Die Zukunft von Zero Trust und SASE ist jetzt! On-Demand ansehen

Schließen
Schließen
  • Warum Netskope? Chevron

    Verändern Sie die Art und Weise, wie Netzwerke und Sicherheit zusammenarbeiten.

  • Unsere Kunden Chevron

    Netskope bedient mehr als 3.000 Kunden weltweit, darunter mehr als 25 der Fortune 100

  • Unsere Partner Chevron

    Unsere Partnerschaften helfen Ihnen, Ihren Weg in die Cloud zu sichern.

Am besten in der Ausführung. Am besten in Sachen Vision.

Im 2023 Gartner® Magic Quadrant™ für SSE wurde Netskope als führender Anbieter ausgezeichnet.

Report abrufen
Im 2023 Gartner® Magic Quadrant™ für SSE wurde Netskope als führender Anbieter ausgezeichnet.
Wir helfen unseren Kunden, auf alles vorbereitet zu sein

See our customers
Lächelnde Frau mit Brille schaut aus dem Fenster
Die partnerorientierte Markteinführungsstrategie von Netskope ermöglicht es unseren Partnern, ihr Wachstum und ihre Rentabilität zu maximieren und gleichzeitig die Unternehmenssicherheit an neue Anforderungen anzupassen.

Erfahren Sie mehr über Netskope-Partner
Gruppe junger, lächelnder Berufstätiger mit unterschiedlicher Herkunft
Ihr Netzwerk von morgen

Planen Sie Ihren Weg zu einem schnelleren, sichereren und widerstandsfähigeren Netzwerk, das auf die von Ihnen unterstützten Anwendungen und Benutzer zugeschnitten ist.

Whitepaper lesen
Ihr Netzwerk von morgen
Introducing the Netskope One Platform

Netskope One is a cloud-native platform that offers converged security and networking services to enable your SASE and zero trust transformation.

Erfahren Sie mehr über Netskope One
Abstract with blue lighting
Nutzen Sie eine Secure Access Service Edge (SASE)-Architektur

Netskope NewEdge ist die weltweit größte und leistungsstärkste private Sicherheits-Cloud und bietet Kunden eine beispiellose Serviceabdeckung, Leistung und Ausfallsicherheit.

Mehr über NewEdge erfahren
NewEdge
Netskope Cloud Exchange

Cloud Exchange (CE) von Netskope gibt Ihren Kunden leistungsstarke Integrationstools an die Hand, mit denen sie in jeden Aspekt ihres Sicherheitsstatus investieren können.

Erfahren Sie mehr über Cloud Exchange
Netskope-Video
  • Edge-Produkte von Security Service Chevron

    Schützen Sie sich vor fortgeschrittenen und cloudfähigen Bedrohungen und schützen Sie Daten über alle Vektoren hinweg.

  • Borderless SD-WAN Chevron

    Stellen Sie selbstbewusst sicheren, leistungsstarken Zugriff auf jeden Remote-Benutzer, jedes Gerät, jeden Standort und jede Cloud bereit.

  • Secure Access Service Edge Chevron

    Netskope SASE bietet eine Cloud-native, vollständig konvergente SASE-Lösung von einem einzigen Anbieter.

Die Plattform der Zukunft heißt Netskope

Intelligent Security Service Edge (SSE), Cloud Access Security Broker (CASB), Cloud Firewall, Next Generation Secure Web Gateway (SWG) und Private Access for ZTNA sind nativ in einer einzigen Lösung integriert, um jedes Unternehmen auf seinem Weg zum Secure Access Service zu unterstützen Edge (SASE)-Architektur.

Netskope Produktübersicht
Netskope-Video
Next Gen SASE Branch ist hybrid – verbunden, sicher und automatisiert

Netskope Next Gen SASE Branch vereint kontextsensitives SASE Fabric, Zero-Trust Hybrid Security und SkopeAI-Powered Cloud Orchestrator in einem einheitlichen Cloud-Angebot und führt so zu einem vollständig modernisierten Branch-Erlebnis für das grenzenlose Unternehmen.

Erfahren Sie mehr über Next Gen SASE Branch
Menschen im Großraumbüro
Entwerfen einer SASE-Architektur für Dummies

Holen Sie sich Ihr kostenloses Exemplar des einzigen Leitfadens zum SASE-Design, den Sie jemals benötigen werden.

Jetzt das E-Book lesen
Steigen Sie auf marktführende Cloud-Security Service mit minimaler Latenz und hoher Zuverlässigkeit um.

Mehr über NewEdge erfahren
Beleuchtete Schnellstraße mit Serpentinen durch die Berge
Ermöglichen Sie die sichere Nutzung generativer KI-Anwendungen mit Anwendungszugriffskontrolle, Benutzercoaching in Echtzeit und erstklassigem Datenschutz.

Erfahren Sie, wie wir den Einsatz generativer KI sichern
ChatGPT und Generative AI sicher aktivieren
Zero-Trust-Lösungen für SSE- und SASE-Deployments

Erfahren Sie mehr über Zero Trust
Bootsfahrt auf dem offenen Meer
Netskope erhält die FedRAMP High Authorization

Wählen Sie Netskope GovCloud, um die Transformation Ihrer Agentur zu beschleunigen.

Erfahren Sie mehr über Netskope GovCloud
Netskope GovCloud
  • Ressourcen Chevron

    Erfahren Sie mehr darüber, wie Netskope Ihnen helfen kann, Ihre Reise in die Cloud zu sichern.

  • Blog Chevron

    Learn how Netskope enables security and networking transformation through security service edge (SSE)

  • Events and Workshops Chevron

    Bleiben Sie den neuesten Sicherheitstrends immer einen Schritt voraus und tauschen Sie sich mit Gleichgesinnten aus

  • Security Defined Chevron

    Finden Sie alles was Sie wissen müssen in unserer Cybersicherheits-Enzyklopädie.

Security Visionaries Podcast

Wahlen, Desinformation und Sicherheit
Diese Folge wirft einen Blick auf Aspekte der Wahlsicherheit rund um die Wählerregistrierung und die physischen Kontrollen in den Wahllokalen.

Podcast abspielen
Blog: Wahlen, Desinformation und Sicherheit
Neueste Blogs

Read how Netskope can enable the Zero Trust and SASE journey through security service edge (SSE) capabilities.

Den Blog lesen
Sonnenaufgang und bewölkter Himmel
SASE Week 2023: Ihre SASE-Reise beginnt jetzt!

Wiederholungssitzungen der vierten jährlichen SASE Week.

Entdecken Sie Sitzungen
SASE Week 2023
Was ist Security Service Edge?

Entdecken Sie die Sicherheitselemente von SASE, die Zukunft des Netzwerks und der Security in der Cloud.

Erfahren Sie mehr über Security Service Edge
Kreisverkehr mit vier Straßen
  • Unternehmen Chevron

    Wir helfen Ihnen, den Herausforderungen der Cloud-, Daten- und Netzwerksicherheit einen Schritt voraus zu sein.

  • Leadership Chevron

    Unser Leadership-Team ist fest entschlossen, alles zu tun, was nötig ist, damit unsere Kunden erfolgreich sind.

  • Kundenlösungen Chevron

    Wir sind für Sie da, stehen Ihnen bei jedem Schritt zur Seite und sorgen für Ihren Erfolg mit Netskope.

  • Schulung und Zertifizierung Chevron

    Netskope-Schulungen helfen Ihnen ein Experte für Cloud-Sicherheit zu werden.

Unterstützung der Nachhaltigkeit durch Datensicherheit

Netskope ist stolz darauf, an Vision 2045 teilzunehmen: einer Initiative, die darauf abzielt, das Bewusstsein für die Rolle der Privatwirtschaft bei der Nachhaltigkeit zu schärfen.

