Dumpa snake oil och visa säkerhetsforskare lite respekt

0
202

0

Driftning säkerhet och sekretess konsekvenserna av de uppgifter som ålder

De nästa dagarna av Black Hat USA, DEF CON, BSides, och andra stora evenemang som kick off 2017 upplagan av vad som varit lovably känt i flera år som “Hacker sommarläger.” Som marknadsförare, jag är den första att erkänna att händelsen namn som används för att få mig att känna mig som lite av en enstöring. “Hej, jag hör hemma där, också!” (Om du kan tänka dig att i minsta inne röst som möjligt.) Och, som en marknadsförare som bestämt tror på uppdrag av beväpna defender, jag är absolut inte hör hemma.

På väg in i en Hacker Summer Camp, jag har sett en betydande del av pr-uppsökande verksamhet. I min unik position som en ZDNet bidragsgivare och en chief marketing officer, jag ser båda sidorna av detta. Vi ger fotbollsplaner, vi får fotbollsplaner. Den pjäs som har stått ut med mig är hur nonchalant ibland, marknadsförare kommer att behandla forskning i sina kampanjer. De verkar nästan att betrakta en race för att vara första som viktigare än revering forskning. Jag är den första person som vill ha den stora berättelsen – “air cover” som vi kallar det-och varumärkesutveckling. Det bör emellertid aldrig ske på bekostnad av den forskning eller forskare. Här är varför:

Forskning är kärnan i vårt försvar.Forskning är icke-trivial och kräver mest unika kompetens.Forskning som kräver offer.Forskning kräver risk.

Du kanske tänker, “Åh, dumma marknadsförare, vad vet du?” Jag vet. Jag har haft turen att få arbeta med hög kaliber lag som Fortinet FortiGuard, Sourcefire VRT, Cisco Talos, och den fantastiska talang hos min nuvarande arbetsgivare. Jag ser dessa kvinnor och män som arbetar långa timmar för att göra det mödosamma arbetet att hjälpa sina företag och kunder att bygga en bättre försvar. Det handlar inte bara om långa timmar, det handlar om en mycket unik balans av färdigheter (marknadsförare, hålla med mig):

Driftsäkerhet (OPSEC)

För att bryta saker, eller att gräva i djupet av den kriminella undre världen, dessa forskare och analytiker måste vidta extrema säkerhetsåtgärder för att skydda deras identitet, deras verksamheter och företag på vars vägnar de fungerar, är skyddade. Detta gör inte arbetet lättare för dem, det gör det svårare. Det är en precision, en försiktig beräkning, och ofta system som måste vara på plats för att hjälpa dem att uppnå den nivå som krävs av OPSEC.

Källa Skydd

Precis som journalister behöver, och bör, för att skydda källor, forskare behovet av att skydda sina källor. Det är svårare, men än helt enkelt inte namnge någon, eller namnge rutter som hjälpte dem att uppnå intelligens, eller “reverse engineering”, som var nödvändigt för att hjälpa försvarare. Det är att skydda det goda källor så att de inte blir mål för skadlig aktivitet på grund av vad de kanske har presenterat — den del som liknar journalistik.

Men det handlar också om att skydda källor så att, om de har hittat en hacka eller en väg för att skaffa information som bidrar till det större goda, att de inte förlorar det, eller ännu värre, en kompromiss för OPSEC för alla inblandade. Vid en viss punkt, naturligtvis, om forskning inte är publicerade, det är en bakgrund som visas på en som gjorde arbetet, men det är där Ansvarig Utlämnande kommer att skydda vissa källor, och andra försäkringar är på plats för att se till att.

Personlig Risk

Kom ihåg att begreppet skuld genom association, eller-gud förbjude-är döden genom association. (Vi har alla sett Maffiabröder, rätt?) Vad händer med de oskyldiga barnen som stå inte bara bra folk, men även för de oskyldiga som står på höger sida av lagen? De blir utsatta.

Varje gång en forskare eller analytiker tar på en cyber-kriminella, han eller hon är att sätta deras välbefinnande och välbefinnande i sin nära familj och vänner, vara i riskzonen. Om du behöver bevis, titta för att se vad som har hänt med hög profil försvarare och/eller deras familjer i form av doxxing eller banka när försvararen har faktiskt gjort forskning som har en negativ påverkan av kriminella. Risken ökar också med nationalstaten svar på rapportering när värdefull forskning utsätter sin it-verksamhet.

