211service.com
Attīstoties kiberdrošībai, vajadzētu arī jūsu padomei
Saistībā ar Cortex Xpanse no Palo Alto Networks
Bet cik daudz režisoru apmaldās tehnoloģiju tehniskajos aspektos? Galvenā informācijas drošības virsnieka (CISO) izaicinājums ir runāt ar direktoru padomi tā, lai viņi saprastu un atbalstītu uzņēmumu.
Tas ir iedziļinājies valdes direktoru un C-suite vadītāju vidū ar biedējošiem virsrakstiem par datu pārkāpumiem, juristiem, tiesas prāvām un riska pārvaldītājiem: kiberdrošība ir augsta riska pakāpe. Tam ir jābūt uzņēmuma galveno prioritāšu sarakstā.
Nails Brauns, Palo Alto Networks vecākais viceprezidents un galvenais informācijas drošības speciālists, saka, ka CISO padomes diskusiju var uzskatīt par klasisku pārdošanas prezentāciju: veiksmīgi CISO zinās, kā noslēgt darījumu tāpat kā to dara labākie pārdevēji. Tas ir tas, kas padara patiešām labu pārdevēju: viņš saka, ka cilvēks, kuram ir tiesības slēgt. Viņiem ir iespēja slēgt darījumu. Tāpēc viņi kaut ko lūdz.
Brauns saka, ka gadiem ilgi CISO ir bijušas divas lielas problēmas ar dēļiem. Pirmkārt, viņi nav varējuši runāt vienā valodā, lai padome varētu saprast, kas bija problēmas. Otrā problēma: jautāt nebija. Jūs varat iet pie dēļa un sniegt savu prezentāciju, un direktori var izskatīties kā piekrītoši, pamāj ar galvu vai krata galvu, un jūs varat domāt pie sevis: Darbs paveikts. Tie ir atjaunināti. Bet tas nebūt nenozīmē, ka uzņēmuma drošības pozīcija ir labāka.
Tāpēc CISO ir svarīgi paaugstināt valdes izpratni līdz līmenim, kurā viņi zina, kas ir vajadzīgs un kāpēc. Jo īpaši, ja runa ir par jauniem sasniegumiem kiberdrošībā, piemēram, uzbrukuma virsmas pārvaldību, kas, iespējams, ir viena no jomām, kurai CISO pievērš vismazāko uzmanību, taču tā ir vissvarīgākā, saka Brauns. Piemēram, daudzas reizes CISO un drošības komanda var neredzēt koksni no kokiem, jo viņi ir tik ļoti tajā iesaistīti. Un, lai to izdarītu, CISO ir nepieciešams metrikas kopums, lai ikviens varētu izlasīt dēļa klāju un dažu minūšu laikā saprastu, ko CISO cenšas iegūt, saka Brauns. Jo lielākoties dati ir, bet aiz tiem nav konteksta.
Šī Business Lab epizode tiek veidota sadarbībā ar Palo Alto Networks.
Pilns atšifrējums :
Laurela Ruma : No MIT Technology Review es esmu Laurel Ruma, un šī ir Business Lab, izrāde, kas palīdz uzņēmumu vadītājiem izprast jaunas tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū.
Mūsu šodienas tēma ir kiberdrošība un korporatīvā atbildība. Pēdējos gados kiberdrošība ir kļuvusi par valdes līmeņa problēmu saistībā ar sabojātu reputāciju, zaudētiem ieņēmumiem un milzīgu datu nozagšanu. Pieaugot uzbrukuma virsmai, galvenajiem informācijas drošības darbiniekiem būs arvien lielāka atbildība par to, kur sagaidīt nākamo uzbrukumu un kā izskaidrot, kā tas notika.
Divi vārdi jums: redzamība ārpusē.
Mans viesis ir Nails Brauns, kurš ir Palo Alto Networks vecākais viceprezidents un galvenais informācijas drošības speciālists. Niallam ir gadu desmitiem ilga pieredze globālo drošības, atbilstības un riska pārvaldības programmu pārvaldībā finanšu iestādēm, mākoņpakalpojumu sniedzējiem un tehnoloģiju pakalpojumu uzņēmumiem. Viņš ir Google CISO konsultatīvajā padomē.
Šī Business Lab epizode tiek veidota sadarbībā ar Palo Alto Networks.
Esi sveicināts, Niall.
Nialls Brauns : Lieliski. Paldies, Laurel, ka tu esmu.
Laurels : Tātad kā galvenais informācijas drošības speciālists vai CISO jūs esat atbildīgs gan par Palo Alto Networks produktu, gan paša uzņēmuma drošību. Bet jūs nenodrošina tikai jebkuru vecu uzņēmumu; jūs nodrošinājat apsardzes uzņēmumu, kas aizsargā citus uzņēmumus. Kā tas atšķiras?
Niall : Jā, tāpēc es domāju, ka Palo Alto Networks skaistākais ir tas, ka mēs esam lielākais kiberdrošības uzņēmums pasaulē. Tātad mēs patiešām varam redzēt to, ko šausmīgi daudzi uzņēmumi nekad neredz. Un, ja tā padomā, viena no galvenajām lietām ir tāda, ka zināšanas ir spēks. Tātad, jo vairāk jūs zināt par saviem pretiniekiem, ko viņi dara, kādas metodes viņi mēģina izmantot tīklā, kādas ir vadības ierīces, kas darbojas un kuras ir tās, kas nedarbojas, jo labāk jums būs izveidot savu iekšējo. stratēģija, lai palīdzētu aizsargāties pret šiem nepārtrauktajiem uzbrukumiem. Un jūs esat daudz labākā situācijā, lai varētu sniegt šos datus padomei, lai viņi varētu pārliecināties, ka tiek veikta atbilstošā uzraudzība.