Finde mehr heraus
Unterstützung der Nachhaltigkeit durch Datensicherheit
Denker, Architekten, Träumer, Innovatoren. Gemeinsam liefern wir hochmoderne Cloud-Sicherheitslösungen, die unseren Kunden helfen, ihre Daten und Mitarbeiter zu schützen.

Lernen Sie unser Team kennen
Gruppe von Wanderern erklimmt einen verschneiten Berg
Das talentierte und erfahrene Professional Services-Team von Netskope bietet einen präskriptiven Ansatz für Ihre erfolgreiche Implementierung.

Erfahren Sie mehr über professionelle Dienstleistungen
Netskope Professional Services
Mit Netskope-Schulungen können Sie Ihre digitale Transformation absichern und das Beste aus Ihrer Cloud, dem Web und Ihren privaten Anwendungen machen.

Erfahren Sie mehr über Schulungen und Zertifizierungen
Gruppe junger Berufstätiger bei der Arbeit
Miniaturansicht des Beitrags

Dies ist die zweite Hälfte einer zweiteiligen Diskussion über die Prinzipien der Sicherheitstransformation. Zu Jason und Erick gesellen sich in dieser Hälfte die Kollegen James Christiansen, Vizepräsident für Cloud Security Transformation bei Netskope, James Robinson, stellvertretender Chief Information Security Officer bei Netskope, und Lamont Orange, Chief Information Security Officer bei Netskope. Die folgende Diskussion und der Security Visionaries-Podcast sind Teil des Security Transformation Playbook, einer Reihe neuer Ressourcen von Netskope und einigen der zukunftsorientiertesten Führungskräfte der Branche, die die wichtigsten Sicherheitsthemen von heute untersuchen.

Um ein Innovator und eine Führungspersönlichkeit zu sein, muss man den Status quo immer wieder in Frage stellen. Man muss die Gedanken von gestern immer wieder hinterfragen

–James Christiansen, Vizepräsident für Cloud Security Transformation bei Netskope
James Christiansen

 

Zeitstempel

*(2:05) – Festlegung des Themas für den 2
die Hälfte der Diskussion und Einführungen
*(5:00) – Prinzip Eins
*(7:29) – Prinzip Zwei
*(10:54) – Prinzip Drei
*(15:05) – Prinzip vier
*(18:50) – Prinzip Fünf
*(21:55) – Prinzip Sechs
*(27:50) – Prinzip Sieben
*(29:34) – Prinzip Acht
*(37:16) – Prinzip Neun
*(41:09) – Prinzip Zehn

 

Andere Möglichkeiten zum Zuhören:

grünes plus

In dieser Folge

Erick Rudiak
SVP und Chief Technology Officer von Northwestern Mutual

Chevron

Erick Rudiak

Erick Rudiak ist der derzeitige SVP und Chief Technology Officer von Northwestern Mutual. Zuvor war er CISO für Express Scripts und Hewitt Associates. Außerdem ist Erick ein vertrauenswürdiger Berater für CEOs, Vorstände, Exekutivkomitees, CIOs, CTOs, CPOs und GCs. Mit über zwanzig Jahren Erfahrung in der Leitung leistungsstarker technischer und nichttechnischer Teams kann er auf eine unglaublich starke Erfolgsbilanz bei der Gewinnung und Entwicklung von Top-Talenten für den Erfolg in Führungspositionen zurückblicken.

James Christiansen
Vizepräsident für Cloud Security Transformation bei Netskope

Chevron

James Christiansen

Netskopes Vizepräsident für Cloud Security Transformation und Leiter des Global Chief Strategy Office. Er konzentriert sich darauf, den weltweiten Kunden von Netskope ein besseres Verständnis für die Herausforderungen und Lösungen von Cloud-Implementierungen zu vermitteln, indem er dazu beiträgt, die Vordenkerrolle bei der Cloud-Sicherheitstransformation voranzutreiben.

Lamont-Orange
Chief Information Security Officer

Chevron

Lamont Orange

Lamont Orange verfügt über mehr als 20 Jahre Erfahrung in der Informationssicherheitsbranche. Zuvor war er als Vice President für Unternehmenssicherheit bei Charter Communications (jetzt Spectrum) und als Senior Manager für die Sicherheits- und Technologiedienstleistungen bei Ernst & Young tätig. Vor seinem Wechsel zu Netskope war Orange CISO bei Vista Equity Partners/Vista Consulting Group. Dort war er für das Management der Cybersicherheitsprogramme und die Entwicklung von Cybersicherheitsfachkräften innerhalb des Vista-Portfolios verantwortlich, das mehr als 50 Unternehmen umfasste. Bevor er zu Vista kam, arbeitete Orange als Information Security Officer bei Websense. In dieser Funktion war er mit der Entwicklung, Pflege und Bekanntmachung des internen Sicherheitsprogramms des Unternehmens betraut.  Außerdem war er für die Zusammenarbeit mit aktuellen und potenziellen Kunden und die Demonstration der Sicherheit der Lösungen und deren Anbindung an das gesamte Sicherheitsökosystem zuständig.

James Robinson
Stellvertretender CISO bei Netskope

Chevron

James Robinson

James ist ein erfahrener Fachmann mit fast 20 Jahren Erfahrung in den Bereichen Sicherheitstechnik, Architektur und Strategie. Er entwickelt und liefert ein umfassendes Paket strategischer Dienstleistungen und Lösungen, die Führungskräften dabei helfen, ihre Sicherheitsstrategien durch Innovation zu ändern.

Jason Clark
Chief Strategy and Marketing Officer bei Netskope

Chevron

Jason Clark

Jason bringt jahrzehntelange Erfahrung im Aufbau und der Ausführung erfolgreicher strategischer Sicherheitsprogramme zu Netskope ein.

Zuvor war er Chief Security and Strategy Officer bei Optiv und entwickelte eine umfassende Suite von Lösungen, um CXO-Führungskräften dabei zu helfen, ihre Sicherheitsstrategien zu verbessern und die Ausrichtung dieser Strategien an das Unternehmen zu beschleunigen. Vor seiner Zeit bei Optiv hatte Clark eine Führungsposition bei Websense inne, wo er die Transformation des Unternehmens zu einem Anbieter kritischer Technologie für Chief Information Security Officers (CISOs) maßgeblich vorangetrieben hat. In einer früheren Funktion als CISO und Vizepräsident für Infrastruktur bei Emerson Electric verringerte Clark das Risiko des Unternehmens erheblich, indem er ein erfolgreiches Sicherheitsprogramm für 140.000 Mitarbeiter an 1.500 Standorten entwickelte und umsetzte. Zuvor war er CISO für die New York Times und hatte Sicherheitsführungs- und technische Funktionen bei EverBank, BB&T und der US-Armee inne.

Erick Rudiak

Erick Rudiak ist der derzeitige SVP und Chief Technology Officer von Northwestern Mutual. Zuvor war er CISO für Express Scripts und Hewitt Associates. Außerdem ist Erick ein vertrauenswürdiger Berater für CEOs, Vorstände, Exekutivkomitees, CIOs, CTOs, CPOs und GCs. Mit über zwanzig Jahren Erfahrung in der Leitung leistungsstarker technischer und nichttechnischer Teams kann er auf eine unglaublich starke Erfolgsbilanz bei der Gewinnung und Entwicklung von Top-Talenten für den Erfolg in Führungspositionen zurückblicken.

James Christiansen

Netskopes Vizepräsident für Cloud Security Transformation und Leiter des Global Chief Strategy Office. Er konzentriert sich darauf, den weltweiten Kunden von Netskope ein besseres Verständnis für die Herausforderungen und Lösungen von Cloud-Implementierungen zu vermitteln, indem er dazu beiträgt, die Vordenkerrolle bei der Cloud-Sicherheitstransformation voranzutreiben.

