0:00:01 Emily Wearmouth: Hallo und herzlich willkommen zu einer weiteren Ausgabe des Security Visionaries Podcasts. Hier laden wir Experten ein und befragen sie eingehend zu allen möglichen Themen, um Ihnen, unseren Zuhörern, ein besseres Verständnis von Datensicherheit, Cybersicherheit, den aktuellen Trends und Entwicklungen in unserer Welt zu vermitteln. Und mein Gast diese Woche ist ein Freund des Podcasts. Weihnachten rückt näher, deshalb laden wir alle unsere Freunde ein.
Riley,
willkommen zum Podcast. 0:00:22 Steve Riley: Danke, Emily. Schön, hier bei Ihnen zu sein.
0:00:25 Emily Wearmouth: Für die Hörer, die noch keine Folge mit Steve Riley gehört haben, bevor Steve zu uns kommt, beginne ich immer damit, wo die Karriere der Leute angefangen hat. Und Steve kommt aus dem Bereich der Systemanalyse. Ich denke, es vermittelt ein gutes Gefühl dafür, wie man an die Arbeit als Systemanalyst herangehen könnte, und zwar über viele verschiedene Technologieunternehmen, darunter auch einige Zeit als Gottner-Analyst, wo Sie vermutlich Ihre brillanten Fähigkeiten, Dinge so zu erklären, dass sie wirklich leicht verständlich sind, weiterentwickelt haben. Und jetzt, wo ich als Field CTO arbeite, habe ich alle wichtigen Punkte abgedeckt, Steve?
0:00:55 Steve Riley: Klingt gut.
0:00:57 Emily Wearmouth: Ich habe Steve heute in den Podcast eingeladen, weil ich über ein Akronym sprechen möchte, das streng genommen gegen all unsere redaktionellen Richtlinien verstößt. Wir versuchen, Abkürzungen wie die Pest zu vermeiden, aber ich denke, genau deshalb haben wir dich heute hier, Steve. Es gibt so viele Akronyme und manchmal ist es angebracht, kurz innezuhalten und darüber zu diskutieren, um sicherzustellen, dass wir alle dasselbe Verständnis davon haben. Das heutige Akronym lautet CSMA und steht für Cybersecurity Mesh Architecture. Jetzt denken sich alle: Oh je, soll ich diesen Podcast lieber überspringen? Diese Folge solltest du nicht verpassen. Das wird ein richtig guter Film. Ich verspreche Ihnen, es fängt mit einem Akronym an, aber es wird gut. Dann fang doch mal an, Steve. Was ist CSMA?
0:01:36 Steve Riley: CSMA ist eine Initiative, die versucht, Anbieter zur Zusammenarbeit zu bewegen, um ein gemeinsames Datenwörterbuch und Datenformat zu entwickeln. Dieses dient dem Austausch von Signalen und anderen Informationen über die Entscheidungen von Sicherheitstools, damit andere Tools ihre Entscheidungen später verbessern können.
0:01:58 Emily Wearmouth: Wer also wirbt für dieses Akronym? Wer sagt denn da draußen allen, dass wir das unterstützen sollten?
0:02:04 Steve Riley: Die Idee gibt es schon eine Weile, aber in letzter Zeit sehe ich den größten Teil der Bemühungen von Gartner und einem bestimmten Analysten dort – er ist übrigens ein guter Freund von mir. Wir kennen uns seit über 20 Jahren. Er hat viel darüber geschrieben. Ich glaube, er ist mittlerweile bei der dritten oder vierten Version angelangt. Und wenn er die Liste aller teilnehmenden Händler einblendet, wird sie jedes Jahr länger und länger.
0:02:28 Emily Wearmouth: Und sehen wir, dass die NISTs und andere Institutionen weltweit dies unterstützen? Oder ist es immer noch eher eine akademische Analystenperspektive auf die Welt?
