IT监管机构和从业者需要共同语言
研究表明,全球网络攻击最高可达1930亿美元
Android o有一个奇怪的反补贴新功能
Epicor年度用户会议的新闻
Cisco在Apple Partnershiper上'真正兴奋',确认首席执行官
我们其他人的个性化iPhone医疗保健?Deftella有一个应用程序
根据报告,政府在绿色上取得进展
Redis Labs绕过开源来防止公共云
Jamf,Microsoft确认苹果在企业中增长
ICO说,为NO-DATE BREXIT做好准备
赎金软件下降,报告确认
Apple将慢速通货方式挖掘
Apple和GE只是将iOS内部工业4.0
沃达丰暂停使用华为硬件
NHS长期计划将健康服务带入数字时代
数百万工业遥控器开放攻击
微软新的表面融资计划背后的精细印刷,表面加
AI应用程序忽视了网络安全研究
2018年十大零售技术故事
澳大利亚的optus拨入5g
技术谈话:Azure Stack,Cyber​​Attacks,Next iPhone和...键盘
在iOS 11中,切换Wi-Fi和蓝牙'关闭'不起作用。这就是为什么。
Versa为软件定义的分支网络带来了多种功能
Mingis关于Tech:Android与iOS - 两种移动象魔的比较方式
Windows 10如何更改企业移动管理
NVIDIA的新Volta DGX-1超级计算机将400个服务器放入盒子中
谷歌玻璃真的准备好了企业吗?
作为iPhone 8的Apple Preps,无线充电选项似乎更有可能
Facebook:美国政府没有群众和不分青红皂白的监督
达沃斯:世界领导需要把握未来的技术风险
小组表示,DataCentre Industry需要提高其个人资料来解决技能差距。
阿拉巴马州的学校警告父母关于蓝鲸'自杀游戏'应用程序
WWDC 2017:关于Apple和AR所需的一切
iPhone X驱动苹果公司的智能手机销售“最佳”一年
技术谈话:Equifax数据漏洞,一个新的Apple Watch和A.i.对所有人
IE 11的报告无法启动链接到图标字体大小
Microsoft恳求更多企业Windows 10内幕新兵
巴林计划创造一个世界领先的科技生态系统
布莱顿和霍夫准备好orbis迁移
没有更多的赎金发布Gandcrab解密工具
WWDC 2017:10+企业预测
微软欠客户的责任,以及其他'Wannacry'问题的答案
英国的IT和BPO因Brexit不确定性而花费垂直
DCMS宣布为监狱编码技能提供新的资金
适用于iPhone的Google Assistant:企业观点
SAP Malaysia MD Duncan Williamson谈到了“经验经济”
Deloitte将双手队伍劳动力支持技术服务需求
Word,安装Patch KB 3213656后出现Outlook合并 - 单元格问题
英国技术初创公司的风险资金投资于2018年下降28%
MWC 2019:华为索赔巨大铅5克准备
您的位置:首页 >电子新品 >

IT监管机构和从业者需要共同语言

2021-08-22 13:43:58 [来源]:

根据Luta Security的创始人兼首席执行官,当凯蒂·穆斯苏里斯,凯蒂·莫里斯省的创始人兼首席执行官提供了技术概念的制定语言,通常在翻译中丢失了很多。

“这是[Multi-National] Wassenaar安排[传统武器和双用品和技术的出口管制]发生了什么,”她每周告诉电脑。

Moussouris是美国代表团的官方顾问,要求改变Wassenaar安排,这导致2017年12月出版了电脑网络入侵软件的新出口管制规则。

“只有在我可以通过并并排向他们展示他们使用的语言来描述他们想要导出的语言是与Microsoft缓解绕过赏金中使用的相同语言。我向他们解释说,某些出口管制有效地切断了微软发现这些东西的潜力,直到它们在野外被剥削。

“这些是需要修复很长一段时间的事情。它们是架构层面的变革,因此监管机构和法律制造者需要知道谁能达到专业知识。而且它不能成为这种与技术“熟悉”的人,它甚至不能成为行业中只有一个元素工作的人。

“它必须是能够平衡某些事情如何影响大规模操作的生态系统的人,包括将在技术从业者上放置什么样的负担,以及如何影响较小规模的操作和近威胁模型。 “

帮助Creatementrosoft的第一个Bug Budty Programmeand的Moussouris Hackerone的黑客Pentagon计划,相信在法律制造者,监管机构,技术人员和网络安全社区之间具有共同语言。

