Neue Studie: Studie zu den globalen Kosten von Ransomware. Erfahren Sie, was Vorfälle Sie kosten.
Holen Sie sich den Bericht

Haben Sie einen Vorfall erlebt?

|
Kontaktiere uns
|
+1 855 426 3983
A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Den Status Quo in Frage stellen
Season Two
· Episode
2

Den Status Quo in Frage stellen

In dieser Folge spricht Moderator Raghu Nandakumara mit Richard Bird, Chief Security Officer bei Traceable AI, darüber, wie man ein unkonventioneller Technologe werden kann, der kognitive Dissonanzen in der Cybersicherheit und die Schnittstelle zwischen Zero Trust und API-Sicherheit angeht.

Transkript

00:05 Richard Bird — Eröffnungszitat

„Je mehr wir verteilen, desto mehr dezentralisieren wir, desto mehr fragmentieren wir. Je mehr wir uns für Dinge wie keinen Code, wenig Code entscheiden, desto mehr gehen wir serverlos aus. Wir schaffen lediglich eine verteilte Umgebung, die eine Umgebung mit vielen Zielen für die böswilligen Akteure ist und die für uns aus Sicherheitsgründen unglaublich schwierig zu verwalten ist.“

00:28 Raghu Nandakumara

Willkommen bei The Segment, einem Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter von Industry Solutions bei Illumio, dem Zero Trust-Segmentierungsunternehmen. Heute gesellt sich Richard Bird, Chief Security Officer bei Traceable, einem führenden Anbieter von API-Sicherheit, zu mir. Mit jahrzehntelanger Erfahrung in den Bereichen Cybersicherheit und IT in der Unternehmens- und Startup-Welt. Richard ist Senior Fellow am Zero Trust Institute für Cybertheorie und Vorstandsmitglied von Cyber Edboard. Er ist auf der ganzen Welt für seine Tattoos, Fliegen und Expertenwissen zu API-Sicherheit, Zero Trust und digitaler Identität bekannt. Heute spricht Richard mit uns darüber, wie man als unkonventioneller Technologe kognitive Dissonanzen in der Cybersicherheit und die Schnittstelle zwischen Zero Trust und API-Sicherheit angehen kann. Wir hatten also das Vergnügen, den Paten von Zero Trust in diesem Podcast zu haben. Wir hatten Dr. Zero Trust selbst. Wir hatten eine ganze Reihe anderer Koryphäen aus den Bereichen Cybersicherheit und Technologie. Aber das ist absolut das erste Mal, dass wir einen Rockstar in unserem Podcast haben. Vor diesem Hintergrund ist es mir eine große Freude, den heutigen Gast, Richard Bird, den Chief Security Officer bei Traceable AI, begrüßen zu dürfen. Richard, danke, dass du zu uns gekommen bist.

02:01 Richard Bird

Ich freue mich sehr auf das Gespräch. Danke, dass du mich eingeladen hast.

02:04 Raghu Nandakumara

Du kannst nicht aufgeregter sein als ich, Richard. Ich habe mir Ihr LinkedIn-Profil angesehen und festgestellt, dass wir zumindest sehr ähnliche Karrierebögen haben. Wir waren beide 15 bis 20 Jahre in der Finanzdienstleistungsbranche tätig, bevor wir in das „Verkäuferland“ wechselten. An diesem Punkt hören alle Vergleiche auf. Ich freue mich einfach, sagen zu können, dass es diese Parallele gibt, bevor wir darauf eingehen: ein bisschen Hintergrundwissen über dich und darüber, was dich zu dem gebracht hat, was du heute tust.

02:31 Richard Bird

Nun, ich glaube, was mich hierher gebracht hat, war meine Verbindung zu einigen der zwielichtigen Charaktere, die du erwähnt hast, alles Freunde von mir. Und wenn wir über Chase Cunningham und John Kindervag sprechen, drehen sich die Geschichten, die wir im Laufe dieser Diskussion erzählen werden, wirklich darum, wie wir uns kontinuierlich gegenseitig freiwillig zur Verfügung gestellt haben, um Teil der jeweiligen Karriereverläufe zu sein oder Bereiche mit Fachwissen und Hintergrund zu kontrollieren. Und es hat einfach zu einer großartigen Synergiechance geführt, gemeinsam auf einer Reihe verschiedener Kanäle zu sein oder von dem einen oder anderen freiwillig gesagt zu werden, dass ich mich ihnen anschließen muss. Also, ich leiste einfach gute Gesellschaft, ich glaube, das ist der Grund, warum ich hier bin. Aber weißt du, es muss so sein — meine Biografie ist etwas abgenutzt, nachdem ich ein paar Jahre lang immer wieder dieselben Dinge gesagt habe. Aber ja, ich hatte 20, fast 25 Jahre lang Rollen in Unternehmen inne. Und im Laufe dieser 25 Jahre, etwa 16 oder 17 davon in den Bereichen Bank- und Finanzdienstleistungen, Zahlungsabwicklung, in den Anfängen der Internetblase und Zahlungen von Person zu Person und so weiter, wurden sie von Freunden und Kollegen gewählt, um in den Bereich Informationssicherheit zu kommen. Das war in den Anfängen von Zentralisierter Informationssicherheit als Service speziell bei JPMorgan Chase. Ich sage den Leuten, dass ich insgesamt 11 Jahre bei Chase gearbeitet habe, das sind 137 Jahre meines Lebens, die ich nie wieder zurückbekommen werde. Man altert auf jeden Fall in Jahren als Hundebanker. Aber ich habe auch schon früh viele Dinge gesehen, viele Dinge, die heute für Organisationen und Unternehmen in den Mittelpunkt rücken, das waren Probleme, mit denen eine Organisation wie Chase vor einem Jahrzehnt oder länger zu kämpfen hatte. Aber auch, dass eine Organisation wie Chase damals über die finanziellen Ressourcen und das Fachwissen verfügte, um sie anzugehen. Deshalb sage ich den Leuten immer gerne, dass ich kein Experte bin. Ich habe einfach viele Schläge einstecken lassen und mir Blutergüsse und Narben angesammelt, bevor es viele andere Leute bei der Sicherheitskontrolle getan haben. Und ich klinge normalerweise besser für Dinge, die man nicht tun sollte, als für gute Best Practices, weil ich es in meiner Karriere oft falsch gemacht habe und es trotzdem geschafft habe, zu überleben und heute die Gelegenheit zu bekommen, mit Ihnen zu sprechen.

04:51 Raghu Nandakumara

Ich habe nur gelacht und so viel gelächelt, als ich dich das sagen höre, weil es voll und ganz mit meiner eigenen Erfahrung übereinstimmt. Angesichts so vieler dieser Herausforderungen, oft ein paar Jahre, bevor die übrigen Unternehmen und andere Branchen vor denselben Herausforderungen stehen. Und im Grunde genommen die Narben, um jetzt quasi auf die andere Seite zu kommen und zu sagen: „Ja, so sollten Sie das Problem lösen“ oder „Das ist das, was ich gelernt habe, und hier ist, wie Sie es besser machen könnten“. Also absolut damit verbunden. Bevor wir weitermachen, freue ich mich sehr, mit Ihnen über Ihre Arbeit bei Traceable zu sprechen. Aber es hat mir Spaß gemacht, deinen LinkedIn-Beitrag über Joe Strummer und den Einfluss der Musik auf deine Karriere zu lesen. Ich würde mich freuen, wenn du das mit dem Publikum teilst, bevor wir weiter darauf eingehen, wie dein Interesse an Musik, deine Leidenschaft für Musik wirklich beeinflusst hat, wie du über wichtige Ideen und 10 zentrale Herausforderungen heute denkst und wie du sie kommunizierst.

