A logo with accompanying text "Listen on Spotify"A logo with accompanying text "Listen on Apple Podcasts"
Spirale jetzt, nicht später: Überdenken der Ransomware-Bereitschaft
Season Two
· Episode
11

Spirale jetzt, nicht später: Überdenken der Ransomware-Bereitschaft

In dieser Folge setzt sich Moderator Raghu Nandakumara mit Sherrod DeGrippo, Director of Threat Intelligence Strategy bei Microsoft, zusammen, um die sich entwickelnde Landschaft der Cyberbedrohungen und die Bedeutung der Widerstandsfähigkeit gegenüber Ransomware zu untersuchen. Sie erörtern die sich ändernden Taktiken der Bedrohungsakteure, die entscheidende Rolle von Zero Trust in der modernen Cybersicherheit und den wachsenden Einfluss von KI sowohl auf die Cyberabwehr als auch auf Angriffe. Sherrod gibt auch Einblicke in die Abwägung objektiver und subjektiver Sicherheitseinschätzungen und betont dabei die Notwendigkeit starker grundlegende Praktiken und betriebliche Belastbarkeit.

Transkript

00:05 Raghu Nandakumara

Willkommen bei The Segment: A Zero Trust Leadership Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter der Abteilung Branchenlösungen bei Illumio, dem Unternehmen Zero Trust Segmentation. Heute gesellt sich Sherrod DeGrippo, Direktor für Threat Intelligence Strategy bei Microsoft, zu mir.

Sherrod wurde 2022 zur Cybersicherheitsfrau des Jahres und 2021 zur PR-Sprecherin des Jahres für Cybersicherheit ausgewählt. Zuvor war sie Vizepräsidentin für Bedrohungsforschung und -erkennung bei Proofpoint, wo sie ein globales Team von Bedrohungsforschern, Malware-Reverse-Engineers und Threat-Intelligence-Analysten leitete. Ihre Karriere im Bereich Cybersicherheit erstreckt sich über 19 Jahre. Zuvor war sie unter anderem als Leiterin der Red Team Services bei Nexum, als Senior Solutions Engineer für Symantec, als Senior Security Consultant für SecureWorks und als Senior Network Security Analyst für die National Nuclear Security Administration tätig.

In diesem Gespräch betont sie die Bedeutung der Widerstandsfähigkeit gegen Ransomware und behandelt Sicherheitsgrundlagen sowie die Auswirkungen von KI sowohl auf Angreifer als auch auf Verteidiger. Das Gespräch unterstreicht die Notwendigkeit umsetzbarer Bedrohungsinformationen und den menschlichen Aspekt der Sicherheit.

Aber bevor wir mit der Folge beginnen, ein Wort von Illumio: [Werbespot einfügen]

Sherrod, zunächst, bevor wir mit dem Gespräch beginnen, es ist so aufregend, heute mit Ihnen sprechen zu können. Und es ist lustig, es war einfach ein totaler Zufall. Ich habe mir einige deiner letzten Podcast-Folgen angehört, um mich darauf vorzubereiten, und ich habe gerade letzte Woche beschlossen, mir den Lazarus-Heist-Podcast der BBC noch einmal anzuhören, den du sicher sehr gut kennst. Also dachte ich, das wären, es war wie, das ist ein Zufall. Und weil ich mir das in den letzten zwei Nächten angehört habe, habe ich das Interview gegeben und bin dann eingeschlafen. Es sagt also mehr darüber aus, ob ich den Film entweder satt habe oder er nicht so gut war, aber es ist trotzdem eine wahre Freude, mit Ihnen sprechen zu können. Also danke, dass du zu uns gekommen bist.

02:14 Sherrod DeGrippo

Ich danke dir. Danke, dass du mich eingeladen hast. Ich denke, Sie wissen, wie Ihr Medienkonsum zeigt, kommt Nordkorea wirklich ins Spiel. Sie kommen auf eine Weise in den Vorstand, die wir noch nie gesehen haben. In den letzten Monaten hat Nordkorea einige Punkte erzielt.

02:28 Raghu Nandakumara

Absolut, und ich würde das gerne irgendwann in unserem heutigen Gespräch besprechen. Aber so wie es ist, glaube ich, ist die Norm bei diesen Podcasts, lassen Sie uns das Band zurückspulen und uns zu dem bringen, wo alles für Sie in Ihrer Karriere begann, bis hin zu dem, was Sie heute in Ihrer Rolle tun.

02:48 Sherrod DeGrippo

Sicher. Also, ich meine, ich glaube, es fing an, als ich 14 war. Wirklich, ich war 14. Das war in den frühen 90ern, und ich habe gelesen, weil ich, weißt du, ein sehr cooler Teenager war. Ich las die Zeitschrift Thrasher, Thrasher Magazine, eine Skateboard-Zeitschrift. Und einen Monat lang stand hinten im Thrasher Magazine eine kleine Anzeige, in der stand: Ruf die Thrasher BBS an (Bulletin Board System), und sie hatte eine Telefonnummer. Und ich, weißt du, ging zu meinem Vater, der ein großer Hardcore-Computer- und Supercomputer-Vollidiot war. Und ich sagte: „Papa, ich möchte das BBS nennen. Was mache ich?“ Und er sagte: „Nun, weißt du, ich habe ein Modem, und wir können dich einrichten und wir werden dafür sorgen, dass du die BBS anrufen kannst.“ Und ich erinnere mich sehr gut, dass ich ein BitFax-Bitmodem verwendet habe, das war die App oder die Anwendung unter Windows 3.1, und ich erinnere mich sehr gut daran, dass er sagte: „Ich werde ANSI ausschalten. Das brauchst du nicht.“ Im Grunde genommen hat er mir das Anschauen von Grafiken sehr früh genommen, also, weißt du, er meinte, meine 14-jährige Tochter muss diese Bilder nicht sehen. Also habe ich einfach den Thrasher BBS angerufen und war da, tagein, tagaus. Und dann, ungefähr einen Monat später, schrie mein Vater: „Sherrod“. Ich sagte: „Oh, ich habe Probleme.“ Ich hatte eine Telefonrechnung von 300$ aufgebraucht. Für die Jugendlichen, die zuhörten, mussten wir früher für Ferngespräche bezahlen, und Thrasher BBS war nicht in meiner Nähe, also kostete es Geld pro Minute. Und meinem Vater gefiel das nicht, und das brachte mich zum Ausflippen. Ich betrachte mich in erster Linie als Freaker, was bedeutete, dass ich, weißt du, einen Telefonhörer hatte. Ich habe Dinge wie Beigeboxen gemacht und viele Leute getroffen, die sich sehr darauf gefreut haben, mir viele Dinge zu zeigen. Und am Ende habe ich einfach, weißt du, als ich auf dem College war, im Einkaufszentrum gearbeitet und nicht genug Geld verdient, und ich habe auf dem Campus ein Poster gesehen, auf dem stand: „Komm und arbeite bei AT&T.“ Als ich auf dem College war, fing ich an, bei AT&T zu arbeiten. Und von da an bekam ich einfach immer wieder Jobs in der Tech-Branche, bis ich früh zu einem ISP ging. Meine Karriere, wahrscheinlich von 2000 bis 2001, und dieser ISP wurde gehackt. Einer der Kunden des ISP wurde gehackt und sie sagten, wir wollen, dass du das reparierst. Weißt du, es war ein Rechenzentrum. Also habe ich sie nur einmal benutzt, all ihre Server, habe sie auf einem Tisch in einem Konferenzraum gestapelt, es auf einem Whiteboard nachverfolgt und gesagt, ich gehe zur Arbeit. Ich werde diese Arbeit machen. Wissen Sie, damals hieß es noch nicht einmal Incident Response. Und es war eine PHP-BB-Installation, die verwundbar war, die, ich zitiere, von einem Hacking-Team gehackt wurde. Sie haben ein paar MP3s installiert, die im Hintergrund abgespielt werden, oder vielleicht sogar nur Wave-Dateien. Als wäre es sehr primitiv. Und das war der Punkt, an dem ich dachte, ich will Sicherheitsdienst machen. Ich möchte Dinge sichern. Ich möchte lernen, wie das alles funktioniert. Ich will Dinge hacken. Ich möchte Dinge sichern. Und kurz darauf bekam ich meinen ersten richtigen Job im Sicherheitsbereich. Ich arbeitete für die National Nuclear Security Administration, die zum Energieministerium gehört. Und damit begann meine Besessenheit im Bereich Netzwerksicherheit. Ich bin besessen von Netzwerksicherheit. Und ich habe das einfach, weißt du, eine ganze Weile lang gemacht. Und nicht zu lange, aber danach habe ich bei Verkäufern gearbeitet. Deshalb habe ich die letzten 18 Jahre meiner Karriere Sicherheitsanbietern wie Symantec, SecureWorks, Nexum Proofpoint und jetzt Microsoft gewidmet. Ich liebe den Anbieterbereich.

