[CSO] Lỗi map Dark Snow
John Stewart không nói chuyện như một người điều hành doanh nghiệp tiêu biểu của bạn. Ông nói rằng công ty của ông, Cisco Systems, đã rất may mắn khi nói về vấn đề an ninh và việc đẩy mạnh tiếp thị mạng tự bảo vệ của công ty ông đã tạo ra "một con mắt to lớn" về các sản phẩm của hãng. những điều quan trọng cần phải lo lắng. Là giám đốc an ninh, ông là người chịu trách nhiệm chỉ đạo các hoạt động bảo mật của tập đoàn và doanh nghiệp của Cisco. Điều đó có nghĩa là anh ta nhận được cuộc gọi bất cứ khi nào có một lỗi bảo mật quan trọng trong các sản phẩm của Cisco hoặc nếu tin tặc truy cập vào trang web của Cisco.com. Theo cách mà ông đặt ra, nó là công việc của ông để giúp khóa các sản phẩm của Cisco trước khi ông buộc phải đối phó với cái mà ông gọi là "nền tảng cháy" - một lỗ hổng nghiêm trọng hoặc tấn công các router sử dụng rộng rãi nhất trên Internet. Cisco cần một người như Stewart, để tránh những sai lầm mà các công ty công nghệ lớn khác đã thực hiện về an ninh. Chẳng hạn như Microsoft. Microsoft đầu tiên đã có thái độ thù địch đối với các nhà nghiên cứu bảo mật và các nhà phê bình, nhưng điều đó đã làm suy yếu và giúp củng cố ấn tượng rằng công ty đã phớt lờ các lỗi bảo mật hơn là cố gắng sửa chúng. Cuối cùng, Microsoft đã đảo ngược hướng đi của nó, nhưng cho đến khi danh tiếng của nó bị ảnh hưởng nặng nề.
[Xem chi tiết: Hộp NAS tốt nhất cho truyền thông và sao lưu phương tiện truyền thông]
Ở một phạm vi nhỏ hơn, Cisco đã thực hiện một sự đảo ngược tương tự. Công ty đã làm phật lòng các hacker trong năm 2005 bằng cách kiện nhà nghiên cứu Mike Lynn sau khi ông cho biết cách chạy phần mềm shellcode trái phép trên một router của Cisco. aberration. Nghiên cứu của Cisco đã được yên tĩnh trong vài năm tới Stewart nói rằng Cisco đã "rất may mắn" vì nó không có sự bùng phát an ninh lớn, nhưng ông không chấp nhận bất cứ điều gì. Ông đã mời Phòng Thông tin IDG đến văn phòng tại San Jose, California để nói về cảnh quan đe dọa của Cisco. Dịch vụ tin tức của IDG: Cisco đã nhận được rất nhiều sự quan tâm của Black Hat 2005. Ông John Stewart: Một phần lý do tất cả sự chú ý đã được vẽ trên chúng ta tại Black Hat ba năm trước là bởi vì chúng tôi tạo ra một cơn sốt, thẳng thắn tất cả các loại vấn đề phức tạp, mà cảm thấy như Cisco đã ngăn chặn truyền thông và nghiên cứu
Và, trong nhiều khía cạnh, chúng tôi đã làm điều đó một cách nặc danh. Đó là "người phát ngôn của Cisco". Chúng tôi đã che giấu đằng sau một ngữ cảnh vô danh, mà tôi thực sự xúc phạm mọi thứ.
Đây là lý do tại sao tôi đã tài trợ cho Black Hat ở cấp độ bạch kim kể từ đó. Bởi vì tôi nghĩ rằng chúng tôi đã có một số tiền chuộc để làm và đi, "Hãy nhìn, xấu của chúng tôi Đó không phải là cách để làm điều đó."
IDGNS: Tại sao bạn nghĩ rằng nghiên cứu của Cisco khô như nó đã làm?