05:57 Richard Bird

Nun, ich freue mich wirklich, dass du das herausgebracht hast, weil es mir die Gelegenheit geben wird, über etwas, an dem ich gerade arbeite, schamlos zu reden. Aber es gibt mir auch die Möglichkeit, es mit anderen zu teilen. Es gibt nur sehr wenige Dinge in meiner Karriere, auf die ich einfach sehr stolz bin. Die eine Sache, auf die ich wirklich stolz bin und auf die ich mein Ego nicht zurückhalte, weil ich ein unkonventioneller Technologe bin. Ich habe keinen MIS- oder GUS-Hintergrund, was nicht heißt, dass in einem Technologiegeschäft daran etwas falsch ist. Aber ich komme aus einer ganz anderen Richtung. Ich hatte ein Hauptfach in Politikwissenschaft mit dem Schwerpunkt Theorie der internationalen Beziehungen und einem Nebenfach in japanischer Sprache. Und ich war Bauprojektleiter. Als ich aus dem Militär kam, war das zufällig genau in einer Zeit, in der Projektmanagement eine extrem wichtige Fähigkeit war, die in der Technologie benötigt wurde, und jemand sah etwas in mir, das ich selbst nicht sah. Und sie haben mich engagiert. Und diese Person ist fast 30 Jahre später immer noch ein Mentor. Ich teile diesen Hintergrund, weil es für mich die Prüfsteine dafür sind, ein leidenschaftlicher Redner zu sein, ein leidenschaftlicher Moderator zu sein oder ein leidenschaftlicher Forscher zu Themen zu sein, die sich in der Gesellschaft abspielen, seien es technische oder andere. Es ist diese Vorstellung, diese künstlerische Vorstellung von Musen. Was Sie inspiriert, ist anders als das, wofür Sie eine Leidenschaft haben. Was Sie inspiriert und für mich meine Inspirationen sind, ist sehr stark an der Kunst orientiert. Musik ist einfach eine davon. Und da das Stück, das ich geschrieben habe, die Herzen und Seelen vieler Menschen ein bisschen zu berühren scheint. Weißt du, ich bin in den Anfängen der Punkrockmusik aufgewachsen. Ich schäme mich nicht zu sagen, dass in mir als Kind wahrscheinlich eine ziemlich starke konträre oder zynische oder sogar anti-Establishment-Denkweise vorherrschte, und sie ist immer noch da. Ich habe es unter über 20 Jahren in der Unternehmenswelt vergraben, wo man in der Öffentlichkeit nichts sagen und keine Gedanken austauschen darf. Du musst 17 verschiedene Genehmigungen durchstehen, um überhaupt in einem Podcast zu sein, geschweige denn öffentlich zu sprechen. Und das habe ich ein Vierteljahrhundert lang unter Verschluss gehalten. Und dieses Stück fiel mir ein, als mich jemand fragte: „Wie kam es, dass du dir so viele verrückte Analogien oder Metaphern ausgedacht hast?“ oder: „Dieser ganze Ansatz des Geschichtenerzählens, den man an Dinge herangeht.“ Ich sagte: „Nun, es sind zwei Dinge. Erstens bin ich als Sohn eines Fischerbootes aufgewachsen, also habe ich einen Doktortitel in Geschichtenerzählen bekommen.“ Und das zweite ist, dass all diese Elemente meiner Vergangenheit und meiner Erfahrung, als ich mit Musik aufgewachsen bin, zu hören, wie unglaubliche Texter und Musiker Themen und Probleme innerhalb der Gesellschaft mit ihren Worten ansprechen, das war für mich persönlich eine natürliche Inspiration und ein Prüfstein für Motivation.“ Wenn ich öffentlich spreche, ist es eines meiner Ziele, wirklich emotional mit Menschen in Kontakt zu treten. Und das ist kompliziert, weil du dich nicht mit einer einzigen Emotion verbindest. Genau wie bei Musik verbindet man sich nicht mit einer einzigen Emotion. Jemand mag jubeln, wenn er ein Lied hört, aber Jubeln und Tanzen sind zwei verschiedene Komponenten dieser Erfahrung, keine einzige. Und ich sagte schamloser Stecker, seit ich diese Art von Persönlichkeit und Sprechen und diese Art von Rolle in den letzten fünf oder sechs Jahren gemacht habe, wurde mir klar, dass das, was ich erlebt habe und was ich denke, lehrbar ist. Ich werde es verfluchen, aber ich bin in der Endbearbeitung eines Buches namens Berühmt mit 12 Leuten. Der Untertitel ist ein Karriere-Leitfaden, wie man ein international anerkannter Experte für etwas wird, das niemanden interessiert. Und die Idee hinter dem Buch ist, dass ich auf meiner Reise in den letzten fünf oder sechs Jahren eine enorme Anzahl mikroberühmter Menschen getroffen habe. Und die meisten dieser mikroberühmten Leute sind wie ich. Sie sind inspiriert von Dingen, die weit von unserer Karriere und unserer Berufserfahrung entfernt sind. Und diese mikroberühmten Leute sind nicht nur im Sicherheitsbereich tätig. Ich saß neben einem Typen in einem Flugzeug und wir haben uns unterhalten und er sagt: „Ja, nun, ich bin Stuntkoordinator.“ Ich stieg aus dem Flugzeug und fand heraus, dass er die Stunt-Koordinator. Er ist der Typ, der all die anderen Stuntmen und Stuntfrauen in Hollywood unterrichtet. Er hat Tausende von Menschen, die ihm folgen. Und ich dachte, ich hätte noch nie von ihm gehört und ich werde wahrscheinlich nie wieder von ihm hören. Aber was für eine interessante Dynamik für jemanden, einen solchen Einfluss auf das Leben der Menschen haben zu können. Und genau von dort kam all die Energie her, um diesen Artikel von Joe Strummer zu schreiben. Was können wir zum Beispiel tun, als keine Rockstars und Musiker zu sein? Was können wir tun, um dieselbe Art von Begeisterung, Motivation und Leidenschaft zu wecken und sogar eine Muse für andere in unserem eigenen Fachgebiet zu sein? Und genau so ist das alles zustande gekommen.

11:12 Raghu Nandakumara

Ich liebe das. Vielen Dank, dass du das geteilt hast. Und eine bescheidene Bitte von mir: Wenn das Buch veröffentlicht wird, hoffe ich, dass es ein echtes physisches Buchformat ist, nicht nur als E-Book. Ich hätte gerne ein signiertes Exemplar von dir.

11:27 Richard Bird

Das ist der Plan. Ich bin alt genug, um Papier immer noch zu lieben.

11:12 Raghu Nandakumara

Meine Frau scherzt mit mir, dass der Grund, warum ich Bücher kaufe, nur darin besteht, unser Bücherregal zu füllen. Und ich sage: „Ja, absolut, schamlos, das ist für die Kulisse, wenn ich telefoniere.“ Aber das Argument, das Sie angesprochen haben, und die Inspiration zum Erzählen von Geschichten zu finden, finde ich persönlich in der Rolle, die ich heute spiele, und ich bin sicher, Sie finden in Ihrer Rolle, dass es so wichtig ist, den technischen Wert, den die Produkte, die unsere Unternehmen entwickeln, wirklich mit der Essenz des Käufers zu verbinden und wirklich das Ergebnis, das sie zu erzielen versuchen. Es geht nicht um die Technologie; es geht nicht darum, wie man etwas tut. Es geht darum, wie ich dir helfen werde. Warum ist es dir wichtig? Und ich finde, dass das Geschichtenerzählen so wichtig ist, findest du das?

12:15 Richard Bird

Nun, nicht nur ich finde, dass ich das beim Schreiben denke, was für mich nicht selbstverständlich ist. Langformatiges Schreiben ist für mich nicht selbstverständlich. Während des Schreibens musste ich wirklich herausfinden, warum wir gerade aus Sicherheitsgründen Schwierigkeiten haben, miteinander zu kommunizieren. Wir haben Schwierigkeiten, zu kommunizieren, wenn es um das Geschäftsproblem geht, bei dessen Lösung ich Ihnen helfen muss. Als Anbieter von technischen Lösungen haben wir als Technologen Probleme mit dieser Geschäftsanforderung, die ich habe. Und Technologen verstehen das nicht. Und ich glaube, was mir klar wurde, war, dass wir, wenn wir über Menschen auf dem Markt sprechen, versuchen, einen Weg aufzuzeigen, wie Probleme für diese Käufer wirklich allgemein gelöst werden können, und dass wir auf der abstrakten Ebene operieren. Es ist eine Abstraktion. Sie erkennen, dass es ein Problem gibt; sie erkennen, dass sie in den Nachrichten eine Sicherheitsverletzung oder einen Hack gesehen haben. Aber sie setzen das mit all den verschiedenen Stellschrauben und Gegnern innerhalb einer Organisation gleich, die gezogen oder geschoben oder verdreht oder abgestimmt werden müssen, um zu verhindern, dass etwas Schlimmes passiert. Das ist extrem schwierig. Und dann, wenn wir es zu Ingenieuren, Lösungsingenieuren und Sicherheitsarchitekten zurückbringen. Wir alle leben in der Welt der Spezifikationen. Wir sprechen alle über diese Hebel, wir sprechen alle über diese Schalter und wir sprechen über... und wir haben diese große kognitive Dissonanzlücke. Das passiert. Und ich denke, dass das Geschichtenerzählen eine der Hauptkomponenten ist, eines der wichtigsten Tools, um diese Lücke zu schließen. Es besteht die Möglichkeit einer universellen Übersetzungsebene zwischen diesen Parteien zwischen diesen verschiedenen Entitäten. Denn am Ende des Tages sind wir alle im selben Geschäft und versuchen, diese Probleme zu lösen. Und wenn wir uns fragen, warum gehen wir so langsam vor und kommen ans Ziel? Ich denke, ein großer Teil davon ist genau das: ein erheblicher Bruch in der Kommunikation und im Verständnis. Das heißt, ich arbeite auf der Abstraktionsebene, ich arbeite auf der Spezifikationsebene. Und es gibt nichts, was das alles zusammenhält. Und ich denke, das Geschichtenerzählen ist ein entscheidender Bestandteil davon.