0:02:39 Steve Riley: Das ist eine interessante Frage, Emily. Ich habe noch nicht nachgesehen, ob irgendwelche Regierungsbehörden darauf reagieren, aber ich kann es tun. Mir fallen spontan keine Beispiele ein. Ich schätze also
dass es sich zum jetzigen Zeitpunkt noch hauptsächlich um eine Brancheninitiative
. 0:02:54 Emily Wearmouth: Ja, ich meine, wenn es so ist, und es könnte sein, ist es nichts, worüber ich im Zusammenhang mit NIST viel gehört habe. Wir hören ständig, wie über Zero Trust gepredigt wird, aber es ist kein Thema, das ich bisher in dieser Diskussion angesprochen gehört habe. Aber wie wir gleich hören werden, hat es auch innerhalb dieses Zero-Trust-Frameworks seinen Platz, nicht wahr? Ist das also nur eine Umschreibung für eine im Wesentlichen auf mehreren Anbietern basierende Plattformlösung, oder unterscheidet sie sich wesentlich davon, wenn man einen einzelnen Anbieter für eine Plattform einsetzt, deren Komponenten bereits miteinander kompatibel sind?
0:03:29 Steve Riley: Nun, denken Sie daran, dass es so etwas wie eine Grand Unified Platform nicht gibt, und das ist etwas, worüber Netskope vielleicht schon seit ein paar Jahren spricht. Wir sehen riesige Anbieter, deren Produktportfolios größtenteils durch Zukäufe entstanden sind, und die Versprechen, diese besser zu integrieren. Doch der Abschluss der nächsten Akquisition scheint stets eine höhere Priorität zu haben. Was wir jedoch festgestellt haben, ist, dass viele Käufer von Informationssicherheitslösungen versuchen, sich von riesigen Sammlungen verschiedenster Tools – egal ob von einem oder mehreren Anbietern – abzuwenden und sich stattdessen beispielsweise diesem interessanten Set aus vier Plattformen zuzuwenden. Eine Möglichkeit wäre zum Beispiel das Identitätsmanagement, das nicht nur ein Verzeichnis umfasst, sondern auch Aspekte wie Governance und Administration, Berechtigungen und Privilegien sowie die richtige Dimensionierung. Als nächstes käme die Endpoint-Schutzplattform. Wir denken heutzutage alle an Dinge in den Wolken. Warum interessieren uns Endpunkte?
0:04:33 Steve Riley: Wir legen Wert auf Endpunkte, weil alle interessanten Ideen in menschlichen Köpfen entstehen und über menschliche Arme und Finger auf irgendein Gerät gelangen, und dieses Gerät ist die erste digitale Repräsentation dieser interessanten Information. Es verdient also weiterhin Schutz, aber diese Information will nicht dort bleiben. Es möchte sich bewegen, damit andere Menschen ihm einen Mehrwert hinzufügen oder daraus Nutzen ziehen können. Die dritte Plattform wäre also so etwas wie Netzwerktechnik, Datensicherheit, das ist unser Netzwerkbereich. Und die vierte Plattform wäre dann so etwas wie eine Bedrohungserkennungs- und Reaktionsplattform, die immer notwendig sein wird. Keine Schutzmaßnahme ist perfekt. Die Anbieter in diesen vier Bereichen arbeiten nun teils intensiver als andere daran, mit den verschiedenen anderen Plattformen und auch mit anderen Arten von Tools interoperabel zu sein. CSMA ist ein Versuch, noch mehr Werkzeuge bereitzustellen, nicht nur die vier zuvor beschriebenen Plattformen, sondern eine Vielzahl eigenständiger Werkzeuge für spezielle Anwendungsfälle, sodass alle miteinander interagieren, Informationen austauschen und kontextbezogene Signale generieren können.
0:05:45 Emily Wearmouth: Was genau meinen Sie mit Signalen im Kontext? Den Teil mit den Signalen habe ich verstanden, aber den Kontext nicht.
0:05:51 Steve Riley: Gut, wir kommen jetzt zum Zero-Trust-Aspekt dieses Gesprächs. Jetzt. Viele Anbieter haben ihre ganz eigene Interpretation von Zero Trust, und ich möchte die Gelegenheit nutzen, hier kurz die von Netscope vorzustellen.