06:19 Raghu Nandakumara

Unglaublich. Ich meine, das ist eine ziemliche Geschichte vom Thrasher Magazine über den Leiter der Bedrohungsinformationsstrategie bei Microsoft. Das ist wahrscheinlich ein Karriereweg oder sogar ein Lebensweg, den Sie nie hätten einschlagen können, wenn Sie damals, Anfang der 90er, gefragt worden wären.

06:37 Sherrod DeGrippo

BBS und IRC haben mich geprägt. BBSS IRC und Live Journal. Das sind mit Sicherheit meine Ursprünge. Ich glaube, das lag zum Teil daran, dass mein Vater, als ich aufwuchs, schon in sehr jungen Jahren, immer sagte: „Alles, was du lernen musst, es gibt ein Buch, und du bekommst das Buch und du lernst es aus dem Buch und du kannst alles tun.“ Und als er mir mein erstes Auto kaufte, kaufte er mir das Chilton-Handbuch, das zu meinem Auto gehörte, und er sagte: „Du hast ein Auto, und jetzt hast du das Buch, das zum Auto gehört, und du kannst das Auto reparieren.“ Und so habe ich das quasi mitgenommen. Für alles, was du lernen musst, gibt es einen IRC-Kanal, in den du reinkommen kannst. Jemand wird dir helfen oder dich auf etwas hinweisen. Und das glaube ich immer noch wirklich. Alles, was du lernen musst, du kannst das Buch finden, du kannst die Person finden, du kannst die Ressource finden und du kannst es lernen und du kannst es tun.

07:30 Raghu Nandakumara

Ich schätze, ersetze jetzt die IRC-Kanäle durch Reddit, da hast du, ja, du hast deine Informationsquelle, richtig, oder Wissen. Also, du hast über diesen Vorfall gesprochen. Sie arbeiten beim ISP; einer Ihrer Kunden wurde gehackt. Im Grunde genommen haben Sie ihre gesamte Infrastruktur aus ihrem Rack genommen, sie auf einen Tisch gelegt und gesagt, ich werde das herausfinden. Gehen Sie diesen Prozess durch und sprechen Sie mit uns darüber, was Sie dabei gemacht haben, was Sie über die Art der Angreifer, das Verhalten, ihre Beweggründe herausgefunden haben.

08:06 Sherrod DeGrippo

Ja. Und ich denke, das war auch ein wirklich entscheidender Moment für mich. Also habe ich bei diesem ISP gearbeitet, bei dem es sich um eine sehr frühe redundante Cloud-Funktion handelte. Wir hatten Büros im Erdgeschoss und das Rechenzentrum befand sich im zweiten Stock. Also hasste ich es, da rauf zu gehen, weil es eiskalt war, oder? Wenn Sie schon einmal in einem Rechenzentrum waren, wissen Sie, jeder, der in einem Rechenzentrum arbeitet, hat einen Mantel auf seinem Schreibtisch, den er anzieht, wenn er zum Rechenzentrum geht. Bei mir ist es genauso. Und ich ging auch nicht gern da hoch, weil ich ein bisschen bin. Ich mag es nicht, Dinge in Regale zu stellen und ich mag es nicht, Dinge in Regale zu stellen. Ich finde das umständlich und unangenehm. Sobald sie da drin sind, kann ich loslegen. Aber ich mag es nicht, Server in Racks zu stellen. Also, weißt du, ich gehe hoch, ich weiß, ich muss nehmen, dieser Kunde hat drei 1Us, was, weißt du, zu der Zeit eine ziemliche Bereitstellung war, richtig. In den frühen 2000er Jahren hatte er drei 1Us in einem redundanten Rechenzentrum. Es ist unglaublich. Also musste ich die alle rausnehmen. Ich hatte einen Karren. Jeder, der in Rechenzentren gearbeitet hat, hat das getan. Wenn Sie jemals auf einem Doppelboden gearbeitet haben, wissen Sie, wovon ich spreche. Nimm den Wagen. Du nimmst eine Bohrmaschine und schraubst sie aus dem Gestell heraus. Sie ziehen diese riesigen, langen Server heraus, deren Herausziehen sehr, sehr unhandlich ist. Du hoffst, du lässt sie nicht fallen und stapelst sie auf einen Karren, nimmst den Wagen in den Aufzug, stellst sie auf deinen Schreibtisch oder in ein Büro. Wenn Sie jemals jemanden mit 1Us auf seinem Schreibtisch sehen, hat er Probleme. Sie haben schlimme Probleme. So, und das war ich. Ich hatte einen Konferenzraum und sagte: „Okay, ich werde das herausfinden.“ Also habe ich alles wieder an die Monitore angeschlossen und angefangen, mir die Protokolle anzusehen, was meiner Meinung nach eine Superkraft ist, in der die meisten Einsatzkräfte heute wirklich, wirklich gut sind. Sie verstehen die Protokolle, auf die es ankommt. Und mir wurde klar, dass das ein kleines Unternehmen ist, und zu der Zeit war es eine große, große Internetpräsenz für so ein kleines Unternehmen. Und ich dachte, wow, dieses Geschäft ist ziemlich weit fortgeschritten. Sie haben phpBB, damit ihre Kunden Fragen stellen können, und sie haben all diese Handbuchseiten und all diese Dinge. Und ich fing an, es durchzusehen, und ich sah sofort, dass diese Version von phpBB alt war. Und ich dachte: „Oh, das ist wirklich alt.“ Und es gab ein paar Dateien, die du in phpBB ersetzen konntest, sodass es zwar weiterlaufen konnte, dir aber der Startbildschirm angezeigt wurde. Und genau das ist es, weißt du, ich möchte sie nicht einmal als Bedrohungsakteur bezeichnen. Ich glaube, sie waren wahrscheinlich eine Gruppe von Teenagern. Wissen Sie, ich kann es nicht vollständig zuordnen, aber ich glaube, sie waren Iraner. Hatte, weißt du, „Du wurdest vom Hacker-Team gehackt.“ Im Hintergrund lief Musik, überall schweben GIFs, und sie hatten etwas, das mir bis heute sehr am Herzen liegt, nämlich ein Schrei und ein Gruß am Ende. Ganz unten gibt es Rufe und Grüße und ein paar Hacker-Handles. Was zu dieser Zeit sehr üblich war, wenn Sie jede Art von Website, die Sie platzieren würden, verunstalteten, dank der anderen Hacker, die Sie auf Ihren Weg gebracht haben. Ich glaube fest an Rufe und Grüße. Ich betrachte das als grundlegende Lebensphilosophie — danke den Menschen, die dir dabei geholfen haben. Nicht unbedingt beim Hacken, tu das nicht. Aber ja, ich habe wirklich gelernt, dass man die Beweggründe gegnerischer Gruppen oder gegnerischer Personen nicht unbedingt jemals wirklich verstehen kann. Ich sage sozusagen, weißt du, eine Menge Leute werden sagen: „Warum hat der Bedrohungsakteur das getan? Was ist ihr Ziel? Was ist ihre Motivation?“ Und ehrlich, meine Antwort darauf ist oft, dass wir nie die Wahrheit über das Herz eines Bedrohungsakteurs erfahren, oder? Und ich denke, Sie können spekulieren, Sie können es sich vorstellen, aber letztlich wissen wir es nicht. Macht diese Person das, weil sie versucht, ihre Familie zu unterstützen? Liegt es daran, dass sie sich für BEC (Business Email Compromise) und Schweineschlachten einsetzt? Liegt es daran, dass sie sich in einer Situation mit Menschenhandel befinden und Angst um ihr Leben haben? Liegt es daran, dass sie wirklich ein schlechter Mensch sind und andere verletzen wollen? Wollen sie nur Geld und sind sie wild und verrückt? Das kann man nie wirklich wissen. Und ich denke, in diesem Fall, ich glaube, weißt du, es hat einfach ein bisschen Spaß gemacht, in einem offenen, offenen Verzeichnis von phpBB zu sein, dass sie es gefunden und versucht haben.

