0
Brocciatura la sicurezza e la riservatezza implicazioni di età
Alcuni giorni di Black Hat USA, DEF CON, BSides, e di altri grandi eventi kick off il 2017 edizione di quello che è stato soavità conosciuto per anni come “Hacker del Campo Estivo.” Come un marketer, io sono il primo ad ammettere che il nome dell’evento mi faceva sentire come un po ‘ di un emarginato. “Ehi, io sono lì!” (Se si può immaginare che, il più piccolo all’interno della voce). E, come un marketer che crede fermamente nella missione di armare i defender, io assolutamente non appartengono.
Voce in Hacker Summer Camp, ho visto una quantità significativa di relazioni pubbliche di sensibilizzazione. Nella mia posizione unica come ZDNet collaboratore e chief marketing officer, vedo entrambi i lati di questo. Diamo il piazzole, ottenere le piazzole. Il pezzo che si è distinto per me è come flippantly, a volte, marketing tratterà di ricerca nel loro promozioni. Quasi a proposito di una gara per essere i primi sono più importanti riverire la ricerca. Sono la prima a volere la grande storia — l ‘ “aria” di copertura”, come lo chiamiamo, e lo sviluppo del marchio. Tuttavia, che non deve mai venire a costo di ricerca, o il ricercatore. Ecco perché:
La ricerca è il cuore della nostra difesa.La ricerca non è banale e richiede maggior esperienza unica.La ricerca richiede sacrificio.La ricerca richiede di rischio.
Si può pensare, “Oh, sciocco marketer, che cosa sai?” So. Ho avuto la fortuna di lavorare con un elevato livello di squadre come Fortinet FortiGuard, Sourcefire VRT, Cisco Talos, e l’incredibile talento al mio attuale datore di lavoro. Vedo queste donne e questi uomini lavorano lunghe ore per fare il lavoro necessario per aiutare le loro aziende e clienti a costruire le difese meglio. Non è solo questione di lunghe ore, si tratta di un unico equilibrio di competenze (marketing, bastone con me):
Operativo di Sicurezza (OPSEC)
Al fine di rompere le cose o scavare nelle profondità della malavita, i ricercatori e gli analisti bisogno di prendere estreme misure precauzionali per proteggere le loro identità, le loro attività, e la società per conto della quale fanno il lavoro, sono protetti. Questo non rende il lavoro più facile, per loro, rende più difficile. C’è una precisione, un attento calcolo, e spesso gli impianti che devono essere in atto per aiutarli a raggiungere il livello richiesto di OPSEC.
Fonte Di Protezione
Proprio come i giornalisti hanno bisogno di, e dovrebbe, proteggere le fonti, i ricercatori hanno bisogno di proteggere le loro fonti. È più complicato, tuttavia, che semplicemente non la denominazione di qualcuno, o di nominare i percorsi che li ha aiutati a raggiungere l’intelligenza, o reverse engineering, che era necessario per aiutare i difensori. È tutelare la buona fonti, in modo che non diventino obiettivi di qualsiasi attività dannose a causa di ciò che potrebbe aver svelato-la parte simile al giornalismo.
Ma parla anche di proteggere le fonti, in modo che, se hanno trovato un hack o un percorso per l’ottenimento di informazioni che aiuta il bene più grande, da non perdere, o peggio, di compromesso OPSEC per chiunque sia coinvolto. A un certo punto, naturalmente, se la ricerca è pubblicizzato, c’è una luce mostrato su chi ha fatto il lavoro, ma dove Divulgazione Responsabile viene a proteggere determinate fonti, e altre assicurazioni sono messi in atto per garantire che.
Rischio Personale
Ricordate il termine di colpa per associazione, o-dio non voglia-la morte dall’associazione. (Abbiamo visto tutti quei bravi ragazzi, giusto?) Cosa succede per gli innocenti che stanno non solo la gente, ma anche innocenti che stanno sulla destra di legge? Diventano vulnerabili.
Ogni volta che un ricercatore o un analista assume un cyber-criminale, lui o lei sta mettendo per il loro benessere, e il benessere della propria famiglia e amici, potenzialmente a rischio. Se avete bisogno di una prova, guardate cosa è successo a alto profilo difensori e/o le loro famiglie in termini di doxxing o dare uno schiaffo quando il difensore ha effettivamente fatto la ricerca che impatti negativamente penale guadagni. Il rischio aumenta anche con stato-nazione risposte di segnalazione quando la ricerca di valore espone i propri cyber attività.
