Netskope wurde im Gartner® Magic Quadrant™ 2024 für Security Service Edge als Leader ausgezeichnet. Report abrufen

Schließen
Schließen
  • Warum Netskope? Chevron

    Verändern Sie die Art und Weise, wie Netzwerke und Sicherheit zusammenarbeiten.

  • Unsere Kunden Chevron

    Netskope bedient mehr als 3.000 Kunden weltweit, darunter mehr als 25 der Fortune 100

  • Unsere Partner Chevron

    Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.

Immer noch am Höchsten in der Ausführung.
Immer noch am Weitesten in der Vision.

Erfahren Sie, warum Netskope im Gartner® Magic Quadrant ™ 2024 zum dritten Mal in Folge zum Leader für Security Service Edge ernannt wurde.

Report abrufen
Netskope wird im ® Magic Quadrant ™ für Security Service Edge 2024 als führend eingestuft. Grafik für Menü
Wir helfen unseren Kunden, auf alles vorbereitet zu sein

Unsere Kunden
Lächelnde Frau mit Brille schaut aus dem Fenster
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.

Erfahren Sie mehr über Netskope-Partner
Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft
Ihr Netzwerk von morgen

Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.

Whitepaper lesen
Ihr Netzwerk von morgen
Vorstellung der Netskope One-Plattform

Netskope One ist eine cloudnative Plattform, die konvergierte Sicherheits- und Netzwerkdienste bietet, um Ihre SASE- und Zero-Trust-Transformation zu ermöglichen.

Erfahren Sie mehr über Netskope One
Abstrakt mit blauer Beleuchtung
Nutzen Sie eine Secure Access Service Edge (SASE)-Architektur

Netskope NewEdge ist die weltweit größte und leistungsstärkste private Sicherheits-Cloud und bietet Kunden eine beispiellose Serviceabdeckung, Leistung und Ausfallsicherheit.

Mehr über NewEdge erfahren
NewEdge
Netskope Cloud Exchange

Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.

Erfahren Sie mehr über Cloud Exchange
Netskope-Video
  • Edge-Produkte von Security Service Chevron

    Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.

  • Borderless SD-WAN Chevron

    Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.

  • Secure Access Service Edge Chevron

    Netskope One SASE bietet eine Cloud-native, vollständig konvergente SASE-Lösung eines einzelnen Anbieters.

Die Plattform der Zukunft heißt Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) und Private Access for ZTNA sind nativ in einer einzigen Lösung integriert, um jedes Unternehmen auf seinem Weg zum Secure Access Service zu unterstützen Edge (SASE)-Architektur.

Netskope Produktübersicht
Netskope-Video
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert

Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.

Erfahren Sie mehr über Next Gen SASE Branch
Menschen im Großraumbüro
Entwerfen einer SASE-Architektur für Dummies

Holen Sie sich Ihr kostenloses Exemplar des einzigen Leitfadens zum SASE-Design, den Sie jemals benötigen werden.

Jetzt das E-Book lesen
Steigen Sie auf marktführende Cloud-Security Service mit minimaler Latenz und hoher Zuverlässigkeit um.

Mehr über NewEdge erfahren
Beleuchtete Schnellstraße mit Serpentinen durch die Berge
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.

Erfahren Sie, wie wir den Einsatz generativer KI sichern
ChatGPT und Generative AI sicher aktivieren
Zero-Trust-Lösungen für SSE- und SASE-Deployments

Erfahren Sie mehr über Zero Trust
Bootsfahrt auf dem offenen Meer
Netskope erhält die FedRAMP High Authorization

Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.

Erfahren Sie mehr über Netskope GovCloud
Netskope GovCloud
  • Ressourcen Chevron

    Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.

  • Blog Chevron

    Erfahren Sie, wie Netskope die Sicherheits- und Netzwerktransformation durch Security Service Edge (SSE) ermöglicht

  • Events und Workshops Chevron

    Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus

  • Security Defined Chevron

    Finden Sie alles was Sie wissen müssen in unserer Cybersicherheits-Enzyklopädie.

Security Visionaries Podcast

Die Schnittstelle zwischen Zero Trust und nationaler Sicherheit
On the latest episode of Security Visionaries, co-hosts Max Havey and Emily Wearmouth sit down for a conversation with guest Chase Cunningham (AKA Dr. Zero Trust) about zero trust and national security.

Podcast abspielen
Die Schnittstelle zwischen Zero Trust und nationaler Sicherheit
Neueste Blogs

Lesen Sie, wie Netskope die Zero Trust- und SASE-Reise durch Security Service Edge (SSE)-Funktionen ermöglichen kann.

Den Blog lesen
Sonnenaufgang und bewölkter Himmel
SASE Week 2023: Ihre SASE-Reise beginnt jetzt!

Wiederholungssitzungen der vierten jährlichen SASE Week.

Entdecken Sie Sitzungen
SASE Week 2023
Was ist SASE?

Erfahren Sie mehr über die zukünftige Konsolidierung von Netzwerk- und Sicherheitstools im heutigen Cloud-dominanten Geschäftsmodell.

