Qualys 首席信息安全官致力于使一切可见和安全

Qualys 首席信息安全官在此播客中记录在 黑帽美国2017首席信息安全官的Mark Butler Qualys,讨论他的角色,简化安全性和合规性解决方案,将安全性纳入数字化转型计划,端到端IT安全性,保持团队同步以及对所有资产的合规性。

Qualys 首席信息安全官

这里’为方便起见,是播客的笔录。

嗨,我叫马克·巴特勒(Mark Butler),我是Qualys的首席信息安全官,我想告诉您一些有关我为什么在这里以及我们在Qualys努力实现的目标。我在Qualys的原因是为了帮助消息传递,消息传递的清晰度和消息传递的一致性。 Qualys以漏洞扫描而闻名,并且我们在这方面非常有效,并且已经开展了很多年。从1999年开始,Qualys一直是漏洞扫描服务的SaaS提供商或云提供商,我们在规模方面做得非常出色。但是Qualys还提供了很多其他产品和服务,这些产品和服务并不是很多人都知道的,并且还没有很多客户使用过。

我们要做的是帮助您从消息传递,清晰和理解的角度出发,不仅要利用漏洞管理的基础并了解人们拥有的东西,环境中的东西以及它的安全态势,不仅如此,而且还有我们如何超越检测和数据分析的观点而迈向响应能力。

当你看着 Qualys平台,它着重于漏洞分析,着重于威胁优先级,着重于策略合规性。我们具有Web应用程序,扫描和防火墙功能,但是我们还在资产清单,软件清单,证书清单中开发新功能,并且能够将这些信息纳入响应功能并确保团队能够正在查看数据,解决方案以及安全仪表板可以根据他们看到的内容采取行动,并且他们有信心查看准确的数据。

Qualys CloudView

从平台的角度来看,我们将继续投资于新功能。我们刚刚宣布 CloudView,可以在Azure,Google Cloud,AWS上获取安全状态视图–跨容器,以及这些容器中的实例和工作负载。因此,要求CIO和业务负责人进行数字化转型,这确实使安全团队面临挑战:“如何在云中保护此工作负载?”,“如何确保其正确构建?”, “如何确保数据受到保护?”和“从传统技术部署的角度来看,如何在数分钟,数小时,数天而不是数月又数年的时间内做到这一点?”

数字化转型是巨大的范式转变。安全团队正在逐步提高容器,虚拟网络的速度,管理所谓的临时系统或寿命很短的系统的能力,并且DevOps社区在构建软件的方式有所不同,因此他们可能无法在系统上运行服务很长一段时间。他们只能在需要的期间实例化该服务,并且该服务在使用后可能会关闭,并在以后重新启动。

因此,DevOps社区和 开发安全 努力正变得越来越重要,并且安全团队从产品的角度保护系统,服务和功能的能力越来越强。–寿命长–从传统上看静态系统,静态网络,状态,静态应用程序的转变中,确实是我们需要去的地方。 开发运维的动态功能会根据需要循环服务的实例化,然后在不再需要这些服务时将其拆除,这与大多数安全人员在我心目中如何构建,部署,实施和审核系统。

我们要做的就是不管工作负载在哪里,无论该系统在哪里,无论它是在数据中心中运行的服务器,还是在公司网络中运行的终结点,是否是在云环境中运行的云容器一小时内有一百个Webster,下一小时内有500个Webster–从这些生态系统的安全角度来看,您具有相同级别的能力。然后您可以转到管理部门,转到审计社区,然后说:“我了解我所拥有的。我知道它在哪里。我了解系统数量和支持业务产品和服务的系统数量各不相同。但是,无论该系统生存了多长时间,它都处于安全状态。而且,我有信心告诉您,即使部署是完全自动的配置过程中的脚本,也可以不涉及任何手动过程,但基于其构建方式,部署方式,您也可以做到。

我们关注的不仅是集成到容器中,还集成到云服务提供商中,还要确保我们所做的一切都尽可能自动化,因为我们不想引入失败的机会,问题,错误配置的机会。然后,如果存在某种类型的疏忽配置错误,我们也将基于在这些虚拟系统上部署的代理程序来了解它。

因此,我们专注于可视性,我们专注于速度和业务发展,我们专注于效率,以确保我们能够实现任何可能的自动化。但归根结底,它可以了解您的安全状况,并能够以准确,即时的方式向他人表示。然后随着时间的流逝,证明我们正在变得越来越好,证明我们正在从安全解决方案的角度从安全堆栈进行正确的投资,然后还要确保我们正在与正确的前瞻性供应商合作以崩溃并简化,并确保以最有效的方式花费有限的时间,资源和金钱。

我的CISO角色专注于从其他CIO,其他CISO,其他业务和技术领导者以及企业内各种规模的企业的安全领导者那里获取意见,他们在想什么,他们在考虑什么,确定优先次序以及如何做。随着他们越来越多的压力来证明他们的有效性,他们正在尽其所能保护业务,他们正在合理化其安全程序,其安全解决方案以及其安全功能。如果这样做没有明显的好处,它还可以以优化的方式进行支出,并且不会增加额外的复杂性,人员或资本投资或运营成本。

这就是为什么我在这里,这是我们从Qualys的角度出发要做的,我们将继续投资于其他可见性工具,其他风险分析工具,其他响应功能,以帮助那些已经负担沉重的安全团队, “我的警报太多”,“仪表板的数目太多”和“我的地方太多,无法找出如何有效响应”并在尽可能少的仪表板中尽可能少地放置所有优先级,最后是一个仪表板,这就是我们所追求的目标。但是,数据分析,数据优先级划分,数据排序以及提供一些上下文相关功能的层次很多“哪些系统最重要?”, “哪些系统正在支持我至关重要的创收交易流程,我们的业务流程以及随着数字化转型而提供的服务。”

分享这个