提升意识水平

Zonafide的创始人兼首席开发人员Paul Worrall

(首次发布在Linkedin上:2015年4月30日)

我定期阅读《金融时报》,最近有关网络安全的文章促使我与作者汉娜·库赫勒和杰西卡·特温蒂曼取得联系。

在4月23日的“英特尔安全性呼吁对网络攻击采取行动”一文中,暗示着重点不应放在技术上,而应在阻止攻击者进行攻击。 我认为这是一个笼统的概括,意味着您可以找到正在这样做的人员并强迫他们停止。

商店不会通过花费时间阻止可能在其商店中犯罪的顾客来打击入店行窃。 他们试图阻止购物者这样做,或者在看上去是有组织的犯罪时阻止警察对其进行处理。 组织需要做的就是像对待他们拥有的任何其他业务资产一样,认真对待他们的技术。 他们应该知道什么构成了他们的技术,它所服务的业务的哪些部分以及在出现问题时会产生什么影响。

他们需要假设人们可以在技术环境中的任何地方走,然后集中精力使其无害。 我们可以从Internet所基于的网络协议TCP / IP中学习该课程。 这是由美国军方设计的,目的是确保如果任何一个部件发生故障,也不会发生通信故障,这就是当今万维网能够正常工作的原因。

禁止入店行窃的法律不会阻止入店行窃,针对目标攻击者的类似措施也无法阻止袭击。 实际上,根据意想不到的后果法则,随着我们将更多设备连接到Internet,可能不是我们必须保护自己免受攻击的人们。

在2015年4月10日的文章“与看不见的敌人作战中”中,您引用了Fisheye的Tony Cole的话:“我们所拥有的所有内容中都有成千上万行代码。”这是我相信所有人的根源邪恶的谎言。

我从事技术和软件开发工作已超过25年,在我职业生涯的早期,我对考虑如何设计软件感到非常自豪。 在那段时间里,我看到软件架构和设计被短期战术开发所取代。 当今的敏捷开发实践也无济于事。 它在设计和开发之间仍然存在未解决的紧张关系。 结果就是我们今天拥有的大量软件源代码。

在同一期杂志中,杰西卡(Jessica)的文章“客户对容错代码和易受攻击的代码的容忍度降低了”,引用毕马威(KPMG)网络安全小组的安东尼·赫斯(Anthony Hess)的话说:“ .. [软件]的更改可能会将原始设计推向极限……供应商不愿更改基础产品的代码”。 软件供应商可能对此没有保留的借口,但是进行大量内部软件开发的组织只是避免更改,因为他们无法管理更改的风险和影响。 他们遵循一句古老的格言:“如果没有破裂,就不要修复”。

安全设计中心(CSD)指导委员会委员加里·麦格劳(Gary McGraw)也说:“人们对代码错误的关注过多,而对设计缺陷的关注却太少了-但我们认为设计缺陷约占一半。 IT安全问题”

我完全同意麦格劳先生的看法。 软件代码必须被视为一流的商业资产。 对于运行其业务的软件,组织需要提高意识。 他们需要能够看到,触摸并几乎闻到它对他们的作用以及它与他们的业务流程之间的关系。 当软件开发人员以外的其他人可以理解软件的实际功能时,我们会发现,轻松决定网络安全对我们意味着什么以及如何减轻这些风险。

体系结构和设计就是关于这种沟通和理解的。 也许过去使用的技术过于繁琐,但如今可以减少架构和设计的前期开销,并提高其实时性。 我的创业公司有一个解决方案Sparqlycode,可以创建一个语义网的软件源代码,旨在帮助您做到这一点。