Protams, mums ar tik daudzām zināšanām par to, ko mēs varam redzēt savos tīklos, tas patiešām sniedz mums iespēju pastāvīgi ieviest jauninājumus. Tāpēc, izmantojot mūsu produktus un nepārtraukti tos papildinot, mēs varam izpildīt klientu un pēc tam nozares prasības. Tāpēc es domāju, ka tā, iespējams, ir pirmā daļa. Otrā daļa ir tāda, ka mēs patiešām esam šajā laivā kopā. Tāpēc daļa no mana darba ir nepārtrauktas sarunas ar nozares darbiniekiem un citiem CISO, CTO, CIO un vadītājiem, kas runā par kiberdrošības stratēģiju. Un vienmēr tās pašas problēmas, kas viņiem ir, ir tieši tādas pašas kā mums. Tātad mums tā patiešām ir iespēja dalīties ar to, kā nodrošināt, ka spējam pastāvīgi ieviest jauninājumus, radīt pārmaiņas nozarē un patiešām pastāvīgi sadarboties ar nozares līderiem. Īpaši koncentrējoties uz to, kā mēs nodrošinām savu biznesu un sniedzam labāko praksi, kā mēs, uzņēmumi, varam būt drošāki?
Laurels : Tāpēc daži cilvēki var būt pārsteigti, ka sadarbība un šāda atklāta zināšanu apmaiņa ir tik izplatīta, taču tā nevajadzētu būt, vai ne? Jo kā gan citādi jūs visi kolektīvi aizstāvēsities pret nezināmajiem uzbrucējiem?
Niall : Lielisks jautājums. Un, ja paskatās uz to žoga pretējā pusē, hakeri nepārtraukti dalās. Lai gan viņi dalās, lai gūtu finansiālu labumu. Citiem vārdiem sakot, viņi nozags datus un tos tālāk pārdos un pārdos un pārdos un pārdos tālāk. Hakeri nepārtraukti koplieto šos datus, tostarp DIY rīku komplektus. Un mājas drošības pusē vēsturiski vienmēr ir bijušas šādas aizdomas. Citiem vārdiem sakot, es esmu vienīgais, kam šī problēma ir unikāla. Un, ja es dalīšos ar šo problēmu, viņi domā, ka es nedaru labu darbu vai uzņēmums nedara labu darbu, vai arī es esmu vienīgais, kam ir šī īpašā problēma. Un tas, kas notika laika gaitā, ir tāds, ka CISO nekopīgoja daudz datu, kas nozīmē, ka hakeri kopīgoja datus pa labi pa kreisi un centrā. Taču mājas CISO pusē, aizsardzības pusē, bija ļoti maz sadarbības, kas nozīmēja, ka tagad jums ir ierobežota kopīgā nozares labākā prakse.
Katrs CISO atradās savā tvertnē, savā pīlārā, darīja savu unikālo lietu, un katrs mācījās no savām kļūdām. Tātad tas tiešām bija viens pret vienu modelis. Jūs pieļaujat kļūdu un tad pieļaujat vēl vienu kļūdu, un tad pieļaujat vēl vienu kļūdu. Tomēr, ja jūs varētu runāt ar savu vienaudžu, iztēloties biznesā vai finansēs, jūs nepārtraukti runājat ar CTO un finanšu direktoru, lai teiktu: Ak, starp citu, kā jūs tikāt galā ar šādu un tādu problēmu? Tāpēc tagad es redzu, ka nozare sāk mainīties. CISO tagad sāk mainīties un dalīties. Viņi nepārtraukti runā par stratēģiju. Viņi nepārtraukti runā par to, kā viņi aizsargā savu vidi? Viņi runā par to, kādi ir daži no labiem uzņēmējdarbības modeļiem, kas darbojas?
Un, ja paskatās uz MIT, tur ir nozare, tehniskie un uzņēmējdarbības modeļi, kas patiešām darbojas citās nozarēs. Bet tad, ja paskatās uz pašu CISO kopienu, kāda ir šī nozares labākā prakse? Un tagad tās tikai sāk formulēt, no turienes uzpūsties. Un tas, ko es redzu, noteikti pēdējo, es teiktu, trīs vai četru gadu laikā, ir vērojams milzīgs CISO pieaugums saistībā ar nozares labākās prakses apgūšanu un viņu prasmju kopuma patiesi uzlabošanu. Tātad viņi vienkārši nav tik tehniski gudrinieki stūrī. Viņiem patiešām ir jāspēj runāt par biznesa tehnoloģijām, jāspēj runāt par biznesa noteikumiem un patiešām jāspēj uzskatīt par tuvu līdzinieku šim CTO, CIO un izpilddirektoram saistībā ar biznesa problēmu risināšanu.
Jo, ja par to domā no kiberdrošības perspektīvas, galu galā tā ir tikai biznesa problēma. Un, ja tā ir biznesa problēma, jums ir jāpiemēro stratēģiski biznesa risinājumi šo problēmu risināšanai. Tā vietā, lai runātu par to, kuru pretvīrusu versiju izmantojat, jums patiešām ir jāpaaugstina saruna, lai, runājot ar padomes locekļiem, kad jūs runājat ar to pašu C līmeņa vadītāju, viņi nemētātos. acis gaisā. Viņi saprot, ka jūs runājat tajā pašā biznesa valodā kā viņi. Tas atkal nozīmē, ka, ja esat uzticams biznesa partneris, jūs varat ievērojami uzlabot uzņēmuma darbību, nevis tikt uzskatīts par jaunāko IT vadītāju organizācijā, pie kura kāds nonāk tikai tad, ja mūs uzlauž. vai ja dublēšana neizdodas, vai ja Mac ir bojāts.