0:06:10 Emily Wearmouth: Ich habe ihm eine Seifenkiste gegeben und er nutzt sie. Ja,
0:06:12 Steve Riley: Natürlich hast du das getan. Hast du gehört, wie ich das auf der Bühne in die Länge gezogen habe? Geröll. Okay. Und das stammt gewissermaßen aus der Arbeit, die ich und ein anderer Analyst bei Gartner geleistet haben, als wir daran arbeiteten, Gartners Position zum Thema Zero Trust zu erarbeiten. Die Überlegung ist, dass im Fleischraum, dem Fleischraum, den die Menschen bewohnen,
0:06:33 Emily Wearmouth: Entschuldigung, das ist
0:06:34 Steve Riley: Ziemlich witzig. Es war ein Cyberspace, richtig? Okay. Im realen Leben ist es also unmöglich, Vertrauen zu eliminieren. Lee, als ich zu Netskope kam, kannten wir uns noch nicht, daher bestand ein gewisses Maß an Vertrauen, weil wir alle bei Netskope arbeiteten. Mir fällt aber keine Situation ein, in der zwischen Menschen überhaupt kein Vertrauen herrscht. Aber im Laufe unserer Zusammenarbeit über die Jahre hinweg haben wir immer mehr übereinander erfahren, gemeinsam an Projekten gearbeitet, in Bars gesessen und das eine oder andere Getränk genossen. Zwischen uns herrscht also schon jetzt ein hohes Maß an Vertrauen. Das Gleiche gilt auch im Cyberspace. Das Vertrauen in digitale Systeme lässt sich nicht eliminieren. Tatsächlich findet man für diejenigen, die ausreichend motiviert sind, einige Forschungsarbeiten aus der Mitte der 1990er Jahre, die dieses Dilemma diskutieren. Und deshalb ist dieses Konzept des Null-Vertrauens einfach nur seltsam. Man kann es sich so vorstellen: Null Vertrauen herrscht zu Beginn jeder Interaktion.
0:07:28 Steve Riley: Zwei Knoten, die sich noch nie gesehen haben, müssen kein Vertrauen kommunizieren. Damit sie aber etwas Effektives tun können, wie zum Beispiel eine sinnvolle Interaktion haben, muss ein gewisses Maß an Vertrauen aufgebaut werden, das sich aus Signalen und Kontext ergibt. Nehmen wir also ein Beispiel mit zwei verschiedenen Signalen: Das eine ist der Gerätetyp, das andere eine Beschriftung auf einem Dokument. Wenn ein Gerätetyp verwaltet wird, schafft das bereits ein recht hohes Maß an Vertrauen. Zwischen diesem Gerät und beispielsweise einem internen System, das Dokumente speichert, brauchen wir vielleicht keine weiteren Signale auszuwerten. In diesem Fall hat die Person, die ein verwaltetes Gerät verwendet, vollen Zugriff auf alle Inhalte. Wenn das Gerätesignal „nicht verwaltet“ anzeigt, was bedeutet, dass es sich um ein persönliches Gerät handelt, das nicht dem Unternehmen gehört, dann betrachten wir das Label als sekundäres Signal. Wenn das Label öffentlich ist, dann könnte die Person, die dieses nicht verwaltete Gerät benutzt, trotzdem vollen Zugriff haben. Wenn das Label „privat“ ist, möchten wir den Zugriff der Person auf dieses nicht verwaltete Gerät auf „Nur lesen“ beschränken.
0:08:52 Emily Wearmouth: Das Label befindet sich also in der Datei und nicht auf dem Gerät oder dem Benutzer.
0:08:55 Steve Riley: Das ist richtig. Es ist die Kennzeichnung der Daten, die Datei der Datei. Und wenn auf dem Etikett „vertraulich“ steht, könnte die Richtlinie besagen, dass von verwalteten Geräten überhaupt kein Zugriff gestattet ist. Mit anderen Worten: Die Richtlinie besagt, dass Sie zum Arbeiten mit vertraulichen Informationen ausschließlich ein verwaltetes Gerät verwenden dürfen. Das ist die Grundlage einer guten Zero-Trust-Strategie. Es geht um die Idee, Signale kombinieren zu können, einen Kontext dazu zu schaffen und daraus genau das Folgende zu bestimmen. Es stellt sicher, dass die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen den richtigen Zugang zu den richtigen Ressourcen haben. Die fünf Rechte. Hier bei Netskope bezeichnen wir dies als kontinuierliches adaptives Vertrauen, Zero Trust. Zu Beginn wird ein gewisses Vertrauen im Laufe der Interaktion aufgebaut, wenn sich Signale wie die Bezeichnung einer Datei oder der Zustand eines Geräts ändern. Der Zugriff kann kontextbezogen angepasst werden, wenn die Signale darauf hinweisen, dass ein Gerät aus irgendeinem Grund oder in irgendeiner Weise kompromittiert sein könnte, weil der Benutzer etwas Unsicheres heruntergeladen hat. In diesem Fall kann der Zugriff eingeschränkt werden, bis die Situation behoben ist, und die Zugriffskontrolle anschließend aufgehoben werden.
