W DigiCert bezpieczeństwo ma kluczowe znaczenie

Contents

Wywiad z Jasonem Sabinem, dyrektorem ds. Bezpieczeństwa w Digicert

Bezpieczeństwo jest bardzo ważnym, ale często pomijanym składnikiem bezpieczeństwa online, szczególnie w kontekście łatwości dostępu do poufnych danych w bitach i bajtach oraz przez luki w zabezpieczeniach, które zostały ujawnione przez wycieki kodu. Jason Sabin dołączył do swojej roli w DigiCert, dostawcy certyfikatów oferującym ekspertyzy SSL, TLS i PKI, w niekonwencjonalny sposób, ale pasjonuje go to, co zrobił. Wspaniale było poznać jego działalność i podstawowe kompetencje DigiCert.


Wywiad z Jasonem Sabinem, dyrektorem ds. Bezpieczeństwa w Digicert

Czy możesz nam powiedzieć o swojej firmie i o tym, jak dołączyłeś?

DigiCert zapewnia niezbędne usługi identyfikacji i uwierzytelniania dla e-firm. Klasycznie wykonaliśmy certyfikaty SSL dla serwerów internetowych i certyfikaty do podpisywania kodu. Ostatnio rozszerzyliśmy swoją ofertę o rynek Internetu rzeczy (IoT) o certyfikaty o wysokiej pewności, które chronią prywatne dane przed wścibskimi oczami. Certyfikaty te pomagają szyfrować, uwierzytelniać i świadczyć usługi tożsamości dla organizacji w zakresie systemów biznesowych i produktów. Zanim dołączyłem do DigiCert, byłem klientem. DigiCert zawsze mnie pociągał’koncentrujemy się na innowacjach i doświadczeniu klienta. Miałem silne doświadczenie w zakresie bezpieczeństwa i chciałem pomóc.

Czy możesz nam powiedzieć o swojej firmie i o tym, jak dołączyłeś?

Jakie jest znaczenie posiadania certyfikatu SSL?

Protokoły TLS i SSL stanowią dziś ważny kręgosłup komunikacji internetowej. Bez nich byłbyś otwarty na wiele luk i problemów. Certyfikaty te chronią dane firmowe i klientów przed hakerami i szpiegami, a dla każdego, kto chce dziś prowadzić działalność, potrzebne jest uwierzytelnianie i szyfrowanie. Certyfikaty cyfrowe są podstawową i najbardziej skalowalną metodą do tego. Jest to szczególnie prawdziwe w przypadku ostatnich kroków Google, aby wkrótce oznaczyć witryny inne niż HTTPS jako niezabezpieczone i poprawić wyniki wyszukiwania za pomocą protokołu SSL – sieć domyślnie przechodzi w szyfrowanie. Ważnym tematem staje się to, że każdy powinien mieć certyfikat na swojej stronie internetowej, urządzeniu inteligentnym, systemie podłączonym do Internetu. To już nie tylko e-commerce. Chcemy skutecznie pomagać firmom w osiągnięciu bezpieczeństwa skalowalności, któremu mogą zaufać osoby, które obsługują.

Jakie jest znaczenie posiadania certyfikatu SSL?

Jaka jest różnica między wieloma różnymi certyfikatami SSL oferowanymi przez DigiCert? Jak ktoś podejmuje świadomą decyzję o zakupie?

Oferujemy szeroką gamę certyfikatów cyfrowych: niektóre z nich to SSL plus, symbole wieloznaczne, wiele domen, urządzenia, Wi-Fi itp. Oferujemy różne typy certyfikatów w zależności od potrzebnych rodzajów weryfikacji i przypadków użycia. Czasami może to być przytłaczające, ale rozwiązujemy tak wiele różnych problemów dzięki naszym rozwiązaniom. Zapewniamy wskazówki na naszej stronie internetowej (digicert.com), aby pomóc ludziom wybrać odpowiedni certyfikat dla ich potrzeb. Oferujemy również wielokrotnie nagradzaną platformę zarządzania certyfikatami o nazwie CertCentral®, która pomaga firmom zarządzać nawet milionami certyfikatów jednocześnie. Mamy obsługę klienta 24/7. Ludzie często dzwonią do nas i doceniają to, że gdy ktoś odbierze telefon, ta osoba jest ekspertem w zakresie SSL / TLS / PKI, aby pomóc im w uzyskaniu certyfikatu, który musi kupić.

Jaka jest różnica między wieloma różnymi certyfikatami SSL oferowanymi przez DigiCert? Jak ktoś podejmuje świadomą decyzję o zakupie?