Erfahre mehr zu SASE
  • Unternehmen Chevron

    Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.

  • Leadership Chevron

    Unser Leadership-Team ist fest entschlossen, alles zu tun, was nötig ist, damit unsere Kunden erfolgreich sind.

  • Kundenlösungen Chevron

    Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.

  • Schulung und Zertifizierung Chevron

    Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Unterstützung der Nachhaltigkeit durch Datensicherheit

Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.

Finde mehr heraus
Unterstützung der Nachhaltigkeit durch Datensicherheit
Denker, Architekten, Träumer, Innovatoren. Gemeinsam liefern wir hochmoderne Cloud-Sicherheitslösungen, die unseren Kunden helfen, ihre Daten und Mitarbeiter zu schützen.

Lernen Sie unser Team kennen
Gruppe von Wanderern erklimmt einen verschneiten Berg
Das talentierte und erfahrene Professional Services-Team von Netskope bietet einen präskriptiven Ansatz für Ihre erfolgreiche Implementierung.

Erfahren Sie mehr über professionelle Dienstleistungen
Netskope Professional Services
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.

Erfahren Sie mehr über Schulungen und Zertifizierungen
Gruppe junger Berufstätiger bei der Arbeit
Miniaturansicht des Beitrags

In der neuesten Folge des Security Visionaries Podcasts setzt sich Moderator Max Havey mit Rich Davis, Director of Product Solutions Marketing bei Netskope, zusammen, um tief in das entscheidende Thema Cyberhygiene einzutauchen. Insbesondere befassen sie sich mit der Bewertung der Auswirkungen von Cyber-Awareness-Tagen und zeigen die Herausforderungen auf, mit denen Unternehmen bei der Einführung ganzjähriger Cyberhygiene-Gewohnheiten konfrontiert sind. Entdecken Sie, wie Multi-Faktor-Authentifizierung und Zero-Trust-Prinzipien Ihre Cyber-Hygiene verbessern können. Von der persönlichen Umsetzung der Cybersicherheit bis hin zur Umwandlung in eine Geschäftsinitiative ist diese Folge vollgepackt mit nützlichen Tipps zur Verbesserung der Cybersicherheit in Ihrem Unternehmen und Privatleben.

Letztendlich kommt es auf den Benutzer an. Wir müssen es den Nutzern leicht machen. Wir müssen den Menschen erklären, warum das so wichtig ist, und wir müssen Werkzeuge an die Hand geben, die ihnen wirklich helfen, diese gute Entscheidung zu treffen und nicht auf diese schlechten Praktiken zurückzugreifen.

– Rich Davis, Marketingleiter für Produktlösungen
Rich Davis

 

Zeitstempel

*00:01 – Einführung*09:50 – Multi-Faktor-Authentifizierung und Zero-Trust-Prinzipien
*00:21 - Bewertung des Beitrags von Cyber-Awareness-Tagen*10:12 – Minimierung von Angriffsflächen und Verhinderung von Datenverlusten durch adaptive Vertrauensstellung
*01:05 - Die Schwierigkeiten bei der Implementierung von Cyber-Hygiene im Laufe des Jahres*12:55 – Umgang mit dem Risiko der Datengefährdung und Stärkung der Benutzeraufklärung
*02:16 - Die Lebensdauer von Sicherheitsschulungen und die Befürwortung von Weiterbildung*13:45 - Fehlkonfigurationen und das damit verbundene Risiko der Offenlegung von Daten
*03:12 - Missverständnisse und Herausforderungen bei der Aufrechterhaltung der Cyber-Hygiene*15:59 - Cyber-Hygiene zu einer Geschäftsinitiative machen
*04:30 - Strategien zur Förderung gesünderer Cyberhygienepraktiken in Unternehmen*18:24 - Schlussfolgerungen
*07:00 - Praktische Beispiele für den Zusammenhang von Cyberhygiene mit persönlichen Situationen

 

Andere Möglichkeiten zum Zuhören:

grünes plus

In dieser Folge

Rich Davis
Direktor für Produktlösungsmarketing bei Netskope

Chevron

Rich Davis

Richard Davis ist Direktor für Lösungsstrategie bei Netskope. Er bietet von Land zu Land Einblicke und Fachwissen zu Cyber-Resilienz und -Abwehrmaßnahmen wie Cloud-Sicherheit, Security Services Edge und Risikomanagement und beaufsichtigt gleichzeitig die Produkt- und Lösungsstrategie für die EMEA-Region.

Davis ist ein erfahrener Cybersicherheitsexperte mit über 20 Jahren Erfahrung und setzt sich leidenschaftlich dafür ein, Unternehmen dabei zu unterstützen, ihre Mitarbeiter und Daten zu schützen. Vor seiner Tätigkeit bei Netskope war Davis als Principal Solutions Architect, Head of Product and Solutions, EMEA und anschließend als Cybersecurity Strategist bei Proofpoint tätig.