12:28 Raghu Nandakumara

Ich denke, diese Geschichte auf so vielen Ebenen, mit denen ich mich identifizieren kann. Reden wir einfach über die Art der Arbeit in einem Rechenzentrum und einem Doppelboden. Absolut, das führt mich zurück in die Anfänge meiner Karriere, und Sie sprechen davon, Dinge aus den Regalen zu nehmen usw. Diese Art von Hoffnung, Ihnen nichts mehr als alles andere auf die Füße fallen zu lassen, oder? Es war eine echte Angst oder echte Sorge.

12:52 Sherrod DeGrippo

Oder du musst die riesigen Saugnäpfe benutzen, um die Fliesen zu ziehen.

12:55 Raghu Nandakumara

Oh ja, das habe ich getan. Ich saß einfach in einem Rechenzentrum und meine Füße baumelten in der Leere darunter, während ich irgendwie die Dinge in den Racks konfigurierte. Und das Beispiel, das Sie genannt haben, für diese potenziellen Script-Kiddies, die im Grunde eine Sicherheitslücke ausnutzen, oder? Und in diesem Fall in PHP. Und wenn ich gerade zu einem der anderen Podcasts gehe, ich glaube, Sie waren vor Kurzem zu Gast, und Sie sagten, dass 98% der Eindringversuche durch grundlegende Sicherheitspraktiken abgewehrt werden können, oder? Und ich würde sagen, das Patchen ist eine dieser grundlegenden Sicherheitspraktiken. Und aus meiner Sicht habe ich das Gefühl, dass, wenn ich mich zurücklehne und mir anschaue, warum Angriffe erfolgreich sind, ich immer wieder das Gefühl habe, dass Angreifer letztlich Fahrlässigkeit bei einer oder mehreren dieser Sicherheitspraktiken ausnutzen, um sich zu verbreiten. Haben Sie Ihrer Meinung nach also das Gefühl, dass wir diesen, den Grundlagen, genug Bedeutung beimessen, oder sind wir als Disziplin zu sehr damit beschäftigt, was das neue glänzende Spielzeug ist? Was ist die neue Shiny-Fähigkeit? Und wir haben die Grundlagen aus den Augen verloren, oder vielleicht sind die Grundlagen zu langweilig.

14:10 Sherrod DeGrippo

Ich liebe die Basics. Ich glaube an die Grundlagen, weil ich quasi an der Bruce Schneier, Ed Skoudis School of Security, aufgewachsen bin. Ich glaube an die Grundlagen, weil Sicherheit etwas ist, zu dem sich Menschen mit Angst hingezogen fühlen.

Und wenn du deine Basics verinnerlichen kannst, fühlst du dich normalerweise ein bisschen besser. Und ich denke, ehrlich gesagt, es kommt darauf an, dass nicht genug Organisationen genug Angst haben. Ich denke, in der Branche gibt es nicht genug Sorgen, und es gibt nicht genug produktive klinische Ängste, beruflich gesehen. Ich glaube, wir lassen uns von glänzenden Spielzeugen ablenken und wir empfinden die Grundlagen als langweilig. Aber ich denke, es ist eine Vollständigkeit und Befriedigung, wenn ich das Gefühl habe, zu wissen, dass wir ein vollständiges, Sie wissen schon, Anlageninventar haben. Finden Sie zum Beispiel die Leute und holen Sie sie in Ihr Team, die das Bedürfnis haben, diese Dinge zu erledigen, und das Gefühl haben, dass sie sie haben. Ich denke auch, wissen Sie, wir denken nicht genug über die 2% der Dinge nach, die nicht unbedingt mit den Grundlagen erledigt werden können, und darüber, wie wir damit umgehen werden. Meiner Meinung nach ist eines der Dinge, die uns in Bezug auf Sicherheit wirklich fehlen, insbesondere angesichts der aktuellen Ransomware-Epidemie, nicht einmal das Abdecken des Tisches, sondern die Entscheidungsfindung im Vorfeld. Wenn wir Lösegeld erpressen, zahlen wir dann? Und viele Leute fangen an, sich spiralförmig zu drehen, und es ist so, warte, willst du es jetzt spiralförmig machen? Oder willst du eine Spirale entwickeln, obwohl wir tatsächlich unter Lösegeld stehen? Lass uns jetzt die Spirale drehen. Machen wir uns jetzt Sorgen, damit wir darauf vorbereitet sind, falls in der Zukunft etwas passiert. Ich denke, wir tun nicht genug davon. Ich würde mir wünschen, dass viel mehr, Sie wissen schon, Entscheidungen im Voraus getroffen und zu Papier gebracht werden, sodass Führungskräfte, technische Leiter und Sicherheitsexperten buchstäblich auf derselben Wellenlänge sind, wenn etwas passiert, was ich bei vielen Vorfällen nicht gespürt habe.

16:21 Raghu Nandakumara

Also, ein paar Dinge, auf die ich zurückkommen werde, das Argument des Mangels an Angst, das Sie in einer Sekunde angesprochen haben. Aber lassen Sie uns einfach über die Ransomware-Frage sprechen, oder? Und um Shakespeare zu paraphrasieren, Ransomware: Zahlen oder nicht zahlen, das ist die Frage.

Ich liebe es. Ich liebe es.

