[00:00:00] James Christiansen: Ich meine, man muss ein Innovator sein, um eine Führungspersönlichkeit zu sein. Sie müssen den Status Quo immer wieder in Frage stellen. Sie müssen die Gedanken von gestern immer wieder in Frage stellen. Genau das haben wir getan, als wir uns als Team zusammengesetzt haben, angefangen haben, unseren Kollegen zuzuhören und deren Input zusammen mit ihren eigenen Kosten zu berücksichtigen, um diese Prinzipien wirklich weiterzuentwickeln, unsere bisherige Arbeitsweise in Frage zu stellen und wirklich darüber nachzudenken, wie diese Digitalisierung uns und unsere Organisation verändert.
[00:00:34] Produzent: Hallo und willkommen bei Security Visionaries, moderiert von Jason Clark, Chief Security Officer und Chief Strategy Officer bei Netskope. Sie haben gerade in dieser Sendung von James Christianson gehört, dem Vizepräsidenten und Chief Information Security Officer von Netskope. Sie erfahren von erstklassigen Praktikern und Vordenkern wie James, wie sie in Sachen Netzwerk- und Cloud-Sicherheit immer auf dem neuesten Stand bleiben. Sie hören gleich die zweite Hälfte einer zweiteiligen Diskussion über die Prinzipien der Sicherheitstransformation. In dieser Hälfte werden Jason und Erick von ihrem Kollegen James Christianson begleitet, dem Vizepräsidenten und Chief Information Security Officer bei Netskope. James Robinson, stellvertretender Chief Information Security Officer bei Netskope, und Lamont Orange, Chief Information Security Officer bei Netskope. Die folgende Diskussion und der Podcast der Sicherheitsvisionäre sind Teil des Playbooks zur Sicherheitstransformation, einer Reihe New Ressourcen von Netskope und einigen der zukunftsorientiertesten Führungskräfte der Branche, die die wichtigsten aktuellen Sicherheitsprobleme untersuchen. Bevor wir eintauchen, hier ein kurzes Wort unserer Sponsoren.
[00:01:38] Sponsor: Der Security Visionaries-Podcast wird vom Team von Netskope betrieben. Netskope ist der SASE-Marktführer. Bietet alles, was Sie brauchen, um ein schnelles, datenzentriertes und Cloud-intelligentes Benutzererlebnis im Tempo der heutigen Geschäftswelt bereitzustellen. Erfahren Sie mehr auf Netskope
[00:01:57] Produzent: Genießen Sie ohne weitere Umschweife die zweite Folge von „Security Visionaries“ mit Ihrem Moderator Jason Clark.
[00:02:05] Jason Clark: In der letzten Folge haben Erick und ich über die Entstehung des Sicherheitstransformationsprojekts gesprochen und erklärt, dass es mehrere Prinzipien für die Zukunft gibt, an denen wir arbeiten sollten, richtig. 10 Prinzipien, die wir heute genauer unter die Lupe nehmen werden. Und so gesellt sich zuerst Erick zu mir, Rudiak, Erick, wie geht es dir?
[00:02:24] Erickk Rudiak: Hallo Jason. Schön, wieder da zu sein. Vielen Dank, dass ich dabei sein durfte.
[00:02:29] Jason Clark: Schön, dass Sie da sind. Und Lamont Orange.
[00:02:31] Lamont Orange: Hey Jason, danke, dass ich in der Show sein darf. Ich freue mich auf das Gespräch.
[00:02:36] Jason Clark: Und James Robinson.
James Robinson: Hey, schön, hier zu sein. Danke.
Jason Clark: Und James Christiansen.
James Christiansen: Lasst uns rocken und rollen!
Jason Clark: Also Leute, willkommen. Willkommen zum Gespräch. Wie geht es euch, Leute? Bist du bereit?
James Robinson: Ich bin bereit. Lass es uns tun.
Jason Clark: Großartig. Lamont, ich weiß, dass Sie, äh, heute Morgen, äh, Sie waren bereits auf der Bühne bei einer Podiumsdiskussion. Sie mussten zu diesem Gespräch eilen. Vielen Dank dafür, aber es wird wahrscheinlich einfach und angenehm sein, es direkt hintereinander zu machen.
[00:03:06] Lamont Orange: Auf jeden Fall. Also, es war mir ein Vergnügen.
[00:03:09] Jason Clark: Also, wissen Sie, wir haben in den letzten Jahren insgesamt daran gearbeitet. Wirklich mit der Branche, richtig. Verbringen Sie Zeit mit Hunderten von Abendessen am runden Tisch und Workshops und Umfragen und Einzelgesprächen, richtig. Versuche zu sammeln. Wie sieht die Zukunft der Sicherheit aus? Und in dieser New Welt findet gerade eine Art digitale Transformation statt. Rechts. Für jede Organisation. Und die Sicherheit steht in dieser verkehrten Welt, in der wir versuchen, die Sicherheitsteams über alle Maßen zu überfordern. Rechts. Und, und versuchen, mitzuhalten. Wie können sie also Leistung bringen und Einfluss gewinnen? In diesem New Modell, richtig? Denn sie sind offensichtlich gestresst und schauen sich die veralteten Technologiearchitekturen an. Und letztendlich haben wir auf der Grundlage dieser alten Vorgehensweisen, die wir in den letzten 25 Jahren oder länger in dieser Branche verfolgt haben, gemeinsam 10 Prinzipien für die Zukunft erarbeitet. Rechts. Und dann natürlich der Rest des Sicherheitstransformationshandbuchs als Teil dessen, was zu tun ist, wenn ich bis 20, 25 und darüber hinaus ankommen muss. Sie alle haben also enorm dazu beigetragen, nicht wahr? Und achten Sie also darauf, dass jeder von Ihnen seinen Kontext zu jedem Prinzip erläutert, während wir mit ihnen sprechen, und auf die Erfahrungen, die Sie in diesen Gesprächen gemacht haben, bei diesen, wissen Sie, ich würde sagen, über, meine Güte, wahrscheinlich weit über tausend CISOs- und CIO-Gesprächen, die wir geführt haben. Hierzu. Rechts. Aber auch in Ihren Erfahrungen als CISOs in früheren Leben, in denen Sie andere Organisationen geleitet haben, als CISOs, die über die Vergangenheit schreiben und sich auf die Zukunft zubewegen. Also, wissen Sie, ich werde mit dem Prinzip beginnen, richtig? Prinzip eins besteht darin, alle Ihre bestehenden Prinzipien in Frage zu stellen, richtig? Welche Prinzipien aus der Vergangenheit müssen Ihrer Meinung nach also in Frage gestellt werden?
[00:05:04] James Christiansen: Ja, wissen Sie, das bin ich wirklich. Ich stelle immer alles in Frage. Ich denke jeden Tag. Ich meine, man muss ein Innovator sein, um eine Führungspersönlichkeit zu sein. Sie müssen den Status Quo immer wieder in Frage stellen. Sie müssen die Gedanken von gestern immer wieder in Frage stellen. Und ich glaube, das ist es, was wir wirklich getan haben, als wir uns hingesetzt haben. Und als ein Team begann, unseren Kollegen zuzuhören und deren Input zusammen mit unseren eigenen Gedanken zu berücksichtigen, um diese Prinzipien wirklich weiterzuentwickeln, ging es wirklich darum, den Status quo in Frage zu stellen. Es geht darum, unsere bisherige Arbeitsweise zu hinterfragen und wirklich darüber nachzudenken, wie die Digitalisierung der Geschäftswelt uns und unsere Organisationen verändert, und natürlich auch über die schnelle Entwicklung hin zum ortsunabhängigen Arbeiten und die Auswirkungen, die das auf die Dinge hat, die wir tun müssen, während wir nach Möglichkeiten suchen.