LinkedIn-Logo

Max Havey
Leitender Content-Spezialist bei Netskope

Chevron

Max Havey

Max Havey ist Senior Content Specialist für das Unternehmenskommunikationsteam von Netskope. Er ist Absolvent der School of Journalism der University of Missouri mit einem Bachelor- und einem Master-Abschluss in Zeitschriftenjournalismus. Max hat als Content-Autor für Startups in der Software- und Lebensversicherungsbranche gearbeitet und Ghostwriter aus verschiedenen Branchen herausgegeben.

LinkedIn-Logo

Rich Davis

Richard Davis ist Direktor für Lösungsstrategie bei Netskope. Er bietet von Land zu Land Einblicke und Fachwissen zu Cyber-Resilienz und -Abwehrmaßnahmen wie Cloud-Sicherheit, Security Services Edge und Risikomanagement und beaufsichtigt gleichzeitig die Produkt- und Lösungsstrategie für die EMEA-Region.

Davis ist ein erfahrener Cybersicherheitsexperte mit über 20 Jahren Erfahrung und setzt sich leidenschaftlich dafür ein, Unternehmen dabei zu unterstützen, ihre Mitarbeiter und Daten zu schützen. Vor seiner Tätigkeit bei Netskope war Davis als Principal Solutions Architect, Head of Product and Solutions, EMEA und anschließend als Cybersecurity Strategist bei Proofpoint tätig.

LinkedIn-Logo

Max Havey

Max Havey ist Senior Content Specialist für das Unternehmenskommunikationsteam von Netskope. Er ist Absolvent der School of Journalism der University of Missouri mit einem Bachelor- und einem Master-Abschluss in Zeitschriftenjournalismus. Max hat als Content-Autor für Startups in der Software- und Lebensversicherungsbranche gearbeitet und Ghostwriter aus verschiedenen Branchen herausgegeben.

LinkedIn-Logo

Episodentranskript

Offen für Transkription

Max Havey [00:00:02] Hallo und herzlich willkommen zu einer weiteren Ausgabe des Security Visionaries Podcast, einem Podcast rund um die Welt der Cyberdaten und der technischen Infrastruktur, der Experten aus der ganzen Welt aus verschiedenen Bereichen zusammenbringt. Ich bin heute Ihr Gastgeber, Max Havey, und heute sprechen wir mit unserem Gast Rich Davis, Direktor für Produktlösungsmarketing hier bei Netskope, über Cyberhygiene. Wie geht's heute, Rich?

Rich Davis [00:00:21] Ja. Hallo, Max. Schön, hier zu sein. Ich freue mich auf das heutige Gespräch. Sicherlich eine, die mir sehr am Herzen liegt, da ich mich zuvor sehr detailliert mit dem menschlichen Faktor befasst habe und damit, wie Menschen Dinge beeinflussen können. Und sicherlich passt das heutige Thema sehr gut dazu.

Max Havey [00:00:36] Kein Zweifel. Also ja, lassen Sie uns hier einsteigen. Zu Beginn des Jahres gibt es also viele Cyber-Awareness-Tage. Dinge wie der National Change Your Password Day, der am 1. Februar stattfindet, oder der heutige Tag, an dem er veröffentlicht wird, ist der Safer Internet Day. Aber haben Sie Ihrer Erfahrung nach festgestellt, dass diese Art von Bewusstseinstagen wirklich so effektiv sind? Was treiben sie Ihrer Meinung nach den Wandel voran, den Sicherheitsexperten wirklich anstreben, wenn es um den Umgang mit diesem menschlichen Element geht?

Rich Davis [00:01:05] Ja, ich meine, das ist natürlich ein zweischneidiges Schwert. Erstens können wir keine Publicity bemängeln. Jede Publicity in jedem Bewusstsein ist großartig. Ich denke, das Problem ist, dass es, wie bei all diesen Dingen, ein bisschen zu einem "Okay, ich mache es heute und ich vergesse es an einem anderen Tag" werden kann. Und natürlich muss dies eine ganzjährige Anstrengung sein, vor allem, wenn es um unsere, unsere Benutzer und diese Menschen geht, sie sind die erste Verteidigungslinie. Und deshalb müssen sie darüber nachdenken und sie müssen über Sicherheit nachdenken und darüber, was sie tagein, tagaus tun. Also nochmals, toll, dass wir uns an einem bestimmten Tag darauf konzentrieren. Nicht so gut, dass es dann dazu führen kann, dass sie es ein anderes Mal vergessen. Und das zeigt sich oft auch in Daten. Wenn man sich einige der historischen Daten rund um das Nutzerverhalten ansieht, sieht man tatsächlich, dass, wenn ein oder zwei Wochen nach der Schulung zum Sicherheitsbewusstsein ein besseres Ergebnis erzielt wird, man niedrigere Klickraten durch Inhalte erhält. Es gab mehr, die diese Dinge taten. Sie erinnern sich auch an Dinge wie DLP-Warnungen, die fallen, aber dann lässt es nach. Und ja, das ist der Grund, warum diese Art von Dingen ziemlich effektiv sind. ja. Unternehmen müssen wirklich darüber nachdenken, dass dies eine ständige Entwicklung ist. Tag für Tag, Woche für Woche.