Ja, das werden wir bei den Sozialkürzungen verwenden. Ich meine, ab und zu werden wir gebeten, uns zu, sagen wir, einem neuen Teil von, etwa, einer Regierung auf der ganzen Welt zu äußern, die sagt: „Hey, wir wollen Ransomware-Zahlungen illegal machen, oder? Und was sind deine Gedanken?“ Und so wie der Kommentar lautet, nun ja, okay, das wird, das wird großartig sein, oder? Aufgrund dessen, was Ransomware antreibt, was Ransomware potenziell antreibt usw. Aber wenn Sie es aus einer praktischen Perspektive betrachten, ist das möglicherweise nicht für jedes Unternehmen möglich, weil es die Wahl ist, zu zahlen und möglicherweise eher früher als später wieder im Geschäft zu sein, oder einfach zu sagen: „Nun, ich kann, ich kann es mir nicht leisten, zu zahlen, aber ich habe auch nicht die Fähigkeiten, um mich richtig zu erholen.“ Also, wo sitzt du darauf? Weil ich nicht denke, dass es eine einfache, binäre Entscheidung ist.

17:38 Sherrod DeGrippo

Nein, es ist definitiv keine einfache Entscheidung. Ich denke, das ist der Grund, warum ich fest an die Planung der Resilienz gegen Ransomware glaube. Und Microsoft hat einen fantastischen Leitfaden zur Widerstandsfähigkeit gegen Ransomware veröffentlicht, den Unternehmen nutzen können, um ihre Widerstandsfähigkeit zu stärken und ihre Widerstandsfähigkeit gegenüber Ransomware zu bewerten. Meine Frage, wenn Leute sagen: „Machen Sie Ransomware-Zahlungen illegal.“ Meine unmittelbare Frage dazu lautet: Was ist die Strafe für Verstöße? Die Organisation wurde also erlöst, sie zahlen, um das Lösegeld zu umgehen, und jetzt werden wir sie, nehme ich an, mit einer Geldstrafe bestrafen. Und an diesem Punkt wird es wieder zu einer Risikoberechnung mit nur einem anderen Zusammenhang als zuvor. Die Risikoberechnung spricht sich nun dagegen aus, die Bedrohungsakteure zu bezahlen und Ihre Daten zurückzubekommen, und dagegen, dafür eine Geldstrafe an die Regierung zahlen zu müssen. Ich weiß nicht, ob das unbedingt eine äußerst erfolgreiche und glückliche Abschreckung sein wird. Ich glaube, als Technologen müssen wir noch viel mehr tun. Ich glaube nicht, dass irgendjemand kommt, um uns bei vielen dieser Dinge zu retten. Ich denke, wir müssen die Technologie, die Organisationen und die Menschen widerstandsfähig gegen Ransomware machen. Wir können nicht einfach sagen, nun ja, es wird Gesetze und Statuten geben und irgendein Ransomware-Superheld wird herabsteigen und alles reparieren. Es ist ein sehr komplexes Problem, wie Sie sagten, und ich weiß nicht, ob ich unbedingt die Antworten habe, außer daran zu arbeiten, widerstandsfähiger zu werden und darauf vorbereitet zu sein, dass solche Dinge passieren. Weißt du, konzentriere dich viel auf Kriminalität und meine Arbeit und sie funktionieren nach anderen Regeln, als ich glaube, die meisten Menschen wirklich verstehen.

19:17 Raghu Nandakumara

Sie haben also das Wort Resilienz erwähnt, nur mehrfach in dieser Antwort, und es geht um Resilienz, Betrieb, Resilienz, Cyber-Resilienz, und es ist heutzutage so aktuell. Ich denke, jetzt ist es so, als ob Cyberkonferenzen sich nicht mehr auf Zero Trust konzentrieren, sondern auf KI übergegangen sind, und jetzt dreht sich alles um Resilienz. Aber ich möchte das mit etwas anderem in Verbindung bringen, das Sie über mangelnde Angst gesagt haben. Wie kann man eine Kultur der besseren Widerstandsfähigkeit gegen Ransomware fördern, wenn das Maß an Angst nicht so hoch ist, wie es sein sollte, um eine Verbesserung der Grundlagen voranzutreiben? Weil ich das Gefühl habe, dass diese beiden miteinander verbunden sind.

20:03 Sherrod DeGrippo

Das glaube ich auch. Und ich habe eine sehr umstrittene Version dazu.

20:07 Raghu Nandakumara

Ich würde es gerne hören. Dafür sind wir hier.

20:10 Sherrod DeGrippo

Weißt du, ich glaube wirklich, weißt du, in den sozialen Medien und in der Industrie gibt es immer diese Debatten über Leidenschaft. Daran bin ich nicht interessiert. Mich interessiert, ob du dafür eine Berufung hast. Und führt Sicherheitsarbeit dazu, dass Ihre Seele eine Dekompression, eine Entspannung verspürt? Ist es ein spiritueller Trost für Sie, sich etwas abzusichern? Wenn ja, sind das die Leute, die wir in der Branche haben wollen. Weil diese Leute unermüdlich nach Effizienz streben, und auf diese Menschen müssen wir zählen und auf die wir uns verlassen müssen, denn das ist kein 9-to-5-Job. So sehr wir auch über Work-Life-Balance sprechen wollen und sagen, brennen Sie sich nicht aus, klar. Aber das ist nicht die Welt, in der wir leben. Ransomware passiert 24 Stunden am Tag. Wir haben nicht genug Leute, um 24 Stunden zu arbeiten, all diese Dinge. Ich denke also, wir müssen die richtigen Leute an den richtigen Stellen finden, und hier können wir einige dieser Bedenken verstärken. Ich komme aus der Zeit der Fug, der Angst, der Unsicherheit und des Zweifels von Sicherheitsanbietern. Das war ein Jahrzehnt lang, das war der Marketingplan. Ich glaube nicht, dass es funktioniert hat. Wenn es funktionieren würde, wären wir an einem sichereren Ort als wir es sind. Aber ich denke, dass es ein gewisses Maß an Risikobewertung und Risikoverständnis gibt, das wir als Sicherheitsexperten verkörpern und verinnerlichen müssen, um es dann unseren Kollegen, die nicht im Sicherheitsbereich tätig sind, nach außen hin zu verkünden. Und ich denke, dass wir das tun können, indem wir diese Sprache sprechen. Ich praktiziere etwas, das man neurolinguistisches Programmieren nennt. Es geht darum, wie man mit Menschen spricht. Sie sprechen das Gefühl an, mit dem sie am meisten verbunden sind. Ist es Gehör? Sieht es? Sieht es? Fühlt es sich an? Erlebt es? Man muss mit den Menschen in ihrer Sprache und auf ihrem Niveau sprechen und ihnen helfen, diese Risiken zu verstehen. Zurück zur Resilienz. Resilient sein. Wir sind zu dieser Sprache übergegangen, weil wir uns jetzt mit dem Unvermeidlichen auseinandersetzen. Wir sind dazu übergegangen, den Verstoß zu stoppen, den Angriff zu stoppen, bevor es in Ordnung ist, wenn es soweit ist. Und ich denke, das ist ein viel realistischeres Bild. Ich denke nicht, dass es pessimistisch ist. Ich denke, es ist realistisch. Und du solltest dich besser fühlen, je widerstandsfähiger du wirst, denn diese Dinge sind, glaube ich, an dieser Stelle unvermeidlich.

