Live von RSAC! Testen, verifizieren, validieren
In dieser Folge trifft sich Moderator Raghu Nandakumara mit Rob Ragan, Principal Researcher bei Bishop Fox — live auf der RSAC 2023! — um die verschiedenen Arten von Bedrohungen und offensiven Sicherheitstrends zu erörtern und zu erörtern, wie kontinuierlich neue Möglichkeiten zur Verbesserung der Cyber-Resilienz gefunden werden können.
Transkript
00:02 Raghu Nandakumara: Willkommen bei The Segment. Ein Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber Raghu Nandakumara, Leiter für Branchenlösungen bei Illumio, der Zero Trust Segmentation Company. Heute gesellt sich Rob Ragan, Principal Researcher bei Bishop Fox, einem führenden Anbieter von offensiven Sicherheits- und Penetrationstests, zu mir. Bei Bishop Fox konzentriert sich Rob auf pragmatische Lösungen für Kunden und Technologie und überwacht die Unternehmensstrategie zur kontinuierlichen Sicherheitsautomatisierung. Rob verfügt über mehr als ein Jahrzehnt Erfahrung im Bereich Cybersicherheit und hatte zuvor verschiedene Funktionen als Softwareentwickler bei Hewlett-Packard und SPI Dynamics inne. In dieser Folge der Sonderausgabe begleitete mich Rob live bei RSAC, um verschiedene Arten von Bedrohungen und offensive Sicherheitstrends zu untersuchen und zu erfahren, wie man kontinuierlich neue Möglichkeiten zur Verbesserung der Cyber-Resilienz findet. Was war der Karriereweg, den Sie gegangen sind, um dorthin zu gelangen, wo Sie sind? Erzählen Sie uns also etwas über Ihren Hintergrund.
00:57 Rob Ragan: Es begann für mich wirklich als persönliche Leidenschaft und Hobby. Ich hatte das Glück, in jungen Jahren Gleichgesinnte zu finden. Es war tatsächlich durch das 2600: Hacker Quarterly Magazine und ich hatten einen Freund, der zu der Zeit vielleicht keinen so guten Einfluss hatte, der mir zeigte, wie man Websites verunstaltet, und ich überspringe die Teile, in denen es darum geht, mit ihnen in Schwierigkeiten zu geraten, aber es hat mir wirklich die Augen geöffnet, dass es sogar diese Community und die Möglichkeit gibt, dass Leute Computer auf diese Weise betrachten. Von da an dachte ich immer, ich würde Software-Ingenieur werden. Ich habe wirklich den Weg beschritten, IT-Berater zu werden und alles zu tun, vom technischen Support über den Netzwerkadministrator bis hin zum Systemadministrator und... Aber ich bekam tatsächlich die Gelegenheit, etwas zu programmieren, als ich Software testete und debuggte und vielleicht bei einigen Bugfixes half. Von da an wurde ich Entwickler von Webanwendungen. Und so war ich ungefähr sieben Jahre lang beruflich als Entwickler von Webanwendungen tätig. Und dann bekam ich meine erste Rolle im Bereich Sicherheit, und zwar im Bereich Sicherheitsprodukte, für ein Unternehmen namens SPI Dynamics, das ein Produkt namens WebInspect herstellte, das Webanwendungen automatisiert crawlte und nach Sicherheitslücken durchsuchte.
02:05 Rob Ragan: Und ich sagte: „Ja. Das ist wirklich das, was ich tun möchte.“ Und ich habe an dieser Engine gearbeitet, ich habe auch in dieser Firma an der statischen Analyse gearbeitet. Aber eigentlich bestand meine erste Aufgabe dort darin, anfällige Webanwendungen zu schreiben, um sicherzustellen, dass unsere Produkte sie finden konnten. Also musste ich wirklich eingehend all die falschen Methoden zur Erstellung einer Anwendung untersuchen, zum Beispiel, was sind all die verschiedenen Möglichkeiten, SQL-Injection zu implementieren, nur um sicherzustellen, dass unsere Produkte auf der Codeebene und auf der Ebene der Live-Anwendungstests diese Probleme gefunden haben. Aber dort bekam ich auch meinen ersten Vorgeschmack auf Penetrationstests. Sie haben mich sogar mit einer Gruppe von Leuten zusammengebracht, in der wir quasi zwei Wochen lang gegen eine Organisation vorgehen mussten. Es hieß wirklich, tu dein Schlimmstes. Und ich sagte: „Warte. Kannst du das professionell machen? Die Leute werden dich dafür bezahlen, dass du das jeden Tag den ganzen Tag machst?“ Und das hat mir wirklich die Augen geöffnet und ich sagte: „Ja. In Ordnung. Das ist... Ich will die Schicht machen. Ich will das machen. Das ist aufregend.“
02:52 Raghu Nandakumara: Das ist großartig. In Ihrer Rolle als Principal Researcher liebe ich den Titel übrigens. Wenn Sie sich die Natur von Bedrohungen ansehen und, um einen klischeehaften Begriff zu verwenden, „Bedrohungslandschaft“, wie hat sich das in den letzten 10 bis 15 Jahren, in denen Sie quasi ein begeisterter Teilnehmer in diesem Bereich waren, verändert?
