Connect with us

Technologie

Les entretiens de sécurité: comment Crest refait le futur du conseil

Published

on


En 1976, lorsque le président de Crest, Ian Glover, est allé s’entretenir avec son conseiller en carrières scolaires, la cybersécurité telle que nous la connaissons n’existait pas, le concept de STEM (science, technologie, ingénierie et mathématiques) en tant que discipline n’était pas encore formé, et les ordinateurs n’étaient pas quelque chose d’enseignants qui comprenaient que vous pouviez avoir une carrière. Mais il a persévéré.

« L’idée qu’un ordinateur puisse atterrir quelqu’un sur la Lune a été une force motrice principale pour moi », explique Glover à Computer Weekly. « Mais j’avais de terribles conseils de carrière à l’école. J’étais très bon à souder et j’ai été très bon avec un tour, alors ils ont essayé de me faire aller dans ces domaines. J’ai dit que je voulais être un ingénieur en conception de systèmes et ils n’avaient aucune idée de ce que c’était. Alors je suis allé et j’ai trouvé un emploi.

Comme quelqu’un qui est entré dans l’informatique dans ses années de formation – Computer Weekly avait seulement 10 ans en 1976 – Glover est l’un d’une cohorte de personnes qui ont apprécié le luxe relatif de pouvoir orchestrer son propre chemin de carrière, à la recherche de nouvelles opportunités et de changer les choses tout comme le monde de l’informatique développé.

Son travail en parle, l’emmenant au fil des ans au ministère de la Défense (MoD), où il a travaillé sur les premiers projets d’intelligence artificielle militaire (IA), et l’Agence centrale de l’informatique et des télécommunications (ACTC), qui a développé la première stratégie nationale de sécurité de l’information du Royaume-Uni et un certain nombre d’autres méthodologies, avant de se diriger vers le secteur privé à la fin des années 1990, en fondant sa propre société de conseil , Insight, qui a ensuite été vendu dans ce qui était alors Siemens Enterprise Communications (SEC – maintenant Atos Unify), où il est resté jusqu’en 2008.

Crest – ou le Council of Registered Ethical Security Testers, pour lui donner son nom complet – a été créé à la fin de 2008 en partant du principe que l’industrie des services de sécurité était, selon les mots de Glover, « un peu comme le Far West », et qu’il fallait faire quelque chose à ce sujet.

« C’était vraiment difficile d’acheter des services de bonne qualité, vous n’aviez aucune idée de qui vous achetiez, vous ne compreniez pas vraiment ce que vous achetiez, et il n’y avait aucune capacité à agir si les choses allaient mal », dit-il.

« pour moi, c’était un gros problème – la possibilité qu’un testeur de pénétration sans contrainte fasse des choses inappropriées ou fasse accidentellement tomber le système était assez élevé. Nous avons donc cherché à professionnaliser l’industrie. L’industrie avait été très bonne pour moi, le gouvernement m’avait vraiment donné une bonne éducation et une opportunité, et j’avais donc trois critères principaux.

« out ce qui professionnaliserait l’industrie, Crest s’inscrit absolument dans cette tranche; tout ce qui aiderait les jeunes dans une carrière, en particulier en donnant aux gens des possibilités où ils ne voyaient pas qu’il y avait une opportunité, alors je le ferais; et tout ce qui protège les jeunes vulnérables. Le seul travail que j’ai fait au cours des 12 dernières années a été orienté vers ces trois objectifs primaires et Crest s’inscrit très confortablement dans chacun de ces critères.

Une décennie de croissance

Depuis sa création, Crest est passé d’une petite organisation à but non lucratif centrée sur le Royaume-Uni à une organisation mondiale avec un peu moins de 200 entreprises membres au niveau mondial, régional ou national.

« La façon dont elle fonctionne, c’est que nous accréditons ces organisations qui examinent leurs politiques, leurs processus et leurs procédures », explique M. Glover. « Nous faisons des vérifications sur place, nous faisons des évaluations techniques le cas échéant, et nous pouvons les effectuer dans n’importe quelle partie du monde. Et nous accréditons les entreprises dans les tests de pénétration, la cybersécurité, la réponse aux incidents, l’analyse de la vulnérabilité, le renseignement sur les menaces, et nous accréditons également les SOC [Security Operations Centres].