22:44 Raghu Nandakumara

Deshalb möchte ich auf die Mentalität zurückkommen, auf die Annahme eines Verstoßes, und auf das Wann nicht, ob. Weil ich denke, das passt nicht gut zu einer Art Zero-Trust-Ansatz beim Aufbau Ihrer Sicherheitskontrollen. Aber bevor wir dorthin gehen, um noch einmal auf Sie zurückzukommen, ein anderer Begriff, den Sie erwähnt haben, ist Wirksamkeit, oder? Und ich stimme absolut zu. Ich glaube, ich bin erst seit knapp fünf Jahren auf der Verkäuferseite und davor. Ich danke dir. Danke. Es ist großartig. Es ist toll, hier zu sein. Ich hätte früher kommen sollen, es macht mir Spaß. Komm vorhin auf diese Seite. Aber absolut richtig. Ich stimme vollkommen zu, und irgendwie gab es das FUD-orientierte Marketing, das es gab, aber meine Perspektive, als ich auf die Anbieterseite kam, war, dass so viel getan werden könnte, wenn man einen viel wertorientierteren, wirksamkeitsorientierten Marketingansatz verfolgt. Aber es ist schwierig, weil wir es gewohnt sind zu sagen: „Wir sind besser, wir sind schneller, wir sind stärker, wir sind sicherer.“ Aber es ist wirklich schwer für uns, einen Ort zu finden, an dem wir dich machen. Wählen wir eine Nummer, die um 50% sicherer ist. Das ist eine ziemlich gute Zahl, oder? Ich weiß, wir würden gerne 95% sagen, aber ich würde sagen, noch 50% mehr Sicherheit ist eine gute Zahl. Aber warum ist es im Sicherheitsbereich so schwierig, quantitativ zu beurteilen, wie effektiv eine Kontrolle, eine Praxis, ein Prozess ist? Um sozusagen eine weitere Bestätigung und Rechtfertigung dafür zu erhalten, dass man in der Lage ist, mehr davon zu tun.

24:14 Sherrod DeGrippo

Ja, ich denke, das ist Teil dessen, was ich als Person persönlich nehme. Ich möchte eine effektive Person sein. Ich möchte, dass meine Technologie für mich effektiv ist, und ich möchte eine effektive Person sein. Und ich denke, das ist wirklich schwer zu messen, und ich liebe Dinge, bei denen es sehr schwierig ist, Kennzahlen zu messen. Das ist einer der Gründe, warum ich mich zur Sicherheit hingezogen fühle, weil sie voller Subjektivität ist. Es ist voller Grauzonen. Es ist voller matschiger Mittelpunkte, mit denen wir uns irgendwie auseinandersetzen und herausfinden müssen, und das ist, glaube ich, vielen Menschen geht es genauso, und deshalb sind sie in der Sicherheitsabteilung. Die Wirksamkeit zu messen ist unglaublich schwierig. Ich komme also seit vielen Jahren aus den Bereichen Netzwerksicherheit und E-Mail-Sicherheit, und FNFP ist unser täglich Brot, oder? Falsch negativ, falsch positiv. Ja, das sind die Dinge, die unsere Entscheidungen und die Art und Weise, wie wir Entscheidungen treffen, diktieren, und das ist sehr datengesteuert, obwohl ich nicht jedes Mal an einen vollständig datengesteuerten Sicherheitsansatz glaube. In der FNFP-Welt schaut man sich diese Zahlen Stunde für Stunde an. Und ich denke, wir müssen sehr objektiv sein, wo wir können, und das ist schwierig, es gibt zum Beispiel ein Buch namens Wie misst man alles, was Kennzahlen ermöglicht, und es gibt dieses Sprichwort, wissen Sie, Sie können nicht verwalten, was Sie nicht messen können. Ich denke, diese Dinge sind wirklich wahr. Ich denke aber auch, dass wir unseren Führungskräften neben der objektiven Messung der Sicherheit auch helfen müssen, den Subjektivitätsaspekt zu verstehen, ebenso wie die Entscheidungsfindung und den menschlichen Aspekt in vielen Bereichen. Social Engineering ist etwas, das sehr schwer zu messen ist. Zum Beispiel ist dieser Sicherheitsverstoß passiert, wie viel Prozent davon wurde durch Social Engineering verursacht? Das ist sehr, sehr schwer festzuhalten. Aber wenn wir diese objektive Nummerierung, diese objektiven Daten Seite an Seite mit subjektiven Informationen zur Entscheidungsfindung haben, denke ich, dass wir uns als Sicherheitsexperten, aber auch unseren Führungskräften, die nicht unbedingt die ganze Zeit knietief in diesem Raum stecken, einen besseren Weg geben, um zu verstehen, wie wichtig das ist, und etwas von der Angst zu wecken, die wir uns von den Leuten erhoffen, die die Entscheidungen treffen.

26:26 Raghu Nandakumara

Ja, mir gefällt, wie das ausgedrückt wird, dass man in der Lage ist, Subjektives und Objektives viel näher zusammenzubringen und wirklich diese Schnittstelle zu finden, an der die einen Daten von einem die Wahrnehmung des anderen beeinflussen können, richtig und umgekehrt, um das größere Bild zu vermitteln. Also lass uns irgendwie weitermachen. Lass uns darüber reden, und die andere Sache, über die du vorhin gesprochen hast, sind Logs. Wie das Durchforsten von Baumstämmen. Großartig. Es ist erstaunlich, was du da drin finden kannst, oder? Und genau wie Sie sagten, habe ich darüber nachgedacht, ich denke, so hat sich die Funktion des SOC einfach weiterentwickelt, oder? Die Bedrohungssuche hat sich dahingehend weiterentwickelt, dass sie quasi ein Fortschritt bei der Analyse von Protokollen ist, und das ist quasi der Fortschritt, und selbst das, was wir heute in Anführungszeichen sehen, quasi KI-gestützte Tools, wird bei der Protokollanalyse immer besser. Was ist Ihnen dabei aufgefallen, und ich weiß, Sie haben viele Jahre damit verbracht, sich die Protokolle verschiedener Bedrohungsakteure anzusehen, was ist Ihnen dabei aufgefallen, was sind die klaren Indikatoren für diese Entwicklung, die Sie gesehen haben?