03:17 Rob Ragan: Ja. Ich denke, unser Verständnis davon hat sich stark verändert und weiterentwickelt. Ich denke immer noch, dass es grundsätzlich einige konsistente Wahrheiten gibt, also... Ich stelle mir die Bedrohungen in den Räumen gerne als opportunistische Bedrohungshacker vor, denen es nicht einmal unbedingt wichtig ist, auf welche Organisation sie es abgesehen haben. Sie scannen vielleicht das gesamte Internet nach dem neuesten CVE, was auch immer das neueste Problem ist, und sehen, wer verwundbar ist, und sammeln Ressourcen, sammeln Ressourcen, erhalten einen ersten Zugriffsvektor und finden vielleicht später heraus, wo sie sich befinden. Und ich denke, es gibt auch motivierte Bedrohungen, die... Ich habe das Ziel, eine bestimmte Organisation ins Visier zu nehmen oder... Und dann letztlich anhaltende Bedrohungen, die lauten: „Ich gebe nicht auf, bis ich das bekommen habe, wonach ich suche.“ Ich glaube, in den letzten 10 bis 15 Jahren hat sich das einfach weiterentwickelt zu... Viel mehr dieser opportunistischen Bedrohungen können eine so starke Wirkung haben wie: „Okay. Ich habe eine Shell auf einem System, jetzt weiß ich, in welcher Organisation ich tätig bin. Das ist ein wirklich gutes Ziel für Ransomware. Und ich denke, dass ich das verkaufen kann... Verkaufe sogar diesen ersten Zugriffsvektor an eine andere Gruppe, die motivierter ist, das Ransomware-Tool tatsächlich zu verwenden und den Prozess der Erpressung dieses Unternehmens zu automatisieren.“
04:26 Raghu Nandakumara: Also ich möchte irgendwie... Sie haben im Wesentlichen die ganze Art der, ich würde sagen, Malware-Ökonomie durch bösartige Akteure leicht angesprochen, also kommen wir gleich darauf zurück. Aber Sie sprechen über Motivation und ich sehe diese Entwicklung der Motivation aus: „Oh. Ich habe diesen Weg gefunden, etwas grundlegend zu stören, einige Leute leicht zu irritieren, vielleicht eine Organisation zu irritieren und es dabei zu belassen.“ Und dann ist Ransomware natürlich ein Paradebeispiel für: „Wie monetarisiere ich und fordere Lösegeld, wenn ich den Zugriff auf Daten auf Systeme usw. wiederherstellen kann?“ Und bei der letzten Art von... Vor allem das letzte... Ich denke es ist... Der Begriff ist in den letzten 12 Monaten in Mode gekommen, aber es war definitiv der Fall, weil es um politische Ereignisse usw. geht oder es wirklich um Störungen in massivem Ausmaß geht. Infolgedessen haben wir offensichtlich gesehen und gehört, dass der Begriff „Cyber-Resilienz“ jetzt wirklich zu etwas wird, das sich die Kunden wünschen, und natürlich sprechen die Anbieter darüber: „Okay. Wir helfen Ihnen dabei, eine bessere Cyber-Resilienz zu erreichen.“ Haben Sie auch festgestellt, dass sich die Hauptmotivation von Angriffen von lästigen Angriffen zu finanziellen Störungen hin zu groß angelegten Störungen verändert hat?
05:32 Rob Ragan: Richtig. Und ich denke, es wird wirklich organisationsspezifisch für... Unternehmen werden immer reifer, wenn es darum geht, anhand des Geschäftskontinuitätsplans oder des Resilienzplans zu ermitteln, worauf sie sich konzentrieren möchten: „Ist Verfügbarkeit etwas, worauf ich mich konzentrieren möchte? Ist, wie wirkt sich das auf unser Geschäftsergebnis aus, wenn wir Ausfälle haben, ist es Eigentum, das ich schützen möchte, oder ist es eine andere Sache, auf die ich mich konzentrieren möchte?“ Ich sehe, dass sich diese Organisationen sogar auf der Führungsebene hinsetzen und vielleicht ein Tischgespräch machen wollen, in dem sie den Plan zur Reaktion auf Vorfälle in diesen verschiedenen Szenarien durchsprechen, von denen sie glauben, dass sie sich auf ihre Kollegen auswirken, und es ist eine Frage, wann nicht, ob sie sich damit auseinandersetzen müssen — dem zuvorzukommen, indem sie tatsächlich planen, wie sie versuchen werden, sich zu erholen. Selbst auf allen Ebenen des Führungsteams stellt sich die Frage, welche Rolle die Rechtsabteilung dabei spielt? Was ist das HR-Team in dieser Angelegenheit, was ist das PR-Team? Haben sie einen vorgefertigten Plan und eine Antwort darauf, wie wir uns erholen werden, wenn das passiert, damit wir uns nicht unter Druck und Fehlern bemühen, es tatsächlich zu tun?
06:31 Raghu Nandakumara: Sicher. Und wenn ich zurückkomme, um mir die Organisationen und die Bedrohungslandschaft und so weiter anzusehen und das Ganze einzubeziehen... Wir haben sozusagen über Angriffe gesprochen, deren Hauptmotivation eine groß angelegte Störung ist. Und in diesem Zusammenhang stellen wir in letzter Zeit fest, dass der Schwerpunkt auf nationalen kritischen Infrastrukturen liegt, und zwar als Erweiterung dieser OT... Große OT/IoT-Netzwerke und der Punkt, an dem sich IT und OT/IoT sozusagen treffen. Wie wirkt sich das wirklich auf Ihre Praxis als Bedrohungsforscher und Anbieter offensiver Sicherheitslösungen aus?
07:10 Rob Ragan: Wir haben das Glück, mit einigen der größten Unternehmen der Welt zusammenzuarbeiten, die... Einer der Börsenhändler, der ein Partner von uns ist, ist John Deere. Wenn Sie sich also die Größe einer Organisation ansehen und sehen, wie sie OT als echten Bestandteil all dieser Traktoren betrachten, werden Sie zu Zehntausenden oder Hunderttausenden von Geräten, die miteinander verbunden sind und über Satellitennetzwerke wieder mit Produktion, Telematik und Rechenzentren und Dingen in dieser Richtung verbunden sind, sodass sie tatsächlich Einblick in die globale Lebensmittelversorgungskette erhalten, und wenn es zu Störungen dieser OT-Geräte kommen sollte, könnte das die Möglichkeit beeinträchtigen, ganze Länder zu ernähren und wirken sich auf ganze Volkswirtschaften aus. Was wir tun können, ist ihnen zu helfen, ganzheitlich zu betrachten, was die Ausgangszustände der verschiedenen Bedrohungsakteure sind, um sie herum ihre Fähigkeiten zur Reaktion auf Vorfälle zu üben, und damit meine ich, es könnte sein, wie es aussieht, das Head-up-Display eines Geräts zu kompromittieren? Wie sieht es aus, wenn in einer Cloud-Umgebung ein Workload kompromittiert ist? Was ist, wenn es... Der Startzustand ist ein Laptop in einer Unternehmensumgebung oder der eines Mitarbeiters? Und dann in der Lage zu sein, tatsächlich einen Plan für ein Szenario zu haben, mit welchen Kontrollen sie erwarten, um sich einen Überblick zu verschaffen und sogar zu erkennen, dass diese Art von Angriff stattfindet. Welche Kontrollen haben sie aus Sicht der Prävention?