Lamont Orange

Lamont Orange verfügt über mehr als 20 Jahre Erfahrung in der Informationssicherheitsbranche. Zuvor war er als Vice President für Unternehmenssicherheit bei Charter Communications (jetzt Spectrum) und als Senior Manager für die Sicherheits- und Technologiedienstleistungen bei Ernst & Young tätig. Vor seinem Wechsel zu Netskope war Orange CISO bei Vista Equity Partners/Vista Consulting Group. Dort war er für das Management der Cybersicherheitsprogramme und die Entwicklung von Cybersicherheitsfachkräften innerhalb des Vista-Portfolios verantwortlich, das mehr als 50 Unternehmen umfasste. Bevor er zu Vista kam, arbeitete Orange als Information Security Officer bei Websense. In dieser Funktion war er mit der Entwicklung, Pflege und Bekanntmachung des internen Sicherheitsprogramms des Unternehmens betraut.  Außerdem war er für die Zusammenarbeit mit aktuellen und potenziellen Kunden und die Demonstration der Sicherheit der Lösungen und deren Anbindung an das gesamte Sicherheitsökosystem zuständig.

James Robinson

James ist ein erfahrener Fachmann mit fast 20 Jahren Erfahrung in den Bereichen Sicherheitstechnik, Architektur und Strategie. Er entwickelt und liefert ein umfassendes Paket strategischer Dienstleistungen und Lösungen, die Führungskräften dabei helfen, ihre Sicherheitsstrategien durch Innovation zu ändern.

Jason Clark

Jason bringt jahrzehntelange Erfahrung im Aufbau und der Ausführung erfolgreicher strategischer Sicherheitsprogramme zu Netskope ein.

Zuvor war er Chief Security and Strategy Officer bei Optiv und entwickelte eine umfassende Suite von Lösungen, um CXO-Führungskräften dabei zu helfen, ihre Sicherheitsstrategien zu verbessern und die Ausrichtung dieser Strategien an das Unternehmen zu beschleunigen. Vor seiner Zeit bei Optiv hatte Clark eine Führungsposition bei Websense inne, wo er die Transformation des Unternehmens zu einem Anbieter kritischer Technologie für Chief Information Security Officers (CISOs) maßgeblich vorangetrieben hat. In einer früheren Funktion als CISO und Vizepräsident für Infrastruktur bei Emerson Electric verringerte Clark das Risiko des Unternehmens erheblich, indem er ein erfolgreiches Sicherheitsprogramm für 140.000 Mitarbeiter an 1.500 Standorten entwickelte und umsetzte. Zuvor war er CISO für die New York Times und hatte Sicherheitsführungs- und technische Funktionen bei EverBank, BB&T und der US-Armee inne.

Episodentranskript

Offen für Transkription

[00:00:00] James Christiansen: I mean, I think you have to be an innovator to be a leader. You have to keep challenging the status quo. You have to keep challenging yesterday's thoughts. That's what we really did when we sat down as a team started listening to our colleagues and taking that input along with their own cost to really develop out these principles, challenging the way we've been doing things and really thinking about, how does this digitalization is changing us and our organization.

[00:00:34] Producer:Hello, and welcome to security visionaries hosted by Jason Clark, chief security officer and chief strategy officer at Netskope. You just heard from James Christianson, the vice president, chief information security officer at Netskope on this show. You'll hear from world-class practitioners and thought leaders like James on how they stay on top of the game in networking and cloud security. You're about to listen to the second half of a two-part discussion on the principles of security transformation. In this half, Jason and Erick are joined by colleagues, James Christianson, the Vice President, Chief Information Security Officer at Netskope. James Robinson, deputy chief information security officer at Netskope and Lamont Orange, Chief Information Security Officer at Netskope. The following discussion and the security visionaries podcast are part of the security transformation playbook, a set of new resources from Netskope and some of the industry's most forward thinking leaders examining the most important issues in security today, before we dive in, here's a brief word from our sponsors.

[00:01:38] Sponsor: The Security Visionaries podcast is powered by the team at Netskope. Netskope is the SASE leader. Offering everything you need to provide a fast data centric and cloud smart user experience at the speed of business today. Learn more at netskope.com

[00:01:57] Producer: without further ado, please enjoy episode two of security visionaries with your host, Jason Clark.

[00:02:05] Jason Clark: In the last episode, Erick and I talked about the genesis for the security transformation project and explained that there are several principles for the future that we should work on, right. 10 principles that we're going to do a deep dive on specifically today. And so I'm joined first by Erick, Rudiak, Erick, how are you?

[00:02:24] Erickk Rudiak: Hi Jason. Glad to be back. Thank you so much for having me on.

[00:02:29] Jason Clark: Happy to have you. And Lamont Orange.

[00:02:31] Lamont Orange: Hey Jason, thanks for having me on the show. I look forward to the conversation.

[00:02:36] Jason Clark: And James Robinson.

James Robinson: Hey, happy to be here. Thanks.

Jason Clark: And James Christiansen.

James Christiansen: Let’s rock and roll!

Jason Clark: So guys, welcome. Welcome to the conversation. How you guys doing? Are you ready?

James Robinson: I'm ready. Let's do it.

Jason Clark: Awesome. Lamont, I know that you, uh, this morning had to, uh, you already were on stage on a panel conversation. You had to race to this conversation. So thank you for that, but it's gonna, it's probably easy and nice to do back to back.

[00:03:06] Lamont Orange: Definitely. So my pleasure.

[00:03:09] Jason Clark: So we altogether, you know, over the last couple of years had worked on. Really with the industry, right. Spending time on, you know, hundreds of, of round table dinners and, and workshops and, you know, surveys and one-on-one conversations, right. Trying to collect. What is the future of security look like? And in this new world, Kind of digital transformation is just happening period. Right. For every organization. And security is kind of in this upside down world where we're trying to, you know, security teams are being stretched beyond belief. Right. And, and trying to keep up. So how are they going to be able to perform and gain leverage. In this new model, right? Cause they're obviously stressed and, um, they're looking at the legacy technology architectures and, and in the end, kind of these, these past ways that we've done stuff for the last 25 years, that we've all been working in this industry or more, we spent time together on 10 principles for the future. Right. And then obviously the rest of the security transformation playbook as part of, what does, if I need to get to by 20, 25 and beyond. So, you know, all of you have helped tremendous amount in this, right? And so just look for each of you to, to give, you know, your context to each principle, as we talk to them and experiences that you've had in these conversations, when these, you know, I'd say over, gosh, probably well over a thousand CISOs and CIO conversations that we. On this. Right. But also in your experiences as CISOs in any, you know, past lives as, as operating other organizations, as CISOs write about the past, moving to the future. So with that, you know, I'm going to start off with the principle one, right? Principle one is challenge all your existing principals, right? So what, what principles do you believe needs to be challenged from the past?

[00:05:04] James Christiansen: Yeah, you know, I really am. I always challenge everything. I think every day. I mean, I think you have to be an innovator to be a leader. You have to keep challenging status quo. You have to keep challenging yesterday's thoughts. And I think that's what we really did when we sat down. And as a team started listening to our colleagues and taking that input along with our own thoughts to really develop out these principles, it was really about challenging status quo. It's about challenging the way we've been doing things and really thinking about how business digitalization is changing us and our organizations, and certainly the, the quick movement to work from anywhere and what that's doing to the things we have to do as we look for.

[00:05:51] Jason Clark: What about the principle of, if it's not broke, don't fix it.

[00:05:54] James Christiansen: Yeah. I don't know. I've always been really good at breaking things, so I'm not the right guy to ask.

[00:06:00] Lamont Orange: And when you look at digital transformation, honestly, you're probably sanded. It's already broken. From how you want to move the organization forward so that, that you have to say that it is broken already, and it does need fixing because we're still having an escalated amount of attacks from attackers. They’re still being successful and are being successful at a high velocity rate. So we must come back to, it's already broken. Now it's how do we plant a seed and move forward?