Stewart: Có một vài lý do. Đầu tiên là, rất nhiều điều này không phải là khai thác từ xa, và rất nhiều những gì nghiên cứu là về trong bất kỳ cộng đồng là, "Làm thế nào để bạn làm điều đó từ xa?" Theo nghiên cứu của Michael Lynn, nghiên cứu của Michael Lynn, mặc dù nó có một biến thể từ xa nhỏ, nghiên cứu của IRM [Nghiên cứu Quản lý Rủi ro Thông tin] của IRM, nó không phải là từ xa ổn định. Và đó là nơi trò chơi thực sự là.
Bạn phải tìm ra cách để có được nó mà không cần phải ở trên bàn điều khiển. Và đó là những gì mà hầu hết sự phát triển của nó là xung quanh: làm thế nào để bạn thực hiện nó trên console - ít nhất là cho Cisco, dù sao đi nữa.
Và điều thứ hai là, bạn muốn nó hoạt động. Bạn không cố gắng để gõ nó ra bởi vì bạn cần mạng lên để bạn có thể nhận được đến điểm kết thúc. Vì vậy, tôi nghĩ rằng chúng tôi sắp xếp vượt qua vì không ai muốn khỉ với cơ sở hạ tầng mà họ đang sử dụng. Nó giống như vặn vẹo lên đường cao tốc trong khi bạn đang cố gắng đi đến một thành phố khác. Đó là một việc rất ngớ ngẩn để làm.
IDGNS: Microsoft đã rất công khai về cách họ thay đổi công ty để làm cho an ninh được ưu tiên. Câu chuyện của Cisco là gì? Làm thế nào mà chương trình an ninh được xây dựng? Stewart: Có lẽ chúng ta đang ở cùng một không gian. Nhiều công ty, bao gồm cả của riêng chúng tôi, bắt đầu với việc xây dựng các công cụ đầu tiên giải quyết vấn đề truyền thông và sau đó suy nghĩ về sự an toàn của truyền thông sau đó.
Khoảng năm năm trước, chúng tôi đã chiến đấu với công ty, đội của tôi. Chủ yếu là trong kinh doanh bảo mật thông tin. Chúng tôi là tổ chức "không", tháp ngà. Đó là một nơi nguy hiểm bởi vì việc của tôi là chúng ta nên là một cánh tay thực hiện tư vấn chứ không phải là một thẩm phán.
Vì vậy, chúng tôi đã thay đổi rất nhiều và chúng tôi bắt đầu tiêm chích mọi thứ, như "Bạn sẽ có chuyên môn trong Chúng tôi sẽ không ở ngay giữa, do đó, bạn có thể đầu tư chuyên môn cho những gì bạn cần và chúng tôi không giữ bạn hoặc đưa bạn vào một vị trí chậm hơn "
Điều thứ hai - - không thể đánh giá thấp được - chúng ta đang chuẩn bị sẵn sàng vào năm 2002 để khởi động các mạng lưới bảo vệ tự mình, như nó hay ghét nó như một khẩu hiệu - có hiệu quả là một con bò đực lớn trên trán của chúng ta.
Stewart: Trong thực tế, Mary Ann Davidson qua Oracle đã làm cho tôi một lời nhắn và nói, "cảm ơn bạn rất nhiều vì đã đưa ra một khẩu hiệu gây áp lực lên những gì chúng tôi đã làm", Stewart nói. [cười] như thể tôi có liên quan gì đến thông báo này.
Và rồi thứ ba, chúng tôi thực sự có một dấu chân phát triển. Chúng tôi đã sử dụng ở nhiều nơi hơn và nhiều hơn nữa, và thẳng thắn vì nghĩ rằng chúng tôi không bao giờ tưởng tượng chúng tôi sẽ được sử dụng cho. Chúng tôi đang chuyển tiếp thông tin liên lạc về chăm sóc sức khoẻ, chúng tôi đang chuyển tiếp thông tin từ trang web đến trang web cho quân đội. Chúng tôi đang làm tất cả những điều hoang dã mà 20 năm trước chúng tôi không nghĩ về thời điểm đó
IDGNS: Vậy bạn đã làm một cái gì đó giống như dùng một chu kỳ phát triển an toàn hay thay đổi cách bạn xây dựng các sản phẩm?: Chúng tôi không trưởng thành trong việc này. Chúng ta đang ở giai đoạn thiếu niên vụng về. Chúng tôi đang thử nghiệm vào cuối quá trình phát triển và chúng tôi đang tìm ra từ dữ liệu đó như thế nào bạn đi ngược lại vào quá trình định nghĩa. Bây giờ một số định nghĩa xảy ra anyway. Vì vậy, ví dụ có một số yêu cầu cơ bản của mỗi sản phẩm chúng tôi xây dựng. Tuy nhiên, tôi vẫn nói có rất nhiều điều cần học.