« Cela se fait grâce à une combinaison de vérification papier, de vérification sur place et d’évaluation technique, de sorte que c’est assez élevé et nous avons encore plus de demandes en cours que de membres. C’est une chose assez difficile à atteindre pour les organisations.

Crest affirme que ses accréditations sont de plus en plus recherchées dans la communauté des acheteurs – en particulier aux États-Unis, où on dit qu’un nombre croissant de spécialistes des services de sécurité sont régulièrement interrogés pour savoir s’ils sont membres de Crest lorsqu’ils soumissionnent pour un emploi.

Glover met cela à la taille croissante et la complexité du marché de la sécurité. « Les services de sécurité sont des choses difficiles à acheter », dit-il. « omment exactement allez-vous sortir et acheter un test de stylo si vous n’avez pas fait si avant? Comment savez-vous que le service soc dans lequelle vous sous-traitez est bon, mauvais ou indifférent? Ce n’est pas une chose facile pour un programme d’approvisionnement traditionnel à identifier réellement – nous faisons le gros du travail au nom de la communauté des acheteurs, et nous mettons également en place de bonnes pratiques.

Du conseil à l’opinion

Maintenant que le marché de la sécurité s’est considérablement développé et que les fournisseurs de services de sécurité sont passés de boutiques à des marques de grands noms, ce besoin est de plus en plus grand que jamais, dit Glover. Il ajoute que les acheteurs se rendent maintenant compte que s’ils contractent leurs services de sécurité à des organisations structurées qui soutiennent leurs revendications technologiques avec des compétences certifiées et des meilleures pratiques, ils obtiennent de meilleurs résultats.

Il estime également que le conseil en sécurité va bientôt commencer à passer d’une pratique fondée sur le conseil à une pratique fondée sur l’opinion. « Nous n’avons pas encore vraiment fait cela en tant qu’industrie, mais je crois absolument que c’est la direction du jeu », dit-il.

Mais qu’est-ce que cela signifie réellement? Glover explique : « À l’heure actuelle, nous fournissons des conseils et des conseils. Nous examinons vos systèmes et nous disons « e n’est pas très bon – vous devriez le corrige ». C’est un conseil. Mais ce que nous voyons maintenant sous GDPR [General Data Protection Regulation] et d’autres règlements, on vous demande si vous avez pris les mesures appropriées pour sécuriser vos données, sinon l’organisme de réglementation va prendre des mesures réglementaires ou vous infliger beaucoup d’argent.

« Nous nous dirigeons donc maintenant vers ce domaine où les consultants en sécurité doivent être des auditeurs professionnels et dire, à notre avis professionnel, que cette organisation a ou n’a pas pris les mesures appropriées pour sécuriser ses données. Cela va être un changement important dans le marché des services de sécurité. Nous sommes bien préparés à le faire, mais cela ne se fera pas sans une certaine douleur, et certainement un changement d’état d’esprit parmi les membres de Crest.

Ce changement d’état d’esprit sera nécessaire parce que, dans le cadre de ce modèle, les consultants en sécurité se retrouveront sous des restrictions semblables à ce qu’ils feraient s’ils fournissaient d’autres services lorsqu’ils donnent un avis professionnel, comme la vérification financière.

Il y a beaucoup de risques et de responsabilité personnelle associés à ce genre d’activité, comme le rappelle Glover depuis son passage au conseil d’administration de la SEC, lorsqu’il a dû lire et comprendre les rapports qui lui étaient présentés à fond, parce que les signer le rendait personnellement responsable. À mesure que la réglementation comme le GDPR se généralise, c’est quelque chose que les OSCI n’ont peut-être pas encore saisi.