[00:06:32] Jason Clark: So James, you’re a product security and application, you know, expert. And in my view, right, you've been doing it for a very long time for very large organizations. Well, how are the principals changed? From an app sec or product security or software pipeline standpoint.

[00:06:50] James Robinson: Yeah, one, the one that came to mind that, uh, I think it also got looped into a different principle was that trust, but verify that was one that for a long, long, long time we relied on the all through out the product security AppSec domain. And I think that now that really gets challenged a lot. That's one that was actually a very comfortable principle. Um, and one that, that I've relied on for many, many years that now it just totally gets broken, totally gets challenged and know that there's a lot of conversations about zero trust principles and it having its own. But it's really the zero trust architectures

[00:07:24] Jason Clark: That’s a good point. Trust, but verify has changed into zero trust. Right? That's that's a very good point. So principle two. Stop buying black box solutions and buy open and integrated. So I'd like to kind of say that in general vendors have bought a lot or technology companies, right, they’ve bought a lot of companies and integrated them, or they claim to integrate them. But generally the integration is a price list and the sales person selling to you. So overall, what's your guys' view on how the, how the industry needs to change in the way that we procure technologies?

[00:07:59] James Robinson: I'm jumping on this one first, because this, this was actually one that I saw that I've been talking internally a lot with Lamont about. Um, and it's that idea. I love the idea of open, you know, open NDR, open XDR, open cloud. Yeah, those, those types of things, we have to be able to, you know, make that almost requirement number one. In many ways, you know, we know the sum of many things is better than the sum of One, if you buy the black box, that's what you're getting is that sum of one, or maybe a sum of a few, um, and you have to, you know, build that intelligence by being open. That's really where it comes into. I'm a huge believer you'll out of, uh, out of some of them, you know, I know we've only talked about two, but right now this one is a probably ranked higher for me then principle one that we, that we talked about with challenge, everything, right? This one is, you know, this one is, is core. I think for us to be able to succeed with the future,

[00:08:54] James Christiansen: You know, I'm Jason I've bought best of breed products a lot through my career. You know, we, we very much went after with, uh, very aggressive companies like these, uh, that I was working for, you know, but today's world, you know, I have to look at best of breed platforms. I just can't afford the manpower it takes to manage all these different solutions. And the complexity it's brought to the organization, you know, just leads to human errors, leads to patches, not getting applied versions, not getting updated. So I've really had to move away and my thought process away from best of breed and started looking at best of breed platforms. Now, what can give me the best tightest integration, like you said, in your opening conversation, it can't be somebody with a lot of skew numbers, it has to be a truly integrated platform to solve the real problems.

[00:09:50] Jason Clark: So Erick, any thoughts from you on open and integrated? Why every solution we buy from this point forward, it should be more part of the ecosystem versus being the black boxes of kind of that we procured in the past.

[00:10:03] Erick Rudiak: Yeah. Great question, Jason. So like when I think about open and integrated and why it's so important, our systems are so interconnected. If there's no API to create visibility, like the complexity and interconnectedness of our systems kind of demands that signal from one defensive system, uh, be available to others so that they can orchestrate a response nearest to where the attacker is, and also so that a coherent user experience results. Um, and it becomes very, you know, both, uh, difficult for defenders to manage that. And candidly creates a drain and demands a level of complexity to weave those systems together that open an integrated, uh, is just a superior pattern for them.

[00:10:51] Jason Clark: Brilliant answer. Love it. So principle three is focused on foundational technologies that integrate with your entire security ecosystem. So I'll start with Lamont, you know, you've had the opportunity to build a Greenfield security program. What does that, you know, when, when you look at that right. What was the first stack that you built? What were the five core kind of foundational technologies that were part of this Greenfield infrastructure?

[00:11:16] Lamont Orange: So I think that's a very important question because when you talk about the transformation that security must go through you, you have to look at it. Not only from what tools are in my stack, but it's what capabilities we want and make that more aligned to the outcome. So I'd say the first capability That I wanted. It is around visibility. I had to see what was happening and order to affect the risk level of the organization and be able to put controls around that and tools that help you to understand what is happening would, would be a tool that looks at your usage of even legacy applications, as well as SaaS, IaaS, and PaaS technologies, you also have to take into consideration your identities. Many companies are struggling with identity as they have several IDPs. They have several managers of those identities, whether they are production systems or, uh, corporate systems. And what you want to do is have some sort of governance around it. So identity was one of the other areas that I focused on. And then you look at data protection. Well, we're all in it to protect our data. That is the crown jewel for the bad actor. We have to understand what valuable data we have and what data we like to protect. And then you look at where is that going? So you want to understand the data protection from the user to app to end point. So you have to have back to a comment that James Robinson made about being open with XDR NDR and whatever we put in front of. That DR capability, you have to have that understanding around the configuration of that device and even the organizations that may be using that data. And then there's one other capability that I think is very important to help organizations scale. Uh, when they're looking at a Greenfield, you need something that's going to manage your configuration automation and orchestration. And I think those are solutions that can be kept in one, one area, but they need to have the following those three capabilities in order to be effective.

[00:13:29] Jason Clark: Erick, on, on this, uh, principle around kind of foundational technologies. You know, landed in the other organizations. And now as a CTO, what would any thoughts on this one from an ecosystem standpoint around security,

[00:13:43] Erick Rudiak: There's a couple of things. So identity is one. Um, and you know, I think about that in terms of kind of the various levels of assertions that people in systems can make about who the human is at the other end of the line or who the system is that another system is working with. So that it kind of encompasses everything from multi-factor to kind of directory services, like that's absolutely vital to get right. I agree with Lamont, uh, that having data protection, having visibility into kind of data at rest and data in motion. Is another, and then, uh, it nowadays it's not particularly exciting, but the, kind of the very basics of encryption and configuration management and, you know, in thinking about configuration management, kind of incorporating both, uh, kind of config drift golden builds, you know, system hardening as well as, uh, vulnerability management, which I consider an instance of that class. Kind of pulling that all together. Those are among the first places that I have looked myself for, the kind of assurance that the basic blocking and tackling that the outrage factor of, uh, getting those wrong is managed and minimized for any organization that I’m part of.

[00:15:04] Jason Clark: Okay. So principle four only buy cloud powered new technologies. Right? So essentially everything you buy should be cloud power to cloud enabled or cloud born. You know, there's a Gartner paper. That's. The future of security is in the cloud, as we were doing this tour, there was a, a sentence said that, you know, cloud is the perfect reset for security programs, right? Because you get to kind of start fresh and do things, right. What do you, when you, so overall for all of you, what curious what you all think about this, this principle and, and why we wrote it.

[00:15:34] James Robinson: I think the principle is good. I think for us to take advantage of and, and to meet, you know, one of the things that we say internally is meet your customer, where they're at, you know, if the customer is, is in the cloud or they're moving to the cloud, right, which is even better to be where they're going to be, you have to adopt this principle. It has to be a foundational component for anything that you're looking at. ou know? And, and if it's, you know, cloud assisted, you may look at it. For instance, cloud assisted EDR. Okay, get it right. It's got to have something on the end point. It can't just all be cloud, but you know, for, for anything that's on the network stack for anything that's in the application stack server stack, um, you know, anywhere in between, you know, it definitely has to, has to carry with this principle.