Czym dokładnie jest "podpisywanie kodu" i czym to się różni od innych certyfikatów SSL, które oferujesz?

Certyfikaty cyfrowe są często używane do tego, co nazywam trzema filarami: uwierzytelniania, szyfrowania i podpisywania. Podpisywanie sprawdza wykonywalne aplikacje oprogramowania binarnego. Certyfikaty DigiCert SSL pokazują użytkownikom, że odwiedzane przez nich witryny zostały zweryfikowane jako będące własnością / obsługiwaną przez firmę wymienioną w certyfikacie, a certyfikaty te szyfrują również dane przesyłane między użytkownikiem a witryną’s serwer. Podpisywanie kodu to proces sprawdzania poprawności oprogramowania. Chcesz się upewnić, że instalujesz oprogramowanie wykonywalne z zaufanej firmy. Jeśli firmy don’Aby korzystać z certyfikatów do podpisywania kodu, użytkownicy nie mają możliwości sprawdzenia, czy plik wykonywalny, który chcą pobrać i uruchomić, jest zgodny z prawem przez firmę, którą zamierzali. Podobnie firmy, które używają certyfikatów z podpisem własnym, a nie certyfikatów wydanych przez root’y zaufane w przeglądarce (takie jak DigiCert), ryzykują, że ich użytkownicy zobaczą ostrzeżenia, że ​​oprogramowanie może nie być bezpieczne.

W jaki sposób DigiCert jest zaangażowany w Internet przedmiotów i jakie rozwiązania są dostępne?

Jesteśmy zdecydowanie bardzo zaangażowani w pomoc organizacjom w zabezpieczeniu ich wdrożeń IoT. Wiele firm zdaje sobie sprawę, że bezpieczeństwo Internetu Rzeczy jest krytycznym aspektem ich oferty. Uwierzytelnianie, szyfrowanie i podpisywanie są ważne dla Internetu Rzeczy, dlatego oferujemy rozwiązania umożliwiające integrację zarządzania certyfikatami w firmie’ekosystem i oferty produktów.

W jaki sposób DigiCert jest zaangażowany w Internet przedmiotów i jakie rozwiązania są dostępne?

Czy możesz nam powiedzieć coś o oferowanych rozwiązaniach PKI?

Oferujemy rozwiązania PKI dla środowisk IoT, klientów korporacyjnych i pojawiających się konkretnych potrzeb, takich jak wymiana opieki zdrowotnej, zabezpieczenie publicznej sieci Wi-Fi itp., Za pośrednictwem certyfikatów cyfrowych, które mogą sprostać ogromnej skali zastosowań dużych przedsiębiorstw i IoT. Niektórzy klienci muszą wydawać miliony lub dziesiątki milionów certyfikatów i nie mają do tego specjalistycznej wiedzy. Pomagamy im zbudować rozwiązanie z wykorzystaniem technologii DigiCert i innowacji, aby zapewnić im bezproblemową obsługę. Niektóre osoby muszą zarządzać całym cyklem życia certyfikatu i krajobrazem za pośrednictwem inteligentnego portalu o nazwie CertCentral®. Klienci chcą łatwo zdobywać certyfikaty, zarządzać nimi, monitorować je i sprawdzać pod kątem problemów, a my pomagamy im to robić. Zwracamy uwagę na naszych klientów, niezależnie od wielkości ich konta, zawsze rozmawiamy z nimi, aby zrozumieć problemy, które mają, i szybko wskakujemy na to, aby znaleźć rozwiązanie dla nich.

Jak duża jest cała firma? Gdzie się znajdujesz i czy masz inne biura??

Mamy wielu wewnętrznych ekspertów ds. Bezpieczeństwa i zewnętrznych konsultantów. W DigiCert mamy ekspertów SSL / TLS / PKI oraz osoby, które mogą odpowiedzieć na pytania klientów. Mamy około 200 pracowników i ponad 115 000 klientów w 185 krajach. Tego lata kupiliśmy działalność Verizon SSL, jeszcze bardziej poszerzając zasięg, szczególnie w Europie i Azji, oferując usługi dla dużych przedsiębiorstw i aren telekomunikacyjnych. Nasza siedziba główna znajduje się w Lehi w stanie Utah, ale mamy dodatkowe udogodnienia, partnerów i obecność na całym świecie.

Jak duża jest cała firma? Skąd się wywodzisz i czy masz inne biura?

Jak przeszedłeś od bycia inżynierem oprogramowania do pracy jako szef ochrony w jednej z najbardziej znanych firm ochroniarskich?