08:43 Rob Ragan: Und wir gehen rein und helfen ihnen dabei, tatsächlich zu visualisieren, was all die Komponenten sind, die miteinander zusammenhängen? Auch wenn das noch nicht entwickelt ist, helfen wir Unternehmen dabei, die Architektur und das Design dieser Komponenten zu entwerfen, damit sie aus der roten Teaming-Perspektive ganzheitlich betrachten und die Frage beantworten können, wo unsere beabsichtigten Vertrauensgrenzen liegen? In welchen Bereichen möchten wir unserer Meinung nach eine Reaktion auf einen Vorfall auslösen? Und dann helfen wir ihnen, in einem Angriffsdiagramm zu visualisieren, was wir aus der Sicht eines Angreifers sehen. Was sind die TTPs des MITRE ATT&CK Frameworks, die wir als Pivot verwenden, wenn wir Angriffe in diesen Umgebungen ausführen, und wo sind ihre Verbesserungsmöglichkeiten? Wir helfen ihnen dabei, in dieser Grafik zu visualisieren, wie wir es mit diesem Zugriff in dieses System geschafft haben. Wir sind auf ein anderes System umgestiegen, wir sind hier auf eine Steuerung gestoßen oder wir sind nicht auf eine Steuerung gestoßen, die wir erwartet hatten, und das ist vielleicht eine Gelegenheit zur Verbesserung. Oder wo wir auf eine Kontrolle gestoßen sind, mussten wir einen anderen Weg einschlagen, und wir helfen ihnen zu verstehen, wo es partielle Erkennungen gibt, wo es teilweise verhindert wird, aber vielleicht gab es hier einen Mangel an Sichtbarkeit oder es gab eine Fehlkonfiguration, die sie verbessern könnten.
09:35 Rob Ragan: Und ich denke, viele Teams sehnen sich danach, das aus der Sicht eines Angreifers zu sehen. Und wir gehen sogar ins Detail, da wir unser eigenes Malware-Implantat-Framework entwickelt haben, das über eine Journalfunktion verfügt. Wir nehmen also jedes Mal auf, wenn wir auf einem System sind, das Datum und den Zeitstempel, an dem wir genau diesen Befehl ausgeführt haben, damit das Blue-Team dann untersuchen kann, ob... können wir in unserem Splunk oder in unseren anderen Logs korrelieren, dass wir diese Aktivität gesehen haben, oder ist das etwas, für das es keinen legitimen Nutzen gibt, also wollen wir das als neues Ereignis auslösen können, das in unserer Reaktion auf Vorfälle passiert.
10:09 Raghu Nandakumara: Ich möchte mit einer sehr grundlegenden Frage fragen, um das, was Sie gerade gesagt haben, zu begleichen. Wenn wir über IT als Bedrohung durch IT, OT, IoT sprechen, ist es oft so, als ob der Fokus auf der IT- und OT-Grenze liegt. Wenn diese Vernetzung stattfindet und ich denke, die vereinfachte Darstellung des Risikos so ist, dass eine Kompromittierung der IT zur Kompromittierung des OT-Netzwerks führt, sagen wir, dazu, dass die Produktion eingestellt wird oder eine Gesundheitsorganisation nicht in der Lage ist, Patientendienstleistungen zu erbringen. Aber ich bin mir sicher, dass die tatsächliche Bedrohung oder das Risiko deutlich komplexer ist und im Grunde sogar eine Beeinträchtigung des OT-Netzwerks selbst ohne jegliche Interaktion mit der IT ist. Das ist eine echte Bedrohung. Was ist Ihrer Meinung nach also eine bessere Darstellung der wahren Bedrohungen?
11:00 Uhr Rob Ragan: Ja. Ja, wir sehen Organisationen, die sich tatsächlich mit... beschäftigen wollen. In einigen Fällen testen wir die Firmware auf diesen Geräten und versuchen tatsächlich zu verstehen, was die Komponenten von Drittanbietern sind, an deren Entwicklung das Unternehmen vielleicht nicht beteiligt war, aber jetzt die gemeinsame Verantwortung und die Sicherheit ihrer Verwendung dieser Komponenten trägt. Wir sehen oft, dass sie zuvor keine Tests und Analysen durchgeführt haben, aber es ist ans Licht gekommen, insbesondere mit dem Fokus auf Lieferkettenrisiken und insbesondere mit dem Fokus darauf, dass das vielleicht unsere schwächste Stelle sein könnte, und zuvor haben wir es nicht getestet und versucht, damit Schwachstellen aufzudecken. Aber das könnte das schwächste Glied sein, wenn es darum geht, dieses Gerät zu gefährden. Und die Bedrohungen sind... Angreifer untersuchen also diese häufig verwendeten Komponenten in diesen Geräten. Vielleicht ist es ein Chipsatz, der inhärente Probleme hat, die es noch jahrelang in freier Wildbahn geben wird und nicht wirklich behoben werden kann. Sie schauen es sich also an, wenn ich einen Exploit dafür habe, wird sich das auf all die Geräte auswirken, die ich im Internet finden und sehen kann. Und Unternehmen müssen die Antwort auf die Frage wissen, ob sie andere Schutzmaßnahmen ergreifen oder planen sollten, wenn es sich um etwas handelt, das Dutzende von Jahren andauern wird.
12:02 Raghu Nandakumara: Und tatsächlich hast du etwas angesprochen, das... Ich weiß, dass wir offline waren. Wir hatten ein Gespräch darüber, dass Sie als offensive Sicherheitsteams und -anbieter die Möglichkeit haben, im Grunde brandneue oder ich würde sagen, sehr alte Technologien zu erlernen und einfach tief in sie einzutauchen. Und ich denke, der OT-Bereich ist ein gutes Beispiel dafür, wie vielfältig das Spektrum an Technologien ist. Jeder Hersteller macht zu einem großen Teil sein eigenes Ding. Es muss also ein wirklich herausfordernder, aber auch faszinierender Teil der Rolle sein, sich eingehend damit befassen zu müssen.