0:10:13 Steve Riley: Das ist ein wesentlich effektiverer Weg, diese Strategie zu erreichen, als einfach so zu tun, als könne man Vertrauen in digitalen Systemen vollständig eliminieren. Warum das für CSMA wichtig ist, liegt darin, dass es sich zu einem der besten Mechanismen entwickelt, um einer Vielzahl von Instrumenten Signale zu senden, die wiederum einer Vielzahl anderer Instrumente zur Durchsetzung dieser Richtlinien dienen. Allerdings gibt es eine Einschränkung: Die Instrumente zur Durchsetzung der Richtlinien und das Instrument, das die benötigten Signale liefert, benötigen eine Art gemeinsame Sprache, eine gemeinsame Datendefinition und ein gemeinsames Datenformat sowie dokumentierte APIs. Diese Informationen können also ausgetauscht werden, und genau das ist das Ziel von CS MA: die Etablierung einiger dieser Standards innerhalb der Anbietergemeinschaft.
0:11:08 Emily Wearmouth: Und wie weit sind wir mit der Festlegung dieser Standards, oder müssen die einzelnen Anbieter immer noch untereinander aushandeln, wie sie die Erkenntnisse der Konkurrenz in ihre Plattformen integrieren werden?
0:11:21 Steve Riley: Nun, die Gartner-Studie dazu läuft, wie ich bereits erwähnt habe, sie befindet sich mittlerweile in der dritten oder vierten Iteration, und die Zahl der Anbieter, die Interesse bekunden, ist sehr, sehr groß. Was mir bisher noch fehlt, ist eine tatsächlich große Anzahl von Anbietern, die sich auf das standardisierte Format geeinigt haben. Ich denke also, dass die Gespräche darüber, wie diese Formate aussehen könnten, noch andauern. Bedenken Sie, dass dies viele Anbieter in Bereiche drängt, die ihnen eher unangenehm sind. In manchen Fällen handelt es sich um Konkurrenten, die herausfinden müssen, wie sie zusammenarbeiten können, damit alle ihre Käufer mehr profitieren, und ich denke, das könnte ein Teil der Reibungspunkte sein, die bei diesem Vorhaben noch bestehen. Ich sage nicht
dass es die Bemühungen behindert, und ich bin sicher, dass die Avengers mit der Zeit einen Weg finden werden
damit umzugehen, aber es besteht im Moment. 0:12:11 Emily Wearmouth: Es klingt, und ich kann die Katzenutensilien hinter Ihnen sehen, aber es klingt ein bisschen so, als ob man Katzen hüten würde, und ich frage mich, ob Gartner versucht, diese Katzen zu hüten, ob es eine weitere Instanz braucht, eine Art klar unabhängige, unparteiische Instanz, die einen Standard festlegt, an den sich dann alle halten, um eine Schwelle zu überschreiten und mit diesen Wettbewerbsantagonismen umzugehen. Was halten Sie davon?
0:12:37 Steve Riley: Ich denke, das würde funktionieren. Natürlich erinnert mich das immer an den XKCD-Cartoon, irgendwas mit Standards. Noch einer. Oh, das ist auch toll. Aber ja, ich denke, dass etwas Formalisierteres mit einem unabhängigen Gremium die Sache noch weiter voranbringen könnte. Das ist aber ein weiterer Bereich, mit dem ich mich tatsächlich noch nicht befasst habe. Es wäre daher vielleicht interessant für unsere Beobachter, dem aktuellen Stand der Ernsthaftigkeit des CSMA-Standards bei den Anbietern nachzugehen, und es gäbe möglicherweise Organisationen, die sich für die Weiterentwicklung dieser Standards einsetzen.
0:13:11 Emily Wearmouth: Und wenn Ihnen als Organisation das gefällt, klingt es gut. Es klingt so, als ob Sie viele verschiedene Anbieter in Ihrer Sicherheitsarchitektur einsetzen und sich wünschen, dass diese besser zusammenarbeiten. Du wirst also im New Jahr alles daransetzen, alle dafür zu gewinnen. Welche Ziele und Vorgaben sollten Sie sich setzen, welche Kennzahlen sollten Sie konkret verfolgen, um in 12 Monaten beurteilen zu können, ob sich die Maßnahme gelohnt hat? Welche Kennzahlen werden davon beeinflusst oder als Grundlage für Entscheidungen dienen?
