Infosec
Influencers: An Interview with Bruce Schneier
By
David Bisson, Tripwire, July 16, 2015
Bài
được đưa lên Internet ngày: 16/07/2015
Tuần
này, như một phần của loạt bài mới về 'Người có
ảnh hưởng về an toàn thông tin', tôi đã có hân hạnh
ngồi với Bruce Schneier, một nhà công nghệ về an toàn
nổi tiếng thế giới và là một
trong những ngườc có ảnh hưởng hàng đầu về an toàn
của Nhà nước trong Bạn Nên Đi theo trong năm 2015. Ông
đã viết 12 cuốn sách, bao gồm cả 'Những
kẻ nói dối và những người ngoài: Xúc tác cho các nhu
cầu xã hội tin cậy để thịnh vượng', không kể
tới hàng trăm bài báo và tiểu luận được xuất bản.
Blog của ông có 250.000 độc giả, và ông thường xuyên
được trích dẫn trên báo chí. Hơn nữa, ông thường
xuyên làm chứng trước Quốc hội và là một thành viên
ban cố vấn của EFF và EPIC, trong số các tổ chức khác.
David
Bisson (DB): Điều gì đã làm cho ông quyết định đi
vào lĩnh vực an toàn thông tin?
Bruce
Schneier (BS): Tôi luôn quan tâm tới mật mã học và đã
từ lâu theo đuổi nó như một sở thích riêng. Tôi đã
đi vào lĩnh vực này hầu như hoàn toàn ngẫu nhiên. Tôi
từng làm nghề tự do viết các bài báo về máy tính để
kiếm sống và đã thấy rằng tôi thích thú viết các bài
báo về mật mã học cho tạp chí Dr.
Dobb's Journal. Cuốn sách đầu tiên của tôi, Mật mã
được áp dụng (Applied
Cryptography), ra đời từ đó. Về cơ bản tôi đã viết
cuốn sách về mật mã hiện đại mà tôi muốn đọc. Sau
đó, nó hệt như bông tuyết. Tôi là một người chung
chung: những gì tôi nghĩ như một người siêu - siêu -
siêu (meta-meta-meta guy). Vì thế sau mật mã, tôi đã bắt
đầu viết về an toàn máy tính và mạng, rồi công nghệ
an toàn nói chung, rồi kinh tế và tâm lý an toàn, và bây
giờ cả xã hội học và chính trị của an toàn.
Cùng
với chúng, tôi đã thành lập hãng Counterpane
Internet Security, Inc., một công ty tập trung vào việc
giám sát an toàn được quản lý. Và bây giờ tôi là CTO
ở Resilient Systems,
Inc., một công ty làm phần mềm quản lý ứng cứu sự
cố.
DB:
Vì sao ông đã đi tiếp để trở thành một nhà mật
mã học và sau đó là một người viết blog về an toàn?
Đâu là những thách thức/thành công có liên quan tới các
con đường đó?
BS:
Các con đường tôi đã chọn là rất khác nhau. Đầu tiên
là toán học, và thứ 2 là viết. Hầu hết mọi người
là tốt trong một nghề và không thật tốt trong các nghề
khác. Nhưng có giá trị khổng lồ trong việc tốt ở cả
2: thế giới cần những người kỹ thuật có thể giải
thích mọi điều cho một khán thính phòng những người
phi kỹ thuật. Rất nhiều vấn đề chính xã hội của
chúng ta đối mặt có một khía cạnh kỹ thuật, và có
sự mất lòng tin to lớn như vậy đối với khoa học ở
những phần của xã hội ngày nay của chúng ta. Chúng ta
càng có thể chống lại điều đó, tất cả chúng ta sẽ
càng tốt.
DB:
Đâu là sai lầm lớn nhất của ông, và ông đã học
được điều gì từ nó?
BS:
Điều này nghe có vẻ ngạo mạn và kỳ dị, nhưng tôi
không nghĩ tôi đã làm bất kỳ sai lầm lớn nào. Hoặc,
ít nhất, không sai lầm nào nổi lên trong đầu tôi. Bất
kỳ ai cũng mắc sai lầm, và tôi nghĩ điều quan trọng
nhất là trở nên phục hồi được và lanh lẹ sao cho
chúng không trở nên lớn.
DB:
Ông cảm thấy thế nào khi nền công nghiệp an toàn đã
thay đổi kể từ khi ông đã bắt đầu bước vào lĩnh
vực này?
BS:
Nó đã chín chắn hơn một cách khủng khiếp. Là rất rõ
ràng đối với tôi để nói rằng, kể từ bài viết về
mật mã đầu tiên của tôi xuất hiện hầu như 25 năm về
trước. Và nền công nghiệp an toàn đã phát triển cùng
với Internet. Nhưng đây là sự thay đổi mà tôi đã và
đang nghĩ nhiều tới gần đây. Những năm 1990 từng là
thập niên của phòng ngừa:
tất cả các sản phẩm an toàn đã cố phòng ngừa những
điều tồi tệ khỏi xảy ra. Chống virus, các tường lửa,
và vân vân. Tất nhiên chừng đó là không đủ, và những
năm 2000 từng là thập kỷ của dò
tìm. Các sản phẩm phòng ngừa
đã không đi khỏi, nhưng chúng ta đã bổ sung thêm những
điều giống như IDS (hệ thống dò tìm thâm nhập trái
phép) và các dịch vụ giám sát lưu ký. Thập kỷ này,
những năm 2010, là thập kỷ của ứng
cứu. Chúng ta cuối cùng đã
nhận thức được rằng phòng ngừa và dò tìm sẽ là
không đủ và rằng một tổ chức cần phải đầu tư
nhiều vào ứng cứu. Khi tôi đi tới các hội nghị những
ngày này, đây là lĩnh vực thú vị nhất của công nghệ
an toàn mà tôi thấy.