[00:05:51] Jason Clark: Was ist mit dem Prinzip: „Wenn es nicht kaputt ist, repariere es nicht.“
[00:05:54] James Christiansen: Ja. Ich weiß nicht. Ich war schon immer sehr gut darin, Dinge kaputt zu machen, also bin ich nicht der Richtige, den man fragen sollte.
[00:06:00] Lamont Orange: Und wenn Sie sich die digitale Transformation ansehen, sind Sie ehrlich gesagt wahrscheinlich überfordert. Es ist bereits kaputt. Wenn man bedenkt, wie man die Organisation voranbringen möchte, muss man sagen, dass sie bereits kaputt ist und repariert werden muss, weil wir immer noch einer zunehmenden Anzahl von Angriffen durch Angreifer ausgesetzt sind. Sie sind immer noch erfolgreich und das mit hoher Geschwindigkeit. Also müssen wir darauf zurückkommen, dass es bereits kaputt ist. Jetzt geht es darum, wie wir einen Samen pflanzen und vorankommen?
[00:06:32] Jason Clark: Also, James, Sie sind ein Experte für Produktsicherheit und -anwendung. Und meiner Ansicht nach machen Sie das schon seit sehr langer Zeit für sehr große Organisationen. Wie werden die Schulleiter geändert? Aus Sicht der App-Sicherheit, Produktsicherheit oder Software-Pipeline.
[00:06:50] James Robinson: Ja, eines, das mir in den Sinn kam, äh, ich denke, es wurde auch mit einem anderen Prinzip verknüpft, nämlich Vertrauen, aber das war etwas, auf das wir uns sehr, sehr, sehr lange im gesamten Bereich der Produktsicherheit, AppSec, verlassen haben. Und ich glaube, dass dies derzeit wirklich stark in Frage gestellt wird. Das war eigentlich ein sehr bequemes Prinzip. Ähm, und eines, auf das ich mich viele, viele Jahre lang verlassen habe, wird jetzt einfach völlig zerstört, völlig in Frage gestellt, und ich weiß, dass es viele Gespräche über Zero-Trust-Prinzipien gibt und dass es seine eigenen Prinzipien hat. Aber es sind wirklich die Zero-Trust-Architekturen
[00:07:24] Jason Clark: Das ist ein guter Punkt. Vertrauen, aber überprüfen hat sich in Null-Vertrauen geändert. Rechts? Das ist ein sehr guter Punkt. Also Prinzip zwei. Kaufen Sie keine Blackbox-Lösungen mehr, sondern offene und integrierte Lösungen. Ich möchte also sagen, dass die Anbieter im Allgemeinen viele Technologieunternehmen aufgekauft haben, richtig, sie haben viele Unternehmen aufgekauft und integriert oder behaupten, sie zu integrieren. Aber im Allgemeinen besteht die Integration aus einer Preisliste und einem Verkäufer, der an Sie verkauft. Also, was ist insgesamt Ihre Meinung dazu, wie sich die Branche in der Art und Weise ändern muss, wie wir Technologien beschaffen?
[00:07:59] James Robinson: Ich stürze mich zuerst auf dieses Thema, weil ich intern viel mit Lamont darüber gesprochen habe. Ähm, und das ist diese Idee. Ich liebe die Idee von Open, Sie wissen schon, Open NDR, Open XDR, Open Cloud. Ja, diese Art von Dingen müssen wir, wissen Sie, fast zur obersten Anforderung machen. Wir wissen, dass in vielerlei Hinsicht die Summe vieler Dinge besser ist als die Summe eines Einzelnen. Wenn Sie die Blackbox kaufen, erhalten Sie die Summe eines Einzelnen oder vielleicht die Summe einiger weniger Dinge. Und Sie müssen diese Intelligenz aufbauen, indem Sie offen sind. Genau darauf kommt es an. Ich bin fest davon überzeugt, dass Sie aus einigen von ihnen, wissen Sie, ich weiß, wir haben nur über zwei gesprochen, aber im Moment hat dieses hier für mich wahrscheinlich einen höheren Rang als Prinzip eins, über das wir gesprochen haben, und alles herausfordern, richtig? Das hier ist, wissen Sie, das hier ist der Kern. Ich denke, damit wir in Zukunft erfolgreich sein können,
[00:08:54] James Christiansen: Wissen Sie, ich bin Jason. Ich habe im Laufe meiner Karriere viele erstklassige Produkte gekauft. Wissen Sie, wir haben uns sehr stark gegen sehr aggressive Unternehmen wie die, für die ich gearbeitet habe, gewehrt, wissen Sie, aber in der heutigen Welt muss ich mir die besten Plattformen ansehen. Ich kann mir einfach nicht den Personalaufwand leisten, der für die Verwaltung all dieser verschiedenen Lösungen erforderlich ist. Und die dadurch für die Organisation entstehende Komplexität führt, wie Sie wissen, nur zu menschlichen Fehlern, dazu, dass Patches installiert werden, dass keine Versionen angewendet werden und keine Aktualisierungen erfolgen. Ich musste mich also wirklich von den Besten ihrer Art lösen und meinen Denkprozess ändern und begann, mir die Besten ihrer Art-Plattformen anzuschauen. Was kann mir nun die beste und engste Integration bieten? Wie Sie in Ihrem Eröffnungsgespräch sagten, kann es nicht jemand mit vielen schiefen Zahlen sein, es muss eine wirklich integrierte Plattform sein, um die wirklichen Probleme zu lösen.
[00:09:50] Jason Clark: Also, Erick, hast du irgendwelche Gedanken zu „offen und integriert“? Jede Lösung, die wir von nun an kaufen, sollte stärker Teil des Ökosystems sein und nicht die Blackbox sein, die wir in der Vergangenheit beschafft haben.
[00:10:03] Erick Rudiak: Ja. Gute Frage, Jason. Wenn ich also über Offenheit und Integration nachdenke und darüber, warum das so wichtig ist, dann ist da die Tatsache, dass unsere Systeme so eng miteinander verbunden sind. Wenn es keine API gibt, um Transparenz zu schaffen, erfordert die Komplexität und Vernetzung unserer Systeme, dass Signale von einem Abwehrsystem für andere verfügbar sind, damit diese eine Reaktion orchestrieren können, die dem Angreifer am nächsten ist, und damit ein stimmiges Benutzererlebnis entsteht. Ähm, und es wird für die Verteidiger sehr, wissen Sie, schwierig, damit umzugehen. Und offen gesagt entsteht dadurch eine Belastung und es ist ein gewisses Maß an Komplexität erforderlich, um diese Systeme so miteinander zu verknüpfen, dass ein integriertes, äh, für sie einfach ein besseres Muster entsteht.
[00:10:51] Jason Clark: Brillante Antwort. Ich liebe es. Prinzip drei konzentriert sich also auf grundlegende Technologien, die sich in Ihr gesamtes Sicherheitsökosystem integrieren lassen. Ich beginne also mit Lamont. Sie hatten die Gelegenheit, ein Greenfield-Sicherheitsprogramm aufzubauen. Was bedeutet das, wissen Sie, wenn Sie sich das genau ansehen. Was war der erste Stapel, den Sie gebaut haben? Welche fünf grundlegenden Technologien waren Teil dieser Greenfield-Infrastruktur?