Laurels : Man ļoti patīk šī līdzība... pašas pozīcijas izaugsme. Kā jūs teicāt, šī loma patiešām tiek pacelta uz padomes galdu, jo tā ir biznesa problēma ar iespējamu biznesa risinājumu. Bet kā tad padomes var pieņemt labākus lēmumus? Pēc tam jums būs jāiesniedz arī daži dati un informācija, kā arī kaut kas, kas palīdzētu padomei, kā arī visus citus lēmumus, kas tai jāpieņem visā uzņēmumā.
Niall : Un tas ir galvenais, ka lielākā daļa cilvēku, to aplūkojot, ir klasiskā izpārdošana. Jums var būt labākais pārdevējs šajā biznesā, bet, ja vien viņam nav tuvu, un slēgšana ir jautāt. Šeit ir lielisks produkts, un es vēlos pārdot šo produktu, t.i., šo automašīnu par, teiksim, 50 000 USD. Un pēc tam, kad pārdošanas piķis beigsies, vai jūs iegādāsieties automašīnu? Un tas padara patiesi labu pārdevēju, cilvēku, kuram ir iespēja slēgt. Viņiem ir iespēja slēgt darījumu. Tāpēc viņi kaut ko lūdz. Tāpēc es domāju, ka ilgu laiku CISO bija divas lielas problēmas ar valdi. Viens no tiem ir tas, ka viņi nevarēja ziņot padomei pareizos datus un runāt tajā pašā valodā, lai padome varētu saprast problēmas.
Un tad divi, nebija nekādu jautājumu. Un tas ir ļoti svarīgi, jo, ja jūs ieejat dēlī un prezentējat, un visi māj ar galvu, krata galvu un saprot, ka esat tos atjauninājis, taču drošības pozīcija nav labāka. Un, ja paskatās uz klasisko dēli, jebkuru dēli, tie ir ļoti, ļoti augstā līmenī, acīmredzot, lai apkalpotu uzņēmumu. Tāpēc ikviens no valdes locekļiem vai jebkura no valdēm, ar kurām esmu strādājis pagātnē, ir bijis ļoti gatavs palīdzēt pašam uzņēmumam. Viņi vienmēr skatās: Nu, jūs uzrādījāt X, bet tagad, kā es varu palīdzēt? Tāpēc es domāju, ka CISO tas vairāk jāpārvērš par pārdevēju ar tuvumu. Pats galvenais, kāds ir mans jautājums?
Un klasiskā valdes sēde, manuprāt, ir labi, ja jūs apsēžaties, strādājat ar valdi, parādāt galveno rādītāju kopu. Tagad jūs nevēlaties rādīt metriku par skaitļiem, kas ir absolūti bezjēdzīgi. Ja paskatās uz dēli, tad uz tāfeles ir plašs prasmju klāsts. Daži valdes locekļi var būt atbilstības eksperti, daži var būt uzņēmumu vadītāji, daži var būt finanšu vadītāji. Tātad runa ir par diviem lietu kopumiem, kad jūs sazināties ar valdi. Viens no tiem ir saziņas vai metriku kopas izstrāde un patiesi biznesa situācijas izklāsts, lai ikviens varētu izlasīt dēli un dažu minūšu laikā saprastu, ko jūs mēģināt iegūt. Tas ir kritiski.
Un tad otrā daļa ir, tā nav prezentācija. Katrai padomes sanāksmei ir jābeidzas ar laiku jautājumiem, atbildēm un uzdotajiem jautājumiem. Un es teiktu, ka laba valdes sēde ir tāda, kurā jūs pat neiziet cauri klājam. Jūs jau iepriekš kopīgojat klāju, viņi to ir izlasījuši, viņi varēja saprast jūsu kiberdrošības pozīciju, tikai paskatoties uz jūsu klāju. Un tad valdes sēde pat neattiecas uz klāju. Tas ir vienkāršs jautājumu kopums, komentāri un pēc tam jautājiet. Un jautājums varētu būt: Klausieties, vai mēs varam vairāk koncentrēties uz noteiktu jomu vai vairāk resursiem? Vai arī viņi var jautāt jums. Tāpēc es atkal domāju, ka šis modelis patiešām ir: paziņojiet galveno datu kopu un pēc tam izveidojiet to par sarunu ar abu pušu sadarbīgu jautājumu, salīdzinot ar 30 slaidu komplektu, kuru neviens nesaprot, ka jūs to prezentējat un pēc tam izbeidzaties. valdes sēdes no turienes. Šis modelis vienkārši nedarbojas, kā mēs zinām.
Laurels : Jā. Nevienam, vai ne? Tātad, kādus konkrētus rādītājus jūs faktiski ziņojat padomei un kāpēc šie rādītāji ir svarīgi jūsu padomei vai jebkurai citai padomei?
Niall : Problēma ar jebkuru nozari, tostarp kiberdrošību, ir tāda, ka dažreiz ir pārāk daudz datu. Tātad, ja paskatās uz nozares standartiem, piemēram, ISO 27001, jums var būt simts un kaut kas kontroles. Ja paskatās uz FedRAMP, jums ir 300 kaut ko vadīklu. Ja paskatās uz COSO vai COBIT. Tātad jūs nevēlaties doties uz dēli, izmantojot starp citu, šeit ir 2000 vadīklu. Un lūk, kā mēs izpildām šīs 2000 vadīklas. Jo lielākoties dati ir, bet aiz tiem nav konteksta. Tāpēc viņi domā, piemēram, AV ir 95% gala punktu, vai tas ir labi? Mēs skenējam reizi ik pēc 12 stundām, vai tas ir labi? Tāpēc es saucu tos par bezjēdzīgiem rādītājiem. Lielākajai daļai InfoSec cilvēku, neatkarīgi no valdes līmeņa vadītājiem, no tiem nav nekāda labuma. Tāpēc no mūsu viedokļa mēs to sadalām vienkāršās pīlāru pamatkopās, kuras varam izmērīt laika gaitā.