« L’éducation est nécessaire pour aider les professionnels de la sécurité à comprendre l’orientation du jeu », dit-il. « Je ne pense pas qu’il s’agit d’un grand changement de l’avis à la responsabilisation, mais c’est un changement et ce sera un changement pour l’organisation autant que pour les individus, parce que cette organisation sera responsable des conseils et des conseils qu’elle fournit dans ce service fondé sur l’opinion. »

Défis à venir

Mais la voie à suivre pour ce nouveau modèle de services de sécurité ne sera pas sans défis, dit Glover. « e modèle que nous avons mis de l’avant en termes d’organisations de confiance avec des individus accrédités liés avec des codes de conduite efficaces sons, en une phrase, une chose vraiment facile à faire, mais en fait, il est assez difficile à réaliser. Nous devons ranger les choses.

Bon nombre de ces défis seront mis en évidence sur la légalité et le comportement éthique – comme ce qui constitue une violation du GDPR, ou sur la façon d’exécuter des attaques simulées d’hameçonnage ou des tests de pénétration – des domaines où Glover affirme qu’il y a clairement certaines zones grises.

« Prenez des méthodes perturbatrices, comme les programmes de primes aux bogues crowdsourc », dit-il. « Nous devons comprendre comment ceux-ci pourraient fonctionner dans un environnement réglementé et nous devons comprendre comment nous pouvons contrôler l’accès à ces personnes.

« Si vous ouvrez votre système à un programme de primes aux bogues, il est très difficile de l’éteindre, alors vous devez le faire à un moment donné de maturité – vous ne pouvez pas le faire trop tôt. Mais si vous n’agissez pas sur les observations qui les font passer, alors où va cette information légitimement? C’est une question assez difficile à répondre.

Il ne fait aucun doute, ajoute M. Glover, se tromper dans le cas d’une violation majeure des données pourrait voir les professionnels de la sécurité être légalement sanctionnés par les tribunaux, il est donc important que le processus de certification soit étanche.

Le processus de Crest est déjà comparable, en termes de temps nécessaire pour y parvenir, à devenir comptable agréé avec l’ICAEW – un processus de trois ans si vous vous entraînez avec un cabinet « Big Four » (Deloitte, EY, KPMG et PwC).

« Nos qualifications arrivent à environ 2 500 heures après un bon diplôme, puis elles passent à environ 6 000 heures pour notre niveau enregistré et environ 10 000 pour notre niveau certifié », explique M. Glover.

« Nos praticiens peuvent travailler sur ces missions avec soutien, notre niveau enregistré peut fonctionner sans soutien, mais ne peut pas signer, et nos personnes certifiées sont compétentes sur le plan opérationnel et peuvent signer. Nous avons obtenu environ 4 000 personnes certifiées, et nous entresons des relations internationales avec d’autres organismes de certification professionnels à l’échelle mondiale.

Continue Reading
Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Technologie

Trump impliqué dans des plans pour poursuivre Assange sur les fuites de guerre

Published

on


La Maison Blanche était derrière le retrait du fondateur de WikiLeaks Julian Assange de l’ambassade équatorienne à Londres avant son arrestation, a-t-on appris aujourd’hui auprès d’un tribunal.

Journaliste américaine et partisane de Trump, Casandra Fairbanks a affirmé qu’un partisan du parti républicain proche du président lui avait parlé des projets d’arrestation d’Assange quelques mois avant que cela ne se produise.

Dans une déclaration de témoin lue au tribunal aujourd’hui, Fairbanks a déclaré qu’elle avait reçu des détails avancés sur les plans du gouvernement américain d’arrêter et Assange lors d’un appel téléphonique d’Arthur Schwartz un donateur riche au parti républicain.

Le donateur du parti républicain a averti Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning en 2010, que les États-Unis se rendraient à l’ambassade équatorienne pour arrêter Assange, et qu’ils « s’en prendraient à Chelsea Manning ».

« Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit. Schwartz n’aurait pu recevoir l’information sur Assange que de sources officielles, a-t-on appris auprès du tribunal.

Allégations rejetées par les États-Unis

Joel Smith QC représentant le gouvernement américain, a rejeté aujourd’hui fairbanks prétend que « la vérité de ce que Mme Fairbanks a été dit par Arthur Schwarz n’était pas à sa connaissance ».

Smith a déclaré que l’accusation remettrait également en question la partialité du témoin, qui reconnaît qu’elle est un partisan de WikiLeaks.