[00:11:16] Lamont Orange: Ich denke, das ist eine sehr wichtige Frage, denn wenn Sie über die Transformation sprechen, die die Sicherheit durchlaufen muss, müssen Sie sich das ansehen. Es geht nicht nur darum, welche Tools in meinem Stack vorhanden sind, sondern auch darum, welche Funktionen wir benötigen und wie wir diese besser auf das Ergebnis ausrichten können. Ich würde also sagen, das war die erste Fähigkeit, die ich wollte. Es geht um Sichtbarkeit. Ich musste sehen, was vor sich ging, und um das Risikoniveau der Organisation zu beeinflussen, musste ich in der Lage sein, Kontrollen und Tools einzuführen, die Ihnen helfen zu verstehen, was vor sich geht. Dazu gehörte ein Tool, das Ihre Nutzung sogar von Legacy-Anwendungen sowie SaaS-, IaaS- und PaaS-Technologien untersucht. Sie müssen auch Ihre Identitäten berücksichtigen. Viele Unternehmen haben mit der Identität zu kämpfen, da sie über mehrere IDPs verfügen. Sie haben mehrere Manager dieser Identitäten, unabhängig davon, ob es sich um Produktionssysteme oder Unternehmenssysteme handelt. Und Sie möchten, dass es eine Art Governance dafür gibt. Identität war also einer der anderen Bereiche, auf die ich mich konzentrierte. Und dann schauen Sie sich den Datenschutz an. Nun, wir sind alle dabei, um unsere Daten zu schützen. Das ist das Kronjuwel für den schlechten Schauspieler. Wir müssen verstehen, welche wertvollen Daten wir haben und welche Daten wir schützen möchten. Und dann schauen Sie, wohin das führt? Sie möchten also den Datenschutz vom Benutzer über die App bis zum Endpunkt verstehen. Sie müssen also auf einen Kommentar von James Robinson zurückkommen, in dem es darum ging, gegenüber XDR NDR und allem, was wir vorlegen, offen zu sein. Für diese DR-Funktion müssen Sie die Konfiguration des Geräts und sogar die Organisationen verstehen, die diese Daten möglicherweise verwenden. Und dann gibt es noch eine weitere Fähigkeit, die meiner Meinung nach sehr wichtig ist, um Unternehmen beim Skalieren zu unterstützen. Äh, wenn sie sich ein Greenfield ansehen, brauchen Sie etwas, das Ihre Konfigurationsautomatisierung und -orchestrierung verwaltet. Und ich denke, das sind Lösungen, die auf einen einzigen Bereich beschränkt bleiben können, die aber über die folgenden drei Fähigkeiten verfügen müssen, um wirksam zu sein.
[00:13:29] Jason Clark: Erick, zu diesem Prinzip rund um grundlegende Technologien. Wissen Sie, in den anderen Organisationen gelandet. Und nun als CTO, was würden Sie aus Sicht des Ökosystems in Bezug auf Sicherheit dazu sagen?
[00:13:43] Erick Rudiak: Da gibt es ein paar Dinge. Identität ist also eins. Ähm, und wissen Sie, ich denke dabei an die verschiedenen Ebenen der Aussagen, die Menschen in Systemen darüber machen können, wer der Mensch am anderen Ende der Leitung ist oder wer das System ist, mit dem ein anderes System zusammenarbeitet. Es umfasst also praktisch alles von Multifaktor bis hin zu Verzeichnisdiensten. Das muss unbedingt richtig gemacht werden. Ich stimme mit Lamont überein, dass es auf den Datenschutz ankommt und dass man Einblick in die Art der Daten im Ruhezustand und in die Daten in Bewegung hat. Ist ein weiteres, und dann, äh, es ist heutzutage nicht besonders aufregend, aber die Art der Grundlagen der Verschlüsselung und des Konfigurationsmanagements und, wissen Sie, wenn man über Konfigurationsmanagement nachdenkt, beinhaltet es irgendwie sowohl, äh, eine Art Konfigurationsdrift, Golden Builds, wissen Sie, Systemhärtung als auch, äh, Schwachstellenmanagement, was ich als ein Beispiel dieser Klasse betrachte. Das alles irgendwie zusammenbringen. Das sind die ersten Stellen, an denen ich selbst nach der Art von Zusicherung gesucht habe, dass das grundlegende Blockieren und Angehen, dass der Empörungsfaktor, wenn man diese Dinge falsch macht, für jede Organisation, der ich angehöre, gehandhabt und minimiert wird.
[00:15:04] Jason Clark: Okay. Kaufen Sie also grundsätzlich nur New Cloud-basierte Technologien. Rechts? Im Wesentlichen sollte also alles, was Sie kaufen, Cloud-Power-to-Cloud-fähig oder Cloud-basiert sein. Wissen Sie, es gibt ein Gartner-Papier. Das ist. Die Zukunft der Sicherheit liegt in der Cloud. Während unserer Tour fiel ein Satz, der besagte, dass die Cloud der perfekte Neustart für Sicherheitsprogramme sei, nicht wahr? Weil Sie sozusagen neu anfangen und Dinge tun können, richtig. Was denken Sie, wenn Sie, also insgesamt für Sie alle, was ist gespannt, was Sie alle über dieses Prinzip denken und warum wir es geschrieben haben.
[00:15:34] James Robinson: Ich finde das Prinzip gut. Ich denke, um die Vorteile zu nutzen und den Kunden zu treffen, müssen wir dieses Prinzip übernehmen. Eines der Dinge, die wir intern sagen, ist, den Kunden dort zu treffen, wo er ist. Wenn der Kunde in der Cloud ist oder in die Cloud wechselt, was noch besser ist, dort zu sein, wo er sein wird. Es muss eine grundlegende Komponente für alles sein, was Sie sich ansehen. weißt du? Und wenn es, wie Sie wissen, Cloud-gestützt ist, können Sie es sich ansehen. Zum Beispiel Cloud-gestütztes EDR. Okay, mach es richtig. Am Endpunkt muss etwas sein. Es kann nicht alles nur Cloud sein, aber wissen Sie, für alles, was sich auf dem Netzwerkstapel befindet, für alles, was sich im Anwendungsstapel, Serverstapel befindet, ähm, wissen Sie, alles dazwischen, wissen Sie, muss dieses Prinzip auf jeden Fall eingehalten werden.
[00:16:17] James Christiansen: Wissen Sie, äh, Jason, das ist die dritte große Transformation, die ich in meiner Karriere durchgemacht habe, und, ähm, Technologie und Sicherheit im Vergleich zur Bewegung von Mainframes zu Client-Server. Dann vom Client-Server zum Cloud-fähigen System. Und jetzt sehen wir mit Business Digitas, der Digitalisierung, diese Transformationen, und ich glaube, je mehr man sich dagegen wehrt und sie nicht erkennt, desto weiter fällt man zurück. Wenn Sie also über die Cloud und die Cloud-Aktivierung nachdenken, spreche ich jedes Jahr mit vielen CISOs, ich meine, drei- oder vierhundert. Und wenn wir darüber sprechen, was ihre Pläne sind, wo sie die Einführung von SASE sehen oder wo sie jetzt Secure Service Edge betreiben, beginnen Sie, sich die Definitionen anzusehen. Wenn ich anfange, mit einer Organisation zu arbeiten und mir anschaue, wo sie steht, ist sie bereits irgendwo auf dem Weg. Sie sind vielleicht schon weiter unten auf der Leiter, aber sie sind bereits auf diesem Weg, was einfach bedeutet, dass wir die meisten Sicherheitsleute sind, die erkennen, dass dies das Muster ist, dem wir folgen müssen. Das ist die Richtung. Die einzigen New , die ich sehe, betreffen eigentlich nur erneuerbare Energien. Denn sie können nicht schnell genug auf die New Cloud-fähigen Technologien umsteigen. Aber ich denke, aus der Perspektive der Personalprozesse und der Technologie geht es bei allen dreien darum, unsere Mitarbeiter im Umgang mit diesen Cloud-Technologien zu schulen. Es geht darum, die Prozesse aufzubauen, die diese und die Dinge unterstützen, und schließlich die Technologie zu implementieren, um diese Menschen und Prozesse in die Lage zu versetzen, das Maß an Kontrolle bereitzustellen, das wir heute brauchen. Aber das Geschäft läuft auf jeden Fall dorthin. Wir haben die Beschleunigung dieser Bewegung in der Branche und bei uns als Sicherheitsexperten beobachtet.