Un kopumā jūs nevēlaties, lai pīlāriem būtu 25 pīlāri, jo tas ir pārāk daudz, jo jūs nevarat izmērīt vienu pret 25. Tātad iekšēji mēs parasti apmetamies apmēram piecās galvenajās jomās, uz kurām koncentrējamies. un mēs katru reizi salīdzinām ar tiem. Tātad viens ir nodrošināt mūsu produktus. Lielākā daļa organizāciju tagad ir ļoti, ļoti orientētas uz produktu. Tātad produkti lielākajā daļā uzņēmumu kļūst kritiski, kritiski, kritiski. Tātad viena lieta, ko mēs mērām, ir tas, kā mēs mērām? Kā mēs aizsargājam savus produktus? Un mēs vērtējam sevi skalā no nulles līdz pieciem, kas ir maksimālais briedums.
Tagad, ja jums ir patiešām labi produkti, bet tie atrodas nedrošā infrastruktūrā, jums ir problēma. Tātad otrais ir nodrošināt mūsu infrastruktūru. Un trešais ir atklāšana un reakcija. Tātad, ja jums ir patiešām droši produkti patiešām drošā infrastruktūrā, bet neviens to neskatās un neviens nemēra vai neuzrauga vidi, vai tajā nav uzbrukumu, tad jums ir problēma. Tātad mums tā noteikšanas reakcija ir trešā, kas ir kritiska.
Ceturtais tad ir cilvēki. Un cilvēku komponents, tas ir absolūti... Es nevaru to pietiekami uzsvērt, jo, ja jums nav cilvēku, kas saprot kiberdrošību, tad jums ir galvenā problēma. Vairumā gadījumu cilvēki kaut ko izdara uzņēmumā nejauši, t.i., viņi var noklikšķināt uz pikšķerēšanas saites, kas apdraud jūsu tīklu. Tātad viena lieta, ko mēs to saucam, ir ielu vieda. Tātad viens no četriem pīlāriem ir: vai mēs varam panākt, lai cilvēki būtu ielu gudri? Citiem vārdiem sakot, kiberdrošība vieda, ielu vieda. Tāpēc, ja viņi, ejot pa ceļu, redz, ka kāds svešinieks izskatās aizdomīgs, izmantojiet savu apziņu. Tas pats ar kiberdrošību. Kādas ir vienkāršas lietas, kas viņiem būtu jādara vai jādomā ikdienā, lai aizsargātu uzņēmumu?
Un tad piektā patiešām ir pārvaldība. Kā mēs veicam pārvaldību un kā mēs paši sevi pārvaldām? Un kā mēs novērtējam savus panākumus? Tātad, ja paskatās uz to, tie ir pieci vienkārši pīlāri. Tas ir vienkārši produkts, infrastruktūra, noteikšanas reakcija, cilvēki un pārvaldība. Un katram no tiem mēs mērām no nulles līdz pieciem. Tātad valdei un citiem locekļiem ir ļoti viegli paskatīties uz jautājumu, kā mēs laika gaitā virzāmies pret šīm jomām? Tas ļauj jums pacelties augstumā, citiem vārdiem sakot, tūkstoš pēdu skats. Un tad, ja ir jautājums par infrastruktūru, varat apskatīt mērījumus, infrastruktūras pīlāru un pēc tam vēlāk, ja viņi vēlas, sākt pāriet uz citiem rādītājiem. Bet patiesībā tas ir veids, kā mēs to formulējam, kā mēs izveidojām savu drošības programmu. Un tas, manuprāt, ļoti labi sasaucas ar padomi, jo tagad viņi var novērtēt mūs, pamatojoties uz zināmām entītijām, salīdzinot ar bezjēdzīgiem rādītājiem, kas lielākoties viņiem neko nepasaka.
Laurels : Bet ja mēs to mainītu? Kādai atbildībai ir jāuzņemas padomei, lai tā būtu ielu gudra un tai būtu kaut kāda pamata izpratne par kiberdrošību? Vai arī jūs to uzņematies kā savu personīgo pienākumu pavadīt laiku kopā ar katru dalībnieku, lai pārliecinātos, ka viņi saprot pamatus?
Niall : Pareizi. Tātad mums tas ļoti nozīmē, ka ir jāiegūst noteikts zināšanu līmenis un pēc tam jābalstās uz šīm zināšanām, lai vismaz visi būtu vienā zināšanu līmenī. Tātad viens piemērs ir atkal, jums varētu būt kāds, kas vada šo revīzijas komiteju, kurš ir ļoti, ļoti tehnisks vai ļoti, ļoti atkarīgs no atbilstības. Un viņa vai viņš var zināt visu par valdēm... auditiem un visiem ietvariem. Un tas ir lieliski. Un tad, no otras puses, jums varētu būt kāds, kas vairāk balstās uz finansēm vai vairāk balstās uz auditu. Un tad jautājums ir, kā jūs strādājat, lai uzlabotu ikviena prasmju kopumu?
Un ir daudz dažādu veidu, kā to izdarīt. Tās ir divas lietas. Viens ir apsēsties ar viņiem viens pret vienu un pēc tam nodrošināt augstākā līmeņa sarunu. Tas ir tas, ko mēs darām. Šī ir visa mūsu drošības programma. Tas darbojas šādi. Šādi izskatījās 2020. gads. Tā izskatās 2021. gads... tāpēc ir ļoti, ļoti svarīgi panākt, lai visi nonāktu vienā līmenī un veidotu šīs attiecības.