Le tribunal a entendu Schwartz était un conseiller informel de Donald Trump junior et a travaillé pour l’ambassadeur des États-Unis en Allemagne, Richard Grenell, qui il est apparu plus tard avait été derrière l’expulsion d’Assange de l’ambassade des États-Unis, la cour a entendu.

Fairbanks, une partisane de Trump, a travaillé pour une organisation de presse basée à Washington « Gateway Pundit » qu’elle a décrite comme une organisation « pro-Trump ».

Fairbanks faisait partie du groupe de messages avec des gens proches de Trump

Elle faisait partie d’un groupe de messages qui comprenait plusieurs personnes qui travaillaient pour, ou étaient proches du président Trump, y compris Schwartz et Grenell, dit-elle dans une déclaration de témoin.

Schwartz a téléphoné à Fairbanks le 30 octobre 2018 après avoir posté une interview avec la mère d’Assange sur le groupe de discussion, espérant que quelqu’un le verrait et serait déplacé pour aider.

« Arthur Schwartz était extrêmement en colère », a-t-elle dit. Il lui a dit que les gens auraient pu négliger son soutien précédent de WikiLeaks, mais ils ne seraient pas si indulgent maintenant qu’elle était « plus informée ».

« Il a élevé mon enfant de neuf ans au cours de ces commentaires, que j’ai perçus comme une tactique d’intimidation », a-t-elle déclaré dans la déclaration du témoin.

Schwartz a dit à plusieurs reprises à Fairbanks de cesser de défendre WikiLeaks et Assange, en disant qu’un pardon ne va pas se produire putain ».

« Il connaissait des détails très précis sur une future poursuite contre Assange qui ont été rendues publiques plus tard et que seuls ceux qui étaient très proches de la situation auraient alors été au courant », a-t-elle dit.

Assange ne serait pas inculpé pour des fuites de la CIA

Schwartz a déclaré à Fairbanks qu’Assange serait inculpé pour les fuites de Chelsea Manning, mais ne serait pas accusé de publier les documents Vault 7 – qui ont exposé la capacité de la CIA à mener la surveillance et la cyberguerre – ou les fuites DNC.

Il a également dit à Fairbanks qu' »ils s’en prendraient à Chelsea Manning » et que ce serait fait avant Noel. « Ces deux prédictions se sont réalisées quelques mois plus tard », a-t-elle dit.

Le gouvernement américain se rendrait à l’ambassade pour obtenir Assange, a déclaré Schwartz.

« J’ai répondu que l’entrée dans l’ambassade d’une nation souveraine et l’enlèvement d’un réfugié politique seraient un acte de guerre et il a répondu : « Pas s’ils nous laissent faire », a déclaré Fairbanks dans la déclaration des témoins.

« Je ne savais pas à l’époque que l’ambassadeur Grenell avait conclu ce mois-là, en octobre 2018, à un accord avec le gouvernement équatorien », a-t-elle déclaré.

Manning a divulgué près de 750 000 documents classifiés et sensibles, militaires et diplomatiques à WikiLeaks, y compris les journaux de guerre afghans.

Fairbanks a diminué Assange et Manning des arrestations

En janvier 2019, bien qu’elle ait été ébranlée par l’appel téléphonique d’Arthur Schwartz, Fairbanks a rendu visite à Assange à l’ambassade équatorienne et l’a « informé de tout ce qu’on m’avait dit », a-t-elle dit.

« J’ai aussi rencontré Chelsea Manning en personne et lui ai dit que je craignais qu’ils pourraient venir après elle à nouveau ».

Lorsque Assange a été accusé d’avoir publié les fuites de Chelsea Manning en 2010 et que Manning a été présenté devant un grand jury, « j’ai compris que les informations que Schwartz avait, provenaient de sources précises et officielles », a-t-elle dit.

Elle a de nouveau rendu visite à Assange le 25 mars 2019 et a dit qu’elleed très différemment. Elle a été enfermée dans une salle d’attente froide pendant une heure tandis que le personnel de l’ambassade « a exigé Assange être soumis à un scanner du corps entier avec un détecteur de métaux ». Ils n’avaient que 2 minutes pour parler.

