IT监管机构和从业者需要共同语言

2022-04-11 12:46:17来源:

根据Luta Security的创始人兼首席执行官,当凯蒂·穆斯苏里斯,凯蒂·莫里斯省的创始人兼首席执行官提供了技术概念的制定语言,通常在翻译中丢失了很多。

“这是[Multi-National] Wassenaar安排[传统武器和双用品和技术的出口管制]发生了什么,”她每周告诉电脑。

Moussouris是美国代表团的官方顾问,要求改变Wassenaar安排,这导致2017年12月出版了电脑网络入侵软件的新出口管制规则。

“只有在我可以通过并并排向他们展示他们使用的语言来描述他们想要导出的语言是与Microsoft缓解绕过赏金中使用的相同语言。我向他们解释说,某些出口管制有效地切断了微软发现这些东西的潜力,直到它们在野外被剥削。

“这些是需要修复很长一段时间的事情。它们是架构层面的变革,因此监管机构和法律制造者需要知道谁能达到专业知识。而且它不能成为这种与技术“熟悉”的人,它甚至不能成为行业中只有一个元素工作的人。

“它必须是能够平衡某些事情如何影响大规模操作的生态系统的人,包括将在技术从业者上放置什么样的负担,以及如何影响较小规模的操作和近威胁模型。 “

帮助Creatementrosoft的第一个Bug Budty Programmeand的Moussouris Hackerone的黑客Pentagon计划,相信在法律制造者,监管机构,技术人员和网络安全社区之间具有共同语言。

与网络安全社区的其他成员一样,她正处于教育政策制定者和监管机构以及当地政府的人员。

“例如,美国选举制度由志愿者经营,因此而不是浪漫的投票机黑客攻击的东西,我们应该专注于机器整体生态系统的安全性。

“这包括可能使用自己的设备的投票工人使用的集合中心和机器和设备,这不是非常安全的,并且可能影响选举的整体结果,”穆斯尿。

她说,另一个关注的领域是努力确保在加密中有后门的政府。

“一方面,伤害了大图片生态系统。我们在20年前限制了强大加密的效果时,我们在加密战争中看到了这一点是它迫使所有浏览器能够降级他们的加密,并将互联网的早期商业化的阶段设置为非常不安全,这是一个意外的后果。

“今天,弱化加密的危险不仅会降低互联网的整体安全性,而且还没有考虑到家庭暴力等不同类型的威胁模型。”

Moussouriis说,安全的设备和安全手机尤其是涉及家庭暴力受害者的威胁。“如果您处于家庭暴力情况,则拥有强大的加密和软件的能力是至关重要的,特别是当您的物理设备可能掌握在施虐者手中时。

“所以有广泛的生态系统威胁模型,有自然的隐私和安全威胁模型。如果我们在创造规则时忽略了频谱的两端,我们基本上是规范不安全,“她说。

当Mousouris于2014年加入Hackerone时,她确定了做政策工作的重要性。“我正在看到一个政策和监管的海啸,包括Wassenaar安排,所以我知道我们要规定在全球范围内做出脆弱协调和事件反应的可能性。

“这实际上是[WasseNaar安排],直到我们得到豁免,但由于这些会议如何工作和让所有利益相关者在船上的节奏中,我们花了两年时间才撤消,但它必须达到100%协议,“穆斯鲁斯说。

据穆斯纽斯介绍,美国代表团与Wassenaar全体会长的第一次会面是关于为什么改变的语言以及为什么美国不能简单地将豁免所要求在国内实施出口管制方面。

“这[会议]基本上绘制了全球事件反应和脆弱性协调的图片,表明它不是我们各国可以在国内处理的任何一个人,这就是为什么它必须在Wassenaar水平上设定,”她说。

美国代表团使用了Wannacry的示例。“我们说,很多分析在Twitter上实时展开。来自来自世界各地的研究人员互相交换的指挥和控制样本。

“这是典型的事件响应。这只是我们作为一个社区的发展方式以及我们如何工作,所以当他们认为他们已经监管了一些非常具体的东西,而且它不会干扰防守,只是抓住他们意味着的软件和技术为了抓住,这是一个错误,因为他们没有人在规模上工作,他们没有人建议他们知道在现实世界中看起来像什么事故回答,“穆斯鲁斯说。

根据Moussouri的说法,一个重要的元素来脱离实际最终使互联网减去安全的法规,是有更多的技术从业者愿意学习监管机构的语言范围。

“我们不能进入枪支炽热,说'你们都错了'和'请停下来擦掉书籍'。这不是它的工作原理。一旦它到达那个级别,你就知道你必须在他们的建筑物内工作。所以以一种态度来说,他们用纯粹的无知或恶意做到了这一点而不是富有成效。“

相反,她说技术家必须与每个人都希望互联网更安全的态度,因为他们仍然有很多东西要了解国家安全和法规如何在现实世界中工作。

“这些是我认为法律制造商和监管机构绝对需要更多我们的帮助,但同时我们也需要向我们提供大使以及我们应该在哪里教导我们有影响。“

因此,Moussouris表示,她在传统的安全会议上花了更少的时间,以便在军事和政府圈中可以与人们互动的活动,他们能够阅读技术摘要并制定法律,政策,联盟和战略决策。

“我确信我正在努力教育这次观众了解实际世界的细微差别。我需要确保这些受众在了解这种东西方面有更多的手波,“她说。

穆斯鲁斯表示,欧盟Bug Bounty计划是另一个事实的示例,即沿着这些线路需要更多的工作。

“欧盟听到大声听到,他们应该尝试赏金的想法,他们决定将他们集中在政府中使用的开源,并决定通过调查政府并向他们询问他们的开源软件依靠Bug Bounty计划的目的,“穆斯鲁斯说。

“但他们从未将其放入预算中添加更多维护者[开源代码],而且维护者并不真正意识到他们被错误赏金计划作为潜在贡献者为目标。

“所以欧盟领导人只听到一半的信息。我希望确保更多在规模和边缘化群体中拥有经验的技术人员参与其中,他们与频谱的两端进行互动,以了解真正的威胁模型以及技术人员和事件响应者真正工作的方式。“


返回科技金融网首页 >>

版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。


相关文章