DB:
Đâu là mối đe dọa thúc bách nhất mà những người
sử dụng máy tính ngày nay đối mặt? Ông có bất kỳ
khuyến cáo nào cho cách những người sử dụng có thể
tự bảo vệ được mình không?
BS:
Tôi nghĩ mối đe dọa cấp bách
nhất tới từ những sử dụng pháp lý các dữ liệu của
chúng ta. Vì cuộc sống của
chúng ta liên quan tới máy tính quá nhiều, chúng ta sinh ra
lượng dữ liệu khổng lồ về bản thân chúng ta và các
hành động của chúng ta mỗi ngày. Cả
các tập đoàn và các chính phủ đang thu thập các dữ
liệu đó và sử dụng nó cho các mục đích của riêng
họ. Tôi nghĩ đây là mối đe
dọa khổng lồ và là mối đe dọa mà chúng ta sẽ không
dễ để giảm nhẹ. Các giải pháp phần lớn không phải
là kỹ thuật; chúng là các
giải pháp về pháp lý và chính trị.
DB:
Ông có thể khuyến cáo điều gì cho ai đó đang xem xét
một sự nghiệp trong an toàn thông tin?
BS:
Hãy thực hiện nó. Đây là một sự nghiệp thú vị, và
có những đòi hỏi khổng lồ đối với những người có
kỹ năng trong từng khía cạnh của lĩnh vực đó. Hãy
chọn nghề nghiệp mà bạn thú vị nhất, và hãy thực
hiện nó. Và sau đó khi nghề nghiệp khác cuốn hút bạn
hơn, hãy thay đổi.
This
week, as part of our new 'Infosec Influencer' series, I had the
pleasure of sitting down with Bruce Schneier, an internationally
renowned security technologist and one
of The State of Security's Top Influencers in Security You Should Be
Following in 2015. He has written 12 books, including Liars
and Outliers: Enabling the Trust Society Needs to Thrive, not to
mention published hundreds of articles and essays. His blog has is
read by over 250,000 people, and he is regularly quoted by the press.
Additionally, he regularly testifies before Congress and is an
advisory board member for EFF and EPIC, among other organizations.
David
Bisson (DB): What made you decide to get into the field of
information security?
Bruce
Schneier (BS): I have
always been interested in cryptography and have long pursued it as a
hobby. I got into the field almost by accident though. I was writing
freelance computer articles for a living and found that I enjoyed
writing cryptography articles for the magazine Dr.
Dobb's Journal. My first book, Applied
Cryptography, came from that. I basically wrote the modern
cryptography book I wanted to read. After that, it just snowballed. I
am a generalist: what I think of as a meta-meta-meta guy. So after
cryptography, I started writing about computer and network security,
then security technology in general, then the economics and
psychology of security, and now both the sociology and politics of
security.
Along
the way, I founded Counterpane
Internet Security, Inc., a company that focused on managed
security monitoring. And now I am the CTO at Resilient
Systems, Inc., a company that makes incident response management
software.
DB:
Why did you go on to
become a cryptographer and then a security blogger? What are the
challenges/successes associated with these paths?
BS:
The paths I chose are very different. The first is math, and the
second is writing. Most people who are good at one are not very good
at the other. But there's huge value in being good at both: the world
needs technical people who can explain things to a non-technical
audience. So many of the major problems our society faces have a
technical aspect, and there is such broad mistrust of science in
parts of our society today. The more we can counter that, the better
off we're all going to be.
DB:
What is your biggest mistake, and what have you learned from it?
BS:
This is going to sound weird and arrogant, but I don't think I've
made any big mistakes. Or, at least, no mistakes that stand out in my
mind. Everyone makes mistakes, and I think the most important thing
is to be resilient and agile so they don't become big.
DB:
How do you feel the security industry has changed since you first
started in the field?
BS:
It's matured enormously. It's kind of obvious for me to say that,
since my first cryptography article appeared almost 25 years ago. And
the security industry has grown alongside the Internet. But here's a
change that I have been thinking a lot about recently. The 1990s was
the decade of prevention: all security products tried to prevent bad
things from happening. Antivirus, firewalls, and so on. Of course
that wasn't enough, and the 2000s was the decade of detection. The
prevention products didn't go away, but we added things like IDSs and
log monitoring services. This decade, the 2010s, is the decade of
response. We've finally recognized that prevention and detection
aren't enough and that an organization needs to invest just as much
in response. When I go to conferences these days, this is the most
interesting area of security technology innovation I see.
DB:
What is the most pressing
threat facing computer users today? Do you have any recommendations
for how users can protect themselves?
BS:
I think the most pressing threat comes from legal uses of our data.
Because so much of our lives involve computers, we generate an
enormous amount of data about ourselves and our actions every day.
Both corporations and governments are collecting that data and using
it for their own ends. I think this is a huge threat and one that
we're not going to easily mitigate. The solutions largely aren't
technical; they're legal and political.
DB:
What would you recommend to someone who is looking at a career in
information security?
BS:
Do it. It's a fun career, and there are huge demands for skilled
people in every aspect of the field. Pick the specialization that
interests you the most, and do it. And then when another
specialization interests you more, change.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.