[00:17:59] Jason Clark: Ich meine, letztendlich ist es doch so, dass alle Unternehmen dorthin gehen und Ihre Sicherheit daher dort sein muss, wo die Daten sind und wo die Unternehmen sind. Und wenn Sie über mobile Mitarbeiter verfügen, müssen Sie die Cloud nutzen, um diese Mitarbeiter zu schützen, denn das geht nicht einfach von Ihrem Rechenzentrum aus, oder? In der einfachsten Form ändern Sie einfach einen Hebelpunkt in Ihrer Skala.
[00:18:18] James Robinson: Mir gefällt, was James gesagt hat, denn als Sie über den Wechsel vom Mainframe zum Client-Server sprachen, haben wir diesen großen Wandel erlebt. Wenn jemand daran beteiligt ist, dann habe ich es auf jeden Fall gesehen und war auch daran beteiligt. Und als ich das beobachtete, konnte ich mir nicht vorstellen, dass Sie diese Umstellung nicht vorgenommen hätten oder dass Sie diese Umstellung vorgenommen und trotzdem versucht hätten, die Kontrollen, die Sie hatten, auf dem Client-Server aufrechtzuerhalten und über den Mainframe bereitzustellen. Denken Sie daran, wie schwierig es war, diese Kontrollen, die Sie hatten, auf dem Client-Server aufrechtzuerhalten und über den Mainframe bereitzustellen. Es war fast unmöglich, das zu tun. Tatsächlich war es unmöglich, weshalb alle ihre Positionen geändert haben und Sie die Marktveränderung miterlebt haben.
[00:18:49] Jason Clark: Das nächste ist Prinzip fünf und. Es hat möglicherweise mehr Gewicht als viele andere. Es geht darum, Geschäftsdaten mit Sicherheitskontrollen zu schützen, die die Daten überallhin begleiten. Rechts. Für mich ist das im Wesentlichen die große Sicherheitsstrategie, das ist für viele Unternehmen oder Organisationen der Grund, warum Sicherheit existiert. Rechts. Es geht lediglich darum, die Informationen zu schützen. Lassen Sie uns also vielleicht ein wenig darüber sprechen, dass wir dies aus einem bestimmten Grund als Prinzip bezeichnet haben, richtig. Denn ich glaube, wir hatten das Gefühl, dass die Menschen in Sachen Datenschutz historisch gesehen nicht reif genug waren. Also, Erick, was denken Sie darüber, warum wir dies als Prinzip etabliert haben und wie sich die Menschen von einer Einstellung zur Datensicherheit oder zum Datenschutz verändern müssen?
[00:19:34] Erick Rudiak: Ja, ich denke, das hat zwei Gründe, Jason. Man kann es zum einen so betrachten, dass die Sicherheitsbranche in der Vergangenheit immer wieder gegen sich selbst verhandelt hat. Zu Kontrollen wie diesen, bei denen man sagt: „Oh, diese Daten waren vorher in unserem Rechenzentrum, wissen Sie, ähm, wissen Sie, geschützt durch Perimeterkontrollen, aber wir wollen sie in die Cloud verschieben, und wissen Sie, die Cloud bietet einfach nicht ganz dasselbe, aber Junge, die Cloud ist so verlockend, also akzeptieren wir weniger.“ Ähm, und so, ähm, eine Möglichkeit, dieses Prinzip zu betrachten, ist, dass sie sich nicht gegenseitig ausschließen. Geben Sie sich nie mit weniger zufrieden, also machen Sie keine Kompromisse bei der grundlegenden Idee, dass Ihre Kontrollen wichtig sind, egal wohin Ihre Daten gehen, denn der Angreifer sieht die Welt ganz sicher nicht so. Und das ist Teil der Geschäftskosten. Das ist Teil der Ökonomie beim Umgang mit sensiblen Daten. Die Verpflichtung gegenüber der Person, mit deren Daten Sie handeln, ändert sich daher nicht. Wenn Sie die Verschiebung der Daten von einer Umgebung in eine andere zugelassen haben. Ich denke, man kann es auch so betrachten, dass es ein ungeheures Ziel ist. Ich denke, jeder von uns, der sich mit Bedrohungsmodellierung beschäftigt hat, wird sich diesen Leitsatz ansehen und sagen: „Oh, Jason, äh, sicherlich können Sie die Daten nicht schützen, wenn ich das damit mache, wenn ich Steganografie verwende oder wenn ich verdeckte Kanäle nutze oder wenn ich, wissen Sie, wenn ich mir, wissen Sie, Ihre Lieblingszeile und -spalte aus dem MITRE-Angriffsframework aussuche.“ Ähm, und ich denke, es ist eine Herausforderung für uns, Nein zu sagen. Wir werden Kontrollen einführen, die unsere Verpflichtungen als Verwalter bekräftigen, nämlich sicherzustellen, dass wir über die Daten informiert werden, egal wohin sie gelangen. Wir werden unsere Kontrollen durchsetzen, damit der Angreifer durch die Verwendung dieser gängigen Muster nicht gewinnt.
[00:21:42] Jason Clark: Ja. Es ist, ähm, es ist, äh, wissen Sie, fair. Wenn wir es schaffen, dass die Steuerung dem Benutzer und den Daten folgt, ist das das Nirvana, insbesondere wenn wir dafür nicht viel investieren müssen, sondern es lieben. Prinzip sechs: Priorisieren Sie Ihr Geschäft und das Risiko-Ertrags-Verhältnis, wenn Sie die richtige Sicherheitsstrategie entwickeln. Oder Entscheidungen. Rechts. Und entwickeln Sie Ihre Taktik usw. Rechts. Im Wesentlichen hat sich das Geschäft also ständig verändert, richtig. Es handelt sich also immer um einen Kompromiss und wir müssen auf das Geschäft eingestellt sein, um diese Entscheidung treffen zu können. Rechts. Aber aktivieren Sie sie. Und ich liebe, wissen Sie, das Sprichwort. Es geht hier nicht darum, Reibung zu beseitigen, oder? Es ist genau das richtige Maß an Reibung für das Geschäft. So neugierig, was, was, äh, jeder von euch, James, vielleicht fangen wir mit dir an, äh, Christiansen, und deinen Gedanken zu diesem Prinzip.
