[[424494]]

在世界數據中心大會(Data Center World)的閉幕主題演講中，捷藍航空CISO建議安全專家專注威脅行為者而非合規性。

今年8月，在美國佛羅里達州奧蘭多舉行的世界數據中心大會的閉幕主題演講中，捷藍航空的首席信息安全官Timothy Rohrbaugh 強調了信息共享的重要性，并表示，共享的對象不僅包括團隊的其他組成部分，還包括企業所在行業的其他安全團隊，即便他們屬于競爭對手陣營。

為什么?因為那些試圖破壞企業系統的人也在試圖破壞企業的競爭對手的系統，而且他們很可能使用了相同的技術。了解攻擊者的入侵策略可以幫助企業在攻擊發生之前緩解威脅。

他還用體育項目做了一個類比，例如在職業足球賽中，王牌戰術永遠無法取得像第一次亮相時如此驚艷和震懾性的效果。如果沒有電視轉播比賽，而且比賽只在兩支球隊間進行，其他人都看不到，那么你能獲取的信息只有最終的比分。這種情況下，對一方球隊的優勢是他們每個人都能觀察到對方的戰術，并在接下來的比賽中有針對性地防御。

換句話說，如果一場足球比賽被全球轉播，并通過多種不同的角度慢動作回放，向觀眾展示這場比賽是如何進行的，那么其他球隊也能掌握對手的戰術，以此制定防御策略。這就是信息共享的意義，IT安全領域亦是如此。

他補充道，“我們要求信息共享實際上是在試圖分享威脅行為者在做什么，并對此做出回應。事實上，如今的許多企業正在做分享這件事，我們需要的是充分利用它。這就是威脅情報團隊應該努力完成的事情。”

如今，許多行業已經建立了這樣的共享組織，主要以非營利性信息共享和分析中心(ISAC)的形式存在，它不僅提供了收集網絡威脅信息的資源，而且還提供了一種共享特定事件和威脅信息的方式。

Rohrbaugh表示，“我在離開軍隊和政府之后，長期從事金融服務工作，我們有金融服務信息共享和分析中心(FS-ISAC)。我們切實落實了共享策略，它實際上成為了一種極好的資源。幾年前，我來到捷藍航空，并為其建立了與金融服務ISAC一樣好的信息共享和分析中心。”

安全工作的問題出在哪里?

Rohrbaugh說，共享很重要——尤其當它是有關針對某個行業的威脅信息時——的原因是，安全團隊的主要重點應該放在威脅行為者身上，但現在安全工作通常并非如此。

現在，他們大多將自己投身于沒有參與設計的框架、復選框以及合規性等等問題上，這會增加IT成本、影響業務效率以及延緩員工獲取所需物品的速度。這種方法的問題在于，它無法準確了解威脅是什么?誰在鎖定你的客戶?誰在覬覦你的基礎設施?

Rohrbaugh表示，在捷藍航空，他希望改變處理安全問題的方式。他說，“我想將威脅情報放在安全計劃的核心位置，以推動投資和變革。這就意味著我們需要弄清楚誰在針對我們，他們的目標是什么以及他們使用何種技術策略。然后我們的防御端(也稱為‘藍隊’)才能決定做出何種應對策略。”

Rohrbaugh稱這種方法為“威脅形式防御”。這意味著我們不用花錢，不用專注某一領域，除非是歸因于有真正的威脅行為者正在鎖定我們。

每個人都聽說過“好高騖遠”這個詞。我們可以好高騖遠，但最重要的還是鎖定會發生的事情，如果我們不知道威脅行為者是誰以及使用何種技術策略，我們的防御部署就會分散，無法發揮最大效用，同時還浪費了大量資金。結果也將注定是一場失敗的防御賽。

最后，他補充說，“這就是我看待來自政府或第三方的合規計劃的方式。他們沒有考慮到業務背景、威脅行為者以及他們所追求的目標等等因素。”