In DigiCert, la sicurezza è fondamentale

Contents

Intervista a Jason Sabin, Chief Security Officer di Digicert

La sicurezza è un componente molto importante ma spesso trascurato della sicurezza online, in particolare per quanto sia facile accedere ai dati sensibili su bit e byte e attraverso vulnerabilità che sono state esposte attraverso fughe di codice. Jason Sabin è entrato nel suo ruolo in DigiCert, un fornitore di certificati che offre competenze SSL, TLS e PKI, con mezzi non convenzionali, ma è appassionato di ciò che ha fatto. È stato fantastico conoscere la sua attività e le competenze chiave di DigiCert.


Intervista a Jason Sabin, Chief Security Officer di Digicert

Puoi parlarci della tua azienda e di come sei arrivato a far parte?

DigiCert fornisce servizi di identità e autenticazione essenziali per le e-business. Classicamente, abbiamo rilasciato certificati SSL per server Web e certificati di firma del codice. Ultimamente, ci siamo espansi per servire il mercato dell’Internet of Things (IoT) con certificati ad alta sicurezza che proteggono i dati privati ​​da occhi indiscreti. Questi certificati aiutano a crittografare, autenticare e fornire servizi di identità alle organizzazioni per sistemi e prodotti aziendali. Prima di entrare in DigiCert, ero un cliente. Sono sempre stato attratto da DigiCert’s attenzione all’innovazione e all’esperienza del cliente. Avevo una solida preparazione in materia di sicurezza e volevo aiutare.

Puoi parlarci della tua azienda e di come sei arrivato?

Qual è l’importanza di disporre di un certificato SSL?

Oggi TLS e SSL sono una spina dorsale fondamentale delle comunicazioni su Internet. Senza di loro, saresti aperto a molte vulnerabilità e problemi. Questi certificati proteggono i dati aziendali e dei clienti da hacker e ficcanaso, e per chiunque cerchi di fare affari oggi sono necessari autenticazione e crittografia. I certificati digitali forniscono il metodo principale e più scalabile per farlo. Ciò è particolarmente vero con i recenti passaggi di Google per contrassegnare presto i siti non HTTPS come non sicuri e per dare una spinta ai risultati del ranking delle ricerche utilizzando SSL: il Web si sta spostando nella crittografia per impostazione predefinita. Sta diventando un tema importante che chiunque dovrebbe avere un certificato sul proprio sito Web, dispositivo intelligente, sistema connesso a Internet. Non è più solo e-commerce. Vogliamo essere efficaci nell’aiutare le aziende a raggiungere la sicurezza della scalabilità di cui le persone che supportano possono fidarsi.

Qual è l'importanza di avere un certificato SSL?

Qual è la differenza tra i diversi certificati SSL offerti da DigiCert? In che modo qualcuno prende una decisione d’acquisto consapevole?

Offriamo una vasta gamma di certificati digitali: alcuni sono SSL plus, caratteri jolly, multi dominio, dispositivo, wifi, ecc. Offriamo diversi tipi di certificati a seconda dei tipi di convalide necessari e dei casi d’uso. A volte può essere travolgente ma stiamo risolvendo così tanti problemi diversi con le nostre soluzioni. Forniamo suggerimenti sul nostro sito Web (digicert.com) per aiutare le persone a scegliere il certificato giusto per le loro esigenze. Offriamo anche una pluripremiata piattaforma di gestione dei certificati, denominata CertCentral®, per aiutare le aziende a gestire anche milioni di certificati alla volta. Abbiamo un servizio clienti 24/7. Un sacco di tempo, le persone ci chiamano e apprezzano che quando qualcuno risponde al telefono, quella persona è un esperto di SSL / TLS / PKI in modo che possano aiutarli con il certificato che devono acquistare.

Qual è la differenza tra i diversi certificati SSL offerti da DigiCert? In che modo qualcuno prende una decisione d'acquisto consapevole?

