JetBlueCISO:安全团队应关注威胁参与者,而不是合规性合规性。JetBlue首席信息安全官TimothyRohrbaugh在8月于佛罗里达州奥兰多举行的世界数据中心大会上的闭幕主题演讲中强调了信息共享的重要性,而不仅仅是与团队的其他成员共享信息。组件,包括您所在行业的其他安全团队,即使他们是竞争对手。为什么?因为试图破坏企业系统的同一个人也在试图破坏企业竞争对手的系统,而且他们可能使用相同的技术。了解攻击者的入侵策略可以帮助企业在攻击发生之前减轻威胁。他还用体育打了个比方,比如在职业足球中,王牌战术永远不会像刚出现时那样,达到如此惊艳震撼的效果。如果没有电视转播的比赛,比赛只是两支球队之间,其他人看不到,那么你唯一能得到的信息就是最后的比分。在这种情况下,对于一支球队来说,优势在于双方都可以观察对方的战术,在接下来的比赛中有针对性地进行防守。换句话说,如果一场足球比赛在全世界进行电视转播,并从多个不同角度以慢动作回放,向观众展示比赛的结果,其他球队就可以学习对手的战术,并制定相应的防守策略。这就是信息共享的意义所在,在IT安全领域也是如此。他补充说,“我们要求的信息共享实际上是试图分享威胁行为者正在做什么并对此做出回应。事实上,当今许多企业都在进行共享,而我们需要的是利用它。......这就是威胁情报团队应该努力实现的目标。”如今,许多行业都建立了此类共享组织,主要以非营利信息共享和分析中心(ISAC)的形式出现,它们提供的不仅仅是网络威胁信息的集合。资源,还提供了一种共享有关特定事件和威胁的信息的方法。“离开军队和政府后,我在金融服务业工作了很长时间,”Rohrbaugh说。资源。几年前我来到JetBlue,并为它建立了一个与金融服务ISAC一样出色的信息共享和分析中心。安全有什么问题?Rohrbaugh说,共享之所以重要——尤其是当它是有关针对某个行业的威胁的信息时——是因为安全团队的主要关注点应该放在威胁参与者身上,但如今的安全通常并非如此。现在,他们大多将自己投入到他们没有设计的框架、复选框、合规性等中,这增加了IT成本,影响了业务生产力,并延迟了员工获得他们需要的速度。这种方法的问题在于它不了解威胁到底是什么?谁在瞄准您的客户?谁在跟踪您的基础设施?Rohrbaugh说,在JetBlue,他想改变处理安全问题的方式。说,“我想将威胁情报置于安全计划的核心,以推动投资和变革。这意味着我们需要弄清楚谁在瞄准我们,他们的目标是什么,以及他们使用的技术策略。然后是我们的防御端(也被称为“蓝队”)可以决定使用什么反制措施。Rohrbaugh将这种方法称为“威胁形式的防御”。这意味着我们不必花钱,也不必专注于一个领域,除非是由于真正的威胁行为者以我们为目标。这个词。我们可以志存高远,但最重要的是锁定将要发生的事情。如果我们不知道威胁行为者是谁以及什么技术策略他们正在使用,我们的防御将是支离破碎的,并且不会像应有的那样有效。浪费了很多钱。结果也将是一场失败的防御游戏。最后,他补充说,“这就是我对政府合规计划的看法或第三方。他们不考虑业务环境等因素,t威胁演员,以及他们的目的。“