Elle a envoyé un message à Schwartz le 29 mars 2019. Schwartz a appelé Fairbanks et lui a dit qu’il savait qu’elle avait partagé le contenu de leur conversation précédente avec Assange.

Schwartz a déclaré qu’il y avait maintenant une enquête sur qui a divulgué Fairbanks les informations qu’elle a donné à Assange en personne en Octobre 2018.

Assange et Fairbanks avaient communiqué en passant des notes et Assange avait joué une radio pendant la réunion pour éviter la surveillance. « Apparemment, ces mesures n’étaient pas suffisantes pour s’assurer que ma conversation était privée ».

Fairbanks a dit qu’elle ne pouvait plus faire confiance

Schwartz a déclaré à Fairbanks qu’il ne pouvait plus lui faire confiance avec des informations relatives à WikiLeaks.

« Il était évident que les États-Unis avaient été impliqués, y compris le département d’État, et que Schwartz avait été fait partie à l’information », a déclaré Fairbanks.

Peu après l’arrestation d’Assange le 11 avril 2019, ABC news a rapporté que l’ambassadeur Grenell avait été impliqué dans l’accord d’arrestation d’Assange « en octobre lorsque j’ai reçu l’appel de Schwartz ».

Lorsque Fairbanks a tweeté l’histoire d’ABC, l’ambassadeur Grenell a envoyé un message au patron de Fairbanks et a essayé de persuader son patron de lui faire supprimer le tweet. — J’ai refusé, dit Fairbanks.

En septembre 2019, Trump a annoncé qu’il avait congédié son conseiller à la sécurité nationale John Bolton et que le nom de Grenell était « flottant partout » en tant que candidat probable pour remplacer Bolton, a déclaré Fairbanks dans son communiqué.

Ordres directs du président

Quelques heures après avoir publié un tweet sur Twitter indiquant que Grenell était impliqué dans l’arrestation d’Assange et qu’elle avait tenté de faire virer Fairbanks pour cela, elle a reçu un autre appel téléphonique de Schwartz.

« Cette fois, il était frénétique. Il se délirait et délirait qu’il pouvait aller en prison et que je tweetais des informations classifiées », a-t-elle dit.

« Schwartz m’a informé qu’en coordonnant le renvoi d’Assange de l’ambassade, l’ambassadeur Grenell l’avait fait sur ordre direct du président », a déclaré Fairbanks.

Elle a enregistré l’appel qui fera partie de la preuve de cette audience. Il n’a pas été joué au tribunal.

Elle a dit qu’elle croyait maintenant que le personnel de l’ambassade a pris des « mesures extrêmes » dans sa deuxième rencontre avec Assange parce que le contenu de sa rencontre antérieure avec Assange avait été remis aux autorités américaines et ceux qui ont des liens étroits avec eux, y compris Arthur Schwartz.

Edward Fitzgerald QC, représentant Assange a déclaré à la cour: « Nous disons ce que Schwartz lui a dit est une bonne indication du gouvernement au plus haut niveau. »

Continue Reading

Technologie

Arm peut-il rester fort sous Nvidia ?

Published

on


Merci de vous joindre!

Accédez à votre Pro+ Contenu ci-dessous.

22 septembre 2020

Arm peut-il rester fort sous Nvidia ?

Dans l’hebdomadaire informatique de cette semaine, nous examinons les implications de l’acquisition controversée du leader britannique des puces Arm par son rival américain Nvidia. Black Lives Matter a sensibilisé les gens aux inégalités sociales, mais le secteur de la technologie se diversifie-t-il ? Et nous demandons si les logiciels d’entreprise peuvent apprendre de la nature addictive des applications sociales. Lisez la question maintenant.

Continue Reading

Technologie

Nutanix augmente les performances de stockage de 50% avec BlockStore

Published

on


Le fournisseur d’infrastructures hyper-convergents Nutanix a remanié plusieurs éléments de son système d’exploitation Acropole, le plus important étant BlockStore, qui est une nouvelle couche de stockage avec un accès accéléré aux lecteurs NVMe, Intel Optane inclus.

Les améliorations autour de BlockStore sont principalement ciblées sur les bases de données qui exigent des lectures et des écritures intensives.