[00:16:17] James Christiansen: You know, uh, Jason, this is the third major transformation I've been through it in my career and, and, um, technology and security versus movement from mainframes to client server. Then from client server to cloud enabled system. And now with business Digitas, digitalization, you know, we see these transformations and I think, you know, the further you resist them and don't recognize them the further you drop behind. So as you start thinking about cloud and cloud enablement, I talked to many CISOs every year, I mean, three or four hundred. And when we talk about what their plans are, where they see as SASE came out or are now secure service edge, And you start looking at definitions. When I start working with an organization and start looking where they're at, they're already somewhere down the path. They may be further in the maybe far, uh, ladder down, but they're, they're already on that path, which just, it just says we're the most common security folks recognize this is the pattern to go to. This is the direction. The only new investments I see are really just renewables. Cause they, they can't get moved off quick enough to the new cloud enabled, uh, technologies. But I think, you know, from a people process and technology perspective, all three it's about training our people on how to work in these cloud technologies. It's building out the processes that support those and the things, and finally implementing the technology, to enable those people and enable those process to provide the level of controls we need nowadays. But certainly the business is going there. We've seen the acceleration of that movement in the business and us as security professionals.

[00:17:59] Jason Clark: I mean in the end, isn't it, every bit as businesses going there and therefore your security needs to be where the data is and where the businesses. And also whenever you have a mobile workforce, you need to leverage the cloud to be able to secure that workforce because you can't just do it from your data center, right? Like in its simplest form, you just changing a leverage point in your scale.

[00:18:18] James Robinson: I love what James said, because when you talked about, you know, moving from, you know, from mainframe to client server, you know, we saw that major shift. If anyone's part of it, I definitely saw it and was part of it as well. And watching that happen, I could not imagine if you didn't make that shift, or if you did make that shift and you still tried to maintain, remember how hard it was to maintain in client server, those controls that you had and, and deliver those via the mainframe. It was almost impossible to do. In fact, it was impossible, which is why everyone's shifted and you saw the market change.

[00:18:49] Jason Clark: So the next one is principle five and. It potentially has more weight than many of the others. It is protect business data with security controls that follow the data everywhere. Right. So, which essentially to me is, you know, this is, this is the grand strategy of security it's for many companies or organizations why security exists. Right. It's just protecting the information. So, you know, maybe let's talk a little bit about, we named this a principle for a reason, right. Because I think we felt that people were historically not mature enough in data protection. So, Erick, what's your thoughts around kind of why we established this as a principle and in how people need to transform from a, how they look at data security or data protection?

[00:19:34] Erick Rudiak: Yeah, I think there's two elements to this one, Jason, like one way to look at it is the security industry has had a history of negotiating against itself. On controls like this of saying, oh, well, this data used to be in our, you know, in our data center, um, you know, protected by perimeter controls, but we want to move it into the cloud and, you know, the cloud just doesn't have quite the same thing, but boy, the cloud is so compelling, so we accept less. Um, and so, uh, one way to look at this principle and they're not mutually exclude. Is never accept less like don't compromise on, you know, uh, on this kind of very basic idea that no matter where your data goes, Your controls matter, um, because they certainly, uh, the, you know, the attacker doesn't look at the world that way. And so that is part of the cost of doing business. That's part of the economics of, uh, you know, of handling sensitive data. And so the obligation to the person whose data you're, uh, you're trafficking in doesn't change. If you've allowed the data to move from one environment to another. I think another way to look at this one is that it's immensely aspirational. So I think any of us who have done threat modeling, we'll look at that guiding principle and say, oh, Jason, uh, Surely, uh, surely you can't protect the data when I do this to it when I use steganography or when I use covert channels or when I, you know, when I take advantage of, you know, pick your favorite row and column out of the MITRE attack framework. Um, and I think aspirationally, it's a challenge to us to say no to say. Uh, we are going to put controls in place that kind of reaffirm our obligations as custodians, that wherever the data goes, we are going to know about it. We're going to assert our controls, that you know, that the attacker doesn't get to win by using these common patterns.

[00:21:42] Jason Clark: Yeah. It's um, it's, uh, you know, fair. If we can get the controls to follow the user and the data that is Nirvana, especially whenever we don't have to invest heavily to do it, but love. Principle six, prioritize your business and risk reward when making security strategy right. Or decisions. Right. And building your tactics, et cetera. Right. So essentially as the business constantly changed, right. So it's always a constant trade off and we need to be in tuned to the business to be able to make that decision. Right. But enable them. And I love, you know, the saying. This isn't about eliminating friction, right? It's the right amount of friction to the business. So curious, what, what, uh, each of you, James, maybe we'll start with you, uh, Christiansen on, you know, your thoughts on, on that principle.

[00:22:29] James Christiansen: Yeah. This, this one for me is an important one because more successful CISOs. They're not focused on stopping data protected. They're focused on enabling the business and they understand the role of enabling the business to find that right balance between risk and reward. Right. And can't get too far skewed on either side or you're not, you're not doing the company and the stockholder value. You've got to live up to your role, but it's about enabling the business. And when I think about this in, in terms of change and how fast things change. I really think about, you know, the seven forces that are on a security strategy and these forces are really something you should be looking at because they're constantly changing. And as they change, you should be in tune with that change and think about how has that affect my stress. Has that really make a difference in what I was planning to do versus what I should do now. And the seven forces, we put out a white paper on it recently that I would encourage you to go read, but it seems like the culture of the company, a merger and acquisition might change. The culture might change in many ways. So how does that change the way you're looking at the economy and economic forces, government forces, conflicts, things that aren't directly related, but have these impacts on your overall security strategy. And as they change, you need to be agile as an organization. You need to be able to shift quickly and shift effectively to stay up with the business, because remember where we started this it's about enabling. The business and that's what you should always keep in mind.

[00:24:16] Jason Clark: So anybody else, you know James, Erick, and Lamont to add to that the prioritization of the business risk and reward.

[00:24:23] Erick Rudiak: So when I think about what's happened in the last year and a half, you know, we all woke up on March the 13th of last year and all of our annualized loss expectancy curves were garbage. Like they, uh, they were fundamentally flawed because there had been this injection of a completely new risk and totally new risk reward needs in terms of ALE. And so when I think about where our industry was 10 years ago, um, you know, a lot of us practitioners would say, you know, don't spend a thousand bucks, you know, to protect 10. And I think what has happened since then is our counterparts in the C-suite, the boards that govern us have become much more sophisticated. And so they expect us, as security practitioners, to understand business’ risk tolerance. And to come in with a narrative that says, look as your CISO, here's how closely our loss expectancy curves match our risk tolerance. And here's what needs to, you know, what we need to do in some places we may need to invest, in others we may actually have so much control that we can afford to take a little bit more risk, um, and you know, in adjust and be business positive and support additional capabilities to improve productivity. And so we've all, kind of through a forced Sentinel evet, had to learn that skill very quickly over the last year and a half, you know, the silver lining for us as security practitioners is, um, that skill is going to really come in handy for us. As we get back in front of our boards, as we get back into, uh, into the C-suite and discuss with our peers at the table. Not why we are saying yes or no to particular controls, but how our entire control environment matches our risk tolerance. And that's, you know, uh, just a maturation of the dialogue that we engage in and it's, you know, it's a really exciting one. It gives us a seat at the table.

[00:26:29] Jason Clark: Yeah, I think that it is, we look at it. We have to think about it again. It's just, we always say this, but as business leaders and, and how is this, what this activity, the business is trying to do, going to, for companies focused on, you know, acquiring, retaining profitable customers, right? Which is any way that's in the business of making money. And how are activities, the business doing, going to accelerate that right. And to what degree, what, how much do I doing need to protect them? Or can I let them go and then apply protections and, and just, just truly understanding the things that can move the needle for the business. And I mean, I, I personally deal with it every single day. And looking at marketing stuff and looking at security stuff. Lamont and I are in the conversations daily, right? Or about, about what's, uh, wanting to open up something that we want to do versus the balance of security of it. Right. And, and the marketing team wants to, you know, always wants to, wants to push forward, but we want to make sure that partner we're signing up to access our Salesforce information it's secure. Right. And it's all about the outcomes. And then how long do we have to. To apply the security controls. So I think it's, uh, it's not something that every security team's built with today, they think of things as well. There needs to be an exception. Who's going to sign off on the risk versus rationalizing it. Like you just said, Erick. So principle seven is build threat models and use them in every architecture decision you make. So Erick, you know, when you first heard James Robinson talk about threat models. At one point, I think you kind of came to me and said, uh, Jason Knight, I want to hire James Robinson away from you.