Un mēs nepārtraukti redzam, ka mūsu valdes locekļi vērsīsies pret mums vai mēs sazināsimies ar viņiem, daloties ar datiem, vai arī viņiem būs ideja, par kuru mēs neesam domājuši, un mēs teiksim: 'Nu, tas ir tiešām laba ideja. Iekļausim to savā programmā. Tāpēc es domāju, ka tas ir ļoti noderīgi. Un tad otrā daļa ir tāda, ka viss ir stāsts. Tātad stāsts un stāstījums. Tātad, ja atverat grāmatu un sākat no drošības puses un sākat ar nodaļu beigu daļu, tas nav īpaši pārliecinoši. It kā, kas ir Džeina? Kas ir Džūdija? Kas ir Tims? Kas ir Tonijs? Nav nekādas jēgas.
Un bieži vien kiberdrošības ziņojumos notiek tas, ka padome skatās... un šeit ir viņa vai viņš, kas uzstājas kā CISO, un viņi uzrāda datu un metrikas kopu, ko viņi nesaprot, un tāpēc viņi ar to neko nevar izdarīt. Tāpēc mēs pavadām daudz laika, savu pirmo dēli, sākot ar pamatprincipu kopumu un pēc tam katru dēli, apmēram ik pēc trim mēnešiem, mēs pakāpeniski iedziļināmies detaļās, augot un veidojot. šajā kiberdrošības komplektā viņi var labāk izprast un uzlabot savu izpratni. Un tad no viņu puses, ar šo izpratnes līmeni, viņi var ļoti viegli ielēkt un pateikt: 'Ak, starp citu, šeit ir joma, kurai, manuprāt, jums vajadzētu koncentrēties.'
Un mūsu padomē, protams, ir daži riska kapitāla uzņēmumi, kas ir ļoti tehniski, un tiem būs slīpums, uz kuru viņi vēlēsies, lai mēs koncentrētos uz to. Es gribu teikt: 'Protams, iekļausim to kā daļu no mūsu programmas.' Tāpēc es domāju, ka es to uztvertu kā komunikāciju pa dēli kā ļoti daudz komunikāciju turp un atpakaļ. Tam nevajadzētu notikt reizi ceturksnī. Tam nevajadzētu notikt katru dienu, taču tam noteikti ir jānotiek visu ceturksni, kad valdes loceklim ir ideja, un tad jūs varat to iekļaut kā daļu no savas labākās prakses.
Tagad tajā pašā laikā vēlaties, lai šī uzņēmuma darbinieki varētu operatīvi vadīt savu drošības komandu. Taču, protams, ieskats, ko daži valdes locekļi var sniegt, dažos gadījumos ir milzīgs, jo viņi ir bijuši šajā nozarē daudzus dažādus gadus. Un kā daļu no šī modeļa viņi parasti būtu redzējuši to, ko citi cilvēki nekad iepriekš nav redzējuši. Turklāt es domāju, ka tas, kas no turienes galvenokārt ir izdevīgs, kiberdrošībā, kiberdrošībā, atkal, tā ir biznesa problēma un tas ir biznesa process. Tātad lielākā daļa šo valdes locekļu ir izcili biznesa prakses risināšanā. Varbūt ne kiberdrošība, bet viņi var risināt kiberdrošības problēmu un saistīt to ar citu uzņēmējdarbības paraugpraksi un pēc tam izmantot to kiberdrošībā.
Un, atklāti sakot, es domāju, ka tā ir vislabākā vērtība, ko var nodrošināt dēlis. Daudzas reizes CISO un drošības komanda var neredzēt koksni no kokiem, jo viņi ir tik ļoti iesaistīti tajā. Valdes locekļiem tā ir lieliska prizma, ar kuras palīdzību viņi var paskatīties uz to no ārpuses iekšā, un viņi var sniegt ieskatu, pamatojoties uz: “Pagaidiet, veids, kā jūs risinat šo problēmu, pamatojoties uz kiberdrošību, veicot konsultāciju modeli, kas nedarbojas vai nav mērogots. Tā vietā jums vajadzētu izveidot modeli viens pret daudziem, t.i., vienreiz novērst problēmu un pēc tam to kopīgot starp visiem jūsu komponentiem, tāpat kā to dara mākonis, programmatūra kā pakalpojums. Uzņēmējdarbības skatījums, biznesa perspektīva, manuprāt, man ļoti patīk strādāt ar padomi, dalīties ar idejām un pēc tam sadarboties turp un atpakaļ. Jo atkal es domāju, ka viņu biznesa spēja ir nepārspējama. Un, ja jūs varat vienkārši pozicionēt kiberdrošību kā biznesa problēmu, tad jūs patiešām varat ļoti ātri izveidot ļoti spēcīgu sadarbības vides pieaugumu.
Laurels : Tātad, runājot par jūsu līmeņa paaugstināšanu vai prasmju paaugstināšanu, kad jūs pirmo reizi sapratāt, ka uzbrukuma virsmas pārvaldība ir jauna atsevišķa disciplīna, ar kuru jums bija jāiepazīst, jāizglīto padome un pēc tam jāpalīdz darbiniekiem un jāplāno?
Niall : Labs jautājums. Es domāju, ka, ja skatos uz ASM jeb uzbrukuma virsmas pārvaldību, tā, iespējams, ir viena no jomām, kurai CISO pievērš vismazāko uzmanību un tomēr ir vissvarīgākā. Un iemesls tam ir tāds, ka, ja paskatās uz jebkuru hakeri, ja hakeris vēlas kompromitēt jūsu vidi, pirmais, ko viņi darīs, ir vispirms iepazīt jūsu vidi. Piemēram, ja jums ir kramplauzis, kad viņš ielaužas mikrorajonā, viņa vai viņš bieži klīst pa mikrorajonu, apskatīs, kuras ir mājas, kurām ir ārā tvertnes, kurām ir pirmais stāvs. logi ir atvērti, kuriem nav gaismas mājas priekšpusē, kurā rej suns?