Che cosa è esattamente "firma del codice" e in cosa differisce dagli altri certificati SSL che offri?

I certificati digitali vengono spesso utilizzati per ciò che chiamo tre pietre miliari: autenticazione, crittografia e firma. La firma convalida le app eseguibili del software binario. I certificati SSL DigiCert mostrano agli utenti che i siti Web che stanno visitando sono stati verificati come di proprietà / gestiti dalla società elencata nel certificato e tali certificati crittografano anche i dati inviati tra l’utente e il sito Web’server di s. La firma del codice è il processo di convalida dei prodotti software. Vuoi assicurarti di installare software eseguibile da un’azienda di cui ti fidi. Se le aziende don’Per utilizzare i certificati di firma del codice, gli utenti non hanno modo di verificare se l’eseguibile che desiderano scaricare ed eseguire provenga legittimamente dalla società che intendono. Allo stesso modo, le aziende che utilizzano certificati autofirmati, piuttosto che quelli rilasciati da root attendibili nel browser (come DigiCert), rischiano i loro utenti di vedere messaggi di avviso che il software potrebbe non essere sicuro.

In che modo DigiCert è coinvolto nell’Internet of Things e quali soluzioni sono disponibili?

Siamo decisamente molto coinvolti nell’aiutare le organizzazioni a proteggere le loro implementazioni IoT. Molte aziende comprendono che la sicurezza dell’IoT è un aspetto critico della loro offerta. Autenticazione, crittografia e firma sono importanti per l’IoT, quindi offriamo soluzioni per integrare la gestione dei certificati in un’azienda’s ecosistema e offerte di prodotti.

In che modo DigiCert è coinvolto nell'Internet of Things e quali soluzioni sono disponibili?

Puoi parlarci un po ‘delle soluzioni PKI che vengono offerte?

Offriamo soluzioni PKI per ambienti IoT, clienti aziendali ed esigenze specifiche emergenti come lo scambio di assistenza sanitaria, la protezione del Wi-Fi pubblico, ecc. Tramite certificati digitali in grado di soddisfare l’enorme scala di casi d’uso di grandi aziende e IoT. Alcuni clienti devono emettere milioni o decine di milioni di certificati e non hanno le competenze per farlo. Li aiutiamo a costruire una soluzione utilizzando la tecnologia e l’innovazione DigiCert per creare un’esperienza perfetta per loro. Alcune persone devono gestire l’intero ciclo di vita e il panorama del certificato tramite un portale intelligente chiamato CertCentral®. I clienti desiderano procurarsi facilmente certificati, gestirli, monitorarli e verificarli per individuare eventuali problemi, e noi li aiutiamo a farlo. Prestiamo attenzione ai nostri clienti, indipendentemente dalle dimensioni del loro account, parlando sempre con loro per capire i problemi che stanno incontrando e saltando rapidamente su quello per trovare una soluzione per loro.

Quanto è grande l’intera azienda? Da dove vieni e hai altri uffici?

Abbiamo molti esperti interni di sicurezza e consulenti esterni. Attraverso DigiCert, abbiamo esperti SSL / TLS / PKI e persone che possono rispondere alle domande dei clienti. Abbiamo circa 200 dipendenti e oltre 115.000 clienti in 185 paesi. Quest’estate abbiamo acquistato l’attività SSL di Verizon, ampliando ulteriormente la nostra portata, in particolare in Europa e in Asia, rivolgendoci a grandi fornitori di aziende e arene di telecomunicazioni. Abbiamo sede a Lehi, Utah, ma abbiamo strutture, partner e presenza aggiuntivi in ​​tutto il mondo.

Quanto è grande l'intera azienda? Da dove vieni e hai altri uffici?

Come sei arrivato dall’essere un ingegnere del software a lavorare come direttore della sicurezza presso una delle società di sicurezza più affermate?