[00:28:08] Erick Rudiak: That sounds like me. Like I would have brazenly just said none for you all for me. That's totally on brand,

[00:28:16] Jason Clark: But we'd love your thoughts on principle seven here.

[00:28:21] Erick Rudiak:No, I mean, I think, uh, boy, it sure is hard to defend against something that you've never seen or thought about. And so like, everybody likes to use military analogies for this, but like I think about, so I've got a kid that loves to go to the neighborhood tennis courts with me and, you know, hit the ball around, um, in boy, uh, the first time that I threw a slice backhand at that kid, it was a predictably hilarious. Like they'd only ever seen the top spin shot and they just kind of swung and missed as soon as the ball landed and skidded away. And so I think that's, you know, that, that practice for our defenders and our defenders are everyone. Right? It's our infrastructure folks. It's our cloud, uh, engineering. It's our, uh, software engineers and everybody in between it. So user experience folks, it's our, you know, it's our database and middleware folks. They have to have seen both the top spin and the back spin in order to be able to effectively do that. And so that's, you know, that's why red teaming and attack simulation are such a vital part of any world-class, uh, information protection organization is because that practice is just so important.

[00:29:34] Jason Clark: Principal eight expand security operations automation. Right? So ultimately just a hyper-focus on automating your operations. So Lamont, can you maybe talk a little bit to why this principle song.

[00:29:46] Lamont Orange: I think it's a very important principle given that I think I spoke earlier about the increased velocity of attacks that we see. And I think it was also mentioned about some of the complexities that we have in our organization. So when you think of all of that, and you think of our, our teams, our skill, how skilled our teams are. And just the tooling resources that we have, we have to keep up at the speed of our attacker. And in some ways. We have to go and propel ourselves further and faster than the speed of our attacker is a better way to say it. And I think the way to do that is through automation. We have spent lots of time, I think, in the security industry, working with the security automation, tools and resources, formerly known as SOAR. We've spent some time with, with, uh, orchestration tools and confusing them as SOAR tools. And I think we, we really just need to take a step back and say automation is something that we should focus on when we're looking for scale and flexibility. And that will allow the velocity to be reduced to signal, to noise ratio, to be reduced. And then we further can react to these alerts that come through. Some of these things come in the form of having some of the foundational components built such as runbooks. And understanding how you are to execute a standard process throughout your SOC. That's something that you can automate from a maturity standpoint, but you can orchestrate a response in the very beginning, understanding how you triage. Triage is something that can be orchestrated, and then you can automate the response and control. When you talk about also automating and using orchestration within your SOC, you're also updating your incident response and management procedures. The incident management practices that we've used in the past don't necessarily scale very well to the attack, the type of threats that we have, the type of interaction that we have, have to have what I workforce, our suppliers and vendors. We've extended our attack surface, which I know we'll talk about in a different principle, but the extension of that attack surface is really something that we have to look at when we're thinking about how automation helps us again, achieve that scale and flexibility. I think there's another piece of this that we can't always run through our teams and say, well, it's contained into security. As long as security says, it's good, then we're fine. We also have to communicate what we're doing to our team members so that once they understand why we do some of the things we do, they will also be a willing person. And that's part of that transparency that I, that I believe that's part of automating and building out that, that SOC. And that's why it becomes the heartbeat of your security and response programs.

[00:32:54] Jason Clark: Ja. Es ist lustig, wenn man sich diese Prinzipien anschaut, oder? Sie sind alle so miteinander verbunden, richtig. Und aufeinander angewiesen, um wirklich, wirklich gut zu sein. Bevor ich zum neunten Prinzip übergehe, möchte jemand noch etwas zu den Sicherheitsoperationen von Lamont hinzufügen.

[00:33:11] James Robinson: Ich habe eine, bei der es sich eher um eine Frage an ihn oder jeden handelt. Eines der Dinge, über die ich immer mehr nachgedacht habe, und ich schaue mir einige meiner, äh, Bauherren, Entwickler, Ingenieure, Softwareentwickler, Brüder an, und ich habe mit jedem Spiel und der Idee von Runbooks gearbeitet und Spielbücher und, und so weiter und so weiter, wissen Sie, außerhalb von Architektur und Design, wissen Sie, oder, oder eines dieser Dinge, das gehört in manchen Fällen irgendwie, irgendwie der Vergangenheit an, und ich frage mich, ob, wo das so ist Was die Automatisierung angeht, benötigen Sie immer noch Ihr Team und lassen es aufbauen? Erstellen Sie die Laufbücher, Playbooks und so weiter, diese verschiedenen Dinge, und das ist es, was die Automatisierung für die Skalierung regelt und einrichtet, oder nehmen Sie eine anderer Ansatz?

[00:33:52] Lamont Orange: Das ist eine interessante Debatte. Ehrlich gesagt glaube ich, dass sehr, sehr wenige Programme auf Automatisierung und zuverlässige Automatisierung umgestiegen sind. Ich denke, um auf das zurückzukommen, was ich über Orchestrierung gesagt habe. Orchestrierung wird die Ausführung der Aufgaben sein, die erledigt werden müssen. Ich denke, dass die Runbooks und ich diesen Begriff sehr locker verwenden. Dabei kann es sich um einen Standardprozess handeln, den Sie verwenden, um auf eine bestimmte Art von Vorfall zu reagieren. Oder eine bestimmte Art von Frage an das Sicherheitsteam, eine bestimmte Anforderung, die innerhalb der Entwicklung oder bei einem Ihrer, Ihren Teams gestellt wird und an die Sie Anforderungen stellen würden, wenn sie bestimmte Arten von Daten verarbeiten oder wenn sie einen bestimmten Typ haben Wenn es um Systeminteraktionen geht, denke ich, dass Sie diese Reaktionen orchestrieren können. Wir müssen zum Automatisierungsteil reifen, da ich nicht sicher bin, ob bereits jedes Programm der automatisierten Aktion vertraut. Das war die Herausforderung.

[00:34:53] Erick Rudiak: Ich werde Ihnen hier tatsächlich eine Perspektive aus der Softwareentwicklung geben. Wenn ich über die Leistungsmerkmale eines Softwareprogramms nachdenke, stimmt das. Es gibt eine Art, wissen Sie, in Comp, Comp Sci, wir alle haben etwas über die O-Notation gelernt, richtig. Oder O- oder N-Notation. Und so hatte ich kürzlich ein tolles Gespräch mit unserer CISO und sie fragte. Um einige unserer Geschwindigkeiten und Feeds durchzugehen, z. B. wie viele GitHub-Repositories haben wir? Wie viele Commits führen wir pro Tag durch? Wissen Sie, wie oft, wissen Sie, wie oft betreiben wir unsere Pipelines pro Tag? Und es war ein großartiges Gespräch darüber, ob wir unsere Sicherheit auf O von N oder auf O von log N skalieren konnten. Und genau hier ist die Automatisierung von entscheidender Bedeutung, da sie sich tatsächlich auf die Talentherausforderung und einige der Diversitätsherausforderungen in der Informationssicherheit bezieht, und Automatisierung ist für uns der beste Weg. Um unsere Kontrollen von einem O von N auf ein O von log N oder sogar etwas Kleineres zu skalieren. Daher ist die Fähigkeit, das menschliche Element gewissermaßen zu entfernen oder es zur Lösung komplexerer, interessanterer Probleme zu kanalisieren, von entscheidender Bedeutung. Ich weiß nicht, wie ein Unternehmen mit der Nachfrage Schritt halten kann. Sowohl auf der Angreiferseite mit neuen Techniken und Arten sich entwickelnder Malware, Ransomware, ähm, Angriffstechniken usw., als auch, ähm, einfach der Fähigkeit eines Unternehmens heutzutage, sein Angebot an Angriffsfläche mit einfach bereitzustellenden Cloud-Diensten zu skalieren, und so weiter, als wäre Automatisierung der einzige Weg. Und in dem Buch sprechen wir über diese Idee von damals, als einige von uns unsere Server tatsächlich mit Namen kannten. Rechts. Äh, sie wurden wie Haustiere behandelt. Sie wurden geliebt. Von ihnen wurde erwartet, dass sie eine sehr lange Lebensdauer haben, im Gegensatz zu der Vorstellung, dass Server heute wie Legosteine sind, in Massenproduktion hergestellt werden und entweder absichtlich oder unabsichtlich eine extrem kurze Lebensdauer haben. Und es gibt einfach keine wirklich gute Möglichkeit, eine Sicherheitsorganisation so groß zu gestalten, dass sie den heutigen Anforderungen gerecht wird. Dass es keine Automatisierungen gibt, ein Grundprinzip

