Hjá DigiCert er öryggi hlutverk mikilvægt

Contents

Viðtal við Jason Sabin, yfiröryggisfulltrúa Digicert

Öryggi er mjög mikilvægur en oft gleymist hluti af öryggi á netinu, sérstaklega með það hversu auðvelt það er að fá aðgang að viðkvæmum gögnum um bita og bæti og í gegnum varnarleysi sem hafa verið afhjúpaðir í gegnum kóða leka. Jason Sabin kom inn í hlutverk sitt hjá DigiCert, skírteini sem býður upp á SSL, TLS og PKI sérþekkingu, með óhefðbundnum hætti, en hann hefur brennandi áhuga á því sem hann hefur gert. Það hefur verið frábært að læra um viðskipti hans og kjarnahæfni DigiCert.


Viðtal við Jason Sabin, yfiröryggisfulltrúa Digicert

Geturðu sagt okkur frá fyrirtækinu þínu og hvernig þú komst til liðs við þig??

DigiCert veitir nauðsynlegar persónuupplýsingar og sannvottunarþjónustu fyrir rafræn viðskipti. Sígildlega höfum við gert SSL vottorð fyrir netþjóna og kóða undirritunarvottorð. Undanfarið höfum við stækkað til að þjóna Internet of Things (IoT) markaðnum með vottorðum með háum fullvissu sem vernda einkagögn frá hnýsnum augum. Þessi skírteini hjálpa til við að dulkóða, staðfesta og veita persónuupplýsingaþjónustum stofnanir fyrir viðskiptakerfi og vörur. Áður en ég gekk til liðs við DigiCert var ég viðskiptavinur. Ég laðaðist alltaf að DigiCert’leggur áherslu á nýsköpun og upplifun viðskiptavina. Ég hafði sterkan bakgrunn í öryggismálum og vildi hjálpa.

Geturðu sagt okkur frá fyrirtækinu þínu og hvernig þú komst til liðs við þig?

Hver er mikilvægi þess að hafa SSL vottorð?

TLS og SSL eru mikilvægur burðarás í netsamskiptum í dag. Án þeirra værir þú opinn fyrir mörgum varnarleysi og vandamálum. Þessi skírteini vernda gögn um viðskipti og viðskiptavini frá tölvusnápur og snuðara og fyrir alla sem leita að viðskiptum í dag er auðkenning og dulkóðun nauðsynleg. Stafræn vottorð eru aðal og stigstærð aðferðin til að gera það. Þetta á sérstaklega við með nýlegum skrefum frá Google til að brátt merkja síður sem ekki eru HTTPS sem ekki örugg og til að auka uppörvun leitarniðurstaðna með SSL – vefurinn færist sjálfgefið inn í dulkóðun. Það er að verða mikilvægt þema að hver og einn ætti að hafa vottorð á vefsíðu sinni, snjalltæki, internettengdu kerfi. Það er ekki bara rafræn viðskipti lengur. Við viljum vera árangursrík til að hjálpa fyrirtækjum að ná sveigjanleikaöryggi sem fólkið sem þeir styðja geta treyst.

Hver er mikilvægi þess að hafa SSL vottorð?

Hver er munurinn á mörgum mismunandi SSL vottorðum sem DigiCert býður upp á? Hvernig tekur einhver menntaða ákvörðun um kaup?

Við bjóðum upp á fjölbreytt úrval stafrænna skilríkja: sum eru SSL plús, villikort, fjölgeignasvæði, tæki, wifi osfrv. Við bjóðum upp á mismunandi gerðir af skírteinum eftir því hvaða gerðir staðfestingar eru nauðsynlegar og notkunartilfellin. Stundum getur það verið yfirþyrmandi en við erum að leysa svo mörg mismunandi vandamál með lausnir okkar. Við veitum ráð á heimasíðu okkar (digicert.com) til að hjálpa fólki að velja rétt skírteini fyrir þarfir þeirra. Við bjóðum einnig upp á margverðlaunaða vottorðastjórnunarvettvang, nefndur CertCentral®, til að hjálpa fyrirtækjum að stjórna jafnvel milljónum skírteina í einu. Við höfum þjónustu við viðskiptavini allan sólarhringinn. Mikill tími, fólk hringir bara í okkur og það þakka að þegar einhver tekur upp símann þá er viðkomandi sérfræðingur í SSL / TLS / PKI svo þeir geta hjálpað þeim með skírteinið sem þeir þurfa að kaupa.