Tātad jūs klīst garām. Vienkārši viss, ko jūs darāt, ir izlūkošana. Ātra pastaiga pa 20 mājām mikrorajonā. Jūs izvēlaties divus. Tagad jums ir divi mērķi. Pēc tam jūs atgriežaties vēlāk naktī vai atgriežaties rīt vakarā un tad ielaužaties šajos divos. Gatavs. Un atkal jūs skatāties uz to, kā dažādas nozares to dara. Tas ir aizraujoši, jo, ja paskatās uz vienu nozari, t.i., fizisko drošību, un pēc tam piemērojat kiberdrošību vai piemērojat to padomei, bieži vien ir ļoti daudz līdzību. Un tas pats ar kiberdrošību ir tas, ka, ja uzņēmums vēlas apdraudēt jūsu vidi, tas parasti notiks divos veidos. Viens no tiem ir tas, ka viņi parasti veic tīkla skenēšanu un skatās uz jūsu uzņēmumu un konstatē, ka jums ir vāja drošība. Un tad viņi pagriež galvu atpakaļ un saka: 'Ak, interesanti, ir atvērtas aizmugurējās durvis. Es koncentrēšos uz šo uzņēmumu.
Vai arī divi, viena un tā pati lieta, viņi veic izlūkošanu, bet viņi jau zina, kas jūs esat. Un šajā gadījumā viņi vēlas uzzināt pēc iespējas vairāk, lai varētu apdraudēt jūs dziļi jūsu tīklā. Tātad, pirms veicat jebkādu vides uzlaušanu, visbūtiskākā daļa ir izlūkošanas komponents. Citādi tu esi bullis porcelāna veikalā. Jūs steidzaties iekšā, izsitiet sensorus pa labi, pa kreisi un centrā. Jums nevajadzētu iet pa ārdurvīm, jums vajadzētu iet pa aizmugurējām durvīm. Tātad izlūkošanas komponents ir kritisks, kritisks, kritisks.
Tagad, ja vaicājat lielākajai daļai CISO, kad viņi pēdējo reizi izpētīja savu uzņēmumu, lielākā daļa atbildēs: 'Man nav ne jausmas.' Tāpēc viņi var teikt: 'Nu, mēs izmantojam drošības skeneri.' Bet, ja paskatās uz drošības skeneri, jūs pārejat uz drošības skeneri, esat ievietojis zināmu IP adrešu kopu, par kurām jūs zināt, un meklējat šīs IP adreses. Bet, ja paskatās uz to, tā ir aisberga redzamā daļa, jo kā izskatās jaunais nozares modelis? Tas ir šķidrs. Ir pagājuši laiki, kad kiberdrošība uzcēla ugunsmūri un neļāva satiksmei caur ugunsmūri.
Tagad viss ir ārkārtīgi dinamisks. Viss ir vērsts uz internetu. Tātad tagad jums ir Kubernetes, cilvēki, kas izveido desmitiem tūkstošu konteineru ar savām ārējām IP adresēm. Tie visi ir pieejami no interneta. Jums ir izstrādātājs, kas to dara, tas ir jādara. Jums ir pieejamas visas dažādās vides. Un tagad jūsu uzbrukuma virsma katru dienu mainās katru minūti. Daļa no tā ir, jo tā ir īsta. Jūs atļaujat izmantot IP adresi, kas ir tur, jo tam ir likumīgs biznesa iemesls, taču bieži vien tas, kas notiks, ir tas, ka cilvēki sakārtos vidi un pēkšņi tā tiks pakļauta internetam.
Vai drošības komanda par to zina? Likley nē, un CISO par to nav ne jausmas. Tāpēc iespēja iepazīt, izpētīt savu vidi vai ASM vai uzbrukuma virsmas pārvaldību ir ļoti svarīga. Jo, ja tu to nezini, tu nevari to aizsargāt. Un tad problēma ir tāda, ka jūs varētu izveidot IP adresi GCP vai AWS vai Alibaba. Tas varētu būt uz vietas, visi tagad strādā no mājām. Tātad mans klēpjdators varētu tikt pakļauts internetam. Un, ja paskatās uz to, tas, kas vienmēr notiek praktiski katrā atsevišķā uzbrukumā, galvenokārt no mitināšanas, sākas no ārpuses un darbojas. Tātad jums patiešām ir jāzina sava uzbrukuma virsma. Jums tas ir jāskenē katru dienu. Jums ir jāspēj attiecināt atklātās IP adreses un ierīces.
Vienkāršs piemērs ir, ja paskatās uz pēdējo notikušo pārkāpumu skaitu, tas ir vienkārši. Vairumā gadījumu tas ir klasteris, kas tika atklāts no interneta, vai kāds ir atļāvis, piemēram, transporta administrēšanas čaulu, piemēram, SSH vai RDP, no interneta, vai arī kāds ieguva Kubernetes klasteru un atklāja to no interneta. Katrā no šiem gadījumiem vienkārši cilvēki pieļauj nejaušas kļūdas. Taču bieži šīs IP adreses var tikt pakļautas internetam minūtes, dienas, gadus, un drošība nekad par to neuzzina un nepasargā no tā. Bet tajā pašā laikā hakeris zina, jo viņi dara savu darbu, viņi nepārtraukti veic izlūkošanu. Un šeit es redzu, ka šī problēma, kas pastāv jau vairākus gadus, ir saistīta ar jautājumu, kā es varu zināt, kas ir pakļauts internetam? tagad tas tiek definēts. Tā ir uzbrukuma virsmas pārvaldība. Kāds ir mans skats no ārpuses?