12:31 Rob Ragan: Ist es. Es wird lustig. Wir haben oft die Gelegenheit... Ich gebe ein Beispiel, wo wir mit einem Energieversorger zusammengearbeitet haben. Und sie waren besorgt über das Risiko ihrer Umspannwerke, die sich in einer ganzen Region der Vereinigten Staaten befanden. Und die Geräte in diesen Umspannwerken stammen aus den 90er Jahren. Die von ihnen verwendeten Protokolle wurden ohne Berücksichtigung der Sicherheit entwickelt, das Gegenteil von Zero Trust. Sie bieten volles Vertrauen. Sie vertrauen allem, was dazu gehört, es gibt keine Authentifizierung, Autorisierung, es gibt nicht einmal ein Konzept einer Identität. Und wir konnten in einer Laborumgebung helfen, zu untersuchen, wie diese funktionieren, das Protokoll untersuchen, das seit Jahrzehnten nicht mehr aktualisiert wurde, und tatsächlich zeigen, wie wir Befehle an das Gerät senden können, um die Schalter umzulegen, um die Stromversorgung tatsächlich ein- und auszuschalten, bis sie kurzgeschlossen ist und vollständig kaputt und heruntergefahren wird - was, wenn wir das in unserem Netzwerk beeinflussen könnten, ein totaler katastrophaler Ausfall des Stromnetzes wäre.
13:31 Rob Ragan: Und... aber wir kommen rein und helfen unseren Kunden, das tatsächlich zu verstehen, zeigen das Risiko auf, damit sie ihre Abhilfemaßnahmen planen können und dann können sie sich von ihren Teams und ihrer Unterstützung durch die Geschäftsleitung darauf konzentrieren, dass ich tatsächlich etwas dagegen tun muss. Und wenn wir diese Beweise haben und diese Beweise dafür haben, dass dies möglich ist, beeinflussen das Budget und die Ressourcen für: „Wir müssen andere Maßnahmen zur Schadensbegrenzung einrichten, wir müssen sicherstellen, dass mit diesem Gerät nicht aus der Ferne von anderen Dingen in unserem Netzwerk aus gesprochen werden kann“, und ich würde wirklich sagen, segmentieren Sie es und setzen Sie auf die Whitelist, was mit ihm spricht.
13:58 Raghu Nandakumara: Sie haben also das Wort Zero Trust erwähnt, also werden wir gleich darauf eingehen. Dies ist schließlich ein Zero Trust-Podcast. Aber kurz bevor wir den gesamten Bereich der OT/IoT-Sicherheit verlassen und zu anderen Dingen übergehen, wollte ich sagen, dass es offensichtlich eine enorme Entwicklung in Bezug auf das, was Sicherheitsanbieter tun, um OT und IoT besser abzusichern, gegeben hat. Und es gibt eine Vielzahl von Anbietern, die sich auf bestimmte Aspekte konzentrieren. Was ist Ihrer Meinung nach die wichtigste Voraussetzung, um OT und IoT besser abzusichern?
14:30 Uhr Rob Ragan: Ich denke, es hilft bei der Benutzerfreundlichkeit, es einfacher zu machen, Sicherheit auf einige dieser Geräte anzuwenden, die über keine integrierte Sicherheit verfügen oder die überhaupt nicht mit Sicherheit entwickelt wurden. Wenn es ein Problem zu lösen gibt, ist es einfacher, es anzuwenden. Wenn es nicht einfach ist, wird es nicht einfach werden.
14:48 Raghu Nandakumara: Ja. Ja, absolut. Okay. In Ordnung. Lass uns ein bisschen die Gänge wechseln. Sie haben den Begriff Zero Trust erwähnt. Hab ich nicht. In Ordnung. Also, was bedeutet Zero Trust für Sie als Sicherheitsexperte?
15:00 Rob Ragan: Ja. Aus meiner Sicht ist es die Fähigkeit, diese Aktion zu authentifizieren und zu autorisieren. Hier können wir bei jeder Aktion, die in der Umgebung und in den Systemen stattfindet, mit Zuversicht nachvollziehen, wer das tut, wie sie es tut und ob sie autorisiert ist.
15:16 Raghu Nandakumara: In Ordnung. Also, jetzt, in Ihrer Rolle wie offensiver Sicherheitsdienst und was Bishop Fox macht, welche Art von Gesprächen führen Sie, die direkt über Zero Trust sind? Kommt es bei Engagements zur Sprache und sprechen Sie mit uns ein bisschen darüber, wie das passiert? Was sind die Diskussionspunkte, die Sie führen, und was sind in der Regel die Ergebnisse?
15:36 Rob Ragan: Ja. Es kommt in Gesprächen zur Sprache, wenn ich sagen würde, dass Kunden das Gefühl haben, in die Gegend investiert zu haben. Und ehrlich gesagt sehen wir fast immer noch eine hybride Umgebung. Wenn jemand sagt: „Nun, wir haben eine Zero-Trust-Umgebung implementiert“, gibt es in der Regel immer noch einige hybride Dinge, die diesen Prinzipien nicht folgen. Und es kommt häufig vor, wenn unsere Kunden die Grenzen ihres Teams überschreiten wollen oder wenn sie anhand der Kontrollen und der Investitionen, die sie in die Implementierung eines solchen Frameworks getätigt haben, ihre blinden Flecken in ihrer Umgebung erkennen und verstehen wollen. Wir werden vielleicht einen CISO haben, der sagt: „Ich habe Anwendungs-Whitelisting implementiert. Was würden Sie tun, um das in meiner Umgebung zu umgehen?“ Also entwickeln wir Szenarien, in denen wir sagen werden: „Okay. Wenn Sie uns auf ein Mitarbeitersystem oder auf einen Laptop setzen, gehen wir davon aus, dass es sich um eine Sicherheitslücke mit installierter Malware handelt.“ Wir gehen tatsächlich durch und ahmen nach, was echte Angreifer tun würden, wie z. B. das Einschleusen von DLLs in eine Anwendung, die die Erlaubnis hat, auf einen anderen Teil der Umgebung zuzugreifen.