14:38 11:12 Raghu Nandakumara

Sie verwenden also den Begriff kognitive Dissonanz, und eigentlich werden Sie das nicht glauben, aber ich habe dafür recherchiert und mir einige der anderen Artikel angehört, die Sie veröffentlicht haben, und ich zitiere Sie, Sie sagten: „Kognitive Dissonanz, es gibt eine riesige Kluft zwischen Ich weiß, dass ich ein Problem habe und ich etwas dagegen unternehme.“ Also, lasst uns jetzt ein bisschen graben, um auf diese Ebene zu kommen. Sie haben das in Ihrer Erfahrung gesehen, und ich habe das in meinen Erfahrungen gesehen, dass Sie eine Bewertung vornehmen. Sagen wir eine rote Teamübung. Sie identifizieren Ihre verwundbaren Bereiche und sagen: „Oh, ja, ich weiß, dass ich dort verwundbar bin. Ich verstehe, dass ich etwas dagegen tun muss.“ Sechs Monate später, 12 Monate später, wiederholen Sie die Übung, es bestehen dieselben Sicherheitslücken. Ich muss etwas dagegen tun: wiederholen, wiederholen, wiederholen. Warum diese Lücke? Warum diese Unfähigkeit, den Sprung zu wagen und die Probleme zu lösen, die behoben werden müssen?

15:35 Richard Bird

Ja, da sind ein paar Komponenten. Die erste ist, dass die Lücke die Lücke zwischen Wissen und Bedrohung oder Wissen und Risiko oder Wissen und Erfahrung darstellt. Ich hatte erwähnt, dass ich beim Militär war. Wir hatten einen Feldwebel, als ich eine unserer Schulen besuchte. Und eine junge Truppe kam herein und stand vor ihnen und beschwerte sich über eine Situation, die wir bei einer bestimmten Übung erlebt hatten. Und der Feldwebel sah ihn an und sagte: „Ich verstehe Sie, aber ich kann Sie nicht ganz fühlen.“ Und ich fand das brillant. Ich benutze das seit Jahren. Er sagte: „Ich registriere Ihr Problem. Es gibt jedoch nichts, was ich dagegen tun kann oder werde. Und ich denke, davon gibt es in der Unternehmenswelt eine Menge, weil es einfach ist, Steine zu werfen. Ich denke, das ist einer der Vorteile, die ich habe, ist, dass meine Steine etwas weniger hart geworfen werden, weil ich auf dieser Seite der Mauer war. Ich war auf der Seite der Gleichung, dass Sie so viele konkurrierende Prioritäten haben. Sie haben so viele brennende Plattformen, Sie haben so viele Probleme. In einem Bereich, an dem wir ein paar Jahre gearbeitet haben, wurden ganze Programme zum Scheitern gebracht, um das Risiko greifbar zu reduzieren, weil einige Führungskräfte angerufen haben und gesagt haben: „Hey, ich war auf einer Konferenz, ich habe das gehört, daran müsst ihr jetzt arbeiten.“ In der Unternehmenswelt gibt es einfach ein enormes Maß an Ablenkung. Es reicht also nicht aus, über eine Sache Bescheid zu wissen. Und ich denke, wir beweisen immer wieder, dass das Wissen über eine Sache nicht zu Verhaltensänderungen führt. Da es um die Minderung von Risiken geht, die mit einer Sache verbunden sind, müssen wir es den Risikogeschäften wieder einräumen. Die Risiko-Trades hatten im Laufe der Jahre Schwierigkeiten, Formeln zu entwickeln, die sich wirklich auf die Kosten und Folgen von Risiken konzentrieren. Für Risikoklassifizierungen greife ich immer auf das Buch von Nassim Qualy zurück Der schwarze Schwan, Immer wenn ich über Risiko spreche, weil es so ein bestätigendes Buch über das „Warum“ ist. Um Ihre Frage zu beantworten: Wir können keine Fortschritte machen, weil wir als Führungskräfte und Praktiker ständig davon überzeugt sind, dass diese langfristigen Risiken nicht eintreten werden. Und wie Sie wissen, spricht Qualys in seinem Buch darüber, dass die Geschichte beweist, dass solche langfristigen Ereignisse viel häufiger vorkommen, als wir es jemals erwarten würden. Und das ist zurück zu dieser kognitiven Dissonanz. Wenn ich glaube, dass ein Risiko so weit draußen besteht, dass ich mir darüber keine Sorgen machen muss. Ich bin mir sicher, dass Sie genau wie Ihr Hintergrund das immer wieder gehört haben: „Ja, ich denke, das ist ein wirklich großes Problem. Aber ich bin nicht im Bankwesen tätig, also mache ich mir darüber keine wirklichen Sorgen.“ Wissen Sie, wie hat das für alle Ransomware-Anwender funktioniert? Richtig. Wissen Sie, es gibt die Erwartung, dass es ein Gefälle an Angriffsarten gibt, das dem Ausmaß an Komplexität und Reife entspricht. Und das kam erst gestern in einem Gespräch zur Sprache, jemand hat mich gefragt, sie sagten, nun, wenn jemand eine Chase, die Bank of America oder eine Stadt auf diese Weise angreift, weil ein wirklich großes Unternehmen und eine wirklich komplizierte Organisation, kleine oder mittlere Unternehmen sich keine Sorgen über denselben Angriff machen müssen. Und ich dachte mir, Junge, du hast es einfach hingekriegt. Ich meine, es wird sehr zynisch sein, als ob du es einfach hingekriegt hast. Wissen Sie, die Leute dimensionieren ihre Sicherheitsprogramme danach, was ihrer Meinung nach die Risiken für ihren speziellen Bereich oder ihre Branche sind. In der Zwischenzeit denken schlechte Schauspieler nicht so darüber nach. Wenn die Bösewichte hingehen, wo auch immer ich rein kann, wenn ich einen ausgeklügelten Angriff verwende, cool. Ich werde einen nicht ausgeklügelten Angriff verwenden. Cool. Falls ich deine Daten kriege. Das ist alles, was wirklich zählt. Und ich denke, das ist wirklich die ganze Verwirrung über die Komplexität, die wir auf diesem Markt haben. Das sorgt dafür, dass sich das Rad der kognitiven Dissonanz in Bezug auf die Sicherheitsleistung von Jahr zu Jahr dreht.

19:50 Uhr Raghu Nandakumara

Wie ändern wir das?

19:53 Richard Bird

Es gibt die Antwort eines erwachsenen Praktikers und dann ist da noch die zynische Antwort.

19:58 Raghu Nandakumara

Ich will beides.