Max Havey [00:02:16] Auf jeden Fall. Die Halbwertszeit von Sicherheitsschulungen ist ziemlich gering, basierend auf allem, was ich jemals von unseren verschiedenen Mitgliedern des CSO-Teams hier gehört habe. Es ist also sehr gut, Wege zu finden, es das ganze Jahr über im Bewusstsein am Laufen zu halten. Aber nur an einem einzigen Tag scheint es insgesamt irgendwie ineffektiv zu sein.

Rich Davis [00:02:32] Ja, ja, auf jeden Fall. Und ich denke, ich denke, diese Tage des sichereren Internets und die Tage des Passwortwechsels sollten sich in gewisser Weise mit dem Mülleimer von gestern abfinden. Und eigentlich sollten wir viel ganzheitlicher darüber nachdenken.

Max Havey [00:02:47] Auf jeden Fall eher ein ganzjähriges Cyberhygiene-Gespräch als nur einzelne Tage, an denen sie gut gemeint sind. Aber die Ergebnisse sind nicht immer genau das, was wir wollen.

Rich Davis [00:02:56] Wir sollten es Safer Internet Life nennen. Wirklich?

Max Havey [00:02:59] Auf jeden Fall. Und ich denke, das bringt uns zu unserer ersten wirklich großen Frage hier, nämlich dem Nachdenken über Cyberhygiene. Warum finden Sie, dass Cyber-Hygiene eine schwierige, manchmal langwierige Aufgabe für Unternehmen sein kann, um sie wirklich zu übernehmen und eine Art ganzjähriges Ziel zu erreichen?

Rich Davis [00:03:12] Ja, ich denke, ein Teil davon ist ein historischer Aspekt. Ich habe das alle schon erlebt, wir alle hatten diese E-Mails, vor denen wir uns fürchten, und es ist diese jährliche Zeit, bis du trainierst und denkst, oh, das sind acht Stunden, ich habe keine Zeit dafür. Und wir haben automatisch diese negative Meinung. Und ich denke, als Individuen haben wir auch dieses eingebaute Gefühl, dass wir das nicht tun müssen, dass wir einen gesunden Menschenverstand haben, dass wir wissen, was wir tun. Ich denke also, dass diese definitiv eine Rolle spielen. Und ich denke, das ist ein Teil des Problems. Ich denke auch, dass es allzu oft um den Nutzen für das Unternehmen und nicht um den Nutzen für den Einzelnen geht. Und ich denke, da gibt es eine Menge, und wir haben gesehen, dass dies wirklich erfolgreich ist, wenn es sich auf den Einzelnen in seiner Familie konzentriert. Wenn Sie es erweitern können, wissen Sie, wie Sie und Ihre Familie sicher sein können. Dann haben Organisationen, denke ich, mehr Einfluss, weil man sie für diese Person relevant macht.

Max Havey [00:04:01] Auf jeden Fall die persönliche Seite des Nutzers anzusprechen, fühlt sich irgendwie wie der Weg an, es für ihn real zu machen. Und es geht nicht nur darum, über breite, abstrakte, sensible Daten zu sprechen. Es ist Ihre Sozialversicherungsnummer. Es stellt sicher, dass Ihre Passwörter und Ihre Bankdaten sicher sind, als wären es aus einem bestimmten Grund persönliche, identifizierbare Informationen. Wie haben Sie hier in Ihrer Rolle Wege gefunden, bessere Cyber-Hygienepraktiken in Ihrem Unternehmen zu fördern? Vielleicht ist es besser, diese Art von persönlichem Element zu betonen, das ein Teil von all dem ist?