Hver er munurinn á mörgum mismunandi SSL vottorðum sem DigiCert býður upp á? Hvernig tekur einhver menntaða ákvörðun um kaup?

Hvað er nákvæmlega "kóða undirritun" og hvernig er það frábrugðið öðrum SSL vottorðum sem þú býður upp á?

Stafræn vottorð eru oft notuð fyrir það sem ég kalla þrjá hornsteina: staðfesting, dulkóðun og undirskrift. Undirritun staðfestir keyrsluforrit tvöfaldur hugbúnaður. DigiCert SSL vottorð sýna notendum að vefsíðurnar sem þeir heimsækja hafa verið staðfestar í eigu / rekstri fyrirtækisins sem skráð er í vottorðinu og þessi vottorð dulkóða einnig gögn sem send eru milli notandans og vefsíðunnar’netþjóninn. Undirritun kóða er aðferð til að staðfesta hugbúnaðarvörur. Þú vilt ganga úr skugga um að setja upp rekjanlegan hugbúnað frá fyrirtæki sem þú treystir. Ef fyrirtæki gera það ekki’T nota kóðaskilríki, notendur hafa ekki leið til að sannreyna hvort keyrslan sem þeir vilja hlaða niður og keyra séu löglega frá fyrirtækinu sem þeir ætluðu sér. Sömuleiðis, fyrirtæki sem nota sjálfritað vottorð, frekar en þau sem gefin eru út frá rótum sem treyst er í vafranum (eins og DigiCert), hætta á að notendur þeirra sjái viðvörunarskilaboð um að hugbúnaðurinn sé ef til vill ekki öruggur.

Hvernig tekur DigiCert þátt í Internet of the Things og hvaða lausnir eru í boði?

Við erum örugglega mjög þátttakendur í að hjálpa stofnunum að tryggja IoT dreifinguna sína. Mörg fyrirtæki gera sér grein fyrir að IoT öryggi er mikilvægur þáttur í boði þeirra. Auðkenning, dulkóðun og undirritun eru mikilvæg fyrir IoT svo við bjóðum lausnir til að samþætta vottorðastjórnun í fyrirtæki’s vistkerfi og vöruframboð.

Hvernig er DigiCert að taka þátt í Internet of the Things og hvaða lausnir eru í boði?

Getur þú sagt okkur aðeins frá PKI lausnum sem eru í boði??

Við bjóðum PKI lausnir fyrir IoT umhverfi, viðskiptavini fyrirtækisins og nýjar sértækar þarfir, svo sem heilsugæslustöð, öryggi almennings Wi-Fi osfrv., Með stafrænum vottorðum sem geta mætt gríðarlegum umfangi stórra fyrirtækja og IoT nota mála. Sumir viðskiptavinir þurfa að gefa út milljónir eða tugi milljóna skírteina og hafa ekki þekkingu til að gera það. Við hjálpum þeim að byggja upp lausn með DigiCert tækni og nýsköpun til að skapa óaðfinnanlega upplifun fyrir þá. Sumt fólk þarf að stjórna öllu líftíma skírteinisins og landslaginu með snjallgátt sem kallast CertCentral®. Viðskiptavinir vilja auðveldlega afla skírteina, hafa umsjón með þeim, fylgjast með þeim og athuga hvort þau séu í vandræðum og við hjálpum þeim að gera það. Við gefum viðskiptavinum okkar gaum, óháð stærð reikningsins, tölum alltaf við þá til að skilja vandamálin sem þeir eru í og ​​stökkva fljótt á það til að finna lausn fyrir þá.

Hversu stórt er allt fyrirtækið? Hvaðan ertu að byggja og hefur þú önnur skrifstofa?

Við höfum marga öryggissérfræðinga innanhúss og utanaðkomandi ráðgjafa. Í DigiCert höfum við SSL / TLS / PKI sérfræðinga og fólk sem getur tekið á spurningum viðskiptavina. Við höfum um 200 starfsmenn og yfir 115 þúsund viðskiptavinir í 185 löndum. Í sumar keyptum við SSL viðskipti með Verizon og jukum enn frekar svið okkar, einkum í Evrópu og Asíu, veitum stórum fyrirtækjum og fjarskiptasvæðum. Við erum með höfuðstöðvar í Lehi, Utah, en við höfum viðbótaraðstöðu, félaga og nærveru um allan heim.

Hversu stórt er allt fyrirtækið? Hvaðan ertu að byggja og hefur þú önnur skrifstofa?

