當前位置：安全 → 企業動態 → 正文

安全行業所面臨的真正問題：自我孤立與缺乏領導

責任編輯：editor007 作者：譯東西 |來源：企業網D1Net 2017-02-28 17:35:24 本文摘自：36kr

編者按：隨著互聯網技術的高速發展，信息共享也變得越來越普遍，而其所導致的信息安全問題也日益受到人們的關注。本文揭示了安全行業的兩大問題，并為大家介紹微軟、Google等公司在面對信息安全時所做的一些舉措。

你大可以隨意找個安全專家，問問有關信息安全的問題，保準能聽到他們抱怨連連：用戶點擊惡意鏈接和打開附件，開發人員發布有bug的代碼，IT人員在安裝應用軟件補丁方面的滯后，C套件不理解安全優先級等等。

但事實上，IT正在弄清楚與開發人員合作的方式。今天，許多企業開始認真對待用戶培訓。實際上，安全專業人士無法相互合作，因為他們都忙著指出別人的錯誤。

案例：上周，當我參加在舊金山舉行的RSA大會時，DeveloperWeek會議也在附近舉行。在后面的會議上我只看到一個安全相關的談話：Pete Chestna，Veracode的開發人員參與主管，談論了安全是開發商的下一個機會。Veracode在DeveloperWeek也有兩個研討會，討論公司如何處理devecops（開發和安全性的融合）。

我感到非常驚訝，沒有一個專家對軟件漏洞和應用程序安全問題表示出擔心，畢竟他們是以安全專家的身份參加這個會議的。這就涉及到一個非常嚴肅的問題，那就是如果他們不和開發人員合作，那這些公司的銷售對象到底是誰呢？

安全似乎仍然生活在一個孤島上，與其余的IT和業務隔離開了。更糟的是，似乎安全有意想要保持這樣的距離。似乎在這樣的泡沫里，大家更易生存——每個人懷著驕傲的優越感，彼此贊同，而不是走出去進入一個新的環境，敲掉壁壘，與非安全專業人士一起工作做出點兒真正的東西來。

這引發了安全行業面臨的第二個大問題：制定解決安全問題的計劃以及開發解決這些問題的方法與技術的領導者在哪里？

微軟在哪呢？

微軟作為“鉆石”贊助商出現在RSA會議上，其以參展商的身份出現，并呼吁達成“網絡戰爭日內瓦公約（Geneva Convention for cyberwar）”。但自從微軟在2014年關閉其可信計算團隊（Trustworthy Computing Group）之后，該團隊就幾乎從安全領域中消失了。微軟給當時的解散找了一個合理的理由——安全需要成為每個產品團隊的一部分，并作為一個總體來掌控全局。

這是從2002年微軟推出可信計算團隊以來最明顯的變化，當時的董事長Bill Gates在給全公司的備忘錄中寫道：“我們必須將計算機行業的信任度帶領到新的高度。

通過可信計算團隊，Microsoft圍繞安全開發了新的觀念模式，并改進了可用性和安全模型。以公司為例，Microsoft展示了其他組織如何在軟件開發生命周期中集成安全性，以便在企業安全中發揮最大效能，同時還與合作伙伴一起探討如何提高每個人的安全——不僅局限于內部。

今天，每個人設定的安全標準都有所不同。科技公司已經找到了適合自己的標準，但沒有一個無所不能的領導者可以填補Microsoft和可信計算團隊留下的坑。蘋果已經在安全方面做了巨大的投資，但其投資僅局限于Mac OS和iOS，并且蘋果的保密文化意味著沒有人真正知道公司到底做了什么。企業沒有辦法從蘋果那兒學習。

Facebook一直在解決身份問題，但在許多安全領域，其仍然遵循行業趨勢，Facebook確實是最早行動的人，但它沒有開辟新的途徑。大量的創新安全創業公司解決了巨大的挑戰，但沒有人喜歡Microsoft的這種共享心理，很大一部分原因是因為他們只針對特定的問題。Mozilla曾經是安全領域的寵兒，但它已經很久沒有以領導人的角色出現過了。

現在只剩下Google了。在某種程度上，Google很適合Microsoft設置的模式，利用其在搜索領域的優勢和其Chrome瀏覽器的普及程度，推動其他人獲得更高的安全性。Google是第一個聲明其瀏覽器不再信任那些使用不安全SHA-1證書的網站的人。它推動證書頒發機構采用公開證書透明度政策，主要是因為公司不斷發現欺詐性數字證書。這為那些有興趣利用Chrome對FIDO進行驗證支持的開發人員提供了數據庫。

它也做到了回歸到解決內部安全問題上，例如其最近的白皮書討論了其推出的硬件安全密鑰可以幫助員工處理多因素身份驗證這一問題。在斯諾登公布了國家安全局跟蹤數據中心并攔截互聯網流量這一消息后，該公司加密了所有進出數據中心的互聯網流量。

在RSA會議上，Google討論了耗時7年才發布的BeyondCorp框架。其中網絡被認為是不可信的，信任是基于公司對用戶和連接到網絡的設備的了解程度。BeyondCorp開始于員工使用無數的設備接受周圍防線，如防火墻和其他可信網絡安全設備等，并且不斷地在網絡內外跳轉。

盡管如此，Google傾向于采取一種獨家方法。這樣做并不表示可以一起解決安全問題，并真正培養和諧的生態系統。它利用其市場地位發出擔保聲明，讓其他公司決定是否跟隨。該公司通過白皮書展示自己的成功，Google是這樣說的：“每個人都做錯了，只有我們知道如何做才是正確的。”

在如今競爭激烈的社會中，為每個人提供更好的安全這樣一種想法是自古就有的，或許每個人都需要參與其中，并共同努力。“唯一有效的方式是谷歌的方式”，也許谷歌的這種風格是適合現在的安全行業的。可是，這種方式能帶給我們什么結果呢？我們需要眼見為實。

翻譯來自：蟲洞翻翻譯者ID：YLS 編輯：郝鵬程

關鍵字：谷歌安全模型 Google