Rich Davis [00:04:30] Ja. Und ich denke, es kommt wirklich auf ein paar Dinge an. Erstens, wie Sie dieses Training gestalten. Und ja, wir konzentrieren uns bis zu einem gewissen Grad speziell auf Identität und Passwörter, aber natürlich viel breiter als das. Ich denke, es geht darum, wie du sagst, es persönlich zu machen. Und das bedeutet, Beispiele aus dem wirklichen Leben zu geben, die Ihnen beiden im geschäftlichen Sinne passieren können, aber dann für etwas freizugeben, das sie verstehen können, vielleicht in einem persönlichen Sinne. Den Diebstahl Ihrer eigenen persönlichen Kreditkarten mit dem Diebstahl von Firmen-PIA oder geistigem Eigentum in Verbindung zu bringen. Und welche Wirkung das haben kann. Denn nochmals, man macht es persönlich, man macht es real, und man macht es irgendwie mit dem verbunden, worüber sie tagein, tagaus nachdenken und was ihnen persönlich wichtig sein könnte. Ich denke, wenn wir über die andere Seite nachdenken, dann ist das die Zeit. Und wenn wir das tun, denke ich, geht es wirklich darum, es das ganze Jahr über zu füttern. Ich denke, Unternehmen haben nur eine bestimmte Zeitspanne, die sie in einem Jahr für die Schulung ihrer Benutzer aufwenden können, und zu viele Unternehmen werden sagen: "Okay. Rechts. Acht Stunden. Wir werden es tun oder wenn du an diesem Tag bist." Und eigentlich ist es viel effektiver, das aufzubrechen. Ja, es kann sein, dass Sie aus Compliance-Gründen die Notwendigkeit haben, bestimmte Schulungen auf jährlicher Basis zu absolvieren, weil Sie diese Anforderungen erfüllen müssen, aber darüber hinaus eine weitaus bessere Nutzung der Zeit. Es geht darum, es tröpfchenweise zu füttern und das Just-in-Time-Training zu haben, aber es auch für Situationen relevant zu machen, mit denen das Unternehmen konfrontiert ist. Wenn Sie tatsächlich können, informieren Sie die Benutzer, Ihre Mitarbeiter über die Arten von Bedrohungen, die für Ihr Unternehmen relevant sind, anstatt sie zu allgemein zu machen. Andererseits erhalten Sie dadurch eine Verbindung zur Organisation. Sie können verstehen, warum sie gebeten werden, eine bestimmte Schulung zu absolvieren. Und daher werden Sie insgesamt eine bessere Reaktion auf dieses Training erhalten. Und ich habe das aus erster Hand in meinem früheren Leben gesehen, als ich mit Organisationen gearbeitet habe und versucht habe, die Veränderungen im Verhalten zu verfolgen, von dieser Art von einmal im Jahr zu einem viel gezielteren Trainingsprogramm, das sich über den Zeitraum des Jahres erstreckt, in dem man Futterinhalte tropft, man trainiert einfach, und man macht es viel. Viel mehr als nur das, E-Learning, das einmal im Jahr auf diesem Portal stattfindet.

Max Havey [00:06:44] Auf jeden Fall. Und nur um ein bisschen mehr zu erfahren, wie Sie darüber gesprochen haben, wie Sie Wege finden können, diese Art von Schulungen für den jeweiligen Benutzer in seiner Familie, in seinem täglichen Leben relevant zu machen. Nun, können Sie uns ein paar Beispiele geben, wie das aussieht und wie sich das abspielt?

Rich Davis [00:07:00] Ja. Lassen Sie mich Ihnen ein einschlägiges Beispiel geben. Ich habe Kinder, die gerade zu Teenagern geworden sind, zum ersten Mal, dass sie begonnen haben, die Kontrolle über ihre eigenen Bankkonten zu haben. Wir haben uns nicht mehr um sie selbst gekümmert, sondern ihnen den Zugriff auf Apps auf ihren Handys und die Nutzung von Apple Pay ermöglicht. Das ist also direkt für mich persönlich, aber es dreht sich dann darum, wie man das schützen kann. Sie möchten nicht, dass Ihr hart verdientes Geld, das Sie möglicherweise durch Hausarbeiten verdient haben, über Nacht verschwindet, weil Sie unvorsichtig mit Ihren Informationen umgegangen sind. Und deshalb, wissen Sie, haben wir schon in jungen Jahren angefangen, mit ihnen darüber zu sprechen, wie man sich schützen kann. Beide haben Passwort-Manager, in denen sie ihre wichtigsten Anmeldeinformationen speichern können. Ich habe darüber gesprochen, warum dies notwendig ist, und versucht, es für die Situation, in der sie sich befinden, relevant zu machen. Ich denke, es ist einfach ein großartiges Beispiel dafür, wo man versuchen kann, das relevant zu machen. Deshalb verwenden sie jetzt tagein, tagaus Passwort-Manager. Das bedeutet, dass sie nur diese eine Qualifikation haben, die sie sich merken müssen. Es kann komplex sein, weil es nur diese eine Sache gibt, an die man sich erinnern muss. Und das ist ein 13- und ein 15-Jähriger. Wenn sie es also können, dann gibt es keinen Grund, warum nicht jede Person aus geschäftlicher Sicht das Gleiche tun kann. Meine Tochter leitet mich jetzt weiter, schiebt sie durch und sagt: "Oh Papa, schau mal, wie offensichtlich das ist." Und wissen Sie, es ist einfach ein großartiges Beispiel dafür, wo wir tatsächlich den Nutzen dessen sehen können, was wir tun. Ich denke, ein weiteres großartiges Beispiel ist, es für das relevant zu machen, was die Menschen Tag für Tag verstehen. Wenn Sie sich also YouTube ansehen, gab es eine riesige Reihe von Hacks auf wirklich sehr bekannten YouTube-Kanälen, darunter einige der größten Technologie- und Sicherheitskanäle da draußen. Linus Tech tTipps. Einer der größten Tipps, die viele Leute in diesem Bereich beobachten. Ihr YouTube-Konto wurde kompromittiert, und sie sind jemand, der die besten Sicherheitspraktiken hat, die Passwort-Manager und 2FA verwenden, aber es gibt immer noch einen Weg, dies zu umgehen. Und hier muss wieder das menschliche Element ins Spiel kommen, denn es geht nicht nur darum, Menschen zu schützen und daran zu hindern, Zugang zu erhalten, sondern es geht darum, diese Organisation sehr schnell zu erkennen und zu informieren. Und in diesem speziellen Fall hat jemand ein ungewöhnliches Verhalten entdeckt. Und anstatt zu versuchen, zu vertuschen und zu denken, dass sie etwas falsch gemacht haben, haben sie sich sofort an jemanden innerhalb der Organisation gewandt und konnten viel, viel schneller damit umgehen. Und auch das geht dann in den Bereich von, nun, was ist Ihre Exposition? Selbst wenn es jemandem gelungen ist, in ein Unternehmen einzudringen, welche anderen Tools haben Sie eingerichtet? Denn hier geht es nicht nur um die Authentifizierung allein. Und wenn wir mit den Nutzern sprechen, geht es nicht nur um den Identitätsaspekt. Es sind andere Dinge, die sie tun können, um sicherzustellen, dass sie Informationen schützen.