Sapevo di voler essere al computer quando ho iniziato a scrivere codice in quinta elementare. Scriverei il codice e proverei a romperlo. Ciò è stato portato avanti con me per tutta la mia carriera e ho costruito prodotti per la sicurezza e ho cercato di romperli per trovare punti deboli. io’ho sempre avuto quella mentalità per trovare debolezza per risolverli e risolverli. Sono un CSO diverso con un background in ingegneria / R&D, creazione e architettura di software. mentre la maggior parte dei CSO ha lavorato nell’IT e nell’amministrazione di sistema. . Entrambi i percorsi portano prospettive valide. Il mio mi aiuta nel mio ruolo nella creazione di sistemi e piattaforme che semplificano la gestione dei certificati.

Ho depositato oltre 50 brevetti e oltre 30 sono stati rilasciati nel corso della mia carriera. La maggior parte ha riguardato il cloud computing, la sicurezza dell’IoT mobile e l’identificazione. Ho progettato nuove tecnologie in materia di sicurezza e identità, di recente mi occupo di automatizzare e semplificare le attività di gestione dei certificati come l’ispezione, il rilevamento e l’analisi dei certificati.

Trovi l’enfasi di Google sull’aumento dell’SSL per le classifiche che cambiano il modo in cui ti sei avvicinato al mercato e hai visto di conseguenza nuovi clienti?

Abbiamo sicuramente visto molti più clienti, non solo il maggiore utilizzo di SSL / TLS nei browser, ma all’interno dell’IoT e dell’assistenza sanitaria. Stiamo assistendo a un aumento del numero di persone interessate. Vogliamo migliorare l’esperienza del cliente per rendere gli utenti più sicuri; Le modifiche di Google stanno portando a una maggiore consapevolezza per proteggere tutte le parti del sito Web e non solo le pagine di accesso e i carrelli della spesa, proteggendo l’intera sessione di navigazione e incoraggiamo sicuramente più crittografia. Non lo fa’cambiare il modo in cui ci avviciniamo al mercato, tranne noi’abbiamo investito molto nei nostri sistemi e persone per soddisfare la forte domanda di crescita che continuiamo a sperimentare.

Come rispondete a varie vulnerabilità che sono esposte in OpenSSL? Qual è la politica di DigiCert in merito alla sicurezza di tutti i certificati e come si fa a garantire che queste modifiche siano invisibili all’utente finale?

Siamo al top di questi sviluppi e lavoriamo in modo proattivo per comunicare con i nostri clienti, anche se non lo fanno’influenzano i certificati digitali. Non molte di queste vulnerabilità incidono sui certificati, ma poiché i clienti ci considerano esperti SSL / PKI, comunichiamo sempre avvisi e forniamo strumenti per aiutare gli amministratori a sapere cosa fare. Ad esempio, il nostro ispettore di certificati DigiCert® fornisce informazioni in tempo reale tramite una dashboard intuitiva in modo che gli amministratori possano trovare tutti i loro certificati, verificare la configurazione e assicurarsi che rispettino le migliori pratiche. Cerchiamo di aiutare i clienti con tutte le loro esigenze di certificazione.

Sei coinvolto nell’analisi di altre violazioni di Internet (XMLRPC, ecc.) E in cosa consiste questo processo?
Ne terremo sicuramente traccia, ma ci concentriamo sul panorama SSL e TLS perché i clienti guardano principalmente all’esperienza del tour su questi argomenti. Per me come responsabile della sicurezza, analizziamo sempre violazioni e vulnerabilità. Direttamente sì, prestiamo attenzione, ma i clienti di solito ci guardano per essere i loro ragazzi principali principalmente per vulnerabilità e problemi SSL / TLS.

Cosa consiglieresti a qualcuno che vuole iniziare una carriera nel campo della sicurezza? In che modo consigli di saperne di più sull’area per diventare bravi?