20:02 Richard Bird

Nun, ich fange mit der zynischen Antwort an. Und es spiegelt ein Gespräch wider, das ich neulich gerade mit einem Mentor geführt habe; der Mentor sagte zu mir, etwa: „Vielleicht sollten wir einfach raten, die Bösewichte zu beraten. Weil sie zuhören und unsere Kollegen und unsere Freunde und unsere Mitpraktizierenden nicht.“ Und ich denke, das ist eine harte Aussage, aber ich finde sie nicht völlig unfair. Und ich denke, das lässt vermuten, dass die zynische Antwort darauf lautet, dass wir alle als Praktiker seit langem sagen, nun ja, wir müssen nur darauf warten, dass der größte und zweitgrößte Verstoß passiert und die Menschen sich endlich ändern. Das hat nicht funktioniert. Und das wirft die Frage auf, was passiert, wenn wir eine Kettenreaktion sehen? Ein katastrophales Ereignis? Was ist, wenn in einem Land das nationale Infrastrukturnetz zusammenbricht? Was ist, wenn wir einen massiven Ausfall eines ganzen Krankenhausnetzes erleben? Wir haben vereinzelt gesehen, dass Operationssäle und Notaufnahmen geschlossen wurden. Ich war schon immer der festen Überzeugung, dass die Sache, die das Spiel wirklich verändert, darin besteht, dass die Handlung eines schlechten Schauspielers in der digitalen Welt zu einer Form von Massenopfern führt. Und als ich das vor ein paar Jahren sagte, dachten die Leute, ich sei das Düsterste, was ich sagen könnte, und jetzt sage ich, die Leute sagen: „Ja, ich verstehe es.“ Als ob das passieren könnte. Also, ich denke, ein gewisses Maß dieses Problems spiegelt sich in der kognitiven Dissonanz wider, von der wir sprechen, richtig, das heißt, wir haben immer noch nichts gesehen, das groß und schlimm genug ist, um die Leute endlich aufzuwecken. Nun, die professionelle Antwort darauf lautet, dass wir wirklich beginnen, Fortschritte zu machen, wenn wir beginnen, eine signifikante Veränderung zu sehen. Ich glaube, das ist eines der skurrilsten Verhaltensweisen, die ich im Sicherheitsbereich gesehen habe, und viele Sicherheitsexperten werden wütend, wenn ich das sage, aber ich bin fest davon überzeugt, dass Sicherheit die einzige Disziplin in der Unternehmenswelt ist, in der wir uns weigern, aus Geschichte, Daten und Beweisen zu lernen. Wir haben eindeutig Beweise vor uns. Also, ich gebe nur ein ganz konkretes Beispiel. Wir haben klare Beweise vor uns aus 25 bis 30 Jahren: Wenn ein böser Akteur in Ihr System eindringt, geht er als allererstes in Ihr Active Directory. Und wenn sie zum Active Directory wechseln, suchen sie nach veralteten, veralteten, deaktivierten, aber nicht gelöschten Funktionen und Identitäten. Sie geben sich all diese Rechte, Zugriffsberechtigungen und Autorisierungen hin und begehen schlimme Dinge. Und weil alles in Ihrem AD war, holen Ihre internen Sicherheitssysteme nicht auf, weil sie so aussehen, als ob sie da sein sollten. Nun, das ist ein Muster, von dem jeder, der im Sicherheitsbereich tätig ist, weiß, dass es tatsächlich ist; er weiß, dass es durch Beweise gestützt wird. Und sie wissen, dass dies der Hauptweg für schlechte Akteure ist. Und doch können Sie heute acht, neun von zehn Unternehmen besuchen und sie fragen: „Wann haben Sie das letzte Mal Ihre Anzeige bereinigt?“ Egal, ob es sich um Azure handelt, ob es sich um eine lokale Lösung handelt, Sie werden Kribbeln hören. Sie werden jemanden sagen hören: „Nun, wissen Sie was, das wurde letztes Jahr und das Jahr davor finanziert, aber es ging unter dem Strich, und wir haben es nicht geschafft.“ Und ich denke, allgemein, wir wissen, ist dies eine der kapitalisierbarsten Angriffsflächen in jedem Unternehmen. Und doch sitzen wir alle herum und sagen: „Ja, ich habe kein Geld bekommen, und daran werden wir dieses Jahr nicht arbeiten.“ Das meine ich, wenn ich sage, dass wir uns ständig weigern. Das kommt auf viele Fragen zurück, früher war es so, naja, du musst nur die Grundlagen richtig machen. Ich persönlich denke nicht, dass das eine hilfreiche Aussage ist. Es geht zurück zur grundlegenden Sicherheit. Gehen Sie bei der grundlegenden Sicherheit richtig vor? Wissen Sie, um die Zeugenaussage hier nicht anzuführen, aber das war es, was mich letztendlich, nachdem ich ein langjähriger Gegner von Zero Trust war, im Wesentlichen zu Zero Trust geführt hat. Weil es Aspekte von Zero Trust gibt, von denen ich glaube, dass wir sie hier ein wenig auseinandernehmen werden, die eigentlich bis zu den Anfängen der Datenverarbeitung zurückreichen und grundlegend sind. Und ich denke, obwohl viele Leute denken, dass Zero Trust das ist, lasst uns in die Zukunft schauen; die Realität ist, dass es Aspekte von Zero Trust gibt, von denen wir wissen, dass sie funktioniert haben, die im heutigen Umfeld extrem hilfreich sind, aber wir haben es vergessen und ich denke, dort beginnen wir Verbesserungen zu sehen, wenn wir zurückgehen und uns auf unsere Wurzeln besinnen. Und zweitens, wenn wir anfangen, darauf zu achten, was uns klar veröffentlichte Daten und klar offengelegte Daten immer wieder als unsere Schwäche sagen.

24:40 Raghu Nandakumara

Ich höre mir nur all das an und so viele Dinge, in die wir uns hätten vertiefen können und von denen ich vermute, dass sie den ganzen Tag und den ganzen Abend hier sein werden, während meine Zeit es zulässt, dass ich nicht sicher bin, ob deins das tut. Also, nur ein paar Dinge. Eines der Dinge, die Sie angesprochen haben, ist, dass dieses Bedürfnis nach Erwachen wahrscheinlich durch dieses wirklich katastrophale Ereignis ausgelöst wurde, das durch einen Cyberangriff ausgelöst wurde. Und ich habe das Gefühl, dass wir an der Schwelle zu dieser Erkenntnis stehen. Ich meine, jeder verweist irgendwie auf Colonial Pipeline als ein mögliches Beispiel dafür. Und dann Änderungen, die dann zu einer Art behördlicher oder branchenspezifischer Regulierung im Hinblick auf die Verbesserung der Cybersicherheit geführt haben, und zwar sowohl für einzelne Unternehmen als auch für kollektive Organisationen. Und dann haben Sie von Zero Trust als einer Art Zurück in die Zukunft gesprochen, wenn es darum geht, wie wir die Sicherheitslage realistisch verbessern können. Und so, wie Sie es erklärt haben, geht es bei Zero Trust nicht unbedingt um diese Art von zukunftsorientierter Cybersicherheitsstrategie. Aber eigentlich kehren wir zu dem zurück, was bei Cybersicherheit immer im Mittelpunkt stand. Gleich zurück, quasi am Anfang der Zeit. Wo haben wir das vergessen? Und warum haben wir es vergessen?

26:01 Richard Bird

Nun, die Mechanik, warum es vergessen wird, ist interessant, weil wir sie jeden Tag sehen. Die Welt im digitalen Raum ist immer weniger sicher geworden, da wir von monolithisch dezentralisiert über verteilt zu stark dezentralisiert übergegangen sind. Je mehr die IT-Architektur fragmentiert wird und je mehr sie verteilt und dezentralisiert wird, desto schlimmer werden die Sicherheitslücken und Exploits, weil Sie nicht mehr die Kontrolle und Kontrolle haben, die Sie früher hatten. Jetzt, wo ich das nicht sage, um von meiner Rasenwolke herunterzukommen, die Kinder, richtige Art von Aussage. Was ich damit sagen will ist, dass der Mechaniker die Explosion verursacht hat, und das hat schlimme Sicherheitsfolgen. Und das ist etwas, das ganz klar noch schlimmer werden wird. Und der Grund dafür ist, dass wir uns in dieser Technologiephase befinden, in der wir die ultimativen aktuellen Virtualisierungsfunktionen erreichen, nämlich HTTP, HTTPS, von der Anwendung auf der siebten Ebene der Anwendungen. Ich erinnere mich, dass mir vor ein paar Jahren eine sehr große Bank, mit der ich in Europa zusammengearbeitet habe, sagte, ihr Ziel sei es, in fünf Jahren alle ihre Anwendungen im öffentlichen Internet laufen zu lassen. Und ich sagte: „Ihr seid verrückt.“ Ich sagte: „Das ist verrückt.“ Und doch ist das diese Welt. Nun, das war ein Fall, in dem ich kurzsichtig war. Ich dachte mir: „Das ist nicht möglich, wir werden es nie schaffen.“ Und dann ist die Realität, dass das die Welt ist, in der wir uns befinden. Aber jetzt gehören immer mehr der Vermögenswerte, die Sie zur Wertsteigerung für die Verwaltung und Verteilung von Transaktionen verwenden, nicht Ihre Sache. Und je mehr es nicht Ihre Sachen sind, desto mehr haben wir das Risiko in der Lieferkette erweitert, dass jeder in dieser Kette Dinge tut, ohne jemals miteinander zu sprechen, ohne jemals miteinander über die Sicherheitskontrollen des jeweils anderen zu sprechen. Irgendwo in der Kette ist irgendein Typ, der irgendwo in einem öffentlichen Archiv ein paar Codezeilen gezerrt hat, und es ist bereits kompromittiert. Und darüber hast du keine Kontrolle mehr. Also, das war der Fahrer. Je mehr wir verteilen, je mehr wir dezentralisieren, je mehr wir fragmentieren, desto mehr gehen wir auf Pfade über Dinge wie keinen Code, wenig Code und mehr, dass wir serverlos herunterfahren, desto mehr schaffen wir einfach eine verteilte Umgebung, die eine Umgebung mit vielen Zielen für böswillige Akteure ist und für uns aus Sicherheitsgründen unglaublich schwierig zu verwalten ist. Das ist also definitiv der kausale Faktor. Und wie gesagt, ich will nicht, dass mir jemand irgendwelche fiesen Gramm schickt; da ist schon wieder dieser Anti-Cloud-Typ. Verteiltes Rechnen gibt es schon lange. Denken Sie nicht, dass diejenigen von uns mit grauen Haaren nicht wissen, wie dezentralisiertes und verteiltes Dezentralisieren aussieht, weil AWS und Google es geschafft haben, einige VMs mit Load Balancern in ihrem eigenen Rechenzentrum zu parken. Aber ja, ich denke, dass der Grundstein zurück zu Zero Trust für mich offensichtlich entscheidend ist, wo ich sagte, dass ich in den frühen Tagen ein Widerstand gegen Zero Trust war, weil ich von der Praxis her ein alter Identitätstyp bin, was bedeutet, dass Zero Trust sich wie Reibung anfühlt. Reibung ist das, was dich feuern lässt. Aber ich habe mich völlig geirrt, denn hinter dieser Reibung steckt diese Realität und wir gehen zurück zu den Anfängen der Datenverarbeitung, dass der Treiber für diese schlechten Dinge in diesen hochverteilten Umgebungen die Existenz, das Beabsichtigte, das Design, das Konstruktive, die erlaubte Existenz von implizitem und anhaltendem Vertrauen in alles ist. Und diese Existenz von angewandtem und beständigem Vertrauen ist das, was die schlechten Schauspieler lieben. In diesem AD-Beispiel habe ich ein altes AD-Konto mit guten Rechten, das niemand jemals aus dem Verzeichnis gezogen hat. Das zeigt sich am Beispiel von beständigem Vertrauen. Und ich habe mich dafür entschieden, es entweder zu ignorieren oder vorsätzlich zu ignorieren, das nicht zu korrigieren. Ich lasse zu, dass ein Portal für schlimme Dinge passiert. Das alles basiert auf Vertrauen. Und das war wirklich die Art von Veränderung für mich. Ich denke also, Sie wissen schon, der Verbesserungspfad besteht trotz der massiven Verbreitung von Computerplattformen und Infrastruktur darin, den Verbesserungspfad stark zu reduzieren, mit dem Ziel, das implizite und anhaltende Vertrauen in so viele digitale Ressourcen wie möglich so schnell wie möglich zu beseitigen.