0:13:40 Steve Riley: Nun, Emily, ich denke, Sie haben hier einen wichtigen Punkt angesprochen: Analysten können fantastische Aussagen über den Wert von etwas treffen, und eine unabhängige Einrichtung kann gewissermaßen darauf hinarbeiten, diese Ziele zu fördern. Aber in Wirklichkeit reagieren Verkäufer nur auf eines: Kunden, die etwas kaufen. Daher schlage ich vor, dass die Käufer von den Anbietern fordern, auf ein gemeinsames Datenformat und gemeinsame Datendefinitionen hinzuarbeiten, damit der Informationsaustausch Realität wird. Anbieter versprechen zwar gerne etwas, aber es braucht die Käufer – also diejenigen unter Ihnen, die heute hier Technologie einkaufen –, die Idee einer besseren Interoperabilität zwischen allen Anbietern, um mehr Signale für eine robustere Zero-Trust-Strategie zu schaffen. Wenn Sie zustimmen, dass dies der richtige Weg ist, teilen Sie Ihren Anbietern mit, was Sie wollen, und stellen Sie sicher
dass alle für Sie interessanten Anbieter den gleichen
neuesten Standard einhalten, der leicht verfügbar ist. 0:14:51 Steve Riley: Jeder ist ein Gartner-Kunde, also kann jeder Kunde auf diese Informationen zugreifen, und genau das muss geschehen. Was konkrete Kennzahlen angeht, würde ich sagen, dass die wichtigste Kennzahl die Präsenz in den Roadmaps und die Fähigkeit ist, nachzuweisen, dass die Bemühungen auch in der Auslieferung unserer Produkte nachweisbar sind. Gibt es mittlerweile eine API oder eine Reihe von APIs, die sich speziell auf den Informationsaustausch gemäß den sich weiterentwickelnden CSMA-Standards und -Praktiken beziehen? Wenn diese APIs vorhanden sind, dann meinen es die Anbieter ziemlich ernst. Wenn sie aber noch nicht existieren, wenn es sich nur um ein Marketingdiagramm ohne tatsächliche Umsetzung handelt, dann sollten Sie von den Anbietern fordern, diese Informationen zu veröffentlichen, einen Zeitplan für die CSMA-Kompatibilität ihrer verschiedenen Produkte und Dienstleistungen vorzugeben und vielleicht auch nach Demos zu fragen. Bitten Sie einen Anbieter Ihrer Wahl, der ein CSMA-fähiges Produkt anbietet, zu demonstrieren, dass er mit einem anderen CSMA-fähigen Anbieter Ihrer Wahl interagieren kann. Richten Sie auf Kosten des Anbieters ein kleines Testlabor ein, um sich selbst ein Bild zu machen und anschließend zu planen, wie Sie die restliche Organisation weiter voranbringen können.
0:16:14 Emily Wearmouth: Ich hatte das Gefühl, ich würde Steve, den Aktivisten, dabei beobachten, wie er herauskommt und sagt: Du wirst Plakate herausholen und alle werden dazu ermutigt, mit dir zu marschieren und bestimmte Forderungen zu stellen. Das war wirklich aufregend mitzuerleben. Ich werde die Frage nun etwas umdrehen. Sie wollen, dass diese Leute ihre Plakate nehmen, auf die Straße gehen und diese Fragen ihren Händlern stellen. Warum sollten sie das tun? Geht es darum, ihre Sicherheitslage zu verbessern? Geht es darum, Effizienzsteigerungen innerhalb ihrer Teams zu erzielen? Wird es sie letztendlich weniger kosten? Werden sie weniger Geld bei ihren Lieferanten ausgeben? Welche organisatorischen Vorteile ergeben sich aus der Existenz dieser schönen Zukunftswelt?
