれらの小さなアプリケーションがあるからです。彼らはそれらをテストしません。彼らは必ずしも確実に通過するとは限りませんし、それらが安全であること、または動的分析か静的分析でテストされていることを確認して、「危険性が低い」ためにそこに置いています。

G ardner:これをちょっと切り取ってみましょう。一方では、何年にもわたって何十年にもわたって書かれたアプリケーションがあり、公開される可能性があることを知り、公開するリスクを考慮する必要があります。それは開発者の仕事ですか?どのように古いアプリケーションを暴露するか、暴露の点でリスクが低いものにするか?

また、反対側では、異なる方法で開発する必要がある新しいアプリケーションが用意されています。セキュリティは、開始からすぐに要件にインスタンス化されます。あなたはその方程式のどちらの側をどのように解析しますか?彼らがこれらの問題にアプローチする際に、人々は何を検討すべきですか?

あなたは、最初にセキュリティ要件を入れても、SDLCの要件フェーズでは、多くの開発者が低コストで簡単に実装できるという事実に戻ります必要なものに到達し、より安全なものにする方法を必ずしも理解する必要はありません。

これは教育制度が今私たちを失望させたところです。私は30年前にプログラミングを始めました。当時、アプリケーションを書くことができる非常に限られたメモリ領域がありました。オーバーレイを書く必要がありました。データをメモリの内外に確実に移動してすべての処理を行い、アプリケーションが実際に提供されたスペースで実行できるようにしなければなりませんでした。今日、私たちは膨らんでいます。私たちはRAMを膨らませています。私たちは16から64ギガバイトのRAMを持つシステムを持っています。

LOS:オペレーティングシステムを実行するだけです。

私たちは不注意に

オペレーティングシステムを実行するだけです。そして、私たちは不注意になってしまった。私たちは本当に気にしないところに行きました。私たちは物事を記憶の中と外に移動する必要はないので、私たちはそれを記憶に残します。私たちはこれらの他のすべてのことを行い、これらのすべての機能をそこに置きます。

小規模な分野で書く方法を教えてくれた学校では、コードを最適化する方法、コードを修正する方法などを教えてくれました。効率と最適化によってセキュリティが確保されました。

今日、私たちはbloatwareを持っています。私たちのデベロッパーは大学に進学しており、訓練を受けています。彼らが学んでいるのは、フィーチャーと機能を追加する方法だけです。セキュリティで得られるトレーニングの総量は、通常1時間の講義です。

Joe Jarzombekのような人々に国土安全保障省(DHS)に所属しており、彼がまとめたSoftware Assurance Forumがあります。彼らは大学にセキュリティを取り戻そうとしているので、開発者に安全なコードを開発する方法を教えることができます。実際にそれらを適切にトレーニングし、安全なコードを作成するための考え方、方法論、アーキテクチャを見れば、安全なアプリケーションが得られ、データを保護することができます。

G ardner:確かに、新しい開発者の教育のための良いメッセージです。セキュリティ・アーキテクトの役割をスクラムに、開発中のチームにさらに組み込む方法はありますか?それは理にかなっているような別の文化的変化ですか?

私は、よりグローバルなセキュリティアーキテクトとは違って見えるアプリケーションセキュリティアーキテクトが近視眼的な傾向があるという事実もあります。多くの場合、教育と知識によって制限されています。

それに直面。私たちは皆同じことをしています。人々に提供する必要があるトレーニングの一部は、箱の外で考えることです。あなたがしているのは、その日のセキュリティに関する現在の知識に基づいてアプリケーションの要件を定義し、ボックスの外で考えようとしていない場合、あなたはすでに陳腐化しています。生産に移行する。

未来へのプロジェクト

攻撃の過程で起こっている進化をさらに考え始め、どこに向かうのかを見てから、今後2年または3年を予測して、今日のアプリケーションに必要なものを真に設計できるようにしなければなりません、リリースの前に。

G ardner:レガシーアプリケーションはどうですか?私たちは近代化をたくさん見てきました。仮想化を使用して新しいプラットフォームに移行し、サポートとプラットフォームにかかるコストを削減できます。多くの場合、古いアプリケーションは、ここ数年はかなり長く滞在しています。セキュリティがこれらのアプリの問題になってきたときに、より多くの情報が得られるようにするためには、何を考える必要がありますか?