Spesso, molte persone seguono la tradizionale traccia dell’IT. Ho attraversato una traccia diversa dello sviluppo del prodotto che è stata molto preziosa: essere molto curioso, risolvere i problemi, qualcuno interessato a come funzionano le cose. Quando si verificano problemi e vulnerabilità, è necessaria una mentalità molto creativa per mitigare il problema. Suggerisco alle persone di studiare informatica, ingegneria e matematica per acquisire quelle capacità di problem solving. Puoi apprendere le competenze tecnologiche per essere in grado di utilizzare software che trova bug e vulnerabilità, ma devi anche avere una curiosità generale per scavare per identificare la radice del problema.

Ho inconsapevolmente iniziato il mio percorso di carriera molto prima di ottenere il mio primo lavoro. Come studente delle scuole medie, ho sempre cercato di esplorare da un tipo di codice. Ad esempio, esiste una cosa chiamata attacco SQL injection e ho chiesto come funzionava e l’ho analizzato. Sono stato in grado di vedere dove i dati sono stati passati attraverso il percorso del codice e posso vedere il punto esatto che ha causato il problema di quegli attacchi. Mi è piaciuto analizzarlo e cercare di capire come si è rotto.
Per qualcuno che desidera scoprire XSS (attacchi di cross-site scripting), può imparare come ciò si verifica e applicare la sua nuova conoscenza ad altri casi. Alcune persone oggi potrebbero voler solo patchare il sistema ma non capiscono come vengono eseguiti questi problemi. Mi piace spiegare come funzionano queste vulnerabilità in modo che possano essere applicate a molti casi.

Cosa consiglieresti a qualcuno che vuole iniziare una carriera nel campo della sicurezza? In che modo consigli di saperne di più sull'area per diventare bravi?

Qual è il piano per DigiCert per i prossimi 5 anni?

Siamo decisamente concentrati sulla nostra crescita aggressiva, siamo cresciuti come un matto e continueremo a essere leader nell’innovazione nel settore e concentrarci sul supporto clienti. Questo ci aiuta a superare la concorrenza e ad acquisire enormi quantità di quote di mercato: nuovi clienti e nuovi mercati (ad es. Sanità e IoT). Vogliamo essere il fornitore di riferimento per tutti i tipi di sicurezza. Tra cinque anni, prevediamo di essere molto più grandi, ma di offrire comunque il miglior servizio e tocco personale che possiamo.

C’è qualcos’altro che i nostri utenti dovrebbero sapere?

Guardo il mondo e come sta cambiando soprattutto con l’IoT; sta cambiando un intero stile di vita per i consumatori. esso’s anche cambiando il modo in cui le imprese fanno affari e come operano le imprese. Senza una forte sicurezza, incontreremo seri problemi in futuro. Stiamo vedendo un sacco di hack sui dispositivi IoT e alcuni sono spaventosi, come la rottura di una pompa per infusione in un ospedale, la gente che entra nei monitor per bambini o che prende il controllo di auto a guida autonoma. Pertanto, la sicurezza svolge un ruolo critico e necessario. Siamo decisamente concentrati sull’aiutare le aziende a risolvere i problemi e integrare la sicurezza IoT nella loro infrastruttura. Gartner ha recentemente previsto che la PKI emergerà come uno dei metodi di autenticazione più rilevanti e stiamo già vedendo la validità nelle loro previsioni. Abbiamo clienti che vengono da noi che necessitano di sicurezza IoT e PKI è ben posizionata per risolvere molti problemi di sicurezza che affliggono la prossima generazione di prodotti IoT. Come fornitore di soluzioni di sicurezza IoT, siamo molto fiduciosi delle nostre prospettive di crescita e della nostra capacità di fornire le migliori soluzioni di sicurezza basate su certificati. Le aziende più intelligenti vengono da noi e noi’stai lavorando con loro. esso’È un momento entusiasmante per essere coinvolti nella sicurezza, soprattutto perché ora possiamo costruire la sicurezza che renderà il nostro mondo un posto migliore in cui vivere negli anni futuri – se facciamo sicurezza in questo momento.

Ulteriori informazioni su DigiCert

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me