[00:22:29] James Christiansen: Ja. Das ist für mich ein wichtiger Punkt, weil es mehr erfolgreiche CISOs gibt. Ihr Fokus liegt nicht darauf, den Datenschutz zu stoppen. Sie konzentrieren sich darauf, das Geschäft zu ermöglichen, und sie verstehen, welche Rolle es spielt, das Geschäft dabei zu unterstützen, das richtige Gleichgewicht zwischen Risiko und Ertrag zu finden. Rechts. Und man darf nicht zu weit in eine der beiden Richtungen abdriften, sonst tut man dem Unternehmen und dem Aktionärswert nichts Gutes. Sie müssen Ihrer Rolle gerecht werden, aber es geht darum, das Geschäft zu ermöglichen. Und wenn ich darüber nachdenke, im Hinblick auf den Wandel und wie schnell sich die Dinge ändern. Ich denke wirklich über die sieben Kräfte nach, die eine Sicherheitsstrategie beeinflussen, und diese Kräfte sollten Sie wirklich im Auge behalten, da sie sich ständig verändern. Und wenn sie sich ändern, sollten Sie auf diese Änderung reagieren und darüber nachdenken, wie sich das auf Ihren Stress auswirkt. Hat das wirklich einen Unterschied zwischen dem gemacht, was ich vorhatte, und dem, was ich jetzt tun sollte? Und zu den sieben Kräften haben wir vor Kurzem ein Whitepaper veröffentlicht, das Sie unbedingt lesen sollten. Es scheint jedoch, als ob sich die Unternehmenskultur durch eine Fusion oder Übernahme ändern könnte. Die Kultur könnte sich in vielerlei Hinsicht ändern. Wie verändert das Ihre Sicht auf die Wirtschaft und die wirtschaftlichen Kräfte, die Regierungskräfte, Konflikte und Dinge, die nicht direkt damit zusammenhängen, aber Auswirkungen auf Ihre allgemeine Sicherheitsstrategie haben? Und da sich diese Veränderungen ändern, müssen Sie als Unternehmen flexibel bleiben. Sie müssen in der Lage sein, schnell und effektiv umzuschalten, um mit dem Geschäft Schritt zu halten. Denn denken Sie daran, wo wir angefangen haben: Es ging um die Ermöglichung. Das Geschäft und das ist es, was Sie immer im Hinterkopf behalten sollten.
[00:24:16] Jason Clark: Und alle anderen, James, Erick und Lamont, ergänzen die Priorisierung von Geschäftsrisiken und -erträgen.
[00:24:23] Erick Rudiak: Wenn ich also darüber nachdenke, was in den letzten anderthalb Jahren passiert ist, wissen Sie, wir sind alle am 13. März letzten Jahres aufgewacht und alle unsere annualisierten Verlusterwartungskurven waren Müll. Sie waren grundsätzlich fehlerhaft, weil ein völlig New Risiko und völlig New Anforderungen an das Risiko-Ertrags-Verhältnis in Bezug auf ALE eingeführt worden waren. Und wenn ich daran denke, wo unsere Branche vor 10 Jahren stand, ähm, wissen Sie, viele von uns Praktikern würden sagen, wissen Sie, geben Sie nicht tausend Dollar aus, wissen Sie, um 10 zu schützen. Und ich glaube, was seitdem passiert ist, ist, dass unsere Kollegen in der Führungsebene, in den Gremien, die uns leiten, viel anspruchsvoller geworden sind. Und deshalb erwarten sie von uns als Sicherheitsexperten, dass wir die Risikobereitschaft der Unternehmen verstehen. Und um mit einer Erzählung zu kommen, die besagt: Sehen Sie als Ihr CISO, hier sehen Sie, wie gut unsere Verlusterwartungskurven mit unserer Risikotoleranz übereinstimmen. Und hier ist, was wir tun müssen: An manchen Stellen müssen wir vielleicht investieren, an anderen haben wir vielleicht so viel Kontrolle, dass wir es uns leisten können, ein bisschen mehr Risiken einzugehen, ähm, und wir müssen uns anpassen, geschäftsfördernd sein und zusätzliche Fähigkeiten unterstützen, um die Produktivität zu verbessern. Und so mussten wir alle diese Fähigkeit im Laufe der letzten anderthalb Jahre durch eine Art erzwungene Sentinel-Veranstaltung sehr schnell erlernen. Der Lichtblick für uns als Sicherheitsexperten ist, dass uns diese Fähigkeit wirklich nützlich sein wird. Wenn wir wieder vor unseren Vorständen sitzen, wenn wir wieder in die Führungsetage zurückkehren und mit unseren Kollegen am Tisch diskutieren. Es geht nicht darum, warum wir zu bestimmten Kontrollen Ja oder Nein sagen, sondern darum, wie unsere gesamte Kontrollumgebung unserer Risikotoleranz entspricht. Und das ist, wissen Sie, einfach eine Weiterentwicklung des Dialogs, den wir führen, und es ist, wissen Sie, wirklich spannend. Es verschafft uns einen Platz am Tisch.
[00:26:29] Jason Clark: Ja, ich denke schon, wir schauen es uns an. Wir müssen noch einmal darüber nachdenken. Wir sagen das einfach immer, aber als Unternehmensleiter und wie ist das, was das Unternehmen mit dieser Aktivität erreichen will, für Unternehmen, die sich auf die Gewinnung und Bindung profitabler Kunden konzentrieren, richtig? Das ist jedenfalls eine Möglichkeit, im Geschäft Geld zu verdienen. Und wie werden die Aktivitäten und die Geschäftsentwicklung dieses Recht beschleunigen? Und in welchem Ausmaß, was, wie sehr muss ich sie schützen? Oder kann ich sie gehen lassen und dann Schutzmaßnahmen ergreifen und einfach nur wirklich verstehen, welche Dinge für das Geschäft von Bedeutung sein können? Und ich meine, ich persönlich beschäftige mich jeden Tag damit. Und wir schauen uns Marketing- und Sicherheitsthemen an. Lamont und ich führen täglich Gespräche, nicht wahr? Oder darum, ob wir etwas, das wir tun möchten, öffnen möchten oder ob wir dabei ein Gleichgewicht hinsichtlich der Sicherheit finden. Rechts. Und das Marketingteam möchte, wissen Sie, immer vorankommen, aber wir möchten sicherstellen, dass der Partner, bei dem wir uns anmelden, um auf unsere Salesforce-Informationen zuzugreifen, sicher ist. Rechts. Und es geht nur um die Ergebnisse. Und wie lange müssen wir dann noch. Um die Sicherheitskontrollen anzuwenden. Ich denke also, dass es nicht etwas ist, womit heute jedes Sicherheitsteam arbeitet, sie denken auch über Dinge nach. Es muss eine Ausnahme geben. Wer wird das Risiko abzeichnen oder es rationalisieren? Wie du gerade gesagt hast, Erick. Prinzip sieben besteht also darin, Bedrohungsmodelle zu erstellen und diese bei jeder Architekturentscheidung zu verwenden, die Sie treffen. Also, Erick, wissen Sie, als Sie James Robinson zum ersten Mal über Bedrohungsmodelle sprechen hörten. Ich glaube, irgendwann kamen Sie zu mir und sagten: „Äh, Jason Knight, ich möchte Ihnen James Robinson abwerben.
[00:28:08] Erick Rudiak: Das klingt nach mir. Als ob ich dreist einfach gesagt hätte: „Für euch alle keine, für mich keine.“ Das passt genau zu deiner Marke,
[00:28:16] Jason Clark: Aber wir würden uns über deine Gedanken zu Prinzip sieben freuen.