あなたがレガシーなアプリケーションを持っていれば、いつもアップデートしようとしているエリアの1つ、もしそれをまったくアップデートしようとしないなら、何らかのアプリケーションプログラミングインターフェイス(API)を書いて、それのための。その後、APIインターフェイスを使用すると、基本的なレガシーアプリケーションが安全に構築されていないと、誰もがデータを盗むように招待されただけなので、ドアを開けたばかりです。

だから、レガシー・アプリケーションは、ラッパー・アプリケーションか、実際にデータを保護する何か他のものによって評価され、保護されている必要があります。

私は何年にもわたって、より多くのWebアプリケーションファイアウォール(WAF)を出す必要があると誰もが言ってきました。私はいつもWAFをバンドの援助以上のものとみなしてきましたが、多くの企業がWAFをそこに設置し、30日後にルールを書いたと思います安全です。

WAFは、毎日テストされ更新されない限り、無価値です。

L os:それはトリックです。私は前の人生でそれに遭遇し、それは本当に悪いのです。私たちは、エンタープライズがなくては生きられないような方法で移植したメインフレームアプリケーションを持っていました。彼らはリモートでアクセス可能にするためにWebインターフェイスを置いています。それで壁を通って頭を動かしたくなければ、私は何をするのか分からない。

その上で、私は十分に大きな訴えをして、私が望むすべてを操作できることを彼らに示しました。 SQLインジェクションは、2004年にはまったく新しいものでしたが、そうではありませんでした。彼らはうまく、 “WAF、WAFをやりましょう”と言いました。私は、「私たちが問題を解決する間に、これをやろうとしていることを確認してください」と言った。いいえ、いいえ、問題を解決したり、WAFを入れたりすることができます。ペイメントカード業界(PCI)が当時のことを思い出してください。

戦術と戦略

G ardner:だからこの戦術と戦略の問題に戻りましょう。方程式のこれらの両面、Webアプリケーション、レガシー、脆弱性の両方を見ている人がいなければなりません。この問題にどうやってアプローチしますか?

あなたがそれにアプローチする方法の1つは、セキュリティがそれ自身の組織であってはならないということです。セキュリティにはいくつかの預言者と伝道者がいなければなりません – 私たちはここに宗教に入っています – 組織全体に出て、人々を訓練し、セキュリティのあり方を考えるようにして、情報を前後に提供し、それら。

それは私が複数の異なる組織に設置したことの1つで、セキュリティの焦点と呼ぶものです。彼らは私のグループの人々ではなかった。彼らは、私がサービスを提供したり、評価したりするための、組織内の人々でした。

彼らは組織内の目と耳であることを確かめるために訓練して働くことになるでしょう。そして、問題を解決する方法に関する情報を提供し、それらが問題の主要な人物になるようにします開発チーム、アプリケーションチーム、どんなものでも。

彼らが問題に遭遇した場合、彼らは戻って、質問し、別の地域で教育を受ける機会を得ました。そのような民兵は組織内で必要なものです。

私は実際に必要な人数を得ることができる単一のセキュリティ組織を見たことはありません。しかし、この方法では、人数を支払うことはありません。これは、人々があなたに並んで点在するようになっている、またはあなたと協力してあなたに頼っていることです。あなたは、あなたが必ずしも自分でそれを取ることができないメッセージを取ることができる人々を持つことになります。

G ardner:Raf、最近私たちが行った他のポッドキャストでは文化について話しましたが、今は組織を話しています。グループの監督ではなく、セキュリティが水平な要素になるように、企業内で組織を調整するにはどうすればよいですか?私はそれがジョージが得たものだと思う。それは組織で教えられるようになったのですか?