27:45 Sherrod DeGrippo

Ja, ich denke, das ist wirklich, es ist wirklich klar. Also meine früheste, vielleicht nicht früheste, aber eine meiner ersten Leidenschaften für Logs war, dass ich einen Webserver betrieb und die Weblogs verfolgen würde, um den Zugriff zu beobachten. Es war also eine sehr wenig frequentierte Website. Aber wenn ich das geöffnet hätte und laufen würde, könnte ich zuschauen, wie Leute auf die Website gehen. Wenn Sie das noch nie gemacht haben, werden Protokolle in Echtzeit angesehen. Meiner Meinung nach gibt es Ihnen eine andere Vorstellung von unserer digitalen Welt. Es zeigt menschliche Aktivitäten und geht direkt zur Website, die als Maschinendaten angezeigt wird, was der Protokolleintrag ist. Ich denke, das hat etwas ganz Besonderes. Es verwandelt einen Baumstamm aus einer Art statischer Aufzeichnung in ein lebendiges, atmendes, sich entwickelndes Ding vor Ihren Augen. Bedrohungsakteure agieren heutzutage so schnell, dass sie wissen, dass Logs ihr Feind sind. Deshalb schauen sie sich die Zeit an, die sie sparen können, vor allem als Bedrohungsakteure im Kriminalbereich. Wenn Sie zum Beispiel an einen Octo Tempest-Bedrohungsakteur denken, einen großen Ransomware-Akteur, dann bewegen sie sich so schnell. Es ist die Verweildauer vom Betreten und Zugriff bis zum Lösegeld, die immer kleiner und kleiner wird, was, ehrlich gesagt, die Menge der erstellten Protokolle reduziert. Und ich denke, diese Bedrohungsakteure tun das bewusst. Sie wollen die Anzahl der Logeinträge reduzieren, was meiner Meinung nach möglicherweise mitverantwortlich dafür ist, dass das Leben auf dem Land in letzter Zeit, Sie wissen schon, in den letzten ein oder zwei Jahren explosionsartig zugenommen hat. Sie können sich in diesen Protokollen verstecken, wenn Sie sich in vorhandenen Werkzeugsets befinden, die bereits in diesem Host enthalten sind. Daher denke ich, dass Logs immer sehr wichtig sein werden, weil Logs in vielerlei Hinsicht symbolisch Zeit darstellen. Und je weniger Logs Sie haben können und je schneller Sie vorgehen können, desto erfolgreicher können Sie als Bedrohungsakteur sein. Zurück zur Wirksamkeit: Wir als Verteidiger konzentrieren uns auf die Wirksamkeit. Bedrohungsakteure konzentrieren sich auf die Wirksamkeit, und wir fahren Seite an Seite mit Spielautomaten, versuchen, effektiver zu sein als sie, und hoffen, dass wir, Sie wissen schon, einen Vorsprung von fünf Sekunden haben, um effektiver sein zu können.

30:27 Raghu Nandakumara

Es ist heute im Grunde ein Formel-1-Rennen. Es ist ein Drang ums Überleben, oder?

30:36 Sherrod DeGrippo

Fahr, um zu überleben. Ja, das ist Sicherheit. Wir sind bestrebt, hier in InfoSec zu überleben.

30:42 Raghu Nandakumara

Das gefällt mir. Ich kann es absolut schätzen, wie viel Spaß es macht, sich Webserver-Logs anzusehen, und wenn man diese dann mit Proxy- und Firewall-Logs und Load Balancer-Logs und Identitätsprotokollen kombiniert, und man kann sich ein Bild machen. Das, wie in meinen frühen Tagen als Praktiker, war so aufregend, das nach dem Studium machen zu können und alles unter einen Hut zu bringen. Ich dachte, oh mein Gott! Ich könnte quasi sehen, was hier passiert, aber nur für diese Daten. Also hast du damit verbracht, du hast darüber gesprochen, vom Land zu leben und darüber, dass Bedrohungsakteure wirklich so wenig Signale wie möglich erzeugen wollen, oder je weniger Signale desto besser, oder? Weil mehr Signale eine höhere Wahrscheinlichkeit bedeuten, entdeckt zu werden usw. Und dann, indem wir es irgendwie auf das zurückführen, was Sie gesagt haben, ist das wirklich, dieser Angriff, dieser Kompromiss ist unvermeidlich, also müssen wir darauf ausgelegt sein. Aus deiner Sicht, richtig? Weil ich oft daran denke, dass ein Zero-Trust-Ansatz wirklich bedeutet, das zu reduzieren, was auf dem Land verfügbar ist, von dem man leben kann. Eine Art, darüber nachzudenken, mit dem Interesse an Zero Trust und echten Zero-Trust-Projekten da draußen. Ich glaube, ich weiß, dass Microsoft eine Art Fairness hat; es ist quasi eine bedeutende Rolle im Zero-Trust-Ökosystem. Was ist zum Beispiel Ihre Sicht als Experte für Bedrohungsinformationen darüber, wie Zero Trust die Sicherheit irgendwie verbessert, die Sicherheit messbar verbessert?

32:07 Sherrod DeGrippo

Ich denke, das Beste, was das Zero-Trust-Konzept in den letzten Jahren bewirkt hat, ist, dass es bei Führungskräften so großen Anklang gefunden hat. Ich denke, dass die meisten Praktiker, für sie Zero Trust, eine Menge Dinge sind, die sie täglich tun. Es gibt viele grundlegende Dinge. Es gibt viele Kombinationen von bewährten Verfahren. Oder als ich anfing, wie nach dem Härten, weißt du, Dinge, solche Dinge, mit denen Praktiker wirklich vertraut sind. Aber Zero Trust hat es uns ermöglicht, mit Führungskräften, Entscheidungsträgern und sogar Personen, die nicht unbedingt technische Rollen innehaben, in derselben Sprache zu kommunizieren. So können sie verstehen: „Oh, das ist schlecht“ oder „Oh, so stellen wir sicher, dass wir nicht mit den falschen Leuten an den falschen Stellen landen.“ Dies ist ein umfassendes Konzept für bewährte Verfahren rund um Identitäts- und Zugriffsmanagement. Ich denke, das sind Dinge, mit denen wir im Sicherheitsbereich zu kämpfen hatten. Wir wollten Fachjargon verwenden; wir wollten unsere eigene Nomenklatur haben. Wir wollten unsere eigene, sehr geheime Sprache haben. Und Zero Trust hat es uns wirklich ermöglicht, einen Punkt zu erreichen, an dem wir mit Führungskräften und Entscheidungsträgern und Menschen außerhalb kommunizieren und sie auf dieselbe Wellenlänge wie uns bringen. Was meiner Meinung nach eines der besten Dinge ist, die wir hätten tun können.

33:30 Uhr Raghu Nandakumara

Ja, ich denke, das ist gerade jetzt so wichtig, besonders jetzt, wo die Bedeutung von Cyberkriminalität nicht nur der Sicherheitsabteilung im Unternehmen mitgeteilt werden muss, sondern funktionsübergreifend und bis zu den höchsten Ebenen. Einen Ansatz zu haben, der es Ihnen ermöglicht, das effektiv zu kommunizieren, ist ein wahrer Segen. Es ist ein großer Segen, alles andere aufeinander abzustimmen. Und erleben Sie diese Art von Alltag bei Kunden, mit denen Sie sprechen, Kollegen usw.?

34:06 Sherrod DeGrippo

Ja, ich denke, viele Kunden, mit denen ich spreche, befinden sich absolut auf einer Zero-Trust-Reise. Und sie formulieren es so, weißt du. Sie sagen, wissen Sie, vor einem Jahr oder vor zwei Jahren haben wir beschlossen, dass wir bis 2026 das Gefühl haben würden, Zero Trust in allen Bereichen des Unternehmens vollständig eingeführt zu haben. Und ich denke, das hat dem Sicherheitsfokus viel Gewicht und Ernsthaftigkeit verliehen. Ich denke, es ermöglicht, es ermöglicht es den Leuten, Dinge zu tun und zu sagen: „Nun, das ist Teil von Zero Trust, also müssen wir es erledigen.“ Und das hatten wir vorher nicht immer in der Hand. Das hatten wir nicht immer, zum Beispiel einen einheitlichen Fokus, den wir, glaube ich, heute haben, was funktioniert hat. Und ehrlich gesagt denke ich auch, dass die Ransomware-Epidemie viele von Ihnen, wissen Sie, das ist bittersüß, gebracht hat, aber sie hat Organisationen, die vielleicht nicht wirklich über Zero Trust nachgedacht haben oder vielleicht nicht darüber nachgedacht haben, ihr Unternehmen abzusichern, viel Aufmerksamkeit und Aufmerksamkeit geschenkt. Sie sehen Ransomware, und das wiederum weckt diese Angst, ja, und es verursacht Bewegung, und ich denke, das ist es, was wir wollen.