31:11 Raghu Nandakumara

Für diejenigen, die sich das nicht auf dem Video ansehen und es per Audio konsumieren, fällt mir bald der Kopf ab, weil ich gerade die letzten zwei Minuten damit verbracht habe, bei jedem einzelnen Wort, das Richard gesagt hat, kräftig zu nicken. Ich denke, das gehört zu den prägnantesten, aber sehr direktesten und anschaulichsten Ansätzen, um zu analysieren, warum Zero Trust notwendig ist und die Wurzel des Problems ist, das wir angehen wollen. Also, Richard, ich weiß das zu schätzen.

31:45 Richard Bird

Nun, es hat lange gedauert, bis ich es herausgefunden habe. Und ich bin nicht der Einzige, der dieses Geräusch macht. Eines der Probleme mit dem Spitznamen Zero Trust ist, dass wir nicht zur wahren Wurzel dessen kommen, von dem wir sprechen. Ich dachte immer, wir hätten das Modell „Ihren skizzenhaften Schwager, der vielleicht drogenabhängig ist und sich immer Ihre Tools ausleihen will, Sicherheitsrahmen“ nennen sollen. Weil jeder weiß, wovon wir sprechen. Das ist ein Familienmitglied, das du ihnen nicht zu Hause gibst und den Code dein Garagentoröffner. Und davon haben wir eine Menge; wir haben heute viele dieser fragwürdigen Schwager in unseren Systemen. Und damit komme ich wieder zum Teil des Geschichtenerzählens, das heißt, ich war anfangs reaktiv, emotional reaktiv, was den Begriff Zero Trust anging. Und das hat dazu geführt, dass ich mit meinen eigenen Annahmen schrecklich, schrecklich falsch lag. Und wenn John [Kindervag] die Geschichte geteilt hat, teile ich sie ständig. Ich erinnere mich, als ich John zum ersten Mal persönlich traf, aßen wir zu Abend. Und ich sagte: „Alter, ich habe nicht geglaubt, was du verkauft hast.“ Und er fing an, mit mir zu sprechen, und die eine Sache, die er sagte, die für mich einfach alles beleuchtete, sagte er: „Ich finde, Daten sollten eine Identität haben.“ Und ich sagte: „Whoa, dreh auf die Bremse, Alter.“ Das ist wie Star Trek, und wir sind immer noch in Fred Flintstone. Sobald John anfing, es auf eine Weise zu artikulieren — er ist auch ein großartiger Geschichtenerzähler —, als er anfing, auf eine Weise zu artikulieren, die kein Whitepaper war, war es keine weitere technische Spezifikation, die mir die Augen öffnete. Und wie gesagt, ich gebe voll und ganz zu, dass ich ein Vollidiot war, als es um das Konzept von Zero Trust ging, weil ich kommen und es auf das Wesentliche zurückbringen möchte. Ich habe in meinem Leben viel mit Mainframe-Sicherheitsfragen zu tun gehabt. Und ich habe mit einigen großartigen Pionieren im Bankwesen oder im Mainframe-Betrieb zusammengearbeitet. Und diese Erkenntnis erhielt ich zu einem Zeitpunkt, als ich bei Chase ein wirklich umfangreiches Programm durchführte. Zero Trust wurde mir bereits von diesen Mainframe-Mitarbeitern erklärt. Weil Zero Trust, die Zugriffskontrolle von den Anfängen bis zu dem Zeitpunkt, als wir wirklich anfingen, andere virtuelle Geräte anzuschließen, um auf die wichtigsten Mainframe-Daten zugreifen zu können, immer ein Zero Trust war. Und ich dachte mir, Wow, das geht auf das zurück, was ich sage. Diese Prinzipien funktionierten, zugegeben, zentralisiertes System für großes zentralisiertes System, aber diese Prinzipien funktionierten in dieser Umgebung. Und wir können das Argument nicht so gut vorbringen, es ist nicht wie in der Cloud. Denn wie ich die Leute gerne daran erinnere, finden jede Nacht etwa 90% aller Berechnungen statt, wenn ein riesiger Cartoon-Hebel betätigt wird und die Mainframes den Vorgang ausführen. Immer noch, etwa 90 Prozent der Workloads, wenn jeder auf der Welt in die Cloud wechselt, könnten Internet, Cloud nach 30 Jahren kommerzieller Cloud-Nutzung, und Mainframes herrschen immer noch über den Planeten. Wir können diese Rationalisierung der Komplexität der Cloud nicht nutzen, wenn es um die Komplexität des Mainframes geht, und die riesige monolithische Welt ist mit Sicherheit genauso komplex. Aber ich denke, wir finden diese Ausreden aus Bequemlichkeit. Weil es einfach darauf ankommt, ich möchte, dass mein Widget schneller verfügbar ist, ich möchte, dass mein Produkt schneller produziert wird. Ich will, ich will, ich will, ich will, ich will, und diese „Ich will“ kommen selten dazu; ich möchte auch, dass es sicher ist. Wissen Sie, das waren die Treiber, die es wirklich kompliziert gemacht haben, diese Dinge zu sichern.

35:27 Raghu Nandakumara

Ja, absolut. Wenn Sie die Notwendigkeit eines Zero-Trusts beschreiben, das Problem, das sich angehäuft hat, haben Sie im Wesentlichen von dieser Anhäufung von zu vielen impliziten Zugriffen gesprochen, dass wir irgendwie, es ist da, wir glauben, dass das unsere Rollen einfacher und produktiver macht. Sobald wir den Begriff Zero Trust hören, oder anders ausgedrückt, die Entfernung von so viel implizitem Vertrauen wie möglich, sodass es viel weniger kostenlose Zugriffe gibt, die von Angreifern ausgenutzt werden können. Ich denke, das ist der Buckel. Und ich denke, Sie haben das als den Buckel beschrieben, den viele Organisationen so lange brauchen, um ihn zu überwinden. Weil sie das schon denken, oh mein Gott. Wirst du den Zugriff entfernen, wirst du das Ding kaputt machen? Und wie kann ich dann produktiv sein? Und ich denke, wenn die Leute darüber nachdenken, und ich denke, in Zukunft, wenn Sie darüber nachdenken, aus dieser Perspektive, ist es einfacher, all die schlechten Dinge aufzulisten, die Sie verhindern wollen? Richtig, und ist das eine endliche Liste? Oder ist es einfacher, nur die ganz bestimmten Dinge zu definieren? Du brauchst unbedingt etwas zu tun? Und das einfach schaffen? Welches der beiden ist eigentlich einfacher, wenn du darüber nachdenkst?

