安全专业人士必须避免炒作,展示价值,说RBS CISO
根据RBS首席信息安全官(CISO),Chris Ulliott的说法,安全专业人士对亨累斯安全的认识,避免过度大肆宣传一些威胁。“这条消息正在通过,我们需要参加信贷为此,但我认为我们面临着过度估中的一些我们所做的事情,“他告诉信息安全专业人士AtcrestConin伦敦。
Ulliott说,一些漏洞周围的一些漏洞开始了。“我们需要有一个关于网络风险的更加平衡的信息,我们拥有的事件,我们正在寻找的漏洞,以及它对企业的真正意味着什么。”
虽然非常严重,但他说Issuessuch Asmeltdown和Spectredid不值得拥有它们的炒作。
“那里有一些非常好的,平衡的普通的影响,但他们被炒作淹死了,作为一群想要促进安全的专业人士,我们并不真正希望歇斯底里人成为驱动我们的意识的事情做,“Ulliott说。
Hevoiced担心的担忧太多了,围绕某些威胁可能会使人们停止聆听安全专业人员,如果他们怀疑“哭泣的狼”,这将开始撤消职业在提高对该专题的意识和兴趣方面取得了巨大的攻击。
然而,他说,一些高调的网络安全事件,例如2017年6月的ThentpetyGlobal攻击,驾驶意识和良好的做法,因为如果组织未能遵循行业指导,那么就会带来良好的实践。
他说,他哈达尊重丹麦航运Firmmaerskfor承认它受到了影响和告诉人们发生了什么,它是如何回应的,并学到了教学资金。
“Maerskdemonstrated在没有任何商业动力的情况下,没有任何商业动力的销售任何产品或服务的商业动力,”Maerskdemonstrated of透明度尚未见过。“ 。
幸运的是,他说RBS不受不受不受欢迎的奥尔曼特征的影响。“我拔了紧急线,要求立即部署SMB [服务器消息块]漏洞包裹,因为我们预测它会是令人难以难以祸害的,所以我们感到有点沾沾自喜案件。”
Ulliott打电话给Wannacry和Notpetya Bandwagon跳上了安全咨询,并围绕着他的呼吁可以解决有关的挑战。“我在呼吁供应商致电后收到电话,试图销售他们的商品,以后的罪行,不确定性和怀疑。
“幸运的是,我在我身后有一个良好的安全团队,让银行保持在一个好地方。但不是每个组织都是幸运的,我担心这些行为开始污染我们的行业,我们需要看看我们如何产生销售领导。咨询公司需要找到更开放的方式。
“我们需要有一个关于网络风险的更加平衡的信息,我们所拥有的事件,我们正在寻找的漏洞,以及它对业务的真正意味着什么”Chris Ulliot,RBS“一段时间后,警报器的声音可以开始淡入背景。当您随时听到它们时,开始关闭。我们需要非常清楚,作为一个我们不会陷入陷阱的行业。“
相反,Ulliott倡导顾问和其他安全专业人士采用“可信赖的合作伙伴”方法,这对中小型企业特别好,通常没有专门的内部网络安全团队。
“安全专家对安全专家建立了与商业实体的伙伴关系存在的真正作用。我们一直在寻找能够成长和理解驱动器和激励我们作为一家公司的合作伙伴,他们了解我们的IT遗产,了解我们的业务目标,了解我们的挑战,以便在发生紧急情况时,我可以问我对我的帮助,“ 他说。
据乌利蒂介绍,安全行业需要改变其方法,并承担与组织建立信任和融洽关系的挑战,这将在与他们联系之前需要更多的前期工作。“我建议你离开销售人员,”他说。
虽然赞扬了信息安全专业人员(IISP)的营业工作,但Ulliott表示,现在几乎太多组织致力于专业化信息安全,提高行业内的标准。
“现在有这么多的组织致力于推进我只是在物理上无法与他们联系。它是时候调和所有这些组织之间的差异,以便在共同目标周围有一些整合,所以有较少数量的组织,具有略大的汇率,因为这将使安全专业人员更容易参与。“
将注意力转向ThePenetration TestringIndustry,主要代表Bycrect,Ulliott警告说,使用机器学习的安全技术开始能够进行一旦留一度的笔检测专业人才的分析。
他引用了一个榜样,他最近审查了一个基于Anagent的机器学习支持的产品,可以实时分析IT系统的“健康”,通过链接多种漏洞来识别潜在的损害。
“与许多其他银行和大型组织一样,我们正在向Adevopsculture搬到Adevopsculture,这是推动我们看待安全的方式的变化,这意味着我们要求的笔测试人员,供应商和安全顾问将会改变。
“我认为笔在目前的形式中正在垂死,但好消息是我们需要更多的人可以查看安全解决方案的设计并解决问题的地方。我们需要在早期阶段提供建议的人,以确保在设计和开发阶段避免愚蠢的错误,这可以增加实际价值。
“所以,如果你是笔测试仪,你所做的大多数都是制作一个列出组织主机和尚未应用的修补程序的报告,那么您可能会出于营业,因为组织将开始通过自动化处理低悬垂的水果。
“但是需要熟练的笔测试人员可以在更长的时间内工作,分析我们面临的更复杂威胁,并识别我们错过的任何业务逻辑错误,无法通过自动化工具找到。如果你在那个球比赛中,我认为你有一个光明的未来,“他说。
总之,Ulliott表示,安全专业人士应该努力解决潜在的问题,而不是指出其他人的错误,并且他们应该努力提高意识和教育下一代,而不是推动个人名人的炒作或制作一个快速的降压。
