前两天看了2018年黑帽大会的视频,里面主要涉及了一些信息安全的重要理念,主讲人Parisa Tabriz是谷歌安全团队的主导人,她的团队除了管理谷歌公司的信息安全之外,还和其他公司有着安全方面的合作,这次她的演讲主要涉及了一个新的理念Project Zero,以及实现信息安全的三个主要方面:
- 找出信息安全的根源原因,并且不满足于只是出现问题的那个漏洞的修复
- 信息安全是一个长远的计划,在保持耐心的同时需要设立一个个小目标,努力实现它之后要庆祝一下,增加整个团队的信心
- 加强合作,倡导全民对信息安全的关注,提高全民对信息安全的需求,以全民的需求作为企业的动力
Project Zero:
主要是旨在做积极预防然后降低漏洞发生时造成的损失,但是预防的项目是非常的模糊且虚无缥缈的,所以不通过的几率是很大的,所以需要加强合作和信息透明。
视频网址:
https://www.youtube.com/watch?v=py2qmGbyhlw&feature=youtu.be&t=1417
以下是自己的笔记,仅供参考:
- Identify and tackle the root cause of the problem we uncover and not satisfied with isolated fixes (Tackle the root cause)
5 why:
Project zero: make 0-day hard, reduce loss, do more (transparency + collaboration)
- Be more intentional in how we pursue really long arc defensive projects (identify milestones, work towards those milestones, celebrate progress along the way) (Pick milestones & celebrat)
- Invest in hold proactive defensive projects (Build out your coalition)