Entinen Google VP ehdottaa Black Hatin käyttäjälähtöistä suojausta

Black Hat -turvallisuuskonferenssissa keskiviikkona entinen teknillinen korkeakoulu Douglas Merrill esitteli avauspuheenvuoron, eikä se ollut perinteinen tietoturvatekniikka. Takeaway: anna käyttäjien sanella yritysturvallisuustarpeet.

Merrill, joka toimi viime aikoina EMI Recordsin johtajana ja toimitusjohtajana, aloitti metaforaa sijoittamalla jalkakäytävät college-kampukselle kuvaamaan näkemystään turvallisuusarkkitehtuurista. Campus-suunnittelija, hän sanoi, astu sisään ja laske jalkakäytävät ja ruoho. Kuusi kuukautta kuluu ja he alkavat huomata kuolleita ruohoja. Vastauksena suunnittelijat asettivat metalliketjut pitämään opiskelijat jalkakäytävässä. Jos oppilaat jatkavat kävelyä ruoholla, suunnittelijat asettavat viljelijöille lopettamaan tällaisen liikenteen lopullisesti.

Sama tapahtuu yrityksen turvallisuuden kanssa. Yritykset yrittävät valvoa työntekijöitä rajoittamalla IM-käyttöä pakottamalla Gmailia välityspalvelimen kautta. Merrill mainitsi kokemuksensa COO: ksi, hänen turhautuneisuutensa Exchangein kanssa ja rikkoi klassista yritysohjelmistoa, joka ei ollut käyttäjäystävällinen. "Työntekijät haluavat parempia työvälineitä työssä", sanoi Merrill. "He yrittävät hyödyntää parasta teknologiaa."

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Hän sanoi, että 20 vuotta sitten kaikki halusivat työskennellä yritysohjelmistoissa; ei tänään. Tänään on parempia, käyttäjäystävällisempia työkaluja, kuten IM. Sen sijaan, että taistelemme työntekijöiden tarpeita vastaan, turvallisuusviranomaisten pitäisi työskennellä niiden käyttämien verkkojen varmistamiseksi.

On olemassa toinen lähestymistapa kollegion kampuksen asettamiseen: kasvien ruoho ja antaa opiskelijoiden kulkea aina. Merrill sanoi, että kuuden kuukauden kuluttua suunnittelijat voivat mennä sisään ja sitten koventaa useimmin käytettyjä polkuja jalkakäytävillä. Merrill luulee, että sama voi tapahtua myös turvallisuuden vuoksi: käyttäjien on johdettava turvallisuuden kehittämistä.

Mutta sen sijaan, että uhkaa nykyisen miljardin dollarin turvajärjestelmän ekosysteemiä, Merrill näkee kompromissin. "Uskon, että tietoturva-alan yritykset vaihtavat infrastruktuuriratkaisujen luomista infrastruktuurin joustavuudelle. Jos pystymme rakentamaan turvallisuuden oikein, teemme asioita helpommin, ei kovemmin."

Robert Vamosi on freelance-tietoturva-kirjailija, joka on erikoistunut rikollisten hakkereiden ja haittaohjelmien uhkia.