2018年2月27日 星期二

iThome 新聞 【2018臺灣資安大會講師專訪】身經百戰的美國前情報局資安長 Lance Dubsky 皇璽會 http://www.iwin688.com

2018臺灣資安大會即將在3月13日開始舉行,今年臺灣資安大會首度擴大為3天的活動,自3月13日至3月15日,總共安排了25軌議程,邀請超過160位國內外資安專家登臺,極盡可能探討資安的各個面向。舉凡主動防禦、態勢感知、威脅獵捕、威脅情資、AI/機器學習、GDPR、關鍵基礎設施防護、IoT、軟硬體安全開發、資安管理策略,皆有所涉獵。此外,亦有超過150家資安廠商展示最新技術,以及9堂上機實作的資安攻防實務體驗課程。

在大會即將展開之前,我們特別專訪自美國遠道而來的講師Lance Dubsky,他不僅曾在美國多個情報單位擔任資安長,也在民間企業累積豐富實務經驗,是一位身經百戰的資安長。在2018臺灣資安大會,Lance將分別在CyberNEXT ForumCISO Forum帶來兩場不同主題的演講,內容精彩可期。

請簡單介紹一下你的經歷

Lance Dubsky:我是Cyber Oak Solutions資安顧問公司的創辦人,從1980年代我就開始從事IT與維運工作,算起來已經是古董級IT了。在1990年代中期,我轉而從事資訊與實體安全相關工作,在工作生涯前半段的20年中,我都在美國空軍服務。退休之後,我一開始是擔任多位聯邦單位資安長的顧問,包括美國國防部威脅降低管理局、美國眾議院、聯邦調查局與美國國家偵察局。之後,我陸續擔任美國國家偵察局、美國地理空間情報局的資安長,也在Meggitt與Iron Mountain等民間企業服務,直到今日我仍然不斷提供相關顧問諮詢。

你曾經在政府機關與民間企業擔任資安長,請你分享如何成為一位成功的資安長?

Lance Dubsky:我個人認為成功需要很大的努力,而沒有一套成功的方法,是可以適用於每個組織。因為每個組織的環境都不同:領導者不同、技術與流程也不同,所以CISO資安長必須有能力適應每種環境。以下是幾個曾經對我有所幫助的方法:

1.致力於發展團隊,延攬最好的人才,推動團隊發展,並且選擇適合的供應商夥伴。

2.為業務部門服務,CISO必須協助組織的業務領導者保護其業務,因而CISO需要徹底了解業務需求,基於風險評估,保障業務系統、應用程式、商業流程與智財資料的安全。

3.協同合作與溝通,CISO要秉持開放的心胸、坦率、正直、公正與客觀的價值觀,並且將這些價值觀與組織的領導團隊分享,發展信賴的夥伴關係是成功的關鍵。

4.CISO必須了解組織的業務需求與商業目標。

5.CISO必須教導業務與IT主管,如何保護系統與軟體。

6.把資安視為服務!資安團隊的任務是服務業務與IT部門,CISO必須拋棄守門員的心態,把自己當成是可靠的服務供應商,並且教導資安團隊服務客戶的技巧。

7.務必先打好資安的基本功。我們時常會不小心落入追隨酷炫技術或流行趨勢的陷阱,在資安基本功尚未打好基礎前,盲目追逐潮流無助於提升組織的安全。我認為以下三項資安基本功一定要做好:1)在系統開發初始,就遵循安全的開發方法,並且安全地設定好系統。2)能夠快速修補系統。3)對於系統設定的維護管理要嚴格且無情。

8.安排資安工作的優先順序很重要,因為任一個組織都可能有數百項資安問題與改善方法,你必須基於組織的風險衝擊,為資安工作安排最佳的優先順序。

9.最後,一定要有耐心。因為CISO的工作像是在跑馬拉松,而不是短跑衝刺。

你認為2018年最大的資安挑戰是什麼?