0:16:47 Steve Riley: Nun, die Cybersecurity-Mesh-Architektur trägt definitiv dazu bei, die Informationssicherheit zu verbessern und Risiken zu reduzieren, all diese damit verbundenen Dinge, einfach weil dieser Informationsaustausch es den Einsatzkräften und politischen Entscheidungsträgern ermöglicht, und wenn ich politische Entscheidungsträger sage, meine ich nicht die Politik. Ich meine die Leute, die an der Konsole sitzen und Richtlinien verfassen. Es ermöglicht beiden Teams, ihre Aufgaben effektiver zu erfüllen. Je mehr Signale ich in all meine Richtlinien einbauen kann, desto besser kann ich sie so gestalten, dass sie auf die vielfältigen auftretenden Probleme reagieren. Je mehr Informationen diese Tools zur Bedrohungserkennung und -abwehr über die spezifische Art eines Ereignisses erhalten, desto besser können die Tools Ereignisse zu Vorfällen zusammenfassen. Das sind die Dinge, auf die Einsatzkräfte tatsächlich reagieren müssen. Das wird letztendlich für alle besser sein. Für Käufer von Technologieprodukten wird es besser sein. Für Technologieanbieter ist das von Vorteil, denn anstatt kleine Partnerschaften zwischen zwei oder drei anderen Unternehmen zu schmieden, bietet es ihnen mehr Möglichkeiten, mit mehr anderen Anbietern in Kontakt zu treten, was wiederum die Auswahlmöglichkeiten für die Käufer verbessert, richtig? Wenn Plattform A und Plattform B sehr gut zusammenarbeiten, Plattform A und Plattform C aber nicht so gut, und wenn jemand Plattform C sehr mag, diese aber nicht mit der bereits vorhandenen Plattform A kompatibel ist, was tut man dann? Entscheiden Sie sich für Plattform C, die alle gewünschten Funktionen bietet, aber weniger Interoperabilität aufweist? Oder entscheiden Sie sich für Plattform B, die zwar möglicherweise nicht alle gewünschten Funktionen bietet, aber eine hervorragende Interoperabilität aufweist? Ich würde die Leute tatsächlich dazu ermutigen, Interoperabilität an diesem Punkt gegenüber Funktionen zu priorisieren,
0:18:44 Emily Wearmouth: Stimmt's?
0:18:45 Steve Riley: Einfach weil, wenn man Funktionen und weniger Interoperabilität priorisiert, das nicht viel anders ist als vor 10 Jahren, als wir 76 Tools hatten, die überhaupt nicht funktionierten, richtig? Indem man also der Interoperabilität Priorität einräumt, erreicht man genau das. Das hast du verstanden. Sie sind dem Nirvana einer kontinuierlichen, adaptiven Vertrauensstrategie, die auf Signalen und Kontext basiert, schon näher gekommen. Wir brauchen also unsere Lieferanten, die diesen Weg weitergehen, damit Käufer die beste Auswahl haben und keine Kompromisse eingehen müssen.
0:19:15 Emily Wearmouth: Und wer, falls überhaupt jemand anderer Meinung ist? Sie haben also gesagt, dass Gartner diese Massenproteste quasi anführt und Sie mit einer Glocke an der Spitze stehen, und ich bin sicher, dass Sie sagen, dass dies eine großartige Sache ist. Gibt es jemanden, der einen anderen Ansatz für dasselbe Ziel vorschlägt? Oder gibt es irgendjemanden, der sich diesen Integrationen widersetzt? Gibt es irgendeinen Widerstand oder ist es einfach nur so, dass es etwas Arbeit bedeutet, und das ist der größte Widerstand?
0:19:40 Steve Riley: Der Widerstand ist die Arbeit. Der Widerstand besteht darin, dass man befürchtet, einen Wettbewerbsvorteil zu verlieren, wenn man eine API hat, über die jemand anderes meine Systeme manipulieren oder meine Richtlinien ändern kann, weil die Person sich dann möglicherweise nicht mehr in meine Konsole einloggen und mein Logo acht Stunden am Tag sehen kann. Ich glaube, dass alle Gründe, die Leute vorschieben, um nicht an CSMA teilnehmen zu wollen, absolut nichts mit der Unterstützung ihrer Kunden zu tun haben, sondern eher mit deren Besorgnis. Vielleicht ist es so, als würde man sich Sorgen um Verwässerung oder Ähnliches machen, aber wir leben in einer Welt mit zunehmenden Spaltungen, Misstrauen und Argwohn. Es ist voll von Organisationen und Institutionen, die sich scheinbar nur noch um ihr eigenes Überleben kümmern und immer weniger darum, in einer blühenden Welt zu leben. Das mag für eine Diskussion über CSMA etwas hochtrabend klingen, aber wenn CSMA dem etwas entgegensetzen und Zusammenarbeit fördern und deren Wert aufzeigen kann, dann könnte das vielleicht ein kleiner Schritt sein, um die – ich weiß nicht – Wut, die derzeit in unserer Welt herrscht, etwas zu lindern.