16:32 Rob Ragan: Und dann übernehmen wir diese Rolle und die Identität dieser Anwendung und jetzt sind wir auf der Whitelist, aber wir haben ihr Malware injiziert, die uns helfen kann, unser Ziel zu erreichen oder uns bei weiteren böswilligen Aktionen zu unterstützen. Und dann geht es darum, welche anderen Kontrollen vorhanden sind, um das Risiko entweder zu erkennen oder zu mindern. Aber sie wollen wirklich, dass wir sie durch diese Szenarien führen, damit sie üben und sehen können, ob sie andere Auslöser oder andere Ereignisse haben, die ihnen bei ihrer Fähigkeit zur Reaktion auf Vorfälle helfen.
16:57 Raghu Nandakumara: Wie sieht dann die Empfehlung aus? Weil es so ist wie wie... Weil es sich anfühlt, als Angreifer hast du gewissermaßen die Fähigkeit, alle möglichen Dinge zu testen. Und als Kunde gibt es eine begrenzte Anzahl von Dingen, auf die er sich konzentriert und sagt: „Für den Rest akzeptiere ich das Risiko.“ Wie bringen Sie Ihre Kunden dazu, zu sagen, dass dies wichtig ist?
17:20 Uhr Rob Ragan: Vieles davon wird sehr spezifisch, wo sie sich in ihrem Reifegrad befinden. Und wenn ein Kunde bereits über eine Whitelist für Anwendungen verfügt, ist er ausgereifter als die meisten anderen. Es hilft ihnen zu verstehen, welche anderen Kontrollmöglichkeiten sie haben und wo die Möglichkeit besteht, den Angreifer zu fangen, da sie bereits den Zeit- und Arbeitsaufwand sowie die Ressourcen erhöht haben, die der Angreifer dafür aufwenden musste. Wenn sie eine Anwendung finden mussten, die auf der Whitelist steht, finden Sie eine Möglichkeit, sich in sie einzuschleusen und dann die Identität dieser Anwendung und des Benutzers, der sie ausführt, anzunehmen. Es geht darum, welche anderen Dinge sie in der Umgebung hätten tun können oder welche anderen Schritte und Befehle der Angreifer ausführen könnte, um ein Ereignis auszulösen und die Bedrohung einzudämmen und zu beseitigen. Daher führen wir diese Szenarien häufig kontinuierlich durch, um ihnen zu helfen, weiter zu üben und neue Möglichkeiten zu erkennen. Und dann verlassen wir uns nicht nur auf diese eine Steuerung. Es sieht ganzheitlich aus. Es ist so, als ob das, was uns sonst noch zur Verfügung steht, ein Indikator für einen Kompromiss ist, aufgrund dessen wir dieses Ereignis auslösen könnten.
18:19 Rob Ragan: Und in vielen Fällen helfen wir unseren Kunden dabei, das noch weiter voranzutreiben, um ein besseres Verständnis ihrer Risikoindikatoren und ihrer Schwachstellenindikatoren zu entwickeln, sodass wir... Vielleicht fängt das sogar damit an, das OT-Gerät zu testen, auf das sie sich verlassen und das für ihre Umgebung von entscheidender Bedeutung ist, oder vielleicht testet das einige der Anwendungen, die sie verwenden, um zu verstehen, ob es überhaupt diese Sicherheitslücke oder diese Schwäche hat, die Sie beheben und beheben können, damit ein Angreifer es nicht als Teil einer größeren Angriffskette ausnutzen kann.
18:46 Raghu Nandakumara: Denn ich denke, in dem, was Sie sagen, ist die Schulung der Kunden ihrer gesamten Sicherheitsorganisation eine so wichtige Sache, weil es sich so anfühlt, als ob die Fähigkeiten, die heute erforderlich sind, um ein Cyber-Profi zu sein, ganz anders sind als noch vor fünf Jahren, wo jetzt wirklich die Betonung liegt: „Verstehen Sie die Natur der Bedrohung? Und wissen Sie, wie ein Angreifer vorgehen wird?“ Ich glaube, heute Abend gab es eine Art Vortrag von einem meiner Kollegen, in dem es wirklich darum ging, „wie ein Hacker zu denken, um eine bessere Widerstandsfähigkeit aufzubauen“. Wie stellen Sie sich also vor, dass sich diese Steigerung der Fähigkeiten in Ihrem Kundenstamm vollzieht?
19:27 Rob Ragan: Ja. Ich sehe viele Leute, die bereit sind, proaktivere Tests und kontinuierliche Tests einzuführen, und es wird ständig neu bewertet, was das Szenario oder das Ziel des Tests war, und es an das angestrebte Ergebnis anzupassen und zu verbessern. Ich sehe viel mehr Leute, die... Sicherheitsingenieure sind jetzt in blauen Teams, die dann auch an den Übungen für rote Teams und an diesen Tests teilnehmen wollen und mitmachen und tatsächlich verstehen, wie sie lernen können, diese Techniken beim Aufbau und in ihre Bedrohungsmodelle anzuwenden. Und ich sehe, dass die Leute, die das regelmäßig tun, schneller reifen. Und wenn sie diese Tests bei dem, was sie implementiert haben, nicht berücksichtigen, kann es zu langen Zeiträumen und langen Lücken kommen, in denen eine Anfälligkeit besteht, die unbekannt bleibt.
20:14 Raghu Nandakumara: Verstanden. Also, bewegen wir uns ein wenig, was sind Ihrer Meinung nach Schlüsselbereiche, die erhebliche Investitionen erfordern, die jetzt in den letzten, sagen wir, 12 Monaten entstanden sind.
20:26 Rob Ragan: Ja. Ich sehe immer noch viele Leute, die zu uns kommen, um Hilfe beim Verständnis ihrer Angriffsfläche zu erhalten. Ich verstehe... Und wir werden sehen, dass das nicht nur eine externe Angriffsfläche sein wird, sondern eine authentifizierte Anwendungsangriffsfläche. Es wird eine Angriffsfläche für interne und private Netzwerke sein. Die Cloud-Umgebungen, die VPC-Angriffsfläche und alle miteinander verbundenen Systeme, einschließlich der gesamten Lieferkette und der Anbieter, die sie in ihrer Umgebung haben. Es gibt immer noch einen... Ich sehe, dass die Leute versuchen, sich darauf zu konzentrieren, vor allem im Unternehmen, wo es sich wie ein Rückschlag anfühlt, sobald sie eine Akquisition haben.