« Nous avons rebranché l’Acropole autour d’un nouveau module, BlockStore, qui, contrairement à notre couche de stockage existante, fonctionne en mode espace utilisateur », a déclaré Sylvain Siou, directeur de l’ingénierie de Nutanix EMEA. « En d’autres termes, nous avons réduit la latence d’accès en évitant d’avoir à faire appel à des routines de noyau qui conduisent des opérations SSD. »

L’espace utilisateur et l’espace du noyau existent dans les systèmes Linux et désignent sous forme simplifiée, respectivement, une zone principalement accessible par les applications et un espace plus profond, mieux protégé et plus complexe à accès réservé aux opérations os.

BlockStore a été développé en partenariat avec Intel, et est basé sur la spdk (Software Performance Development Kit) open source Linux bibliothèque, dont AOS fait partie. À l’aide de cette bibliothèque, BlockStore transporte des commandes de gestion de bloc et d’espace libre dans une mini-base de données RocksDB en interne. C’est partagé avec Stargate, qui est la couche AOS qui prend soin de i / O et qui fonctionne dans l’espace utilisateur.

SPDK fonctionne pour fournir un accès direct à la mémoire pour les applications, c’est-à-dire pour permettre aux logiciels de communiquer directement avec le média NVMe plutôt que d’avoir à lancer des appels système qui impliquent l’espace du noyau.

« u-delà de la simple NVMe SSD, cette amélioration apportera tous ses avantages à Optane aussi, ce qui lui permettra d’être utilisé comme mémoire non volatile avec SAP Hana, a déclaré Siou.

« Les modules Optane, qui sont beaucoup plus rapides que les SSD classiques, ne sont pas encore massivement adoptés dans l’entreprise. Mais nous pensons que leur utilisation va exploser dans les prochains mois.

D’autres améliorations apportées à l’AOS concernent le réseautage, la sécurité et la gestion. La couche réseau, Flow – maintenant appelée Flow Networking – a acquis la possibilité de créer des réseaux privés virtuels entre deux sites d’entreprise privée via un déploiement cloud.

« Flow Networking prend le principe des réseaux privés virtuels et utilise les grands fournisseurs de cloud pour connecter les infrastructures virtuelles des différentes branches de l’entreprise », a déclaré M. Siou.

« e principe est de pouvoir déplacer des machines virtuelles sur place [VMs] au cloud sans avoir besoin de changer leur adresse IP.

Par extension, Flow Networking permettra de gérer ensemble plusieurs réseaux virtuels physiquement isolés. Cela permettra aux intégrateurs ou aux fournisseurs de services cloud d’offrir une meilleure gestion du réseau aux entreprises.

Pendant ce temps, les fonctions de sécurité de Flow sont séparées en sécurité de flux. Cela peut être géré à partir d’une console logicielle en tant que service qui gère les fonctionnalités de vérification automatisée, maintient un inventaire des ressources connectées dans les nuages privés Nutanix et gère la micro-segmentation, ce qui revient principalement à attacher un pare-feu par VM.

Selon Siou, séparer la fonctionnalité de sécurité dans Flow montrera aux clients que Nutanix a l’intention d’aller au-delà de la configuration simple pare-feu. L’intention de Nutanix semble être de développer un centre de fonctionnalité commerciale – Flow Security Central – basé sur la conformité réglementaire.

Enfin, la console Prism est maintenant re-baptisé Prism Ultimate. Il a été mis à niveau avec des fonctionnalités de maintenance proactive avec une meilleure reconnaissance d’activité et des processus automatisés de résolution des temps d’arrêt.

Un développement clé est que Prism Ultimate sera également désormais en mesure de surveiller les environnements non-Nutanix. Cela signifiera les environnements cloud publics que Nutanix a mis l’accent, mais aussi les infrastructures des concurrents, en particulier VMware vSphere.

Comme Flow Security Central, Prism Ultimate prend la forme d’une console logicielle en tant que service (SaaS) – comme navigateur exécuté à partir du cloud public – ce qui la rend accessible aux administrateurs à distance et capable de gérer des sites géographiquement séparés.

Continue Reading

Trending