Il Talento Grezzo
Vorrei poter fare quello che i ricercatori di sicurezza che potrebbe fare; chiedere a uno qualsiasi dei miei migliori amici, che possono scuola mi tecnologicamente i loro peggiori giorni. È per questo che ho trovato un modo anni fa di applicare la mia unica e strana competenze per aiutare a costruire le aziende che creano posti di lavoro e opportunità per i talenti che sono i ricercatori e gli analisti di. Le loro abilità non sono facili da trovare. Molto simile a qualsiasi disciplina, facendo gli studi o l’assunzione di un hacking corso non significa che si può applicare al mondo reale. Ecco perché red teaming e contraddittorio di ingegneria sono così importanti nel determinare dove i nostri migliori difese hanno origine.
La collaborazione con le forze dell’ordine, il continuo cambiamento di sottobosco criminale e potenziali vettori di minacce, l’attuale geopolitica del paesaggio, e anche alcuni del limitata la condivisione e la collaborazione meccanismi di creare ulteriori difficoltà per i ricercatori.
OK, marketing, questo è il motivo per cui si dovrebbe cura. Tutti sanno che noi come venditori di olio di serpente che filare la paglia in oro, per costruire un castello (abbiamo anche mix di metafore). Siamo presumibilmente in esso per i soldi, la gloria, la clip di notizie, l’attenzione e l’interno lode dei nostri dirigenti.
Che c’è di sbagliato, e se non è sbagliato, si sta facendo la cosa sbagliata. Non so che questo è l’unico per la sicurezza, ma io sono di parte, dopo 17 anni; non è possibile commercializzare efficacemente ciò che non si riesce a capire. Ciò significa che è necessario capire come i lavori di ricerca, come la comunità opera, come il sovversivo di cultura si applica sulla difensiva vince, e come l’industria è realmente realizzato. Se si sta facendo per le ragioni sbagliate — aka stereotipati, obiettivi di marketing, quindi non hai il diritto di industria.
Vedo che questo è evidenziato quando, come ho detto prima, queste atrocità accadere:
La precisione è compromessa al fine di ottenere una storia più veloce per “battere” la concorrenza.Leggero contenuti di marketing è spinto come “ricerca” e colpisce solo su temi d’attualità livelli.FUD è diffuso. Non spaventare la gente nella scrittura, il trasferimento, la lettura, o l’assunzione di un incontro. Una storia spaventosa non aiuta nessuno. Correlati: non pensi anche spingendo contro la Divulgazione Responsabile per il beneficio di marketing. Sarà di ritorno di fiamma — come si deve.Embargo regole non vengono rispettate. Pensate, gli esperti di marketing. Sapere ciò che si sa ora, siete un team di ricerca che ha fatto tutto quanto sopra per creare la guida difensori, e si invia una richiesta non soggetti a embargo relazione a un giornalista che non si conosce. Hai appena diminuiti ricerca, ha rischiato la riservatezza della ricerca, e, peggio, hai dimenticato che questa ricerca esiste per proteggere le persone; il marketing è solo un bel secondaria.I ricercatori non sono citati. Assicurarsi che il loro nome è sulle loro scoperte. A meno che non si desidera essere pubblico a causa della loro OPSEC e i timori per il rischio, che deve sempre essere accreditato con il duro lavoro che hanno fatto e continuano a fare. Non è solo questione di ricercatore ego (anche se, ammettiamolo, non esiste). Si tratta di mostrare apprezzamento per il loro duro lavoro, la venerazione, il ricercatore, e rendersi conto che, come marketing, in qualche modo, siamo responsabili di queste persone, le marche e il livello di consapevolezza. Non sminuire. Soprattutto per il bene di una campagna o di una storia.
Di nuovo, io sono un chief marketing officer, così come ZDNet collaboratore. So che la pressione di generazione della domanda, le metriche di conversione, di piombo, di qualificazione, di aria e di copertura conta tanto quanto chiunque altro. Ma costruire un business non essendo il primo, non essendo forte, non con l’invio di FUD o vendere i ricercatori per ottenere un rapido titolo. Si fa mostrando la tua azienda, o dei clienti, le competenze in un modo che meglio li rappresenta, con contenuti di marketing rivisto da loro, con il contributo di esperti, dall’inizio alla fine. Che è quello che crea una forte società di sicurezza.
Ecco come si revere ricerca.
Vedere a las Vegas.
Storie correlate:
Ransomware attacco: clean-up continua dopo WannaCry chaosCongress presenta disegno di legge per impedirci di stoccaggio cyber-weaponsCybercrime e cyberwar: Uno spotter guida per i gruppi che sono fuori per ottenere la youResearch: Aziende vedono i dispositivi mobili come grande minaccia per la sicurezza informatica
0