Talang

Jag önskar att jag kunde göra vad som säkerhet forskare skulle kunna göra, fråga någon av mina bästa vänner som kan skola mig tekniskt på sina värsta dagar. Det är därför jag hittat ett sätt år sedan för att tillämpa mina egna unika och konstiga arbetsgrupp för att hjälpa till att bygga upp företag som skapar arbetstillfällen och möjligheter för den talang som är forskare och analytiker. Deras kompetens är inte lätt att komma med. Ungefär som någon disciplin, göra undersökningar eller ta en hacka naturligtvis betyder inte att du kan tillämpa det i den verkliga världen. Det är därför röda samarbetar och kontradiktoriskt engineering är så avgörande vid bedömningen var vår bästa försvar har sitt ursprung.

Samarbete med polisen, den ständiga förändringen av kriminella tunnelbanan och potentiella hot vektorer, de nuvarande geopolitiska landskap, och även en del av ett begränsat utbyte och samarbete mekanismer som skapar ytterligare utmaningar för forskarna.

OK, marknadsförare, detta är varför man ska bry sig. Alla känner oss som snake oil säljare som snurrar halm till guld för att kunna bygga ett slott (som vi också blanda metaforer). Vi påstås i det för pengar, ära, nyheter klipp, uppmärksamhet, och den inre beröm av våra chefer.

Det är fel, och om det inte fel, du gör fel. Jag vet inte att detta är unikt för säkerhet, men jag är partisk efter 17 år, du kan inte effektivt marknadsföra vad du inte förstår. Det innebär att du måste förstå hur forskning fungerar, hur samhället fungerar, hur subversiv kultur gäller defensiv vinner, och hur branschen är verkligen byggt. Om du gör det för fel anledningar-aka, stereotypa marknadsföring mål-då du inte är i rätt bransch.

Jag ser detta framgår när, som jag nämnde tidigare, att dessa grymheter hända:

Noggrannhet äventyras för att få en story snabbare att “slå” konkurrens.Lätt marknadsföring innehåll trycks ut som “forskning” och bara träffar på aktuella nivåer.FUD sprids. Inte skrämma människor till att skriva, ladda ner, läsa, eller ta ett möte. En skrämmande berättelse hjälper någon. Relaterat: tycker inte ens om att skjuta mot de Ansvariga Utlämnande till förmån för marknadsföring. Det kommer att slå tillbaka-som det ska.Embargot regler inte accepteras. Tänk på det, marknadsförare. Att veta vad man vet nu, att du är en forskargrupp som har gjort allt ovan för att skapa hjälpa försvarare, och att du skickar en oönskad embargo rapport för en journalist som du inte känner. Du har bara cheapened forskning, riskerade att sekretessen för forskning, och vad värre är, har du glömt bort att denna forskning finns till för att skydda människor; marknadsföring är bara en fin sekundära.Forskare är inte citerade. Se till att deras namn finns med på deras resultat. Om de inte vill vara offentliga på grund av sin egen OPSEC och risk, bör du alltid se till att krediteras med det hårda arbete som de har gjort och fortsätter att göra. Det handlar inte bara om forskaren ego (även om, låt oss erkänna det, det finns). Det handlar om att visa uppskattning för deras hårda arbete, revering forskaren, och inse att som marknadsförare på något sätt att vi är ansvariga för dessa människor är varumärken och den nivå av medvetenhet som de får. Minska inte det. Särskilt för den skull av en kampanj eller en berättelse.

Igen, jag är en chief marketing officer, samt en ZDNet bidragsgivare. Jag vet att trycket på efterfrågan generering, omvandling, leda kvalifikationer, och air cover räknas lika mycket som någon annan. Men du bygga upp en verksamhet inte genom att vara först, inte genom att vara högt, inte genom att skicka ut FUD eller sälja ut forskare för att få en snabbare rubrik. Du gör det genom att visa ditt företags eller kunder”, expertis på ett sätt som bäst representerar dem med marknadsföring innehållet granskas av dem, med experthjälp från början till slut. Det är vad som bygger en stark säkerhetsföretag.

Det är hur du vördar forskning.

Se dig i Vegas.

Relaterade artiklar:

Ransomware attack: clean-up fortsätter efter WannaCry chaosCongress inför lagförslag för att stoppa OSS från lagring cyber-weaponsCybercrime och cyberkrig: En spotter guide till de grupper som är ute för att få youResearch: Företag ser mobila enheter som stora hot mot it-säkerheten

0