35:20 Raghu Nandakumara

Ich meine, ich wollte eigentlich erwähnen, dass es die Angst verstärkt. Aber du, du bist mir zuvorgekommen. Also nochmal, richtig, zurück zu Ihrer täglichen Aufgabe, im Wesentlichen Bedrohungsakteure zu überwachen, richtig, ihr Verhalten im Laufe der Zeit zu verstehen, da Sie gesehen haben, wie Unternehmen ihre Sicherheitsfunktionen verbessert haben und möglicherweise eine Zero-Trust-Reise einschlagen. Haben Sie einen echten Wandel in der Art der, wie ich sagen wollte, von den Techniken und Verfahren der Bedrohungsakteure bemerkt? Weil ich das sagen würde und bitte korrigieren Sie mich, wenn ich falsch liege, dass es sich bei den Taktiken, letztlich um Taktiken auf hoher Ebene handelt und diese, die konsistent sind, oder? Der Angreifer muss sie durchgehen, aber wie er sie ausführt, wird sich im Laufe der Zeit ändern. Haben Sie eine echte Veränderung dieser Techniken und Verfahren gesehen?

36:11 Sherrod DeGrippo

Ich denke, wir werden immer erleben, dass sich die Bedrohungsakteure verändern und weiterentwickeln. Wissen Sie, sie suchen wieder nach Wirksamkeit, genau wie wir. Also, welche Werkzeuge sie auch immer in ihr Arsenal aufnehmen können, um das Ziel zu erreichen, das sie erreichen wollen, sie werden es tun. Interessanterweise, da ich die Bedrohungslandschaft genau beobachte, gibt es immer solche trendigen, weißt du, oh, das macht gerade jeder, wie MFA, Bypass, Attacker-in-The-Middle Phishing ist gerade sehr beliebt. Ich denke, ein Grund für die Beliebtheit ist, dass wir vor allem in Bezug auf die Kriminalitätslandschaft agieren. Finanziell motivierte Bedrohungsakteure agieren als Ökosystem. Es ist also nicht irgendeine Ransomware-Gruppe, die sagt: „Oh, ich muss jetzt einen Angreifer aus dem mittleren Phish-Kit machen. Ich muss diese Seiten hochladen. Ich muss kaufen... „Nein, sie gehen einfach. Sie finden einen Anbieter. Sie bezahlen sie. Sie bekommen das Tool vom Anbieter. Sie nutzen es in Kombination mit Tools anderer Anbieter, Infrastruktur, Code und all diesen Diensten, die sie möglicherweise gekauft haben, und sie fügen all diese Teile zusammen, und das bringt sie zum Endziel der Ransomware. Während sich dieses Ökosystem weiterentwickelt und neue Akteure in das Ökosystem kommen, und wir sprechen von organisierter Kriminalität, wenn neue Akteure hinzukommen, entstehen neue Trends. Und ich denke, ich bin der Meinung, dass der Grund, warum diese Trends entstanden sind, darin liegt, dass Bedrohungsakteure, von denen einige besser im Marketing sind als andere. Einige innerhalb des Ökosystems erledigen Dinge wie, im wahrsten Sinne des Wortes, den Verkauf. Sie werden einen Verkauf tätigen, wir haben einen Bedrohungsakteur, Storm 1101, der dieses Ding namens Naked Pages betreibt, bei dem es sich um einen Angreifer im mittleren MFA-Phish-Kit handelt. Sie werden Ihnen sagen, wenn Sie bereits Kunde sind, können Sie einen Rabatt erhalten. Sie werden den Live-Kundenservice für Sie erledigen. Sie werden Sonderangebote haben, Anfang dieses Jahres hatten sie ein Neujahrs-Special. Sie werden ihren Kunden dafür danken, dass sie treue Kunden sind. So wie Sie sich vorstellen können, dass es ein kleines lokales Unternehmen tun würde. Ich denke also, dass einige der Trends, ehrlich gesagt, aus den Marketingfähigkeiten einiger innerhalb des Ökosystems hervorgegangen sind. Wenn Sie Ihr Tool besser vermarkten und verkaufen können, ist es sehr wahrscheinlich, dass dieses Tool beliebter wird. Greifen Sie also auf die mittleren Phish-Kits an, leben Sie vom Land, Dinge, die nicht unbedingt mit dem Ökosystem verbunden sind, aber sie sind an Foren gebunden, und Leute, die darüber reden, was funktioniert, und Leute, die diese unterschiedlichen Taktiken haben, die sie teilen. Solche Dinge. Und dann sehen wir immer aktuelle Ereignisse, Social Engineering. Ich garantiere Ihnen, welches große Ereignis auch immer zu dieser Zeit auf der Welt stattfindet, ob es sich um eine Wahl, eine Naturkatastrophe oder eine Weihnachtszeit handelt, die Bedrohungsakteure wissen, dass es psychologische Resonanz finden wird, und sie nutzen es für Social Engineering.

39:08 Raghu Nandakumara

Wir sehen also eine Technik oder ein damit verbundenes Verfahren, das es irgendwie auf unsere Liste schafft, oder?

39:14 Sherrod DeGrippo

Wir brauchen also etwa jedes Quartal eine Top-10-TTP-Trendliste.

39:19 Raghu Nandakumara

Ja, ich glaube schon! Vielleicht ist es etwas, das du auf deinem sehr erfolgreichen Podcast moderieren kannst. Vielleicht ist das eine Idee. Aber ich möchte noch einmal auf eine Sache zurückkommen: Haben wir als Verteidiger es geschafft, Angreifer zu zwingen, ihre Techniken und Verfahren einzustellen, und sie quasi zum Scheitern verurteilt haben, und sie gezwungen, etwas anderes zu tun.

39:49 Sherrod DeGrippo

Ja, zu 100%. Alle Zuhörer sagen, ich werde gegen sie kämpfen. Also, wann haben Sie sich das letzte Mal mit einem Rootkit befasst? Wann haben Sie das letzte Mal einen individuellen Ransomware-Versuch gegen einen Verbraucher erhalten? Wann haben Sie sich das letzte Mal mit einem Exploit-Kit für einen Browser-Tresor befasst? Ich meine, sie passieren immer noch, aber wir haben die Angriffsfläche reduziert. Wann waren bösartige Dokumente mit Makros das letzte Mal erfolgreich? Microsoft hat das vor zwei Jahren, vor drei Jahren, abgeschaltet. Die Angriffsfläche wird reduziert. Aber nur weil wir die Angriffsfläche kontinuierlich reduzieren, heißt das nicht, dass die Bedrohungsakteure nicht immer noch kreativ sind. Und das ist wieder Teil des Strebens, die F1-Situation zu überleben, in der wir uns befinden. Es wird für immer eine Eskalation und Entwicklung sein. Das ist einer der Gründe, warum ich Sicherheit liebe, weil sie subjektiv ist. Und ich werde noch einmal etwas sagen, ich weiß, dass ich ein heißer Fan bin. Ich bin ein heißer Fan, Mädchen. Sicherheit ist ein Gefühl. Fühlst du dich sicher? Fühlst du dich sicher? Es ist unmöglich. Es ist unmöglich zu sagen: „Ja, wir sind sicher.“ Wenn Ihr CISO zu Ihnen kommt und fragt: „Ist diese Organisation sicher?“ Komm schon!