LOS:そうです。私は数年前に働いていた素晴らしいCISOを持っていました.Dan Conroyという名前の紳士です。皆さんの中には彼を知っている人もいます。彼の戦略は、セキュリティ組織を本質的に不均等に分割することであったが、中央に近いものではなく、むしろ戦略、ガバナンス、および運用に偏っていた。

戦略とガバナンスは、正しいことを決定したチームとなり、私たちは建築家でした。私たちは、正しいことが何であるか、大まかに言えば、それをどうやって行うのか、そして誰がそれをやるべきかを決めた人々でした。その後、定期的な監査を実施し、ガバナンス活動を行っていることを確認しました。

その後、セキュリティの運用部分が技術部門に戻されました。そこで、ネットワークチームにはセキュリティコンポーネントがあり、デスクトップチームにはセキュリティコンポーネントがあり、サーバーチームにはセキュリティコンポーネントがありましたが、彼らはすべて点線の従業員でCISOに戻っていました。

最新の

直接の報告行はありませんでしたが、彼らは私たちの会議に来て、起こっていることについて報告しました。彼らはそれらを悩ましていた問題について報告しました。彼らは助言を求めた。そして、我々は彼らが何をしているかについて最新のものであることを確認しました。彼らは私たちに情報をもたらしました、それは双方向的でした、そして、それは素晴らしい仕事をしました。

今日のペースに合わせたセキュリティ組織を構築しようとするならば、これはそれを行う唯一の方法です。それ以外のものは予算1,000万ドルと人員2,000人を求めなければならないからです、それらのどれも可能になることはありません。

G ardner:未来を見据えて、従来のアプリケーションと新しいアプリケーションのいくつかについて話をしました。クラウドでモバイルの要件のいくつかはどうですか?

組織はハイブリッドサービスの提供、より多くの露出の機会、クラウドへの露出、モバイルエッジへのより多くの露出を求められているため、これらの種類の組織的にも戦術的にも、人々に何を考慮すべきかアドバイスできる脅威かこれらの種類の挑戦?

あなたがそれを所有する組織の外にデータを移動するときはいつでも、それは自分のデバイス(BYOD)を持っているかどうか、またはそれがクラウド、つまり公募であるかどうかにかかわらず問題に遭遇しています。プライベートクラウドは内部にあります。これは、仮想化を混乱させ、それを新しいものと呼ぶ別の方法です。

しかし、組織外のデータを処理するときは、適切な方法でデータを管理できる必要があります。モバイルでは、多くの現在のインターフェイスのIDEやSDKなどが、すべてのものを1つのサイズに収まるように処理しようとします。これらのSDKの所有者にメッセージを送って、特定のデータに対してデバイス内の安全で保護された領域を提供できるようにする必要があります。そのため、暗号化することも、別の方法で処理することもできます。それが何であれ、ハッシュされる。

次に、アプリケーションと呼ばれる通常のチャネルを経由せずに、何か試して攻撃したり削除したりする場合は、適切かつきれいに削除したり削除したりする必要があります。

安全な進化

私は誰もまだその人物を扱っているとは思わないが、私は、組織やIDEの所有者と作業を始めることができるので、より安全な進化を得ることができると思う。モバイルOSを使用し、データを保護することができます。

G ardner:私はそれをそこに残さなければならないのではないかと心配しています。それで、私はHPソフトウェアの共同セキュリティ担当責任者、Rafal Los、Chief Security Evangelistに感謝します。また、HP Softwareのこのシリーズのサポーターに感謝し、Rafとの対話を自分のブログ「White Rabbit」やLinkedInのDiscover Performance Groupを通じて継続するように聴衆に思い出させる。

私はまた、大手電気通信会社のシニアマネージャーであるGeorge Turrentineの特別ゲストに大変感謝しています。

また、最高のITパフォーマンス管理に関するより多くの洞察と情報をhttp://www.hp.com/go/discoverperformanceで入手することもできます。また、iTunesでBriefingsDirectのHP Discover Performance Podcastシリーズでいつでもこのエピソードや他のエピソードにアクセスできます。

ポッドキャストを聞く。 iTunesで検索してください。フルテキストを読むか、コピーをダウンロードしてください。スポンサー:HP。

あなたも興味がある可能性があります

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命