[00:28:21] Erick Rudiak: Nein, ich meine, ich denke, äh, Junge, es ist sicher schwer, sich gegen etwas zu verteidigen, das man nie gesehen oder worüber man noch nie nachgedacht hat. Und jeder verwendet hierfür gerne militärische Analogien, aber wenn ich darüber nachdenke, also, ich habe einen Jungen, der es liebt, mit mir auf die Tennisplätze in der Nachbarschaft zu gehen und, wissen Sie, den Ball herumzuschlagen, ähm, in Junge, äh, als ich dem Jungen zum ersten Mal einen Slice mit der Rückhand zuwarf, war es erwartungsgemäß urkomisch. Als hätten sie bisher nur Topspin-Schläge gesehen und hätten einfach geschwungen und daneben geschossen, sobald der Ball gelandet und weggerutscht sei. Und ich denke, das ist, wissen Sie, diese Übung für unsere Verteidiger, und unsere Verteidiger sind alle. Rechts? Es sind unsere Infrastrukturleute. Es ist unsere Cloud-Technik. Es sind unsere Softwareentwickler und alle dazwischen. Also, Leute von der Benutzererfahrung, das sind unsere, wissen Sie, das sind unsere Datenbank- und Middleware-Leute. Sie müssen sowohl den Topspin als auch den Backspin gesehen haben, um dies effektiv tun zu können. Und deshalb sind Red Teaming und Angriffssimulationen ein so wichtiger Teil jeder erstklassigen Informationsschutzorganisation, weil diese Vorgehensweise einfach so wichtig ist.
[00:29:34] Jason Clark: Principal Eight erweitert die Automatisierung von Sicherheitsoperationen. Rechts? Letztendlich liegt der Fokus also nur auf der Automatisierung Ihrer Abläufe. Also, Lamont, können Sie vielleicht ein wenig darüber sprechen, warum dieses Hauptlied.
[00:29:46] Lamont Orange: Ich denke, es ist ein sehr wichtiges Prinzip, da ich, glaube ich, vorhin über die zunehmende Geschwindigkeit der Angriffe gesprochen habe, die wir beobachten. Und ich glaube, es wurden auch einige der Komplexitäten erwähnt, die in unserer Organisation bestehen. Wenn Sie also an all das denken und an unsere, unsere Teams, unsere Fähigkeiten, wie kompetent unsere Teams sind. Und mit den uns zur Verfügung stehenden Werkzeugressourcen müssen wir mit der Geschwindigkeit unseres Angreifers Schritt halten. Und in gewisser Weise. Wir müssen weiter und schneller vorankommen, als unser Angreifer es am besten ausdrücken kann. Und ich denke, der Weg dazu führt über Automatisierung. Ich glaube, wir haben viel Zeit in der Sicherheitsbranche verbracht und mit der Sicherheitsautomatisierung, den Tools und Ressourcen gearbeitet, die früher als SOAR bekannt waren. Wir haben einige Zeit mit Orchestrierungstools verbracht und sie mit SOAR-Tools verwechselt. Und ich denke, wir müssen wirklich einen Schritt zurücktreten und sagen, dass wir uns auf die Automatisierung konzentrieren sollten, wenn wir nach Skalierbarkeit und Flexibilität suchen. Dadurch kann das Geschwindigkeits-Signal-Rausch-Verhältnis verringert werden. Und dann können wir weiter auf diese eingehenden Warnungen reagieren. Einige dieser Dinge bestehen in der Erstellung einiger grundlegender Komponenten, beispielsweise Runbooks. Und Sie müssen verstehen, wie Sie einen Standardprozess in Ihrem gesamten SOC ausführen. Aus Reifegründen können Sie das automatisieren, aber Sie können von Anfang an eine Reaktion orchestrieren, indem Sie verstehen, wie Sie eine Triage durchführen. Die Triage kann orchestriert werden, und anschließend können Sie die Reaktion und Kontrolle automatisieren. Wenn Sie auch über die Automatisierung und Verwendung der Orchestrierung innerhalb Ihres SOC sprechen, aktualisieren Sie auch Ihre Verfahren zur Reaktion auf Vorfälle und zur Verwaltung. Die Incident-Management-Praktiken, die wir in der Vergangenheit verwendet haben, sind nicht unbedingt sehr gut auf den Angriff skalierbar, die Art der Bedrohungen, die wir haben, die Art der Interaktion, die wir haben, müssen das haben, was ich Belegschaft, unsere Unterstützungliers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.
[00:32:54] Jason Clark: Ja. Es ist lustig, wenn man sich diese Prinzipien anschaut, oder? Sie sind alle so miteinander verbunden, richtig. Und aufeinander angewiesen, um wirklich, wirklich gut zu sein. Bevor ich zum neunten Prinzip übergehe, möchte jemand noch etwas zu den Sicherheitsoperationen von Lamont hinzufügen.
[00:33:11] James Robinson: Ich habe eine, bei der es sich eher um eine Frage an ihn oder jeden handelt. Eines der Dinge, über die ich immer mehr nachgedacht habe, und ich schaue mir einige meiner, äh, Bauherren, Entwickler, Ingenieure, Softwareentwickler, Brüder an, und ich habe mit jedem Spiel und der Idee von Runbooks gearbeitet und Spielbücher und, und so weiter und so weiter, wissen Sie, außerhalb von Architektur und Design, wissen Sie, oder, oder eines dieser Dinge, das gehört in manchen Fällen irgendwie, irgendwie der Vergangenheit an, und ich frage mich, ob, wo das so ist Was die Automatisierung angeht, benötigen Sie immer noch Ihr Team und lassen es aufbauen? Erstellen Sie die Laufbücher, Playbooks und so weiter, diese verschiedenen Dinge, und das ist es, was die Automatisierung für die Skalierung regelt und einrichtet, oder nehmen Sie eine anderer Ansatz?
[00:33:52] Lamont Orange: Das ist eine interessante Debatte. Ehrlich gesagt glaube ich, dass sehr, sehr wenige Programme auf Automatisierung und zuverlässige Automatisierung umgestiegen sind. Ich denke, um auf das zurückzukommen, was ich über Orchestrierung gesagt habe. Orchestrierung wird die Ausführung der Aufgaben sein, die erledigt werden müssen. Ich denke, dass die Runbooks und ich diesen Begriff sehr locker verwenden. Dabei kann es sich um einen Standardprozess handeln, den Sie verwenden, um auf eine bestimmte Art von Vorfall zu reagieren. Oder eine bestimmte Art von Frage an das Sicherheitsteam, eine bestimmte Anforderung, die innerhalb der Entwicklung oder bei einem Ihrer, Ihren Teams gestellt wird und an die Sie Anforderungen stellen würden, wenn sie bestimmte Arten von Daten verarbeiten oder wenn sie einen bestimmten Typ haben Wenn es um Systeminteraktionen geht, denke ich, dass Sie diese Reaktionen orchestrieren können. Wir müssen zum Automatisierungsteil reifen, da ich nicht sicher bin, ob bereits jedes Programm der automatisierten Aktion vertraut. Das war die Herausforderung.