Lance Dubsky:在2018年,我們勢必會遭遇許多資安挑戰,然而整體而言,最大的挑戰在於許多非預期事務或員工出現狀況時,如何確保所有資安工作不受影響,持續進行。

當前許多企業仍在努力因應未知的軟體漏洞,尋找可以更快速修補系統漏洞的方法。我們必須持續正視這個問題,因為能夠越快修補漏洞,就能越快降低對外曝露的資安風險。

GDPR將會是重要的議題,在GDPR實施之後,所有資安相關工作都必須考量GDPR對於隱私的要求。GDPR何以重要?因為GPDR的規範對企業財務有顯著的衝擊,企業領導者將會要求公司符合法規,這代表IT與資安團隊的工作重心會轉移,確保高風險、高衝擊的資安問題能符合法規要求,將成為首要的工作。

Spectre與Meltdown等處理器漏洞問題的爆發,突顯許多公司都無法妥善因應。這起資安事件幾乎影響所有數位裝置,從智慧型手機、伺服器,到雲端服務,無一倖免,這樣的局面令人既害怕又擔心。在此之前我一直倡議自動化軟體修補,之所以要針對可信賴的軟體或應用程式採取自動修補,主要著眼於漏洞不補,就是持續曝險。

然而,在Spectre與Meltdown事件中,廠商釋出的軟體修補檔履次出現問題,而且還影響到系統效能。因此,我認為每個組織未來都要決定哪些系統是可以自動化修補,而哪些系統在安裝修補檔前需要先做測試。對於降低Spectre與Meltdown這類資安漏洞的風險,快速執行軟體更新與掌握軟體更新的分析數據,可說同等重要。

還有什麼議題是你認為很重要,必須格外重視的?

Lance Dubsky:我們必須謹記資安的本質,現在許多組織的資安單位仍定位為嚴格把關的守門員,最常說的就是「不行」,以至很難通過資安審核,企業流程遂變得緩慢,適得其反。

其實資安單位最重要的目標,是幫助業務單位了解如何安全部署應用程式或業務服務。如果資安部門老是在說不,那麼公司應該考慮換個資安主管了。

另一個重要的議題是第三方供應商管理,這將會是今日CISO能夠成功的關鍵。現在越來越多的組織採用資安委外管理服務、雲端服務與應用程式委外開發。這樣的作法從組織面來看很合理,然而資安單位就必須與供應商之間制定標準,確保雙方都清楚彼此的權責。

許多組織往往在敲定委外合約後,就認為接下來所有工作都是委外廠商的事,因而沒有繼續督導與監控供應商的表現,這其實是錯誤的。唯有持續與供應商合作,發展夥伴關係,並且監控其表現,才能獲得真正應得的服務。

請你簡單介紹將在2018臺灣資安大會帶來的演講內容?

Lance Dubsky:我非常榮幸能在2018臺灣資安大會分享2個主題,分別是:「Hacking the Boardroom」與「資安威脅情資:是否少才是多?

如今企業執行長與董事會成員之所以更重視資安,因為最近好幾起事件紛紛印證,執行長若不重視資安,一旦發生重大資安問題,往往被迫下臺以示負責。雖然過往CISO資安長很難接觸到董事會,然而這個局勢正在改變,我將分享一些有助於CISO面對董事會的策略,有朝一日說不定能派上用場。

我的第二個演講主題:「資安威脅情資:是否少才是多?」,主要探討資安威脅情資的各個面向。我將介紹主動防禦、資安威脅情資如何提升SOC的運作,也會探討威脅情資對機器學習與物聯網的影響,以及如何打造一個讓資安威脅情資真正發揮價值的平臺。

快來現場聽Lance Dubsky的精彩演講!

趕快報名 2018 臺灣資安大會!最後報名期限,即將截止!



from iThome 新聞 http://ift.tt/2sV4FLy










沒有留言:

張貼留言