Max Havey [00:09:50] Auf jeden Fall. Und um auf das zu doppelklicken, was Sie gerade dort angezeigt haben. Wie verhalten sich Multi-Faktor-Authentifizierung und Zero-Trust-Prinzipien, ein weiterer Begriff, den wir in dieser Sendung und in der ganzen Welt in Diskussionen über Cybersicherheit häufig verwenden? Welche Rolle spielen diese Dinge als Werkzeuge, die Unternehmen nutzen können, um die Cyberhygiene besser zu fördern und die Konversation am Laufen zu halten?

Rich Davis [00:10:12] Ja, es gibt viele Bewegungen für die Multi-Faktor-Authentifizierung, und viele Unternehmen nutzen das jetzt. Sie verwenden auch die Verwaltung privilegierter Zugriffe, um einen noch tieferen Ansatz für einen Großteil dieser privilegierten Zugriffe zu verfolgen. Ich denke, die Sache ist die, dass es immer einen Weg gibt, wenn ein Mensch involviert ist, gibt es immer einen Weg, um Multifaktor-Token zu stehlen, indem sie Sie dazu bringen, sie in gefälschte Anmeldeinformationen einzugeben und sich dann sofort anzumelden. Und dann können sie natürlich ihre eigene MFA einrichten. Bei vielen dieser Techniken gibt es auch andere Möglichkeiten, sie zu umgehen. Und so ist es nicht ganz so einfach, all diese Best Practices zu implementieren. Unternehmen müssen wirklich darüber nachdenken, wie ich Datenverluste verhindern kann, falls das Schlimmste passiert. Ich gehe davon aus, dass irgendwann die Anmeldeinformationen eines meiner Benutzer gestohlen werden. Jemand wird sich Zugang verschaffen. Ich muss diesen Verlustradius begrenzen. Ich muss diese Angriffsfläche begrenzen. Und hier kommen Dinge wie das Zero-Trust-Prinzip ins Spiel. Denn wenn Sie an einen Benutzer denken, der in einer idealen Welt tagein, tagaus arbeitet, sollte er nur die geringste Angst haben, die er braucht, um seine Arbeit zu erledigen, und nicht mehr. Wenn es also ihre Aufgabe ist, in eine Finanzplattform zu gehen und Daten einzugeben. Dann sollten sie Zugriff auf genau diese Anwendung haben. Sie sollten Regeln haben, um festzulegen, wie und wann sie darauf zugreifen können. Aber noch wichtiger ist, dass es eine ganze Reihe von Aktionen gibt, die sie ausführen könnten. Sie müssen keine Berichte abrufen. Es besteht keine Notwendigkeit für sie, Daten abzurufen und diese Daten an öffentliche Filesharing-Dienste usw. zu senden, was natürlich genau das ist, was dieser Angriff erreichen wird, wenn sie versuchen, diese zu stehlen, sie werden versuchen, Informationen herunterzuziehen, und sie werden versuchen, Remote-Dienste zu verwenden, um diese Daten zu exfiltrieren. Und das ist der Punkt, an dem dieses ganze Konzept, wirklich ein adaptives Vertrauen zu haben, ich mag den Begriff Zero Trust nicht. Es basiert auf guten Prinzipien, aber es ist wirklich kontinuierliches adaptives Vertrauen. Es geht darum, die aktuelle Situation zu betrachten, die Aktionen zu betrachten, verschiedene Kriterien zu betrachten, einschließlich der Authentifizierung des Benutzers, des Standorts des Benutzers, der Aktionen des Benutzers, historischer Aktionen im Vergleich zu aktuellen Aktionen, um diese Entscheidung zu treffen. Sollte das passieren oder sollte das nicht geschehen. Und daher können Sie mit dieser Art von Ansatz Ihre Angriffsfläche begrenzen, falls das Schlimmste passiert. Sie können diese Arten von Richtlinien auch verwenden, um Warnungen auszulösen, wenn Organisationen einen Unterschied im Verhalten feststellen. Zum Beispiel ist UEBA oder User Entity Behavioral Analytics ein großartiges Tool, ein noch besseres Tool, wenn es tatsächlich tief in viele andere Richtlinienelemente eingebettet ist, um diese Art von Alarmierungs- und Incident-Response-Prozessen voranzutreiben.