Chúng tôi chưa chấp nhận một vòng đời phát triển an toàn như Microsoft. Tuy nhiên, chúng tôi vẫn chưa chấp nhận những điều bạn mong muốn. Chúng tôi đã không đóng đinh lên bình đẳng trên tất cả các dòng sản phẩm một cách có thể đo đếm được một cách nhất quán, và đó là lý do tại sao tôi nói rằng chúng tôi đang ở trong giai đoạn thiếu niên lúng túng đó.
Sự di chuyển nói về thị trường màn hình PDP cũng như về thị trường năng lượng mặt trời. Doanh số của PDP đang giảm dần khi màn hình hiển thị LCD dựa trên công nghệ màn hình tinh thể lỏng (đối thủ cạnh tranh) phát triển lớn hơn, tiết kiệm năng lượng và tiên tiến hơn, xóa đi những ưu điểm công nghệ mà PDP từng có. Trong khi đó, doanh số bán của các tấm pin mặt trời đang tăng lên nhanh chóng khi người tiêu dùng và các công ty nhìn về các nguồn năng lượng xanh hơn và cố gắng bù đắp cho giá dầu tăng.
LG Electronics đang làm việc để xây dựng mô hình kinh doanh pin mặt trời và mô-đun và tháng 6 năm nay đã mua lại pin mặt trời kinh doanh của công ty chị LG Chem
Microsoft Bao gồm các vấn đề cơ bản với phần mềm bảo mật mới. Phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác. phần mềm chống vi-rút, Microsoft Security Essentials (MSE). Như tên gọi của nó, phần mềm bảo mật mới của Microsoft loại bỏ các chuông và còi cồng kềnh được tìm thấy trong các sản phẩm khác, như Windows Live OneCare đã ngừng hoạt động của Microsoft và chỉ cung cấp sự bảo vệ cần thiết. có thể là tất cả những gì cần thiết. Window
Các nhà cung cấp bảo mật bên thứ ba đã xếp hàng để xen kẽ MSE là không đủ và slam Microsoft để ném trọng lượng độc quyền của nó xung quanh. Họ không thể thực sự có cả hai cách. Microsoft đã tạo ra một sản phẩm tốt và sự thống trị của nó đối với hệ điều hành PC là mối đe dọa cho ngành công nghiệp phần mềm bảo mật, hoặc MSE hút và họ không có gì phải lo lắng.
ĐI bộ đến bất cứ nơi nào trong bán kính 3 dặm của văn phòng PCWorld, và bạn sẽ tìm thấy các quân đoàn của những người yêu thích kinh tế mới với điện thoại thông minh được cấy ghép bằng phẫu thuật vào tay của họ. Nhưng họ không nói chuyện trên điện thoại của họ. Họ đang kiểm tra Facebook. Họ đang đăng lên Twitter. Họ đang tạo kết nối trên LinkedIn. Và một vài trong số những linh hồn nhiều hơn, tốt, lập dị thậm chí có thể làm điều gì đó trên Google +.
Nhưng tất cả những người này cũng đang làm những lỗi nghiêm trọng, nghiêm trọng. Đối với, mặc dù tất cả mọi thứ bạn đã nghe, kinh nghiệm phương tiện truyền thông xã hội cuối cùng sẽ không bao giờ được tìm thấy trên một điện thoại thông minh. Không, nó đang chờ bạn trên máy tính để bàn của bạn.