[00:34:53] Erick Rudiak: Ich werde Ihnen hier tatsächlich eine Perspektive aus der Softwareentwicklung geben. Wenn ich über die Leistungsmerkmale eines Softwareprogramms nachdenke, stimmt das. Es gibt eine Art, wissen Sie, in Comp, Comp Sci, wir alle haben etwas über die O-Notation gelernt, richtig. Oder O- oder N-Notation. Und so hatte ich kürzlich ein tolles Gespräch mit unserer CISO und sie fragte. Um einige unserer Geschwindigkeiten und Feeds durchzugehen, z. B. wie viele GitHub-Repositories haben wir? Wie viele Commits führen wir pro Tag durch? Wissen Sie, wie oft, wissen Sie, wie oft betreiben wir unsere Pipelines pro Tag? Und es war ein großartiges Gespräch darüber, ob wir unsere Sicherheit auf O von N oder auf O von log N skalieren konnten. Und genau hier ist die Automatisierung von entscheidender Bedeutung, da sie sich tatsächlich auf die Talentherausforderung und einige der Diversitätsherausforderungen in der Informationssicherheit bezieht, und Automatisierung ist für uns der beste Weg. Um unsere Kontrollen von einem O von N auf ein O von log N oder sogar etwas Kleineres zu skalieren. Daher ist die Fähigkeit, das menschliche Element gewissermaßen zu entfernen oder es zur Lösung komplexerer, interessanterer Probleme zu kanalisieren, von entscheidender Bedeutung. Ich weiß nicht, wie ein Unternehmen mit der Nachfrage Schritt halten kann. Sowohl auf der Angreiferseite mit neuen Techniken und Arten sich entwickelnder Malware, Ransomware, ähm, Angriffstechniken usw., als auch, ähm, einfach der Fähigkeit eines Unternehmens heutzutage, sein Angebot an Angriffsfläche mit einfach bereitzustellenden Cloud-Diensten zu skalieren, und so weiter, als wäre Automatisierung der einzige Weg. Und in dem Buch sprechen wir über diese Idee von damals, als einige von uns unsere Server tatsächlich mit Namen kannten. Rechts. Äh, sie wurden wie Haustiere behandelt. Sie wurden geliebt. Von ihnen wurde erwartet, dass sie eine sehr lange Lebensdauer haben, im Gegensatz zu der Vorstellung, dass Server heute wie Legosteine sind, in Massenproduktion hergestellt werden und entweder absichtlich oder unabsichtlich eine extrem kurze Lebensdauer haben. Und es gibt einfach keine wirklich gute Möglichkeit, eine Sicherheitsorganisation so groß zu gestalten, dass sie den heutigen Anforderungen gerecht wird. Dass es keine Automatisierungen gibt, ein Grundprinzip
[00:37:10] Jason Clark: Ich liebe die Analogie, Erick. Und, äh, das ist ein großartiger Abschnitt des Buches, den jeder, äh, unbedingt lesen sollte. Also Prinzip neun und ich fange mit, äh, James Christiania an und gehe dann zu Erick, weil ich mit euch beiden die besten Risikogespräche geführt habe. Aber Prinzip neun ist die Forderung nach kontinuierlicher Sichtbarkeit und Risikobewertung, und bei jeder Sicherheitskontrolle wollen wir im Wesentlichen Echtzeit. Risikobewertung und -kontrollen im Vergleich zu diesen einmaligen Bewertungen, rechts, einer einmal jährlich stattfindenden Risikobewertung. Also fängt James mit dir an.
[00:37:43] James Christiansen: Ja. Danke. Ähm, wissen Sie, das ist immer ein heißes Thema für mich und wissen Sie, ich werde das, ähm, nur in ein paar Richtungen verfolgen, aber ich werde mich hier kurz fassen. Sie wissen schon, die Idee der kontinuierlichen Sichtbarkeit. Ja. Das erste Prinzip und Risiko besteht darin, dass Sie Risiken, von denen Sie nichts wissen, nicht verwalten können. Sie müssen sich also unbedingt dieses Risiko und/oder diese Sichtbarkeit verschaffen. Und wir haben gesehen, dass es einen Wandel gibt: Wir sind von einem Client-Server zu einer Cloud übergegangen und haben dann diese Sichtbarkeit in diese neue Welt verloren. Wir haben die Fähigkeiten verloren, die wir in unseren früheren Tagen hatten. Und, und wir müssen diese zurückbekommen. Sichtbarkeit ist absolut wichtig, wissen Sie, und der andere Teil davon ist kontinuierlich. Und wir hören oft das Wort „Zero Trust“, aber es ist ein Begriff, von dem ich nicht wirklich ein Fan bin, vor allem, weil er bei Führungsteams die falsche Konnotation hervorruft: „Oh, du bist der Sicherheitsmann“. Du vertraust niemandem. Und es gab, wissen Sie, Sicherheitsleute, die an, wissen Sie, Token denken. Ich habe mich darum gekümmert. Nun, ich betrachte es lieber als kontinuierliches adaptives Vertrauen. Oder ein sich ständig anpassendes Sicherheitsprogramm, das automatisch die Risiken prüft und in der Lage ist, die unterschiedlichen Risikotelemetrien zu messen und die Reaktion auf diese Risiken anzupassen. Wissen Sie, warum brauchen wir das gleiche Maß an Kontrollen? Wenn jemand zu ESPN geht und dies, ähm, den Sicherheitsdienst oder seine Fußballergebnisse überprüft, wie es wäre, wenn er nachsehen würde. Wissen Sie, die Materialien für die Board-Vorabveröffentlichung weisen offensichtlich sehr, sehr unterschiedliche Risikostufen auf. Eine Menge Telemetrie steckt in diesem Gerät, der Anwendung, dem Standort der Person, diesem Verkehr, alles kann jetzt gemessen werden. Und das ist das Entscheidende für die Zuhörer. Es gibt die Fähigkeit. Um dies jetzt tun zu können und diese adaptiven Echtzeitentscheidungen über das Risikoniveau und diesen Kontrollweg zu treffen und diese Kontrollen anpassen zu können. Daher denke ich, dass dies eine wirklich aufregende Zeit ist, in der wir diese Risiken berücksichtigen und uns im weiteren Verlauf anpassen können. Ja. Es gibt eine ganz andere Diskussion über Risiken Dritter und dann über Risiken Vierter, die wir uns einfach für einen anderen Tag aufsparen müssen, aber das ist wieder ein tolles Thema. Gib es dir zurück, Jason,
[00:39:59] Erick Rudiak: Ich versuche einen Weg zu finden, gegen die ständige Sichtbarkeit zu argumentieren. Und ich kann keinen finden, ähm, wissen Sie, äh, hätte ich lieber mehr oder weniger Informationen, würde ich lieber Angriffe abfangen und früher oder langsamer vorankommen? Ähm, hätte ich lieber eine lange Verweilzeit oder eine kurze Verweilzeit? Ja. Äh, ich würde viel lieber gewinnen. Und so, wissen Sie, denke ich über diese Idee der kontinuierlichen Sichtbarkeit nach, äh, kann, das führt mich zurück zu Peter Sandman und der Krisenkommunikation. Ähm, und Peter, Sandmans nicht-orthodoxe Definition von Risiko ist die Summe von Risiko und Empörung. Und so ist der Empörungsfaktor des Nichtwissens. Von uns in diesem modernen Zeitalter mit der Fähigkeit, etwas ständig zu überwachen und nicht in der Wahl, nicht zu wissen, dass eine Steuerung ausfällt, nicht zu wissen, dass sich eine Konfiguration geändert hat, nicht zu wissen, dass, wissen Sie, ein schlechter Akteur in unsere Systeme eingedrungen ist. Der Empörungsfaktor daran ist einfach, ähm, es ist unhaltbar
[00:41:09] Jason Clark: Als letztes, äh, letztes Prinzip wissen wir, was das ist. Dies sind wiederum die 10, die unserer Meinung nach die wichtigsten sind, die Menschen grundlegend für die Zukunft schulen. Wir könnten wahrscheinlich, wissen Sie, wir hatten eine Reihe davon, mit denen wir angefangen haben, und wir hatten zunächst 20 und haben es auf 10 reduziert, aber das 10. ist die Reduzierung der Angriffsfläche durch Zero Trust Prinzipien.
[00:41:31] Erick Rudiak: ] Ich habe gerade gehört, dass wir Zero Trust nicht mögen. Wir werden es ändern müssen.
[00:41:36] Jason Clark: Ich denke, die Branche ist in Bezug auf Null-Vertrauen verwirrt. Nicht wahr? Ähm, wissen Sie, was ist Nullvertrauen?