Wiedziałem, że chcę być w komputerze, kiedy zacząłem pisać kod w piątej klasie. Napiszę kod i spróbuję go złamać. Tak było ze mną przez całą karierę. Budowałem produkty bezpieczeństwa i próbowałem je przełamać, aby znaleźć słabe punkty. ja’zawsze mieliśmy taki sposób myślenia, aby znaleźć słabość, aby je rozwiązać i naprawić. Jestem innym CSO z doświadczeniem w inżynierii / R.&D, tworzenie i projektowanie oprogramowania. mając na uwadze, że większość organizacji społeczeństwa obywatelskiego pracowała w obszarze IT i administracji systemu. . Obie ścieżki przynoszą ważne perspektywy. Mój pomaga mi w mojej roli w budowaniu systemów i platform upraszczających zarządzanie certyfikatami.

Złożyłem ponad 50 patentów i ponad 30 zostało wydanych w trakcie mojej kariery. Większość z nich zajmowała się przetwarzaniem w chmurze, bezpieczeństwem mobilnego Internetu Rzeczy i identyfikacją. Projektuję nowe technologie wokół bezpieczeństwa i tożsamości, ostatnio zajmując się automatyzacją i upraszczaniem zadań związanych z zarządzaniem certyfikatami, takich jak kontrola, wykrywanie i analiza certyfikatów.

Czy uważasz, że Google kładzie nacisk na zwiększenie SSL w rankingach, które zmieniają Twoje podejście do rynku, i czy w rezultacie zobaczyłeś nowych klientów??

Zdecydowanie widzieliśmy o wiele więcej klientów, nie tylko zwiększone wykorzystanie SSL / TLS w przeglądarkach, ale także w zakresie Internetu Rzeczy i opieki zdrowotnej. Obserwujemy wzrost liczby osób zainteresowanych. Chcemy zwiększyć komfort obsługi klienta, aby użytkownicy byli bezpieczniejsi; Zmiany Google prowadzą do zwiększenia świadomości w celu ochrony wszystkich części witryny, a nie tylko stron logowania i koszyków, ochrony całej sesji przeglądania i zdecydowanie zachęcamy do większego szyfrowania. Nie robi’zmienić nasze podejście do rynku, z wyjątkiem tego, że my’mocno zainwestowaliśmy w nasze systemy i ludzi, aby zaspokoić silny popyt na wzrost, którego wciąż doświadczamy.

Jak reagujesz na różne luki w OpenSSL? Jakie są zasady DigiCert dotyczące zapewnienia bezpieczeństwa wszystkich certyfikatów i jak upewnić się, że zmiany te są niewidoczne dla użytkownika końcowego?

Jesteśmy bardzo na bieżąco z tymi osiągnięciami i aktywnie pracujemy, aby komunikować się z naszymi klientami, nawet jeśli nie’wpływają na certyfikaty cyfrowe. Niewiele z tych luk wpływa na certyfikaty, ale ponieważ klienci postrzegają nas jako ekspertów ds. SSL / PKI, zawsze komunikujemy się z alertami i udostępniamy narzędzia, które pomagają administratorom wiedzieć, co robić. Na przykład nasz Inspektor certyfikatów DigiCert® zapewnia informacje w czasie rzeczywistym za pomocą intuicyjnego pulpitu nawigacyjnego, aby administratorzy mogli znaleźć wszystkie swoje certyfikaty, sprawdzić konfigurację i upewnić się, że spełniają najlepsze praktyki. Staramy się pomagać klientom we wszystkich potrzebach związanych z certyfikatami.

Czy bierzesz udział w analizie innych naruszeń Internetu (XMLRPC itp.) I co obejmuje ten proces?
Zdecydowanie je śledzimy, ale koncentrujemy się na środowisku SSL i TLS, ponieważ klienci przede wszystkim szukają specjalistycznej wiedzy w tych sprawach. Dla mnie jako głównego oficera bezpieczeństwa zawsze analizujemy naruszenia i luki w zabezpieczeniach. Bezpośrednio tak, zwracamy uwagę, ale klienci zwykle szukają nas jako swoich pomocników głównie w przypadku luk i problemów związanych z SSL / TLS.

Co sugerujesz komuś, kto chce rozpocząć karierę w dziedzinie bezpieczeństwa? W jaki sposób polecają ci dowiedzieć się więcej o tym obszarze, aby stać się w tym dobrym?

