Laura 是 SafeStack 的创始人兼首席顾问,SafeStack 是一家安全培训、开发和咨询公司。这到底意味着什么?SafeStack 帮助组织选择适合他们的正确类型的安全最佳实践。然后,Laura 的团队向他们展示如何实施这些新发现的安全协议。这通常需要大力度的工作场所文化变革,这听起来可能要求很高,但 Laura 在这次采访中告诉我,“我们希望安全成为促进增长的赋能工具,而不是创新过程中代价高昂的障碍。”
Laura 将在今年的 OSCON 大会上发表演讲。在本次采访中阅读更多关于她的开源安全工具 AVA 的信息。
你为什么编写电子攻击人类的系统?
我喜欢人。我真的喜欢。我非常关心我们如何在这个我们建立的互联世界中保护自己和彼此的安全。但是,外面有很多人不像我们这样想。他们为了个人或政治利益想要攻击他人。他们想要通过偷窃和欺骗的方式获得更好的地位。所以,我们需要学习如何保护自己免受这类人的侵害。但要做到这一点,我们需要首先知道我们会如何反应。在事情变得真实之前。
SafeStack 是我建立的公司,旨在以安全和受控的方式为企业模拟这些行为,以便他们可以学习如何有效地保护自己。
关于安全工具,你能告诉我们什么?
目前,可用的安全工具很少。主要的替代方案是社会工程工具包,它是开源的。然而,这个工具主要针对社会工程渗透测试人员(攻击性安全),而不是防御和教育。在 SafeStack,除了 AVA 之外,我们还使用了大量的非安全工具和技术来完成工作——从 Docker 等容器系统,到 LDAP 等身份验证和目录管理系统。
当您开源 AVA 时,您最担心的是什么?
AVA 是一个复杂的系统,允许您创建和发送潜在的恶意或恶意消息给您组织中的人员。它还绘制了环境中人员的连接性,并识别出谁最容易受到此类攻击的威胁。我认为将其开源很重要,但我担心的是让那些意图不那么高尚的人可以使用它,或者降低能力较弱的攻击者参与其中的门槛。
您能够阻止它落入坏人之手吗?
遗憾的是,我认为如果有人有足够的动机,他们总会找到做错事的方法,无论我们采取什么保护措施。但我认为,通过确保该工具的设计与良好的隐私实践及其使命紧密相连,我们确保使该工具可用于其他用途所需的工程工作将超过这样做的好处。
SafeStack 目前正在尝试解决哪些问题?
在 SafeStack,我们将安全实践和文化带入全球快速发展、快速增长的组织中。我们专注于确保我们构建的应用程序和组织在设计上是安全的,我们希望安全成为促进增长的赋能工具,而不是创新过程中代价高昂的障碍。
我们的主要重点是敏捷/持续应用程序安全(整个开发/部署生命周期)和以人为本的安全(保护我们的人员)。
演讲者访谈
本文是 OSCON 2015 演讲者访谈系列的一部分。OSCON 是关于开源的一切——全栈,包括您日常工作中使用的所有语言、工具、框架和最佳实践。OSCON 2015 将于 7 月 20 日至 24 日在俄勒冈州波特兰举行。
评论已关闭。