[00:41:43] Erick Rudiak: Für mich ist die Sache mit Nullvertrauen, dass das Vertrauen mit der Zeit irgendwie nachlässt. Und wenn ich darüber nachdenke, äh, das klassischste Beispiel dafür ist für mich die Zeitüberschreitung des Leerlaufbildschirms, wie bei der klassischen Steuerung ist es Teil von PCI. Früher war es jahrzehntelang Teil von NIST als Teil von so ziemlich jedem Sicherheitsrahmen, wo es eine Annäherung gab, die besagte: Na ja, wenn jemand Jasons Passwort kennt. Habe es in Jasons Terminal und schließlich in Jasons PC oder Laptop und schließlich in Jasons Telefon eingegeben. Dann wird angenommen, dass es für eine gewisse Zeit wahrscheinlich immer noch Jasonn ist. Ähm, und, äh, es widerspricht irgendwie der Logik, äh, besonders wenn wir an menschliche Faktoren und Design denken und an die Art und Weise, wie Menschen tatsächlich arbeiten, 14,9 Minuten nach der Eingabe dieses Passworts, dass wir Wir sollten den Eingaben von diesem Terminal, von diesem PC, von diesem Telefon genauso vertrauen können wie uns in dem Moment, als Jason sein Passwort eingegeben hat. Und so ähnlich, wenn ich über Nullvertrauen nachdenke und warum. Für mich liegt es daran, dass es diese Unwahrheit anerkennt, die die Sicherheitsbranche jahrelang toleriert hat, weil die Technologie zu schwierig war, weil sie zu teuer war, und wir diesen Kompromiss eingegangen sind. Wir sagten, ja. Wir vertrauen diesem Begriff. Für bis zu 15 Minuten würden wir dem Eingang, den Paketen, die dieses Gerät in der 14. Minute generiert hat, die gleiche Vertrauensstufe zuweisen wie in der ersten. Ähm, und es ist Zeit, dass wir weitermachen.
[00:43:23] Jason Clark: Sie wissen, dass die Debatte über Zero Trust darin besteht, dass es offensichtlich Anbieter gibt, die sagen: „Oh, das ist alles.“ Richtig, oder es dreht sich alles um den Endpunkt, oder ich denke, es ist keine binäre Sache, es ist nicht ein- oder ausschaltbar. Rechts. Dass es Leute gibt, die argumentieren, dass es Vertrauen gibt oder nicht. Und ich betrachte es so, dass Sie durch die Vordertür in mein Haus kommen können und ich Sie hineinlasse, aber das bedeutet nicht, dass Sie in jedes Zimmer gehen können. Das heißt nicht, dass du in meinen Safe kommst.
[00:43:44] Erick Rudiak: Oh, wir müssen über das letzte Mal reden, als ich zu dir nach Hause kam, Jason.
[00:43:49] Jason Clark: Und, wissen Sie, das basiert einfach auf Ihrem Verhalten, oder? Wie Sie schon sagten, wie lange sind Sie schon dort und dieser Fall, richtig? Je länger du hier bist, desto mehr vertraue ich dir vielleicht, weil ich dein Verhalten beobachtet habe. Rechts. Ich könnte also die Kehrseite von vielleicht allem vom Standpunkt der Authentifizierung aus argumentieren, aber je länger du hier bist, desto mehr sehe ich dein Verhalten, desto mehr verbringe ich Zeit mit dir. Je mehr ich dich in andere Räume gehen lasse. Ich denke, ich versuche damit zu sagen, dass es für mich Vertrauen in ein Gerät gibt. Vertraue ich Ihrem Gerät und wie sehr? Und in diesem Moment so etwas wie diese Echtzeit-Risikobewertung. Vertraue ich dem Netzwerk? Sie kommen vom Netzwerk Iran. Vertraue ich Ihnen als Person in diesem Moment, basierend auf Ihrem Verhalten, vertraue ich der Bewerbung, die Sie überhaupt richtig machen werden? Denn es sind nicht nur Sie, sondern die App, Ihre Handlung, mit der Sie interagieren, und ist sie möglicherweise gefährdet? Welche Auswirkungen hat das auf die Daten, die Sie hoch- oder herunterladen möchten? Rechts. Und für mich gibt es eine Art risikobasierte bedingte Kontrollentscheidung in Echtzeit, die uns entgegenkommt. Für mich ist das Nirwana des Null-Vertrauens so, dass ich dir entweder Null gebe. WAHR. Ich werde Ihnen keinen Zugriff gewähren oder Ihnen vollkommen vertrauen. Nennen wir das Nullniveau fünf und dann gibt es 1, 2, 3, 4, 5, richtig. Drei in der Mitte bedeutet für mich, dass ich Ihnen Zugriff auf die Daten gebe, diese aber nur online anzeigen und nicht bearbeiten können. Rechts. Es kann sein, dass Sie in mehreren Schritten einen Absatz darüber schreiben, warum Sie diese Daten benötigen und dass es sich um einen Notfall oder was auch immer handelt. Ich betrachte dies also als eine Art Null-Vertrauen, denn dieser Punkt, den wir erreichen müssen, ist der Weg hin zu Null-Vertrauen, um die Angriffsfläche zu verringern, aber letztendlich müssen die Menschen durch ihr Verhalten bei Bedarf mehr Vertrauen gewinnen. Damit wir den Vielbeschäftigten keine Probleme bereiten. Aber Lamont. Ich weiß, ich bin neugierig, da wir hier oft über Zero Trust gesprochen haben, aber der erste Teil dieses Prinzips bestand darin, die Angriffsfläche durch Zero Trust zu reduzieren. Rechts. Sie wissen also, wie Sie Ihre Organisation verteidigen, nicht wahr? Wie setzen wir dieses Prinzip jeden Tag um? Reduzieren wir die Angriffe?
[00:45:46] Lamont Orange: Ich denke, der erste Punkt, den wir zu Beginn betrachten sollten, ist Sichtbarkeit und Analyse, Sichtbarkeit. Es tut mir leid, Analytics, denn wenn Sie es nicht sehen können, ist es für den Menschen schwierig, es anzuwenden und zu kontrollieren oder zu schützen, und das wird Sichtbarkeit für Ihren Benutzer sein, Sichtbarkeit für Ihre Infrastruktur, für Ihre Daten. Und dann können Sie damit beginnen, diese Anwendungsfälle dahingehend zu überbrücken, was für das Unternehmen zu diesem Zeitpunkt am wichtigsten ist. Mir gefallen die Levels und wie du das beschrieben hast. Aber wir müssen auch verstehen, was das wichtigste Gut ist, und wir können zustimmen und sagen, dass es Daten sind, aber welche Daten, die Daten festlegen, und Sie betrachten diese Kontrollen durch diese Sichtbarkeits- und Analysefähigkeiten, auf die Sie diese Kontrollen anwenden können dieser Tag.
[00:46:32] Jason Clark: Ich denke, wir haben diese 10 Prinzipien auch absolut abgedeckt. Vielen Dank, dass Sie den Sicherheitsvisionären zuhören, und halten Sie Ausschau nach neuen Episoden, die jede Woche mit Sicherheitsexperten aus der gesamten Branche erscheinen. Vielen Dank, Erick Lamont und James, für die Zeit. Und es hat Spaß gemacht
[00:46:50] Sponsor: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben, das nach der richtigen Cloud-Sicherheitsplattform sucht, um Ihre Reise zur digitalen Transformation zu ermöglichen. Mit der Netskope-Sicherheitscloud können Sie Benutzer von jedem Gerät und jeder Anwendung aus sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr unter Netskope.
[00:47:11] Produzent: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen. Seien Sie gespannt auf die Veröffentlichung neuer Episoden alle zwei Wochen. Und wir sehen uns in der nächsten Folge.
){kind=icon}