Tātad pirmo reizi kiberdrošība sāk... viņi zināja, ka problēma pastāv jau ilgu laiku, taču viņi nespēja skaidri formulēt, kas ir problēma, neatkarīgi no tā, kāds ir risinājums. Un tagad es redzu tādas izmaiņas, kuras, protams, pēdējo gadu vai divu laikā, cilvēki teica: 'Tā nav problēma, lai es varētu uz to skatīties un teikt, jā, tā ir problēma.' Tagad jums ir jāpāriet no šīs problēmas elkošanās uz: 'Ei, mums tas ir jālabo.' Jo tā iekļūst hakeri. Un tagad es redzu, ka cilvēki saka: 'Sāksim to labot.' Un es domāju, ka turpmāk uzbrukuma virsmas pārvaldība būs viena no vissvarīgākajām jebkuras CISO un to organizācijas sastāvdaļām. Ja nē, tad viņi iegūs īpašumā. Viņi tiks apdraudēti, un tam būs postoša ietekme uz viņu biznesu.
Laurels : Tātad, runājot par to un to, kā padome saprot uzbrukuma virsmas pārvaldību, lielākā daļa IT darbinieku izvēlēsies, kā jūs teicāt, vieglumu un lietderību. Viņi veido Kubernetes, serverus un mākoņa gadījumus, un neatkarīgi no tā, kas tas ir, jo viņiem vienkārši jāpabeidz darbs. Kāpēc tas ir, ja jums ir globāls uzņēmums, šāda problēma vai, es teiktu, iespēja atrisināt, kad veicat citas biznesa vajadzības, piemēram, apvienošanās un pārņemšanas gadījumā, ja jums var sanākt divi uzņēmumi, kas apvienojas un jūs domājat jūs zināt, kur atrodas visi serveri, bet patiesībā uzņēmums aug un mainās katru dienu. Un tas var nebūt pēdējais, pēdējais ticamais skaits. Kāpēc tas satrauc CISO un valdi?
Niall : Tāpēc es domāju par to kā divējādi. Viens no tiem ir zināt sava uzņēmuma uzbrukuma virsmu. Un tad, otrkārt, jebkuram no jūsu ieguvumiem, pirms tos iegādājaties, jums ir jāzina arī to uzbrukuma virsma. Tātad, ja jūs jautājat 99% CISO: 'Pastāstiet man par manu uzbrukuma virsmu.' Viņiem nebūs datu, lai to izdarītu. Tāpēc sniedziet piemēru: Palo Alto Networks mēs izmantojam Xpanse. Un veids, kā darbojas, ir četras galvenās fāzes, par kurām es domāju uzbrukuma virsmas pārvaldību. Un tas attiecas uz gadījumiem, kad iegādājaties uzņēmumu vai esat integrējies savā organizācijā pēdējo 10 gadu laikā.
Un pirmā daļa ir nepārtraukta atklāšana. Tātad jums ir jābūt iespējai — un tāpēc mēs izmantojam Xpanse — nepārtraukti skenēt 24 reizes 7 reizi 365, katru IP adresi internetā, lai noskaidrotu, kuras IP adreses un porti ir atvērti. Tātad, pirmkārt, jums ir jāzina visas interneta IP adreses un porti. Problēma ir kārtībā, taču tā jums neko daudz nedos. Kāda ir atšķirība starp IP adresi Palo Alto Networks un Acme IP adresi, it īpaši, ja tā mainās katru minūti? Tā kā viss ir dinamisks, internetā viss nepārtraukti mainās.
Tātad otrā daļa mums patiešām ir attiecināšana. Tātad viss tiek skenēts. Mēs veicam attiecināšanu. Tāpēc mēs sākam aplūkot katru IP adresi, katru pakalpojumu, katru lietotāju internetā, lai meklētu pašus lietotājus, vai tie ir Palo Alto Networks lietotāji vai Palo Alto Networks ierīces vai tīkli? Ļoti kritiski, jo mēs varam redzēt, ka jebkurā laikā, ja kāds Londonā pievieno klēpjdatoru, mēs varam iegūt attiecinājumu, ka tā ir viena no mūsu ierīcēm un tīkliem. Un, ja šis tīkls un ierīce atver RDP — attālo čaulu no interneta, tad tā ir problēma. Vai arī, ja kāds izveido tīklu, par kuru mums nav ne jausmas, kas tas ir, un tam ir (personiski identificējama informācija) PII vai veselības aprūpes dati, tas būtu postoši mūsu biznesam. Tāpēc mēs pavadām daudz laika, izmantojot rīkus, piemēram, Xpanse, attiecinājuma komponentam.
Trešais komponents, ko mēs aplūkojam, tagad jūs zināt IP adreses un pakalpojumus un zināt, kuri no tiem ir Palo Alto Networks. Pēc tam pastāv dažādi riska līmeņi. Ja kāds atver kaut ko no interneta, kas ir tīmekļa serveris, un tas sazinās, izmantojot šifrēšanu, izmantojot SSL, un tas ir labi salabots, tad lielākoties risks šajā gadījumā, iespējams, ir viens no 10. Bet tad, ja esat ieguva citu IP adresi, kas tika izveidota, un tā ļauj izmantot iekšēju inženierijas rīku, kas nejauši tika pakļauts internetam un kuram ir piekļuve jūsu mākoņa vidēm, un tas nav labots. Un bieži tā nav. Tā kā, aplūkojot nejauši atklātos rīkus, tie netiek pārvaldīti, jo, ja tie tiktu pārvaldīti vispirms, tie netiktu pakļauti internetam.