36:49 Richard Bird

Ich denke, wir sind der Meinung, dass das Thema der am wenigsten Privilegierten näher erläutert wird, nicht nur in Bezug auf Zero Trust. Ich meine, zumindest sind Privilegien seit langem ein funktionaler Bestandteil von Umgebungen mit hohem Risiko. Ich denke, wir wären quasi die am wenigsten privilegierten Mitarbeiter, ohne jemals zu dem zurückzukehren, was Sie meiner Meinung nach wirklich an die Spitze treiben, nämlich, wie wäre es mit am wenigsten funktionellen? Warum zum Beispiel aus einem Transaktionsflussprozess? Und Junge, du sprichst von einem Kaninchenloch, in das wir gehen könnten, und warum ist es für die schlechten Schauspieler so einfach? Weißt du, nachdem sie irgendeine Form von Zugang, Punktauthentifizierung, gefälschten Zugangsdaten, Hijack-Zugangsdaten erhalten haben, was auch immer der Fall sein mag. Wie kommt es, dass sie einen einzigen Autorisierungsaufruf entgegennehmen und diesen Autorisierungsaufruf verwenden und wiederverwenden können, um an Unmengen anderer Daten zu gelangen, für die unser Autorisierungsaufruf nie gedacht war? Und funktioniert wie geplant? Die Idee, dass ich Kontrollen auf der Autorisierungsebene einrichten werde, die weit überprivilegiert sind. Nicht aus Sicht der Identität, sondern aus funktionaler Sicht. Zum Beispiel, warum zum Teufel muss ich in der Lage sein, den Zugriff auf eine Anwendung zu autorisieren, die absolut nichts mit der Erfahrung dieses Kunden zu tun hat? Oder die Erfahrung von Technikern? Wir machen das die ganze Zeit. Und ich denke, dass diese Propagierung der Aufzählung von schlechten Dingen und Funktionen zu einer so schwierigen Gleichung geworden ist. Denn um es wieder auf Ihren Bezugspunkt zu bringen, wie zu der Zeit, als ich mit Identitätssicherheit begann, bestand der große Kampf darin, die Aufrufe von Anwendungsentwicklern zur proprietären Authentifizierung abzuwehren. Und Sie hätten gedacht, dass die Welt untergehen würde. Es war wie, nein, nein, nein, ich habe meinen Authentifizierungsanruf erhalten; es ist meine Anwendung. Geh weg, lass mich in Ruhe. Und wir sagen, ja, aber Sie benötigen nicht für jede Anwendung einen authentifizierten Authentifizierungsaufruf. Wir können uns zusammenschließen und Single Sign-On standardisieren, und das wird übrigens viel sicherer. Übrigens, es ist Service; Sie müssen sich nicht mehr um diesen Aufwand und all diese Art von Problemen kümmern und Ihre eigenen Zugriffskontrollprotokolle und all diese Dinge führen. Dieser Kampf war ein heiliger Krieg. Als wäre es schrecklich gewesen. Und der Grund, warum es schrecklich war, ist, dass wir in den 15 oder 20 Jahren davor unsere Anwendungsentwickler angeschaut haben und gesagt haben: „Hey, geh und erstelle eine Anwendung.“ Und das haben sie getan. Und sie haben eine Anwendung erstellt. Sie sagten: „Nun, wir brauchen einen Authentifizierungsablauf für dieses Ding.“ Im Rahmen dieses Plans gab es keine Anweisung oder keine Verbriefung, oder die Informationssicherheit war nicht ausgefallen. Weißt du, zurück zur Funktionalität, weißt du was? Dies ist ein weiteres Beispiel für Sicherheit. Wir haben einfach keinen Respekt vor Beweisen, historischen Daten. Was haben wir mit der Autorisierung gemacht? Nun, wir sagten, Anwendungsentwickler gehen los und erobern. Was machen wir mit APIs? Es ist nur ein Widget. Mach einfach weiter und benutze es. Wie schlimm könnte es sein? Genau und jetzt sitzt er hier und die Leute sagen: „Ich weiß nicht, wie viele Autorisierungsanrufe ich habe; ich weiß nie, wie viele APIs ich habe.“ Ich weiß es nicht. Und es gibt keinen Zeitpunkt in der Sicherheitsgeschichte, in dem die Antwort gleichbedeutend ist, dass aus Sicherheitsgründen gute Dinge passieren werden. Also haben wir diese massive Ausbreitung zugelassen. Offensichtlich sprechen wir viel über rückverfolgbare API-Ausbreitung. Aber es gibt Autorisierung, Streuung, Feature-Funktionalität, Wildwuchs, all das, und wir sind noch nicht einmal annähernd dran, die Idee des geringsten Ganzen auf eines dieser Dinge anzuwenden. Und je mehr wir in einer Welt leben, in der die Erwartung besteht, dass man jederzeit auf alles zugreifen kann, unabhängig davon, ob wir es nutzen oder nicht, desto mehr werden sich diese Probleme exponentiell verschärfen.

40:47 Raghu Nandakumara

Lassen Sie uns also über API-Sicherheit und die Arbeit sprechen, die Sie leisten, um Traceable zu erhalten. Also, die erste Frage: Ich habe mir diese Woche meine Lieblings-Zero-Trust-Referenzdokumente angesehen; das waren das CISA Zero Trust Maturity Model und NIST 800 207. Und ich habe diese speziell auf der Suche nach dem Abschnitt durchgesehen, in dem sie über Zero Trust und API-Sicherheit sprechen werden. Und Schock, Horror, keine Referenzen, Quadratwurzel von Null. Was hat Zero Trust mit API-Sicherheit zu tun? Fangen wir dort an.

41:29 Richard Bird

Nun, weißt du, die Antwort auf die kürzeste Geschichte ist, dass ich mit John Kindervag in Miami auf der Bühne gesessen habe. Wir waren auf einer Podiumsdiskussion, und er winkt mit der Hand auf den Bildschirm. Und er sagt: „Wenn wir Zero Trust richtig hinbekommen“, sagt er, „wird die gesamte Sicherheit je nach Richtlinie auf Ebene sieben verschoben.“ Und ich dachte mir, ich glaube, das ganze Blut ist aus meinem Körper geflossen. Aber ich habe John zur Seite gezogen. Ich dachte, John, weißt du, wie schlimm die Sicherheit und die Internet- und Internetsicherheit sind, das ist der Nirvana-Staat, über den wir anfangen müssen zu reden. Und es fiel zufällig mit der Zeit zusammen, als ich zu Traceable kam. Einer der wichtigsten Faktoren, die zu Traceable beigetragen haben, war, dass ich über die Fortschritte und Innovationen im Bereich Identitätslösungen frustriert war. Und ich habe viel über genau das Beispiel gesprochen, das ich zuvor in Bezug auf Autorisierung, Schadenkontrolle und Sicherheit gegeben habe. Und dafür gibt es keine Lösungen. Sogar bis heute gibt es ein paar Leute, die irgendwie experimentieren, die an einigen wissenschaftlichen Projekten gearbeitet haben, bei denen typisches Zeug vor sich ging. Aber mir wurde klar, dass die Autorisierungsauthentifizierung der Treibstoff für die API-Autorisierung ist und der absolute Lachgas für die Engine-APIs. Außerdem wurde mir klar, dass ich dachte, nun, wenn Sie APIs verbriefen können, können Sie jetzt unter anderem damit beginnen, die Autorisierungsebene zu verbriefen. Und eines der Dinge, die ich faszinierend finde, ist genau das, was Sie entdeckt haben. Wir leben in einer Welt, die immer noch universell behandelt wird, APIs immer noch so behandelt, als gäbe es eine Art Widget. Das sind sie nicht; es ist nur ein Anwendungsaufruf, ein Aufruf des Anwendungsdatenspeichers stellt lediglich einen Microservice dar. Also, wie schlimm könnte es werden? Also, wir finden es heraus. Wir finden definitiv heraus, wie schlimm es werden könnte, denn APIs stellen eine Mikrokapselung der ultimativen Version der Virtualisierung dar. Sie machen eine Sache. Und wenn Sie ein unglaublich kluger Futurist sind und auf die Geschichte zurückblicken, denken Sie: „Oh, Moment mal, wir haben dieses Muster schon einmal gesehen.“ Wir haben gesehen, wie die Welt aussah, als keiner unserer Techniker wusste, wie viele Firewall-Regeln wir hatten. Wir sehen, wie unsere Welt aussieht, als keiner unserer Leiter des Operations Centers wusste, wie viele virtuelle Maschinen wir hatten, richtig, oder wie viele geschützte, selbstgeschützte Domänen wir hatten und wie viele Domänen wir hatten, die nicht geschützt waren. Aufgrund des Aufstiegs der APIs hatten wir also nur sechs, sieben oder acht Jahre Energie in die Entwicklung von APIs gesteckt, die explosionsartig explodierten. Das Nutzen-Rendite-Angebot aus allen möglichen Dingen, von Datenspeichern, die verloren gegangen sind, sowie von Ressourcen und Diensten, und das war großartig. Aber alles wurde ohne jegliche Sicherheit durchgeführt. Und jetzt, wenn wir uns die Dinge ansehen, die wir sehen, können wir stundenlang darüber reden, wie zum Beispiel, eines der Dinge, die ich als funktionierender CISO sehe, ich bin der CISO für unser Unternehmen und gleichzeitig eine marktorientierte Stimme zu all diesen Themen. Ich sehe jede Woche Angriffe. Das ist umwerfend. Und ich frage mich, wo führt das hin, wenn wir keine Sicherheitsvorkehrungen haben? Das Schöne an APIs und ihrer Verbindung zu Zero Trust ist, dass APIs auf implizitem und beständigem Vertrauen laufen. Das ist der Punkt, an dem das alles zusammenkommt. Wenn ich mir das gesamte primäre Fünf-Säulen-Modell von Zero Trust ansehe, wenn ich mir die Prinzipien von Zero Trust ansehe, wird mir klar, dass das, was John gesagt hat, absolut korrekt ist. Wenn ich Zero Trust effektiv auf alle anderen Komponenten meiner Sicherheit und Technologie anwende, auf Stacks oder Schichten oder wie auch immer Sie sie nennen möchten. Aber ich habe nichts gegen die Verbriefung von APIs unternommen; ich habe einfach jede kleine Arbeit und jede Investition, die ich getätigt habe, suboptimiert, weil böswillige Akteure die APIs von APIs als Proxy für jede andere Art von Angriff verwenden können. Auf jeder anderen Ebene des Sicherheitsstapels. Ich kann APIs verwenden, um Ihre App zu bewerben; ich kann APIs für betrügerische Kontoerstellung, Kontoübernahme und Registrierung verwenden, ich kann APIs verwenden, um Payload-Scraping durchzuführen. Ich habe Situationen gesehen, in denen Terabyte an Daten verloren gegangen sind. Und die Bösewichte haben noch nie die Kernsysteme dieses Unternehmens entwickelt, die alle API-gesteuert sind. Und das ist die Botschaft, die ich kommuniziert habe. Was Ihren Standpunkt zu SP 800 207 sowie zu einer Reihe anderer regulatorischer und Compliance-Anforderungen angeht, so ist das Fehlen des spezifischen Begriffs API problematisch und herausfordernd, und es wird nicht mehr lange anhalten. NIST hat sehr deutlich gemacht, dass es davon ausgeht, spezifische Anweisungen in Bezug auf APIs vorzugeben. Die FTC, die SEC, das OCC und die Bankenbranche arbeiten entweder alle an API-spezifischen Verweisen oder haben sie bereits gestrichen. Für diejenigen, die das bezweifeln: Wenn Sie extrem nerdig sind und nichts anderes zu tun haben, schauen Sie im Office of the Comptroller of the Currencies Model Risk Compliance nach. Und in diesem Compliance-Dokument heißt es ausdrücklich: „Wenn Sie APIs von Drittanbietern verwenden, um Informationen in Ihre Unternehmensbewertungsmodelle zu integrieren, müssen Sie diese berücksichtigen und sicherstellen, dass sie sicher sind, und nachweisen, dass dies der Fall ist.“ Das ist kein Indikator dafür, dass APIs für den Rest unseres Erwachsenenlebens ignoriert werden. Eine Regulierungsbehörde tut das, die anderen werden einspringen, es wird eine Welle von Kontrollforderungen geben, und NIST wird sich mit dieser ISO befassen, ISO kann es sich nicht leisten, sie nicht mit Dingen wie 222 zu beantworten, was eine Spezifikation ist, die Swift ausschalten wird. Und für diejenigen, die wiederum die Bankenseite nicht kennen: Swift wickelt nur alle internationalen Handelstransaktionen zwischen großen Ländern und Investmentbanken ab, Handelsorganisationen, die über internationale Grenzen hinweg handeln. Und Sie wissen, ISO ist sich bereits der Tatsache bewusst, dass APIs den gesamten Datenverkehr steuern. Wir stehen also an der Schwelle zu einer völlig anderen Welt, wenn es um die API-Erkennung für den aktuellen Status geht. Meine erste Chance ist, dass Sie in Zero Trust alles andere richtig machen, Sie haben nicht die richtige API-Sicherheit, Sie haben kein Zero Trust. Es tut mir leid, diese schlechten Nachrichten zu überbringen, aber sie gewinnen definitiv an Bedeutung auf dem Markt.