[00:37:10] Jason Clark: Ich liebe die Analogie, Erick. Und, äh, das ist ein großartiger Abschnitt des Buches, den jeder, äh, unbedingt lesen sollte. Also Prinzip neun und ich fange mit, äh, James Christiania an und gehe dann zu Erick, weil ich mit euch beiden die besten Risikogespräche geführt habe. Aber Prinzip neun ist die Forderung nach kontinuierlicher Sichtbarkeit und Risikobewertung, und bei jeder Sicherheitskontrolle wollen wir im Wesentlichen Echtzeit. Risikobewertung und -kontrollen im Vergleich zu diesen einmaligen Bewertungen, rechts, einer einmal jährlich stattfindenden Risikobewertung. Also fängt James mit dir an.

[00:37:43] James Christiansen: Ja. Danke. Ähm, wissen Sie, das ist immer ein heißes Thema für mich und wissen Sie, ich werde das, ähm, nur in ein paar Richtungen verfolgen, aber ich werde mich hier kurz fassen. Sie wissen schon, die Idee der kontinuierlichen Sichtbarkeit. Ja. Das erste Prinzip und Risiko besteht darin, dass Sie Risiken, von denen Sie nichts wissen, nicht verwalten können. Sie müssen sich also unbedingt dieses Risiko und/oder diese Sichtbarkeit verschaffen. Und wir haben gesehen, dass es einen Wandel gibt: Wir sind von einem Client-Server zu einer Cloud übergegangen und haben dann diese Sichtbarkeit in diese neue Welt verloren. Wir haben die Fähigkeiten verloren, die wir in unseren früheren Tagen hatten. Und, und wir müssen diese zurückbekommen. Sichtbarkeit ist absolut wichtig, wissen Sie, und der andere Teil davon ist kontinuierlich. Und wir hören oft das Wort „Zero Trust“, aber es ist ein Begriff, von dem ich nicht wirklich ein Fan bin, vor allem, weil er bei Führungsteams die falsche Konnotation hervorruft: „Oh, du bist der Sicherheitsmann“. Du vertraust niemandem. Und es gab, wissen Sie, Sicherheitsleute, die an, wissen Sie, Token denken. Ich habe mich darum gekümmert. Nun, ich betrachte es lieber als kontinuierliches adaptives Vertrauen. Oder ein sich ständig anpassendes Sicherheitsprogramm, das automatisch die Risiken prüft und in der Lage ist, die unterschiedlichen Risikotelemetrien zu messen und die Reaktion auf diese Risiken anzupassen. Wissen Sie, warum brauchen wir das gleiche Maß an Kontrollen? Wenn jemand zu ESPN geht und dies, ähm, den Sicherheitsdienst oder seine Fußballergebnisse überprüft, wie es wäre, wenn er nachsehen würde. Wissen Sie, die Materialien für die Board-Vorabveröffentlichung weisen offensichtlich sehr, sehr unterschiedliche Risikostufen auf. Eine Menge Telemetrie steckt in diesem Gerät, der Anwendung, dem Standort der Person, diesem Verkehr, alles kann jetzt gemessen werden. Und das ist das Entscheidende für die Zuhörer. Es gibt die Fähigkeit. Um dies jetzt tun zu können und diese adaptiven Echtzeitentscheidungen über das Risikoniveau und diesen Kontrollweg zu treffen und diese Kontrollen anpassen zu können. Daher denke ich, dass dies eine wirklich aufregende Zeit ist, in der wir diese Risiken berücksichtigen und uns im weiteren Verlauf anpassen können. Ja. Es gibt eine ganz andere Diskussion über Risiken Dritter und dann über Risiken Vierter, die wir uns einfach für einen anderen Tag aufsparen müssen, aber das ist wieder ein tolles Thema. Gib es dir zurück, Jason,

[00:39:59] Erick Rudiak: Ich versuche einen Weg zu finden, gegen die ständige Sichtbarkeit zu argumentieren. Und ich kann keinen finden, ähm, wissen Sie, äh, hätte ich lieber mehr oder weniger Informationen, würde ich lieber Angriffe abfangen und früher oder langsamer vorankommen? Ähm, hätte ich lieber eine lange Verweilzeit oder eine kurze Verweilzeit? Ja. Äh, ich würde viel lieber gewinnen. Und so, wissen Sie, denke ich über diese Idee der kontinuierlichen Sichtbarkeit nach, äh, kann, das führt mich zurück zu Peter Sandman und der Krisenkommunikation. Ähm, und Peter, Sandmans nicht-orthodoxe Definition von Risiko ist die Summe von Risiko und Empörung. Und so ist der Empörungsfaktor des Nichtwissens. Von uns in diesem modernen Zeitalter mit der Fähigkeit, etwas ständig zu überwachen und nicht in der Wahl, nicht zu wissen, dass eine Steuerung ausfällt, nicht zu wissen, dass sich eine Konfiguration geändert hat, nicht zu wissen, dass, wissen Sie, ein schlechter Akteur in unsere Systeme eingedrungen ist. Der Empörungsfaktor daran ist einfach, ähm, es ist unhaltbar

[00:41:09] Jason Clark: Als letztes, äh, letztes Prinzip wissen wir, was das ist. Dies sind wiederum die 10, die unserer Meinung nach die wichtigsten sind, die Menschen grundlegend für die Zukunft schulen. Wir könnten wahrscheinlich, wissen Sie, wir hatten eine Reihe davon, mit denen wir angefangen haben, und wir hatten zunächst 20 und haben es auf 10 reduziert, aber das 10. ist die Reduzierung der Angriffsfläche durch Zero Trust Prinzipien.

[00:41:31] Erick Rudiak: ] Ich habe gerade gehört, dass wir Zero Trust nicht mögen. Wir werden es ändern müssen.

[00:41:36] Jason Clark: Ich denke, die Branche ist in Bezug auf Null-Vertrauen verwirrt. Nicht wahr? Ähm, wissen Sie, was ist Nullvertrauen?