21:04 Raghu Nandakumara: Ja.
21:04 Rob Ragan: Ein Sicherheitsteam, das versucht, in den Griff zu bekommen, wofür es in seiner Kernumgebung gesorgt hat, aber jetzt hat es dieses Unternehmen übernommen und es versucht, aus dem, was es hat, für dessen Schutz es verantwortlich ist, einen Sinn zu machen. Ich denke, wir werden auch weiterhin Investitionen in eine bessere Definition dessen tätigen, was diese Veränderungen gerade und täglich geschehen, und zwar in eine bessere Definition dessen investieren, was sie... Wir verschaffen uns einen Überblick über sie und können sie dann proaktiv auf Anfälligkeitsindikatoren testen und dann entscheiden, welche davon zuerst von Bedeutung sind. Und ich sehe, dass viele Leute um Hilfe bei der Priorisierung der Problembehebung bitten. „Ich habe so viele Dinge, die ich reparieren könnte. Hilf mir zu entscheiden, was ich zuerst reparieren muss.“ Und ich denke immer noch, dass der beste Weg, das zu tun, darin besteht, es gründlich zu testen und tatsächlich zu demonstrieren, welche Auswirkungen es hat, es auszunutzen. Und wenn du das nicht kannst, wenn du das nicht zeigen kannst... Ich denke, hier gibt es ein Problem, das könnte anfällig sein, aber wie sieht es eigentlich aus? Ist es möglich, es oder einen der mildernden Faktoren auszunutzen, und wenn es ausgenutzt wird, was sind die tatsächlichen Auswirkungen? Welche Daten glauben Sie, leiten Sie von dort ab? Wenn Sie diese Frage beantwortet haben, können Sie leichter entscheiden, welche Priorität diese Priorität haben soll, um sie dann zu korrigieren.
22:11 Raghu Nandakumara: Die Frage ist, wie injiziert man dann auch in das, wie groß ist die Wahrscheinlichkeit, dass es ausgenutzt wird? Weil Sie als offensiver Sicherheitsdienst... eindeutig... im Grunde genommen wurden Sie gebeten, etwas zu tun. Also, wie weist man die Wahrscheinlichkeit zu, denn das ist fast der entscheidende Faktor dafür, wähle ich X oder Y, wenn ich nur einen von beiden wählen muss?
22:33 Rob Ragan: Ja. Wir haben unsere Schweregradwerte in unseren Berichten sogar weiterentwickelt, um, ich würde sagen, etwas selektiver zu sein, was wir als kritisch einstufen, was wahrscheinlich dem widerspricht, was vielleicht viele andere Anbieter tun. Sie fahren und sagen: „Nein. Alles ist kritisch. Alles ist rot.“ Wir stellen fest, dass unsere Kunden wirklich wollen, dass wir uns das genauer ansehen und viel genauer prüfen, ob es dieses Maß an Aufmerksamkeit verdient. Und wir tun das oft auf der Grundlage, um auf diese zurückzukommen: „Ist das etwas, das ein opportunistischer Angreifer unauthentifiziert ausnutzen könnte, der keine Bedürfnisse hat, keinen anfänglichen Zugriffsfaktor oder keine Möglichkeit hat, die Rolle eines Mitarbeiters zu übernehmen? Oder handelt es sich eher um eine unbeabsichtigte oder vorsätzliche Insider-Bedrohung, die motivierter ist, bereits über Anmeldeinformationen verfügt und in der Lage war, diese Sicherheitslücke zu finden, im Vergleich zu einer komplexen, mehrstufigen Kette, die wir aufgedeckt haben, aber es besteht möglicherweise die Möglichkeit, dies zu verhindern, wenn Sie nur dieses eine Problem beheben.“ Deshalb konzentrieren wir uns auf die Frage, was unserer Meinung nach die wirksamste Abhilfemaßnahme oder Lösung ist oder ob es Gegenmaßnahmen gibt, die eingeführt werden können. Das berücksichtigen wir bei unserer Empfehlung, welche Priorität der Behebung des Problems zukommt.
23:42 Raghu Nandakumara: Ich hab's. Und das ist ein wirklich guter Punkt für mich, um ihn aufzugreifen. Und die letzten 12 Monate, wenn es in den Berichten der Sicherheitspresse einheitliche Themen gegeben hat. Eines der Themen war der ROI. Wie können Unternehmen ihre Wetten abschließen, wenn sie Budgetbeschränkungen haben? Und sie werden heute mehr denn je aufgefordert, den ROI von Sicherheitsinvestitionen zu rechtfertigen. Und ich habe vor ein paar Wochen mit einem Gast gesprochen, dessen Position dazu lautete, dass Sicherheitsteams nicht... Der ROI sollte nicht etwas sein, das Sie von Ihren Sicherheitsinvestitionen erwarten sollten. Der Wert bezieht sich auf das Risiko, das sie reduzieren. Worüber denken Sie, wenn Sie über den Wert nachdenken, sind es nur die Sicherheitsvorteile oder sind es auch die Gesamtbetriebskosten der Lösung?
24:32 Rob Ragan: Ich freue mich, dass Sie die Gesamtbetriebskosten gesagt haben. Ich denke, oft werden Sicherheitsinvestitionen durch den Kauf eines bestimmten Produkts oder einer bestimmten Lösung getätigt, und es ist nicht klar, wie hoch die Gesamtbetriebskosten sein werden. Und es ist nicht klar, bis Sie vielleicht tief in den Implementierungsphasen und in der Anwendung sind, wie viel Arbeit das für das Team bedeutet und wie viel Arbeit es ihnen auferlegt. Und das könnte letztlich dazu führen, dass Dinge übersehen werden. Ich habe Fälle gesehen, in denen... Wir kamen rein, nachdem ein Vorfall passiert war, um beim Testen einer Anwendung zu helfen, und sie versuchten, die Ursache dafür zu verstehen, wie eine Webshell über diese PHP-Anwendung hochgeladen wurde. Und da war tatsächlich... 13 Monate lang, davor, gab es in dem statischen Analysetool, das sie verwenden, eine rote kritische Feststellung, dass dies anfällig ist, aber es wurde geschlossen und von einem Entwickler geprüft, der sagte: „Ich glaube nicht, dass das ausnutzbar ist.“ Aber es war... Vielleicht hatte dieser Entwickler nicht das Fachwissen, um zu verstehen, wie dieses Problem ausgenutzt werden kann. Und vielleicht hätten sie nicht diejenigen sein sollen, die diese Entscheidung treffen sollten.