48:18 Raghu Nandakumara

Also vorher, was ich Sie fragen möchte, und wir werden gleich darauf eingehen, ist das, also wie sieht Zero Trust für API-Sicherheit aus? Aber bevor wir dorthin kommen, möchte ich, ich weiß, dass Sie [bei] Traceable, ich würde sagen, im letzten Jahr veröffentlicht haben, was meiner Meinung nach der erste Stand der API-Sicherheitsforschung in Zusammenarbeit mit dem Ponemon Institute ist. Was ist aus Ihrer Sicht die wichtigste Erkenntnis aus diesem Bericht? Wenn es zum Beispiel eine Sache gibt, die die Sicherheitsverantwortlichen von Führungskräften daraus mitnehmen sollten, was ist das?

48:53 Richard Bird

Ja, steck deinen Kopf in den Sand. Ja, ich weiß nicht. Ich weiß nicht, ob ich noch empfindlicher sein könnte. Aber ich meine, das ist die Wahrheit. Es sind die Prozentsätze, die Zahlen, die Antworten, die aus dem Bericht mit Larry Ponemon hervorgingen. Es war überwältigend für mich, beunruhigend für mich. Es ist ein mathematischer Beweis für das, worüber wir zuvor gesprochen haben, nämlich, ich weiß, dass ich ein Problem habe, ich unternehme nichts dagegen. Vor zwei Jahren sagten die Leute, ich habe kein API-Sicherheitsproblem. Ich habe gelacht und ein Tor bekommen. Das war keine kognitive Dissonanz. Das war vorsätzliche Unwissenheit. Jetzt befinden wir uns in dieser Phase der kognitiven Dissonanz, in der es sehr selten vorkommt, dass ich mit jemandem auf dem Markt spreche und sie sagen: „Ja, ich mache mir keine Sorgen um APIs. Hab es unter Kontrolle.“ Die große Mehrheit der Leute, die mir diese Bestätigung geben, sagt jedoch auch: „Ja, aber wir denken immer noch darüber nach“, „Wir unternehmen nichts dagegen“ oder „Wir wissen nicht, was wir tun sollen.“ Das wird sich natürlich in den nächsten 12 bis 18 Monaten ändern, egal ob es sich um regulatorische Anforderungen oder weitere Verstöße oder was auch immer handelt. Aber das ist sicherlich der Punkt, an dem wir heute stehen. Und die Zahlen in diesem Stadium der API-Sicherheit, die sich einfach unglaublich bestätigen, sagen etwa 64% der Befragten, die sagten: „Ja, ich hatte definitiv einen erfolgreichen API-Angriff oder Exploit.“ Und von diesen 64% haben 75% im Grunde gesagt: „Und das ist mindestens dreimal passiert.“ Ich bin extrem schlecht in Mathe, daher weiß ich 74% nicht. Über 75% von 64% entfallen auf die Gesamtzahl der 1.800 Unternehmen. Aber es ist eine große Zahl, und was noch wichtiger ist, es ist eine große Zahl und eine stark dezentralisierte, verteilte und unglaublich stark vernetzte Welt.

50:40 Raghu Nandakumara

Ich bin mir nicht sicher, ob Sie meinen Bildschirm sehen können, weil die von Ihnen angegebene Statistik „60% Erfahrung und API-bezogener Sicherheitsverstoß und 75% mindestens drei“ genau die ist, die ich mir gerade ansehe. Das bringt mich zu der Frage: Zero Trust und API-Sicherheit. Was bedeutet das, wenn Sie die Prinzipien von Zero Trust auf die API-Sicherheit anwenden?