Tātad mums patiešām modelis ir katras IP adreses un katra pakalpojuma riska līmenis? Un tad mēs varam koncentrēties uz tiem, kas ir astoņi vai deviņi no 10. Ikdienā vai stundā mēs varam tos labot. Taču bieži vien atkal ir tā, ka, ja viņi ir pakļauti internetam, viņi ir pakļauti, tie nav izlaboti, viņi netiek pārvaldīti. Tie ir nejauši atklāti.
Un tad pēdējais, uz kuru mēs koncentrējamies, problēma tagad ir tāda, ka šeit ir mēroga problēma. Jūs nerunājat par trim IP adresēm vai četrām IP adresēm. Jūs varētu runāt par 40 000 IP adresēm, 400 000 IP adresēm. Un tad pēkšņi rīt tas ir 500 000. Pēc tam tas samazinās līdz 350 009 IP adresēm. Tāpēc problēmas mēroga dēļ un tāpēc, ka laika gaitā arvien vairāk lietu būs saskaras ar internetu, vienīgais veids, kā to atrisināt, ir automatizācija. Nav šaubu, ka problēma, ka tiek ģenerēts brīdinājums un kāds no drošības operāciju centra (SOC), skatās uz šo IP adresi, apskata pakalpojumu, vienkārši nedarbojas.
Tātad, kam ir jānotiek, visam ir jābūt automatizētam. Kāds ir šīs IP adreses risks, sākot no skenēšanas perspektīvas līdz attiecinājuma komponentiem? Tagad tā vietā, lai iegūtu 500 000 IP adreses, un tagad jūs koncentrējaties uz trim IP adresēm, kas tur pēkšņi parādījās, viena ir kā SSA serveris. Viens varētu būt kā Telnet serveris, cits varētu būt inženierijas rīks. Un pēc tam no automatizācijas slāņa vēlaties pakalpojumā izveidot automatizāciju, ar kuru šis pakalpojums tiek automātiski labots neatkarīgi no tā, vai tas ir labots vai izmantots bezsaistē.
Un, ja paskatās uz visu ķēdi, tas ir pretējs tam, ko dara hakeris. Hakeris ir tas, ka viņi veic izlūkošanu un pēc tam ielaužas šajā serverī, lai apdraudētu jūsu vidi. Jūs sākat to pašu pozīciju kā viņi, kur jums vajadzētu būt. Jums vajadzētu sākt ar savu uzbrukuma virsmu, savu izlūkošanu. Un pēc tam jūs skatāties uz savu risku. Jūs skatāties uz ielāpu, jūs meklējat to bezsaistē. Jūs skatāties uz automatizāciju. Tāpēc es esmu stingri pārliecināts, ka, virzoties uz mākoņiem, cilvēkiem, kas strādā no mājām, šī perimetra koncepcija ir pazudusi 10 gadus. Tas ir pazudis 10 gadus. Bet kiberdrošība ir bijusi pie tā un saka: 'Nu, tur joprojām ir perimetrs.' Tur nav.
Tagad viņi redz katru ierīci, kas atrodas internetā. Tas ir savs perimetrs. Ierīce, tīkls, neatkarīgi no tā, kas tas ir. Un tiešām, es domāju, ka viens no noteiktiem virzošajiem faktoriem, ja viss ir internetā, ja viss ir tiešsaistē, ja viss vienmēr sazinās, ja viss dinamiski mainās, jums ir jābūt kiberdrošības programmai, kas spēj zināt , pastāstiet man par katru ierīci, kas ir tīklā vai internetā, kāds ir tās riska līmenis? Un pēc tam tiem, kas sasnieguši noteiktu riska līmeni, izmantojiet to bezsaistē un izmantojiet vadīklas. Un, starp citu, jums tas jādara 24 reizes 7 reizes 365, bez cilvēkiem. Jums tas jādara problēmas mēroga dēļ. Ja jums ir persona, kas ir iesaistīta šajā procesā, jūs cietīsit neveiksmi. Jūs cietīsit neveiksmi. Tāpēc mēs izmantojam tādus rīkus kā Xpanse, lai atrastu un pēc tam novērstu šīs problēmas.
Laurels : Jā. Tehnoloģija ir mērogojama, bet cilvēki nav. Taisnība?
Niall : Tieši tā.
Laurels : Nu, Niall, es novērtēju šo šodienas sarunu. Tas ir bijis ārkārtīgi aizraujošs, un tas mums ir devis tik daudz pārdomas. Tāpēc paldies, ka pievienojāties mums šodien biznesa laboratorijā.
Niall : Liels paldies par uzaicinājumu. Man ļoti patika saruna.
Laurels : Tas bija Nails Brauns, Palo Alto Networks galvenais informācijas drošības virsnieks, ar kuru es runāju no Kembridžas, Masačūsetsas štatā, MIT un MIT Technology Review mājas, no kura paveras skats uz Čārlza upi.
Tas ir viss šajā Business Lab epizodē. Es esmu jūsu saimnieks Laurel Ruma. Es esmu Insights direktors, MIT Technology Review pielāgotās izdevējdarbības nodaļa. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā. Un jūs varat mūs atrast drukātā veidā, tīmeklī un desmitiem pasākumu katru gadu visā pasaulē.
Lai iegūtu plašāku informāciju par mums un šovu, lūdzu, apmeklējiet mūsu vietni technologyreview.com.
Raidījums ir pieejams visur, kur saņemat aplādes.
Ja jums patika šī sērija, mēs ceram, ka veltīsit brīdi, lai mūs novērtētu un sniegtu atsauksmi.
Business Lab ir MIT Technology Review produkcija.
Šo sēriju producēja Collective Next.
Paldies par klausīšanos.
Šo aplādes epizodi veidoja Insights, MIT Technology Review pielāgotā satura nodaļa. To neizstrādāja MIT Technology Review redakcijas darbinieki.