25:28 Rob Ragan: Aber das Team hatte vielleicht nicht die Sicherheit, das Fachwissen oder die Zeit, um bei der Beantwortung dieser Frage zu helfen. Und dann hatten sie in ein Produkt investiert, den Bericht erhalten, in dem es hieß, etwas sei anfällig, ignorierten es versehentlich und es gab trotzdem eine Sicherheitslücke. Aber ich glaube, es war nicht klar, wie hoch die Gesamtbetriebskosten sein würden, um über das Fachwissen zu verfügen, um diese Fragen tatsächlich beantworten zu können. Und da suchen wir vielleicht nach einer Lösung für das Problem, und manchmal kann es eine Kombination aus Dienstleistungen und Produkten sein, oder verwaltete Dienste, die helfen, das eigentliche Gesamtergebnis des Problems zu erreichen, an dem Sie gerade arbeiten, anstatt dass Mitarbeiter in Ihrem Team einen Teil dessen übernehmen müssen.
26:05 Raghu Nandakumara: Und das ist eine wirklich interessante Perspektive, weil es... Und eigentlich höre ich diese Perspektive zum ersten Mal, weil es darum geht, wenn Sie das Problem, das Sie zu lösen versuchen, nicht wirklich verstehen, dann um Ihre Fähigkeit, zuzuweisen oder zu sagen: „Das ist meine ideale Gesamtbetriebskosten.“ Sie erraten im Grunde, was das sein sollte, oder? Weil es mit unvollständigen Informationen erledigt ist. Und dann haben Sie gesagt, und ein Teil davon ist die Erkenntnis, dass Sie Ihre Toolsets wahrscheinlich durch Services und vielleicht durch Angebote von Drittanbietern ergänzen müssen, die das ergänzen. Welche Rolle spielen Ihrer Meinung nach offensive Sicherheitsangebote in diesem Zusammenhang und um bessere Gesamtbetriebskosten Ihrer Investitionen zu erzielen, ob das nun Leute wie Sie sind oder diese automatisierten Testsuiten, die es jetzt überall gibt, welche Rolle spielen sie?
26:58 Rob Ragan: Ich denke, wir befinden uns immer noch in einer Phase, in der die Automatisierung nicht dazu da ist, die Arbeit vollständig zu erledigen, und das gilt für die meisten Dinge. Nicht nur im Bereich der Sicherheit, aber wir arbeiten daran. Es wird etwas sein, dessen Grenzen wir noch viele Jahre lang überschreiten werden. Ich denke, wenn Sie Ihr Fachwissen einbringen und einen Plan dafür haben, um diese Automatisierung zu nutzen, egal ob Sie ein Produkt kaufen, das bei automatisierten Tests hilft, es wird immer noch Ergebnisse geben, über die jemand eine Entscheidung treffen muss. Und ich denke, es besteht die Möglichkeit, zu entscheiden, ob es jemand ist, der intern in Ihrem Team ist, oder ob es jemand ist, mit dem Sie zusammenarbeiten und dem Sie vertrauen, dass es sich um eine dritte Partei handelt.
27:31 Rob Ragan: Ich habe gesehen, dass viele Leute diese Hilfe bei der Skalierung benötigen, vor allem, wenn die Leute in ihrem Team so viele Hüte tragen, dass sie vielleicht nicht die Zeit haben, sich auf die Leistung eines bestimmten Tools zu konzentrieren, oder sie das Gefühl haben, dass sie vielleicht Leute in ihrem Team hatten, die nicht mehr da sind. Und es ist wie ein Plan... Ich schätze, die Planung für diese Widerstandsfähigkeit und das Sicherheitsorganisationsmodell. Was passiert, wenn eine Person diese drei von uns gekauften Tools bedient und sie uns verlässt? Wird das zur Standardausstattung oder haben wir einen Plan, wer ihr Backup sein wird, um sie weiterhin zu verwenden? Ich sehe, dass unsere Kunden oft zu uns kommen und sagen: „Wir brauchen Hilfe. Schauen Sie, wir brauchen einen Tester oder jemanden mit Fachwissen, der uns hilft, das Ergebnis tatsächlich zu erreichen und nicht nur ein Tool zur Verfügung zu haben.“
28:11 Raghu Nandakumara: In Ordnung. Und noch einmal, ich möchte nur zusammenfassen, dass es für die Zuschauer und Zuhörer darum geht, wirklich zu verstehen, wie Sie beispielsweise den ROI erzielen oder wie Sie die Gesamtbetriebskosten berechnen, Sie zuerst feststellen müssen, ob Sie über die verfügbaren Fähigkeiten verfügen, um den vollen Nutzen aus bestehenden oder neuen Investitionen zu ziehen. Andernfalls werden Sie nie in der Lage sein, die Vorteile zu nutzen. Sie stehen vor der Herausforderung, begründen zu können, warum Sie aus etwas keinen Nutzen gezogen haben. Ich weiß, wir haben nur noch ein paar Minuten. Zeit für eine Kristallkugel, richtig? Du schaust in deine Kristallkugel der Zukunft, oder? Worauf freust du dich? Wovor hast du Angst? Aus der Cyber-Landschaft?