Max Havey [00:12:55] Auf jeden Fall. Und ich denke, das Ausmaß, in dem Benutzer gewarnt werden, wenn sie etwas Riskantes tun und diese Art von Dingen auffangen, dass diese Art von Datenschutz so wichtig ist. Es gab eine Reihe von Artikeln, die Steve Riley aus unserem CSO-Team vor einiger Zeit geschrieben hat, in denen er über undichte SAS-Apps sprach, die die Leute verwenden, sei es Webmail oder Amazon S3-Buckets oder Azure-Blobs, wie z. B. das Fehlen der richtigen Berechtigungen für diese verschiedenen Dienste, die die Leute täglich verwenden. Stellen Sie sicher, dass sie die Dinge relativ geheim halten und nicht versehentlich Daten preisgeben, weil sie nicht wissen, dass sie dies für jeden im Internet offen gelassen haben, der diesen Link hat. Jeder, der sich mit roher Gewalt in all das hineindrängt oder einen Weg in all das gefunden hat. Es ist sehr einfach, etwas einfach auf eine Weise falsch zu konfigurieren und nicht einmal zu merken, was man getan hat.

Rich Davis [00:13:45] Ja, und wenn wir uns viele der Vorfälle ansehen, die wir in den letzten Jahren hatten, dann waren es nur Organisationen, die nicht unbedingt eine Kontokompromittierung und einen solchen Zugriff hatten, sondern nur Daten, die sich am falschen Ort befanden, auf die jemand Zugriff hatte, die er nicht haben sollte. Sei es, dass das öffentlich ist oder ob es sich um jemanden in Ihrer Organisation handelt, der Zugriff auf Inhalte hat, die er vielleicht nicht tun sollte, und sie dann an einem Ort ablegt, an dem er sie nicht platzieren sollte, auf den sie von vornherein keinen Zugriff haben sollten, und dann werden sie an einen Ort verschoben, an dem sie nicht hingehören. Und das ist natürlich der andere Aspekt des menschlichen Faktors, der darin besteht, unsere Benutzer zu schulen und ihnen zu helfen, zu verstehen, wie sie Systeme am besten nutzen und wo sie Daten ablegen sollten und wo nicht. Das führt natürlich zu einem ganz anderen Thema, über das wir den ganzen Tag mit den Benutzern reden könnten, und ob wir es den Benutzern leicht machen, ihre Arbeit zu erledigen oder nicht. Wissen Sie, die Leute verwenden Tools, weil es einfach ist, oder? Weil es einfach ist, Dinge zu erledigen. Und das ist ein ganzes Thema für sich, wenn es darum geht, Lösungen zu finden, Zugriffsmethoden, die es dem Benutzer leicht machen, seine Arbeit zu erledigen. Wenn Sie diese Mechanismen einbauen können, machen Sie es dem Benutzer leicht, seine Arbeit zu erledigen, aber bleiben Sie dennoch innerhalb der Grenzen dessen, was das Unternehmen zulässt, und der vorhandenen Sicherheitskontrollen. Sie werden diese anderen Wege nicht gehen, um zu versuchen, diese Werkzeuge zu umgehen. Also wieder ein Thema, über das wir stundenlang reden könnten, aber es ist sehr eng mit dieser ganzen Philosophie verbunden, dass die Authentifizierung nur ein Aspekt dieses gesamten Konzepts des kontinuierlichen adaptiven Vertrauens ist.

Max Havey [00:15:14] Nun, und es führt es speziell ein, damit schließt sich der Kreis, wo, wissen Sie, ein Tag zur Änderung Ihres Passworts eine gute Ausrede für die Leute ist, ihr Passwort zu ändern, aber viele Leute werden diese Benachrichtigung über die Änderung Ihres Passworts erhalten, und sie werden es auf den nächsten Tag und den nächsten Tag und den nächsten Tag verschieben. Und dann werden sie ihr Passwort erst ändern, wenn sie es unbedingt müssen. Und so wird es für einige Benutzer zu einer Art Frustration. Und ich denke, das ist ein interessanter Weg, um das alles hier zusammenzubringen, wo diese Art von Cyber-Hygiene-Praxis das ganze Jahr über zu haben und diese Dinge am Laufen zu halten, nicht jedes Problem hier lösen wird, aber diese Konversation immer am Laufen zu halten, bedeutet letztendlich, dass man nicht nur diese einen Tage hat. Wissen Sie, ich denke nur an diesen einen Tag im Jahr, an dem ich definitiv meine Passwörter ändern muss.