与网络安全社区的其他成员一样,她正处于教育政策制定者和监管机构以及当地政府的人员。

“例如,美国选举制度由志愿者经营,因此而不是浪漫的投票机黑客攻击的东西,我们应该专注于机器整体生态系统的安全性。

“这包括可能使用自己的设备的投票工人使用的集合中心和机器和设备,这不是非常安全的,并且可能影响选举的整体结果,”穆斯尿。

她说,另一个关注的领域是努力确保在加密中有后门的政府。

“一方面,伤害了大图片生态系统。我们在20年前限制了强大加密的效果时,我们在加密战争中看到了这一点是它迫使所有浏览器能够降级他们的加密,并将互联网的早期商业化的阶段设置为非常不安全,这是一个意外的后果。

“今天,弱化加密的危险不仅会降低互联网的整体安全性,而且还没有考虑到家庭暴力等不同类型的威胁模型。”

Moussouriis说,安全的设备和安全手机尤其是涉及家庭暴力受害者的威胁。“如果您处于家庭暴力情况,则拥有强大的加密和软件的能力是至关重要的,特别是当您的物理设备可能掌握在施虐者手中时。

“所以有广泛的生态系统威胁模型,有自然的隐私和安全威胁模型。如果我们在创造规则时忽略了频谱的两端,我们基本上是规范不安全,“她说。

当Mousouris于2014年加入Hackerone时,她确定了做政策工作的重要性。“我正在看到一个政策和监管的海啸,包括Wassenaar安排,所以我知道我们要规定在全球范围内做出脆弱协调和事件反应的可能性。

“这实际上是[WasseNaar安排],直到我们得到豁免,但由于这些会议如何工作和让所有利益相关者在船上的节奏中,我们花了两年时间才撤消,但它必须达到100%协议,“穆斯鲁斯说。

据穆斯纽斯介绍,美国代表团与Wassenaar全体会长的第一次会面是关于为什么改变的语言以及为什么美国不能简单地将豁免所要求在国内实施出口管制方面。

“这[会议]基本上绘制了全球事件反应和脆弱性协调的图片,表明它不是我们各国可以在国内处理的任何一个人,这就是为什么它必须在Wassenaar水平上设定,”她说。

美国代表团使用了Wannacry的示例。“我们说,很多分析在Twitter上实时展开。来自来自世界各地的研究人员互相交换的指挥和控制样本。

“这是典型的事件响应。这只是我们作为一个社区的发展方式以及我们如何工作,所以当他们认为他们已经监管了一些非常具体的东西,而且它不会干扰防守,只是抓住他们意味着的软件和技术为了抓住,这是一个错误,因为他们没有人在规模上工作,他们没有人建议他们知道在现实世界中看起来像什么事故回答,“穆斯鲁斯说。

根据Moussouri的说法,一个重要的元素来脱离实际最终使互联网减去安全的法规,是有更多的技术从业者愿意学习监管机构的语言范围。

“我们不能进入枪支炽热,说'你们都错了'和'请停下来擦掉书籍'。这不是它的工作原理。一旦它到达那个级别,你就知道你必须在他们的建筑物内工作。所以以一种态度来说,他们用纯粹的无知或恶意做到了这一点而不是富有成效。“

相反,她说技术家必须与每个人都希望互联网更安全的态度,因为他们仍然有很多东西要了解国家安全和法规如何在现实世界中工作。

“这些是我认为法律制造商和监管机构绝对需要更多我们的帮助,但同时我们也需要向我们提供大使以及我们应该在哪里教导我们有影响。“

因此,Moussouris表示,她在传统的安全会议上花了更少的时间,以便在军事和政府圈中可以与人们互动的活动,他们能够阅读技术摘要并制定法律,政策,联盟和战略决策。

“我确信我正在努力教育这次观众了解实际世界的细微差别。我需要确保这些受众在了解这种东西方面有更多的手波,“她说。

穆斯鲁斯表示,欧盟Bug Bounty计划是另一个事实的示例,即沿着这些线路需要更多的工作。

“欧盟听到大声听到,他们应该尝试赏金的想法,他们决定将他们集中在政府中使用的开源,并决定通过调查政府并向他们询问他们的开源软件依靠Bug Bounty计划的目的,“穆斯鲁斯说。

“但他们从未将其放入预算中添加更多维护者[开源代码],而且维护者并不真正意识到他们被错误赏金计划作为潜在贡献者为目标。

“所以欧盟领导人只听到一半的信息。我希望确保更多在规模和边缘化群体中拥有经验的技术人员参与其中,他们与频谱的两端进行互动,以了解真正的威胁模型以及技术人员和事件响应者真正工作的方式。“

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。