Hvernig komstu frá því að vera hugbúnaðarverkfræðingur að vinna sem aðal öryggisstjóri hjá einu rótgrónasta öryggisfyrirtæki?

Ég vissi að ég vildi vera í tölvum þegar ég byrjaði að skrifa kóða í 5. bekk. Ég myndi skrifa kóða og reyna að brjóta þennan kóða. Það fór fram með mér allan minn feril og ég smíðaði öryggisvörur og reyndi að brjóta þær til að finna veikleika. Ég’Við höfum alltaf haft það hugarfar til að finna veikleika til að leysa þau og laga þau. Ég er annar CSO með bakgrunn í verkfræði / R&D, byggja upp og skjalfesta hugbúnað. En flestir CSO hafa unnið við upplýsingatækni og kerfisstjórnun. . Báðar leiðirnar koma með gild sjónarmið. Mitt hjálpar mér í hlutverki mínu við að byggja upp kerfi og palla sem einfalda stjórnun skírteina.

Ég hef lagt fram yfir 50 einkaleyfi og yfir 30 hafa verið gefin út á ferli mínum. Flestir hafa verið í skýjatölvu, IoT öryggi fyrir farsíma og auðkenningu. Ég hef verið að hanna nýja tækni í kringum öryggi og sjálfsmynd, síðast með að gera sjálfvirkan og einfaldari verkefni vottunarstjórnunar svo sem skoðun skírteinis, uppgötvun og greiningu.

Finnst þér áhersla Google á aukna SSL fyrir röðun breyta því hvernig þú nálgaðist markaðinn og sástu nýja viðskiptavini fyrir vikið?

Við höfum örugglega séð miklu fleiri viðskiptavini, ekki aðeins aukna notkun SSL / TLS innan vafra, heldur innan IoT og heilsugæslu. Við sjáum fjölgun sem hefur áhuga. Við viljum auka upplifun viðskiptavina til að gera notendur öruggari; Breytingar Google leiða til aukinnar meðvitundar til að vernda alla hluta vefsíðunnar og ekki bara innskráningarsíður og innkaup kerra, vernda alla vafra og við hvetjum örugglega til meiri dulkóðunar. Það gerir það ekki’breytir ekki hvernig við nálgumst markaðinn nema að við’höfum fjárfest mikið í kerfum okkar og fólki til að mæta mikilli vaxtakröfu sem við höldum áfram að upplifa.

Hvernig svarar þú ýmsum veikleikum sem verða fyrir innan OpenSSL? Hver er stefna DigiCert varðandi að tryggja að öll skírteini séu örugg og hvernig tryggirðu að þessar breytingar séu ósýnilegar fyrir endanotandann?

Við erum mjög á toppnum við þessa þróun og vinnum frumkvæði að því að eiga samskipti við viðskiptavini okkar, jafnvel þó þeir geri það ekki’t hefur áhrif á stafræn vottorð. Ekki margar af þessum veikleikum hafa áhrif á vottorð, en þar sem viðskiptavinir líta á okkur sem SSL / PKI sérfræðinga, miðlum við alltaf viðvörun og leggjum tæki til að hjálpa stjórnendum að vita hvað þeir eiga að gera. Til dæmis veitir DigiCert® vottunareftirlitsmaður okkar rauntíma upplýsingar um leiðandi mælaborð svo stjórnendur geti fundið öll skírteini sín, skoðað stillingar og gengið úr skugga um að þeir standist bestu starfshætti. Við reynum að hjálpa viðskiptavinum með allar sínar skírteinisþörf.

Ert þú þátttakandi í greiningu á öðrum brotum á Internetinu (XMLRPC osfrv.) Og hvað felst í því ferli?
Við höldum örugglega utan um þau en við einbeitum okkur að SSL og TLS landslaginu vegna þess að viðskiptavinir líta fyrst og fremst til að skoða sérþekkingu í þessum málum. Fyrir mig sem aðal öryggisfulltrúa greinum við alltaf brot og varnarleysi. Beint já, við gefum gaum, en viðskiptavinir leita yfirleitt að okkur til að vera strákarnir þeirra fyrst og fremst vegna SSL / TLS varnarleysi og vandamál.

Hvað myndir þú leggja til við einhvern sem vildi hefja öryggisferil? Hvernig mælir þú með að þeir læri meira um svæðið til að verða góðir í því?