0:20:54 Emily Wearmouth: Das gefällt mir. Mir gefällt vor allem die Energie. Du hast mich erwischt. Ich werde später auf jeden Fall ein Plakat aufhängen, um irgendetwas zu verkünden. Du bist gekommen, du bist heute mit guter Energie gekommen, Steve,
0:21:05 Steve Riley: Emily, ich war früher aer. Früher war ich ein Zweifler. Ich erinnere mich
als ich das
ersten Mal sah, dachte ich: Keiner dieser Läden wird jemals öffnen. 0:21:12 Emily Wearmouth: Ich weiß, als ich das zum ersten Mal mit dir ansprach, hast du gesagt: Nein, ich habe eine ganze SMS-Konversation, in der du sagst: Nein, Emily, das wird nicht passieren. Das ist zu viel Arbeit. Niemand hat ein persönliches Interesse daran. Du bist wie ein New Mensch. Was hat sich geändert?
0:21:23 Steve Riley: Ja. Was sich geändert hat, ist mein Kumpel, der die Recherchen verfasst hat; er hat Durchhaltevermögen bewiesen und die Liste der Anbieter immer länger werden lassen. Er glaubt daran. Ich vertraue ihm, und er hat mich
überzeugt
dass sich diese Anstrengung lohnt. 0:21:42 Emily Wearmouth: Möchten Sie seinen Namen überprüfen?
0:21:45 Steve Riley: Patrick Hevesi.
0:21:46 Emily Wearmouth: So, jetzt geht's los. Patrick. Steve steht voll und ganz hinter dir. Und sehen Sie, letzte Frage? Beobachten Sie Integrationen vom Typ CSMA, die möglicherweise unter der Marke eines einzelnen Anbieters stattfinden? Geschieht das alles eher langsam von den einzelnen Anbietern und wird es dann quasi zu einem Produkt?
0:22:05 Steve Riley: Ja, nehmen wir NES UPP als Beispiel. Wir haben da so ein Ding namens Cloud Exchange, das aus vier weiteren Komponenten besteht. Jeder NES UPP-Kunde kann dies in Anspruch nehmen. Es ist kostenlos und manifestiert sich in einer Reihe von APIs mit einem dokumentierten Datenformat und Datenwörterbuch. Stimmt es aktuell mit CSMA überein? Nein, aber es ist ein Bestreben, das unseren Wunsch zeigt, mehr Tools zu integrieren, die unsere Kunden erworben haben, und es wäre für uns nicht allzu schwierig, die sich weiterentwickelnden CSMA-Standards in unsere bestehenden Prozesse zu integrieren. Das könnte also durchaus der Fall sein. Emily, und das ist ein guter Punkt: Einige Anbieter bewegen sich in diese Richtung, aber wie du schon sagtest, geschieht das unter einem anderen Markennamen. Ich denke
das ist vielleicht so etwas wie ein Übergangsansatz
bis die Standards ausgereifter sind. 0:23:02 Emily Wearmouth: Interessant. Genial. Ich habe versprochen, dass die Leute sich nicht langweilen würden, und ich denke, abgesehen von diesem einen Akronym haben wir auch alle anderen vermieden. Ich denke also, Sie haben die eine sehr gut erklärt, ohne eine weitere Sieben in die Erklärung einzubauen.
0:23:16 Steve Riley: Vielen Dank.
0:23:17 Emily Wearmouth: Vielen Dank, dass Sie heute bei uns waren. Danke, dass Sie das für alle etwas verständlicher gemacht haben.
0:23:21 Steve Riley: Ja, gern geschehen.
0:23:22 Emily Wearmouth: Sie haben den Security Visionaries Podcast gehört, und ich war Ihre Gastgeberin, Emily Wearmouth. Wenn Ihnen diese Folge gefallen hat, stöbern Sie doch mal in unserem Archiv und hören Sie sich einige der anderen Folgen an, in denen Steve zu Gast war und uns unterstützt hat, um die Dinge ein wenig zu verdeutlichen. Und ich weiß, dass wir tatsächlich noch einen haben. Wir nehmen diese Woche gleich zwei Folgen am Stück auf. Wenn euch diese Folge gefallen hat, folgt gleich die nächste. Ein weiteres Akronym erklärt und etwas verständlicher gemacht. Wenn Sie möchten, vielen Dank fürs Mitmachen und bis zum nächsten Mal.
){kind=icon}