51:04 Richard Bird

Lassen Sie mich zunächst sagen, was viele Leute fälschlicherweise denken, dass es bedeutet. Nun, viele Leute denken fälschlicherweise, dass dies bedeutet, dass Sie APIs verschlüsseln müssen. Ich benötige irgendeine Form der Authentifizierung, Verschlüsselung und irgendeine Form von Autorisierungsverschlüsselung. Und der Grund, warum sie sagen, dass das eine falsche Annahme ist, lassen Sie uns noch einmal einen Blick auf die 30-jährige Geschichte werfen. Wie haben Authentifizierung und Autorisierungskontrolle für uns bisher funktioniert? Es ist genauso einfach, Authentifizierungsdaten für eine API zu fälschen und/oder zu stehlen, möglicherweise sogar einfacher, wie es für ein bestimmtes Konto und eine bestimmte Identität der Fall ist. Eines der allerersten Dinge, an die ich mich erinnern kann, als ich unseren Mitbegründern gesagt habe, als ich beitrat, als sie mich nach meiner Vorstellung von API-Sicherheit fragten, sagte ich: „Das habe ich schon einmal gesehen.“ Und sie sagen: „Was würdest du sehen?“ Und ich sagte: „Nun, ich kann das Unternehmen nicht nennen, eine sehr große Bank saß in der Kommandozentrale mit einer unterschiedlichen Anzahl von Mitarbeitern verschiedener Strafverfolgungs- und Geheimdienste, weil eine bestimmte Nation böser Akteure in unsere Systeme eingedrungen war. Und sie fanden heraus, dass SSH-Schlüssel für die Kommunikation zwischen Anwendungen, von Anwendungsserver zu Servergerät, Gerät und von Gerät zu Gerät gedacht waren. Aber wenn man sie kriegt und sie als Menschen benutzt und sie für den Ost-West-Querverkehr benutzt, kann man einer sehr großen Bank großen Schaden zufügen.“ Alles klar. Und das Hijacking von SSH-Schlüsseln ist zwar nicht gerade mit API-Sicherheit vergleichbar, aber auf Transaktionsbasis, ein sehr starker Vergleich, richtig, das heißt, ich kann eine API nutzen, um reinzukommen, ich nutze eine API, um Dinge zu erledigen. Und wenn das einzige, was mich davon abhält, die Authentifizierungsverschlüsselung auf einem JSON oder einem JOT bei der Autorisierung ist, liebe ich das als Bösewicht. Zuallererst wird die Verschlüsselung das nicht für Sie erledigen, was bedeutet, dass, wenn Verschlüsselung nicht mehr Ihre Ausfallsicherheit ist, Sie das Verhalten einer API kontinuierlich überwachen und Bedrohungsinformationen über das Verhalten einer API erstellen müssen. Google hat kürzlich tatsächlich Untersuchungen zu einer API veröffentlicht, die ausnutzbar ist. Und Google sagte tatsächlich: „Nun, diese API funktioniert wie vorgesehen“. Und meine Antwort war, ein Klauenhammer funktioniert, ist für den Großteil der Zeit konzipiert, in der er benutzt wird, um Nägel zu schlagen und Nägel aus Brettern zu ziehen. Aber das eine Mal, wenn er als Mordwaffe benutzt wird, ist er auch wirklich effektiv. Es wurde nicht als Mordwaffe konzipiert. Kein Typ, der da drinnen saß und seinen ersten Klauenhammer machte, sagt: „Nun, ich will Nägel einschlagen, und ich denke, wir können damit jemanden töten.“ Und das liegt in der Natur von APIs. APIs sind dafür konzipiert, etwas zu tun. APIs können jedoch für viele andere Dinge genutzt werden, einschließlich vieler schlechter Dinge. Und wenn Sie dieses Prinzip nicht erkennen, ist Zero Trust in Ihrer Umgebung keine Möglichkeit. Denn Sie werden APIs entwickeln, die überprivilegiert sind und nicht mehr vertrauenswürdig sind als vertrauenswürdige APIs, die in Ihrer Umgebung im Umlauf sind. Übrigens können Sie nichts anderes tun, um sich vor ihnen abzusichern, weil sie so aussehen, als würden sie tun, was sie tun sollen. Es gibt eine Menge Leute in der Technologiewelt, die mehr Fleisch am Knochen wollen; ich verstehe das. Sie wollen sich auf die Designspezifikationen und technischen Spezifikationen konzentrieren und mir zeigen, wie das geht, und ich bin nicht anderer Meinung, dass das notwendig ist, und davon gibt es eine Menge. Aber das eigentliche Problem dabei ist, dass wir nicht zu der grundlegenden Einigung auf höchster Ebene gekommen sind, dass dies ein Problem ist. Ich kann Ihnen sagen, wie Sie Ihre APIs den ganzen Tag lang verbriefen können. Wenn Sie dazu nicht bereit sind, spielt es keine Rolle. Wenn es nicht operationalisiert ist, existiert es nicht. Und ich denke, dass ein Großteil der heutigen Diskussion die Menschen wieder einmal davon überzeugt, dass sie nicht nur ein Problem haben. Aber dieses Problem ist existenziell. Dieses Problem wird katastrophale Folgen haben. Und wenn Sie argumentieren wollen, dass ich nur Angst, Unsicherheit und Zweifel verkaufe und Sie nicht aufgepasst haben, weil ich das letzte Mal nachgesehen habe, sollten wir alle Angst haben. Wenn Sie sich die Ergebnisse der heutigen Sicherheitslücken ansehen, sollten wir alle Angst haben. Und das muss es sein, was uns dazu bringt, intellektuell neugieriger zu werden. Und um Sicherheitsstrategien wie Zero Trust zu verfolgen, werde ich das alles irgendwie in die Hand nehmen. Zum Beispiel, wenn Leute mit mir über Zero Trust streiten. Und es ist einfach zu viel und es ist sehr kompliziert, oder was auch immer das Argument sein mag. Meine Antwort ist immer dieselbe: „Wie funktioniert implizites und anhaltendes Vertrauen für Sie?“ Richtig, denn wenn Sie keine Alternative zum Status Quo haben, dann streiten Sie sich nicht mit mir darüber, wie schwierig Zero Trust ist, denn Sie werden nicht einmal wissen, wie das aussieht, bis Sie sich auf diese Reise begeben. Ansonsten theoretisierst du nur. Und ich weiß, woran Sie arbeiten, was Ihre Grundannahme ist, mit der Sie jetzt arbeiten; es funktioniert nicht.

56:07 Raghu Nandakumara

Ich denke, nur um zusammenzufassen, was Sie über die Art der API-Sicherheit gesagt haben, und es ist eine Art Trennung zwischen dem, wofür sie konzipiert ist, und dem, was Sie können, was tatsächlich darüber getan wird. Und das bringt Sie zurück zu einer Parallele, die John Kindervag oft in Bezug auf Firewall-Regeln zitiert. Im Rahmen der zulässigen Werte passieren schlimme Dinge, denn genau das nutzen Angreifer aus. Bevor wir also zum Schluss kommen, wie sieht die Zukunft von Zero Trust und API-Sicherheit aus Ihrer Sicht aus?

56:52 Richard Bird

Nun, ich denke, die Zukunft, und es gibt ein Argument dafür, dass ich zu optimistisch bin, was das angeht, was ich zu teilen bereit bin. Aber ich glaube fest daran, das heißt, ich glaube, dass es das Potenzial für eine Zukunft mit Zero Trust gibt, das ist der utopische Zustand, der bedeutet, wenn Sie Zero Trust auf den größten Prozentsatz Ihres digitalen Bestands anwenden könnten, auf jeder Ebene, was auch immer Ihre Hybridarchitektur ist, oder ob Sie immer noch vor Ort sind, spielt es keine Rolle. Sie können diese Zero-Trust-Prinzipien auf jeden Teil der Komponente anwenden. Und Sie treiben alles in die ultimative virtuelle Ebene, den Layer-Sieb-Raum. Ich denke, dass wir tatsächlich erfolgreich sein können, und die Verbriefung der siebten Schicht, also der API-Sicherheit, wird dabei eine sehr wichtige Rolle spielen. Ich denke, die fortschrittliche Identitätskontrolle der nächsten Generation wird dabei eine große Rolle spielen. Ich denke, dass es noch andere Teile gibt, die für Schicht 7 in den Mittelpunkt rücken werden. Aber wenn wir einen Zustand erreichen würden, in dem die wichtigsten Komponenten vollständig in einem Zero-Trust-Rahmen eingeschlossen wären, dann könnten wir all unsere Ressourcen einsetzen und uns voll und ganz auf die siebte Ebene konzentrieren. Und ich denke, dann befinden wir uns in einem Bereich, in dem wir mit den böswilligen Akteuren gleichberechtigter sind als nur eine weitere Nachricht über eine weitere Reihe von Servern, die aufgrund von Ransomware gesperrt wurden.

58:30 Raghu Nandakumara

Ich liebe das. Und ich glaube, das hast du gesagt. Heute müssen Ransomware-Angreifer eigentlich nicht einmal so gut sein, um erfolgreich zu sein. Lassen Sie uns sie also tatsächlich deutlich härter arbeiten lassen. Also, wenn sie erfolgreich sein wollen, sollten sie besser sehr, sehr gut sein.

58:49 Richard Bird

Ein anderes Thema für einen anderen Tag, aber es ist wichtig, dass wir uns physische Muster und Sicherheit ansehen und sie dann digital betrachten. Die Leute können quasi so viel argumentieren, wie sie wollen, aber wenn man es schlechten Akteuren schwerer macht, verbessert man die Sicherheit und senkt das Risiko. Ja, wenn Sie damit nicht einverstanden sind, fragen Sie mich, an wie vielen Gerichtsgebäuden Sie schon vorbeigegangen sind, die keine großen Zementbarrieren und Pylonen und alle möglichen anderen physischen Sicherheitseinrichtungen haben, die sie jetzt blockieren. Ja, weil wir unsere Lektion gelernt haben, dass wir die Leute bremsen müssen, bevor sie in dem Gebäude schlimme Dinge tun. Wir müssen dieselben Muster anwenden. Und ich finde es wirklich toll, wie du es formuliert hast. Mach es den Bösewichten schwerer. Treiben Sie sie in Bereiche, in denen Sie aus Sicherheitsgründen eine Kampfchance gegen sie haben, aber geben Sie ihnen nicht den leichten Boden. Und ich denke, genau das macht Zero Trust. Ich denke, Zero Trust macht das einfache Terrain zunichte.

59:42 Raghu Nandakumara

Ich liebe das. Ich wollte Sie bitten, Ihre Lieblings-Zero-Trust-Analogie zu teilen, aber ich finde, das ist eine sehr aussagekräftige Aussage zum Schluss. Ich sollte mich bei dir vielmals bedanken, Richard. Es war so ein Vergnügen, mit Ihnen zu sprechen, und ich finde, dass es fast nicht genug ist, wie lange wir uns unterhalten haben. Nochmals vielen Dank, Richard Berg, Chief Security Officer bei Traceable AI. Ich ermutige alle, sich den State of API Security Report anzusehen, der auf der Traceable AI-Website verfügbar ist, und sich eingehend mit dem Stand der API-Sicherheit zu befassen und zu erfahren, wie Zero Trust und die Anwendung von Zero Trust dazu beitragen können, dies zu verbessern. Richard, danke.

1:00:25 Richard Bird

Danke, es hat dir wirklich Spaß gemacht.

1:00:27 Raghu Nandakumara

Vielen Dank, dass Sie sich die Folge des Segments dieser Woche angesehen haben. Wir werden in zwei Wochen mit unserer nächsten Folge zurück sein. In der Zwischenzeit finden Sie weitere Zero-Trust-Ressourcen auf unserer Website www.illumio.com. Finden Sie uns auf LinkedIn und X über die Links in unseren Shownotes. Das ist alles für heute. Ich bin dein Gastgeber Raghu Nandakumara und wir werden bald mit mehr zurück sein.

Zurück zum Seitenanfang
Lesen Sie mehr