Automation nyckel för tids dålig säkerhets boffins

Det sätt på vilket IT-avdelningar har närmar informationssäkerheten är bristfällig, enligt Juniper Networks Senior Director och säkerhet arkitekt Christopher Hoff, som sade att säkerhetsavdelningar måste anta automatisering för att frigöra sin tid att tänka utanför boxen.

AUSCERT, AusCERT 2013: prisma, tvål och kattungar, AUSCERT, AusCERT 2013: att göra saker säkra sedan 1993, AUSCERT, AusCERT 2013: nigerianska bluff offer berättar sin historia, AUSCERT, USA: s regering har ingen aning om hur man föra cyberwar: Ranum

Christopher Hoff, (Credit: Michael Lee / webbplatsen Australien)

På tal till webbplatsen Australien, och presenterar på AusCERT 2012 tidigare i veckan, Hoff sade att säkerhetsexperter tenderar att bara ställa upp reaktiva planer på hur de tänker system skulle gå sönder, utan att ta hänsyn till de oförutsägbara sätt på vilka komplexa system idag faktiskt gör misslyckas.

“Varje gång ett tag, vi testar vissa saker, men vi testar dem som om du träffar den första domino och varannan domino träffar den andre, och det är det här linjär sekvens av händelser som händer”, sade han.

Vad som normalt händer är kaos garanterar människor svarar inte på samma sätt, teknologi reagerar inte på samma sätt som du förväntar det till och så vad hamnar händer i komplexa distribuerade system är du sluta med komplexa distribuerade resultat som inte alltid förutsägbar.

Snarare än att vara en reaktiv kraft, med fokus på hot och sårbarheter när de blir offentliga, bör säkerhetsteam försöker bryta sina egna system, så att de kan hantera sina risker, sade han.

Men säkerhetsexperter har inte kunnat göra detta, eftersom de har trampat vatten i flera år, sade Hoff. Detta beror på att det är svårt, om inte omöjligt, att hålla jämna steg med ny teknik och tillhörande hot, som håller på att rullas ut i allt snabbare takt. Det enda sättet att kunna experimentera med system på det sättet är att använda automatisering för att göra grundläggande säkerhets jobb som stjäl lagets tid.

Sådana åtgärder automation kan inkludera att inrätta system så att de automatiskt meddela varandra att de är under attack, även när de är på helt separata lager.

Det är fantastiskt för mig att infrastrukturen kan vara under attack, och apparna vet inte om det och vice versa. Vi har kapacitet … vi vet hur man utbyta information om sårbarhet och hot. Det är dumt att vi inte gör det.

Även automation verkar ganska logiskt steg, är det inte så enkelt att genomföra. Hoff sade att många Chief Information väktare (CISOs) och CIO kämpar med “teknisk skuld” som de har ärvt, och tyngs av behovet att behålla vad som nu anses vara äldre plattformar. Nyare plattformar som kör över molnet är mer lämpade för automatisering, sade han.

Stora företag med massor av program och existerande infrastruktur har en svårare rutin. [Enterprise kunder] slags arg på mig, eller åtminstone upprörd och grinig om det faktum att jag fortsätter att påpeka [nya modeller infrastruktur]. Vad deras frustration beror bara på att belastas med allt det här som i många fall, om de kunde, de skulle bara flytta från sin tallrik.

Som någon som har arbetat på båda sidor av staketet, och även i nystartade företag och stora företagsmiljöer, är Hoff välvilligt inställda till den frustrerade CISO. Dock lovade han att nyttan av att ta sig tid att sätta upp automatiserade förfaranden är värt smärtan.

“Jag har varit i skyttegravarna, har jag varit en CISO, jag vet hur det är. Det tog mig tre år att, över hela företaget, etablera en riskhanteringsprogram som viks i IT och all verksamhet och revision, och det är en enorm mängd arbete, men det flyttade oss framåt och till den grad att verkligen göra en skillnad “, sade han.

En hel del av det stoppade göra enkla rutinuppgifter och automatisera så mycket som vi kunde, och testa fan av domänen och [andra] områden [för] konsekvenser som ett misslyckande skulle producera.

AusCERT 2013: prisma, tvål och kattungar

AusCERT 2013: att göra saker säkra sedan 1993

AusCERT 2013: nigerianska bluff offer berättar sin historia

USA: s regering har ingen aning om hur man föra cyberwar: Ranum