Często wiele osób przechodzi tradycyjną ścieżkę IT. Przeszedłem inną ścieżkę rozwoju produktu, która była bardzo cenna: być bardzo ciekawym, rozwiązywać problemy, ktoś zainteresowany tym, jak to działa. Podczas sprawdzania problemów i słabości potrzeba bardzo kreatywnego sposobu myślenia, aby złagodzić problem. Sugeruję, aby ludzie studiowali informatykę, inżynierię i matematykę, aby zdobyć umiejętności rozwiązywania problemów. Możesz nauczyć się umiejętności technologicznych, aby móc korzystać z oprogramowania wykrywającego błędy i luki w zabezpieczeniach, ale musisz także wykazać się ogólną ciekawością, aby znaleźć źródło problemu.

Nieświadomie rozpocząłem swoją karierę na długo przed zdobyciem pierwszej pracy. Jako uczeń gimnazjum zawsze chciałem odkrywać coś w rodzaju kodu. Na przykład istnieje coś, co nazywa się atakiem iniekcyjnym SQL, a ja zapytałem, jak to działa i przeanalizowałem. Byłem w stanie zobaczyć, gdzie dane zostały przekazane przez ścieżkę kodu i dokładnie zobaczyć punkt, który spowodował problem tych ataków. Uwielbiałem analizować to i próbować ustalić, jak to się zepsuło.
Jeśli ktoś chce odkryć XSS (ataki typu cross site scripting), może dowiedzieć się, jak to się dzieje, i zastosować swoją nową wiedzę w innych przypadkach. Niektórzy ludzie mogą po prostu chcieć załatać system, ale nie rozumieją, jak te problemy są wykonywane. Chciałbym wyjaśnić, w jaki sposób działają te luki, aby można je było zastosować w wielu przypadkach.

Co sugerujesz komuś, kto chce rozpocząć karierę w dziedzinie bezpieczeństwa? W jaki sposób polecają ci dowiedzieć się więcej o tym obszarze, aby stać się w tym dobrym?

Jaki jest plan DigiCert na najbliższe 5 lat?

Zdecydowanie koncentrujemy się na naszym agresywnym rozwoju, rozwijamy się jak szaleni i nadal będziemy liderem innowacji w branży i skupimy się na obsłudze klienta. Pomaga nam to wyprzedzić naszą konkurencję i zdobyć ogromny udział w rynku – nowi klienci i nowe rynki (np. Opieka zdrowotna i Internet Rzeczy). Chcemy być głównym dostawcą wszystkich rodzajów zabezpieczeń. Za pięć lat spodziewamy się, że będziemy znacznie więksi, ale nadal zapewniamy najlepszą obsługę i osobisty kontakt, jaki możemy.

Czy nasi użytkownicy powinni wiedzieć coś jeszcze??

Patrzę na świat i jego zmiany, szczególnie z IoT; zmienia cały styl życia dla konsumentów. To’Zmienia się także sposób, w jaki przedsiębiorstwa prowadzą działalność i jak działają przedsiębiorstwa. Bez silnego bezpieczeństwa w przyszłości będziemy mieli poważne problemy. Widzimy wiele hacków na urządzeniach IoT, a niektóre są przerażające, takie jak złamanie pompy infuzyjnej w szpitalu, włamanie się do nianie lub przejęcie samochodu. Dlatego bezpieczeństwo odgrywa kluczową i niezbędną rolę. Zdecydowanie koncentrujemy się na pomaganiu firmom w rozwiązywaniu problemów i wbudowywaniu zabezpieczeń IoT w ich infrastrukturę. Gartner przewidział niedawno, że PKI pojawi się jako jedna z najistotniejszych metod uwierzytelniania i już widzimy prawidłowość ich prognoz. Przybywają do nas klienci potrzebujący bezpieczeństwa IoT, a PKI ma dobrą pozycję, aby rozwiązać wiele problemów związanych z bezpieczeństwem stojących przed kolejną generacją produktów IoT. Jako wiodący dostawca rozwiązań bezpieczeństwa IoT, jesteśmy bardzo pewni naszych perspektyw rozwoju i naszej zdolności do dostarczania najlepszych rozwiązań bezpieczeństwa opartych na certyfikatach. Przychodzą do nas najmądrzejsze firmy, a my’pracuję z nimi. To’to ekscytujący czas na zaangażowanie w bezpieczeństwo, zwłaszcza że możemy teraz budować zabezpieczenia, które uczynią nasz świat lepszym miejscem do życia w przyszłych latach – jeśli zrobimy to teraz.

Dowiedz się więcej o DigiCert

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me