Oft fer fjöldi fólks í gegnum hið hefðbundna lag á upplýsingatækni. Ég fór í gegnum annað lag á vöruþróun sem var mjög dýrmætur: að vera mjög forvitinn, vera vandamálaleysandi, einhver sem hefur áhuga á því hvernig hlutirnir virka. Þegar þú skoðar vandamál og varnarleysi þarf mjög skapandi hugarfar til að draga úr málinu. Ég legg til að fólk leggi stund á tölvunarfræði, verkfræði og stærðfræði til að öðlast þessa hæfileika til að leysa vandamál. Þú getur lært tæknihæfileikana til að geta notað hugbúnað sem finnur galla og varnarleysi, en þú þarft einnig að hafa almenna forvitni til að grafa til að bera kennsl á rót vandans.

Ég hóf óafvitandi ferilinn minn vel áður en ég fékk mitt fyrsta starf. Sem unglingaskóli var ég alltaf að leita að kanna út frá kóða af því tagi. Til dæmis er til hlutur sem kallast SQL sprautuárás og ég spurði hvernig það virkaði og greindi það. Ég gat séð hvar gögnin voru komin í gegnum kóða slóðina og get séð nákvæmlega það atriði sem olli vandanum af þessum árásum. Ég elskaði að greina það og reyna að komast að því hvernig þetta bilaði.
Fyrir einhvern sem vill uppgötva XSS (crosssite scripting árásir) geta þeir fræðst um hvernig það gerist og beitt nýfundinni þekkingu sinni í öðrum tilvikum. Sumt í dag vill kannski plástra kerfið en þeir skilja ekki hvernig þessi vandamál eru framkvæmd. Mér finnst gott að útskýra hvernig þessar varnarleysi virka svo að hægt sé að beita þeim í mörgum tilvikum.

Hvað myndir þú leggja til við einhvern sem vildi hefja öryggisferil? Hvernig mælir þú með að þeir læri meira um svæðið til að verða góðir í því?

Hver er áætlun DigiCert næstu 5 árin?

Við erum örugglega einbeitt á ágrip okkar, við höfum vaxið eins og brjálaðir og munum áfram vera leiðandi í nýsköpun í greininni og einbeita okkur að þjónustuverum. Þetta hjálpar okkur að fara yfir samkeppni okkar og öðlast gríðarlega mikla markaðshlutdeild – nýja viðskiptavini og nýja markaði (t.d. heilsugæslu og IoT). Við viljum vera farartæki fyrir allar gerðir af öryggi. Á fimm árum gerum við ráð fyrir að verða miklu stærri en veita samt bestu þjónustuna og persónulega snertingu sem við mögulega getum.

Er eitthvað annað sem notendur okkar ættu að vita?

Ég lít á heiminn og hvernig hann breytist sérstaklega með IoT; það er að breyta heilli lífsstíl fyrir neytendur. Það’er einnig að breyta því hvernig fyrirtæki stunda viðskipti og hvernig fyrirtæki starfa. Án sterks öryggis til staðar munum við lenda í alvarlegum vandamálum í framtíðinni. Við erum að sjá mikið af járnsögum í IoT tækjum og sum eru ógnvekjandi, svo sem að brjóta innrennslisdælu á sjúkrahúsi, fólk rekast á barnaskjái eða taka við sjálfkeyrandi bílum. Sem slíkt gegnir öryggi mikilvægu og nauðsynlegu hlutverki. Við erum örugglega einbeitt að því að hjálpa fyrirtækjum að leysa mál og byggja IoT öryggi inn í innviði sína. Gartner hefur nýlega spáð því að PKI komi fram sem ein viðeigandi auðkenningaraðferð og við erum nú þegar að sjá gildi í spá þeirra. Við höfum viðskiptavini sem koma til okkar sem þurfa IoT öryggi og PKI er vel í stakk búið til að leysa mörg öryggismál sem blasa við næstu kynslóð IoT vara. Við erum farin að veita IoT öryggislausnir, við teljum okkur mjög fullviss um vaxtarmöguleika okkar og getu okkar til að bjóða upp á bestu vottorðatengda öryggislausnir. Snjallustu fyrirtækin koma til okkar og við’er að vinna með þeim. Það’það er spennandi tími að taka þátt í öryggismálum, sérstaklega vegna þess að við getum nú byggt upp öryggi sem gerir heiminn okkar að betri stað til að búa á komandi árum – ef við gerum öryggi núna.

Frekari upplýsingar um DigiCert

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me