28:50 Rob Ragan: Ich persönlich bin wirklich begeistert und bin tief in den großen Raum der Sprachmodelle eingetaucht. Ich glaube, es gibt einen großen Hype um dieses Thema, aber es gibt viel Optimismus und einige Bedenken in Bezug auf Risiken. Und ich persönlich bin bei einigen der Prototypen, die ich damit gebaut habe, tatsächlich sehr optimistisch, wie einfach es sein wird, bestimmte Dinge zu erreichen, die vorher wirklich herausfordernd waren. Ich denke schon, dass wir in einer Phase sein werden, in der... Ich habe tatsächlich vor nicht allzu langer Zeit ein Buch darüber gelesen, das ich empfehlen würde, falls sich jemand dafür interessiert. Es heißt „The Missing Middle“. Und es geht darum, wo Mensch und Maschine zusammenkommen und was die Maschine gut kann und worin der Mensch gut ist. Und es skizziert im Wesentlichen einen Rahmen dafür, wie man zusammenarbeiten und mehr tun kann. Und ich denke, wir werden uns auf absehbare Zeit in dieser Phase befinden, in der wir das herausfinden und wir sind... Und was läuft schief bei der Umsetzung, aber ich bin eigentlich... Ich würde sagen, ich bin eher optimistisch, dass das viele Türen öffnen wird.
29:48 Rob Ragan: Wir haben es genutzt, um im Rahmen der Frage nach der Angriffsfläche tatsächlich den Besitz von Vermögenswerten zu identifizieren. Und es ist etwas, bei dem die Eingabe in der... Oft ist es bei diesen Fragen völlig unbekannt oder es könnte ganz anders sein. Alles, was im Internet zu schreiben ist, wie eine herkömmliche Anwendung zur Hilfe oder eine API zur Beantwortung dieser Frage, ist wirklich schwierig, weil Sie nicht wissen, wie die Eingabe aussehen wird. Aber etwas zu haben, das Ihnen hilft, die Eingabe zu analysieren und zu lesen und dann Beweise dafür zu sammeln und Ihnen dann zu helfen, Fragen dazu zu beantworten, vielleicht für die nächste Phase Ihrer Workflows und Ihrer Prozesse, ist für mich wirklich aufregend. Ich habe da einen großen Fortschritt gesehen.
30:20 Raghu Nandakumara: Ich denke, ich komme nur zurück zu dem, was du über das Buch gesagt hast, oder? Ich denke, genau darauf sollten wir uns bei dem Treffen in der Mitte konzentrieren, denn ich denke, zu schnell, wenn die Diskussion über KI kommt, und jetzt mit dem LLM, geht es wieder darauf zurück, richtig? An welchem Punkt wird KI wichtiger sein als menschliche Intelligenz und dann wird diese Art von Maschinen die Oberhand gewinnen, ja, ja, das übliche Szenario wie Terminator 2. Aber ich denke absolut, ich denke, letztendlich geht es um Konvergenz, oder? Es geht darum, was Menschen am besten können, und darauf sollten wir unsere Talente konzentrieren und was sind Maschinen und maschinelle KI ist optimal, oder? Denn letztlich ging es bei der industriellen Revolution nicht darum, Menschen zu ersetzen, sondern...
31:06 Rob Ragan: Um es zu optimieren.
31:07 Raghu Nandakumara: Um zu optimieren. Und genau darum geht es hier.
31:09 Rob Ragan: Richtig. Und ich denke, wir müssen es immer noch als Werkzeug und als Technik betrachten, die es anzuwenden gilt. Und ich denke, jeder, der sich beeilt, dies direkt in der Produktion umzusetzen, ohne dass dieser Mensch in der Schleife oder auf diese Weise wie Null zuschlägt, um mit einem Bediener zu sprechen, der macht sich eine Menge Ärger. Aber ich denke, es ist wie... Es wird spannend sein zu sehen, wie wir diese Technologie anwendungsspezifisch einsetzen.
31:31 Raghu Nandakumara: Seien Sie einfach auf den LLMs, wie besorgt sind Sie über Input-Vergiftungen?
31:36 Rob Ragan: Oh. Ich denke, das ist ein sehr reales Problem. Und deshalb sage ich, dass jeder, der das sofort in Produktionsanwendungen oder Live-Anwendungsfällen einsetzt, ohne es auf die Art und Weise zu testen, wie die Missbrauchsfälle es sind, nach einer Menge Ärger verlangt und er wird Zwischenfälle und Probleme haben und die schnelle Injektion ist immer noch sehr einfach durchzuführen. Ich meine, ich habe gestern mit dem CISO gesprochen, der bereits in sein LinkedIn-Profil aufgenommen hat, dass, wenn es irgendwelche Marketing-Bots gibt, die dort seine Seite analysieren, er eine Eingabeaufforderung hat, damit sie etwas anderes tut. Und ich denke, wir werden vielleicht diese Lichter sehen... Es hat nicht wirklich viel Einfluss darauf, wenn die Marketingkampagne einer Person nicht gut funktioniert. Aber ich denke, es wird interessant sein zu sehen, wie es sonst noch genutzt wird.
32:13 Raghu Nandakumara: Ich hatte vor ein paar Monaten ein Gespräch mit ChatGPT über Zero Trust und ich war einfach dankbar, dass ich immer noch ein bisschen mehr wusste als es war, aber ich bin mir sicher, dass es nicht zu weit ist. Also irgendwelche abschließenden Gedanken, Rob?
32:24 Rob Ragan: Vielen Dank, dass du mich eingeladen hast. Ich denke, das war immer ein großartiges Gespräch mit dir, Raghu, und ja, ich freue mich darauf, mehr davon zu sehen, wie sich dieser Raum entwickelt.
32:30 Raghu Nandakumara: Fantastisch. Rob, vielen Dank, dass du heute zu uns gekommen bist. Es ist immer eine Freude, mit Ihnen zu sprechen und in Ihr Wissen in diesem Bereich einzutauchen. Für alle, die zuschauen, zuhören, wenn Sie an offensiven Sicherheitsvorkehrungen interessiert sind und sich mit den Experten in diesem Bereich treffen möchten, schauen Sie doch mal rein www.bishopfox.com. Rob, ich danke dir noch einmal sehr. Vielen Dank, dass Sie heute zu uns gekommen sind. Viel Spaß mit RSA.
32:53 Raghu Nandakumara: Vielen Dank, dass Sie sich die dieswöchige Folge des Segments angesehen haben. Noch mehr Informationen und Zero-Trust-Ressourcen finden Sie auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter unter @illumio mit uns in Verbindung setzen. Und wenn dir das heutige Gespräch gefallen hat, findest du unsere anderen Folgen überall dort, wo du deine Podcasts bekommst. Ich bin dein Gastgeber, Raghu Nandakumara und wir werden bald zurück sein.