[00:41:43] Erick Rudiak: Für mich ist die Sache mit Nullvertrauen, dass das Vertrauen mit der Zeit irgendwie nachlässt. Und wenn ich darüber nachdenke, äh, das klassischste Beispiel dafür ist für mich die Zeitüberschreitung des Leerlaufbildschirms, wie bei der klassischen Steuerung ist es Teil von PCI. Früher war es jahrzehntelang Teil von NIST als Teil von so ziemlich jedem Sicherheitsrahmen, wo es eine Annäherung gab, die besagte: Na ja, wenn jemand Jasons Passwort kennt. Habe es in Jasons Terminal und schließlich in Jasons PC oder Laptop und schließlich in Jasons Telefon eingegeben. Dann wird angenommen, dass es für eine gewisse Zeit wahrscheinlich immer noch Jasonn ist. Ähm, und, äh, es widerspricht irgendwie der Logik, äh, besonders wenn wir an menschliche Faktoren und Design denken und an die Art und Weise, wie Menschen tatsächlich arbeiten, 14,9 Minuten nach der Eingabe dieses Passworts, dass wir Wir sollten den Eingaben von diesem Terminal, von diesem PC, von diesem Telefon genauso vertrauen können wie uns in dem Moment, als Jason sein Passwort eingegeben hat. Und so ähnlich, wenn ich über Nullvertrauen nachdenke und warum. Für mich liegt es daran, dass es diese Unwahrheit anerkennt, die die Sicherheitsbranche jahrelang toleriert hat, weil die Technologie zu schwierig war, weil sie zu teuer war, und wir diesen Kompromiss eingegangen sind. Wir sagten, ja. Wir vertrauen diesem Begriff. Für bis zu 15 Minuten würden wir dem Eingang, den Paketen, die dieses Gerät in der 14. Minute generiert hat, die gleiche Vertrauensstufe zuweisen wie in der ersten. Ähm, und es ist Zeit, dass wir weitermachen.

[00:43:23] Jason Clark: Sie wissen, dass die Debatte über Zero Trust darin besteht, dass es offensichtlich Anbieter gibt, die sagen: „Oh, das ist alles.“ Richtig, oder es dreht sich alles um den Endpunkt, oder ich denke, es ist keine binäre Sache, es ist nicht ein- oder ausschaltbar. Rechts. Dass es Leute gibt, die argumentieren, dass es Vertrauen gibt oder nicht. Und ich betrachte es so, dass Sie durch die Vordertür in mein Haus kommen können und ich Sie hineinlasse, aber das bedeutet nicht, dass Sie in jedes Zimmer gehen können. Das heißt nicht, dass du in meinen Safe kommst.

[00:43:44] Erick Rudiak: Oh, wir müssen über das letzte Mal reden, als ich zu dir nach Hause kam, Jason.

[00:43:49] Jason Clark: Und, wissen Sie, das basiert einfach auf Ihrem Verhalten, oder? Wie Sie schon sagten, wie lange sind Sie schon dort und dieser Fall, richtig? Je länger du hier bist, desto mehr vertraue ich dir vielleicht, weil ich dein Verhalten beobachtet habe. Rechts. Ich könnte also die Kehrseite von vielleicht allem vom Standpunkt der Authentifizierung aus argumentieren, aber je länger du hier bist, desto mehr sehe ich dein Verhalten, desto mehr verbringe ich Zeit mit dir. Je mehr ich dich in andere Räume gehen lasse. Ich denke, ich versuche damit zu sagen, dass es für mich Vertrauen in ein Gerät gibt. Vertraue ich Ihrem Gerät und wie sehr? Und in diesem Moment so etwas wie diese Echtzeit-Risikobewertung. Vertraue ich dem Netzwerk? Sie kommen vom Netzwerk Iran. Vertraue ich Ihnen als Person in diesem Moment, basierend auf Ihrem Verhalten, vertraue ich der Bewerbung, die Sie überhaupt richtig machen werden? Denn es sind nicht nur Sie, sondern die App, Ihre Handlung, mit der Sie interagieren, und ist sie möglicherweise gefährdet? Welche Auswirkungen hat das auf die Daten, die Sie hoch- oder herunterladen möchten? Rechts. Und für mich gibt es eine Art risikobasierte bedingte Kontrollentscheidung in Echtzeit, die uns entgegenkommt. Für mich ist das Nirwana des Null-Vertrauens so, dass ich dir entweder Null gebe. WAHR. Ich werde Ihnen keinen Zugriff gewähren oder Ihnen vollkommen vertrauen. Nennen wir das Nullniveau fünf und dann gibt es 1, 2, 3, 4, 5, richtig. Drei in der Mitte bedeutet für mich, dass ich Ihnen Zugriff auf die Daten gebe, diese aber nur online anzeigen und nicht bearbeiten können. Rechts. Es kann sein, dass Sie in mehreren Schritten einen Absatz darüber schreiben, warum Sie diese Daten benötigen und dass es sich um einen Notfall oder was auch immer handelt. Ich betrachte dies also als eine Art Null-Vertrauen, denn dieser Punkt, den wir erreichen müssen, ist der Weg hin zu Null-Vertrauen, um die Angriffsfläche zu verringern, aber letztendlich müssen die Menschen durch ihr Verhalten bei Bedarf mehr Vertrauen gewinnen. Damit wir den Vielbeschäftigten keine Probleme bereiten. Aber Lamont. Ich weiß, ich bin neugierig, da wir hier oft über Zero Trust gesprochen haben, aber der erste Teil dieses Prinzips bestand darin, die Angriffsfläche durch Zero Trust zu reduzieren. Rechts. Sie wissen also, wie Sie Ihre Organisation verteidigen, nicht wahr? Wie setzen wir dieses Prinzip jeden Tag um? Reduzieren wir die Angriffe?

[00:45:46] Lamont Orange: Ich denke, der erste Punkt, den wir zu Beginn betrachten sollten, ist Sichtbarkeit und Analyse, Sichtbarkeit. Es tut mir leid, Analytics, denn wenn Sie es nicht sehen können, ist es für den Menschen schwierig, es anzuwenden und zu kontrollieren oder zu schützen, und das wird Sichtbarkeit für Ihren Benutzer sein, Sichtbarkeit für Ihre Infrastruktur, für Ihre Daten. Und dann können Sie damit beginnen, diese Anwendungsfälle dahingehend zu überbrücken, was für das Unternehmen zu diesem Zeitpunkt am wichtigsten ist. Mir gefallen die Levels und wie du das beschrieben hast. Aber wir müssen auch verstehen, was das wichtigste Gut ist, und wir können zustimmen und sagen, dass es Daten sind, aber welche Daten, die Daten festlegen, und Sie betrachten diese Kontrollen durch diese Sichtbarkeits- und Analysefähigkeiten, auf die Sie diese Kontrollen anwenden können dieser Tag.

[00:46:32] Jason Clark: Ich denke, wir haben diese 10 Prinzipien auch absolut abgedeckt. Vielen Dank, dass Sie den Sicherheitsvisionären zuhören, und halten Sie Ausschau nach neuen Episoden, die jede Woche mit Sicherheitsexperten aus der gesamten Branche erscheinen. Vielen Dank, Erick Lamont und James, für die Zeit. Und es hat Spaß gemacht

[00:46:50] Sponsor: Der Podcast „Security Visionaries“ wird vom Team von Netskope betrieben, das nach der richtigen Cloud-Sicherheitsplattform sucht, um Ihre Reise zur digitalen Transformation zu ermöglichen. Mit der Netskope-Sicherheitscloud können Sie Benutzer von jedem Gerät und jeder Anwendung aus sicher und schnell direkt mit dem Internet verbinden. Erfahren Sie mehr unter Netskope.

[00:47:11] Produzent: Vielen Dank, dass Sie Security Visionaries zugehört haben. Bitte nehmen Sie sich einen Moment Zeit, um die Sendung zu bewerten und zu rezensieren und sie mit jemandem zu teilen. Seien Sie gespannt auf die Veröffentlichung neuer Episoden alle zwei Wochen. Und wir sehen uns in der nächsten Folge.

Abonnieren Sie die Zukunft der Sicherheitstransformation

Mit dem Absenden dieses Formulars stimmen Sie unseren Nutzungsbedingungen zu und erkennen unsere Datenschutzerklärung an.