Rich Davis [00:15:59] Und natürlich wollen wir nicht, dass sie ihr Passwort in etwas ändern, das man sich leicht merken kann, dass sie ganz hinten in ihrem Buch stehen. Oder werfen Sie eine Excel-Tabelle ein. Was ist der andere Nachteil beim Ändern von Passwörtern, oder? Und das Anfordern von Passwörtern über mehrere Systeme hinweg. Also ja, das ist der Grund, warum ich sehr für einen Passwort-Manager plädiere. Sie haben ein komplexes Schlüsselpasswort, das Sie sich merken können. Das drehst du regelmäßig. Und natürlich rotieren wir Passwörter auch, weil es eine gute Praxis ist, jemanden auszusperren. Wenn also jemand Zugriff hat, wird er auf sein Konto gesperrt. Und das ist in erster Linie einer der Gründe, warum wir es tun. Aber letztendlich kommt es auf den Benutzer an. Wir müssen es den Nutzern leicht machen. Wir müssen den Menschen erklären, warum das so wichtig ist, und wir müssen Werkzeuge an die Hand geben, die ihnen wirklich helfen, diese gute Entscheidung zu treffen und nicht auf diese schlechten Praktiken zurückzugreifen.

Max Havey [00:16:54] Absolut. Und das bringt uns irgendwie zum Ende unserer Fragen hier. Rich, wenn du Sicherheitsexperten einen Ratschlag geben müsstest, wenn es um Cyber-Hygiene geht, und du weißt schon, wie du es einfach machen und diese Prozesse insgesamt verbessern solltest, um es das ganze Jahr über zu einem Gespräch zu machen, was wäre dieser Ratschlag?

Rich Davis [00:17:10] Nun, ich habe mit vielen Führungskräften gesprochen, die nicht nur für die Sicherheit zuständig sind. Und wo ich sehe, dass Unternehmen hier den besten Ansatz haben, wird dies zu einer Geschäftsinitiative. So viele Leute sehen dies als eine Sicherheitsinitiative, aber es ist eine Unternehmensinitiative. Um dies zu erreichen, ist es wichtig, die Zustimmung Ihrer Führungskräfte zu erhalten, Sponsoring zu erhalten, einen CEO zu haben, der tatsächlich ein kleines Video-Intro macht, warum dies wichtig ist, dass die Führungskräfte die Verantwortung für ihre eigenen Tools übernehmen und dabei helfen, dies an ihre Mitarbeiter weiterzugeben. Mein einziger Rat an dieser Stelle ist, dass Sie, wenn Sie dies noch nicht tun, überlegen sollten, wie Sie dies von einer Sicherheitsinitiative zu einer breiteren, breiteren Geschäftsinitiative überführen können.

Max Havey [00:17:55] Auf jeden Fall. Die Sache, die die meisten Augen auf sich ziehen wird, die die meisten Menschen dazu bringen wird, sich daran zu beteiligen. Das wird also nicht zu einem größeren Problem. Niemand möchte wegen eines Verstoßes oder irgendetwas aufgrund eines Cybersicherheitsproblems in die Schlagzeilen geraten. Es ist also letztendlich zum Wohle der gesamten Organisation, für die Sie arbeiten, diese Anstrengung zu unternehmen.

Rich Davis [00:18:11] Ja, zu 100%.

Max Havey [00:18:12] Ausgezeichnet. Nun, Rich, ich kann mir vorstellen, dass du und ich uns wahrscheinlich noch eine Stunde oder so darüber unterhalten könnten, aber ich denke, wir kommen hier zur rechten Zeit. Vielen Dank, dass Sie sich uns angeschlossen haben. Das war so ein großartiger Vortrag, und Sie hatten hier eine Menge großartiger Einblicke zu bieten.

Rich Davis [00:18:24] Max, ich muss nur sagen, dass es mir eine Freude war, heute bei dir zu sein. Ich hoffe, dass einige unserer Hörer zumindest 1 oder 2 Leckerbissen haben, 1 oder 2 Dinge, die sie aus dem heutigen Podcast mitnehmen und mit in ihre Organisation nehmen können.

Max Havey [00:18:37] Ausgezeichnet. Und Sie haben den Security Visionaries-Podcast gehört, und ich war Ihr Gastgeber, Max Havey, wenn Ihnen diese Episode gefallen hat, teilen Sie sie bitte mit einem Freund und abonnieren Sie Security Visionaries auf der Podcast-Plattform Ihrer Wahl. Dort kannst du dir unseren Backkatalog anhören und nach neuen Ausschau halten, die alle zwei Wochen erscheinen und entweder von mir oder meiner Co-Moderatorin, der wunderbaren Emily Wearmouth, moderiert werden. Wir werden euch in der nächsten Folge wiedersehen.

Abonnieren Sie die Zukunft der Sicherheitstransformation

Mit dem Absenden dieses Formulars stimmen Sie unseren Nutzungsbedingungen zu und erkennen unsere Datenschutzerklärung an.