41:12 Raghu Nandakumara

Oh 100%.

41:15 Sherrod DeGrippo

Ja. Also, weißt du, wir sind im Gefühlsgeschäft, genauso wie viele Leute nicht zugeben wollen, dass Sicherheit das Geschäft mit Gefühlen ist. Und wir nutzen jedes technische Tool, das uns zur Verfügung steht, um dieses Gefühl wahr werden zu lassen, damit es effektiv wird. Aber sind wir letztlich sicher? Es ist subjektiv. Es ist eine Vermutung.

41:43 Raghu Nandakumara

Das gefällt mir sehr. Sicherheit: Wir sind im Gefühlsgeschäft tätig. Gefällt mir, das ist ein guter Tipp. Wir sollten das nutzen, um Marktunterstützung zu bieten, um einige dieser Cybersicherheitskompetenzen, den Fachkräftemangel, auszugleichen. Ich muss nur zurückkommen und sagen, wann haben Sie das letzte Mal gehört, dass jemand ein Rootkit benutzt oder eine Browser-Sicherheitslücke ausnutzt? Und ich werde das nur beantworten, weil ich mir angehört habe, ich glaube, es war der vorletzte Podcast von Microsoft Tech Intelligent. Sie haben über einige nordkoreanische Bedrohungsakteure gesprochen, die einige davon zurückgebracht haben.

42:17 Sherrod DeGrippo

Ja! Wir dachten alle, was? Sie verketten Browser-Tresore, sie haben null Tage, und sie nutzen Kettenbrowser aus wie, was? Und ich denke, das war so cool, weil wir dachten: „Oh, das haben wir nicht gesehen. Das haben wir schon lange nicht mehr gesehen, Leute, das ist altmodisch.“ Und ich denke, es ist wahr. Wir sehen das Zeug nicht mehr so oft. Und wenn wir das tun, ist das ein großer Knaller in der Landschaft. Und, wow, das sind Neuigkeiten.

42:44 Raghu Nandakumara

Toll, also lass uns die Aufgabe etwas ändern, bevor wir fertig sind, oder? Natürlich haben meine Produzenten gesagt: „Hey, wenn Sie nicht über KI und künstliche Intelligenz sprechen, werden wir das nicht können, die sozialen Algorithmen werden das einfach irgendwie herabstufen. Ich sage das nur ein paar Mal, aber ich möchte Sie etwas fragen im Zusammenhang mit, und ich weiß, Sie haben eine wirklich interessante Sicht auf künstlich, wobei das A in KI für Beschleunigung versus künstlich steht. Aber es gab das Weltwirtschaftsforum, ich glaube, ich werde sagen, in den letzten 12 Monaten eine Art Umfrage unter Sicherheitsverantwortlichen durchgeführt, und die Frage war, wem Ihrer Meinung nach KI im Cyberbereich davon profitiert, oder? Und ich glaube, die Daten waren ungefähr so, etwa 55 bis 60 Prozent gaben an, dass sie Angreifern mehr nützen als Verteidigern. Ungefähr 25 bis 30% gaben an, dass es den Verteidigern zugute kommt und was auch immer. Der Rest sagte, es sei gleichwertig, richtig. Aus Ihrer Sicht, wie sehen Sie den Einsatz von KI im Cyberbereich heute? Richtig? Wem wird das Ihrer Meinung nach nützen? Was wird Ihrer Meinung nach dadurch ermöglicht? Und sind Sie darüber besorgt, entweder auf der Verteidiger- oder auf der Angreiferseite?

43:59 Sherrod DeGrippo

Ich glaube an KI. Ich benutze es jeden Tag. Ich bin, weißt du, ich habe quasi ein Streaming-Abonnement gekündigt, damit ich es gegen kostenpflichtiges ChatGPT austauschen könnte. Ich liebe KI und die Möglichkeiten, die sich uns damit bieten. Aber es ist ein Werkzeug, und so kann es in gewisser Weise fast mit dem Leben auf dem Land vergleichbar sein, über das wir gesprochen haben. Dies ist ein Tool, das jedem zur Verfügung steht. Du kannst es für immer verwenden. Du kannst es für Böses verwenden. Sie können es überspringen, es überhaupt nicht verwenden, was, glaube ich, auch einige Bedrohungsakteure noch in diesem Stadium sind. Wir haben gesehen, dass Bedrohungsakteure bei Microsoft es ausnutzen. Wir haben einen Geheimdienstbericht über den Einsatz von KI durch Nordkorea, Russland, China und den Iran veröffentlicht. Ich denke, es ist etwas, das sich weiter entwickeln wird. Wir sehen heute nicht, dass Bedrohungsakteure größere Hebel nutzen, um neue Dinge zu tun. Und ich denke, das ist in gewisser Weise beruhigend, weil es bedeutet, dass die Sicherheitsgrundlagen solide sind, oder? Die Grundlagen funktionieren immer noch. Und wieder, zurück zur Beschleunigung, da werde ich nervös. Wir nehmen etwas, das Bedrohungsakteure schneller machen kann, es ihnen ermöglicht, zu skalieren, es ihnen ermöglicht, Dinge in einem Umfang zu tun, den wir zuvor nicht gesehen haben. Es ist ein unterstützendes Tool. Ein Beispiel, das ich dabei immer verwende, ist, dass wir seit Jahren Datenschutzverletzungen beobachten. Wir beobachten Datenpannen, die seit Jahren zum Herunterladen zur Verfügung stehen. Sie können diese Daten zu Sicherheitsverletzungen in ein LLM eintragen und damit beginnen, dem LLM Fragen zu diesen Daten zu stellen, was mit einer Regex nicht möglich ist. Mir ist egal, was für ein Regex-Zauberer Sie sind, und ich habe sie alle getroffen. Ich lebe mein Leben unter Regex-Zauberern. Sie können einen Regex nicht nach Stimmungen fragen. Sie können einen Regex nicht bitten, alle Fälle zu ermitteln, in denen ein weiblicher und ein männlicher Mitarbeiter unangemessene Gespräche führen. Sie können einen Regex nicht bitten, Ihnen zu sagen, dass Sie den gesamten Insiderhandel herausfinden sollen, der in diesen Mitteilungen stattfindet. Es bringt die Dinge auf ein Niveau, auf dem Bedrohungsakteure fast übermenschlich werden, wenn sie darüber nachdenken, solche Dinge zu tun. Es beschleunigt also diese Fähigkeit. Es macht sie schneller. Es gibt ihnen die Möglichkeit, eine Organisation zu erpressen, diese Dateien abzurufen, diese Dateien zu durchsuchen, innerhalb weniger Minuten belastende und erpresserische Informationen zu finden und dann zurückzugehen und zu sagen: „Eigentlich haben wir eine Million gesagt. Jetzt sind wir bei zwei.“

46:37 Raghu Nandakumara

Ich denke, es bringt es, ermöglicht oder beschleunigt, es bringt die Subjektivität des Ganzen und das Ziel zusammen. Wenn der Regex so etwas ist, dieser objektive Ansatz. Das Subjektive ist das, was du beschrieben hast, oder? Die Dinge, die KI nicht kann, aber KI kann.

46:58 Sherrod DeGrippo

Und es kann es sofort tun. Es gibt nicht einmal eine Wartezeit. Es gibt keine Bearbeitungszeit. Es passiert in Sekunden. Und Sie wissen, Bedrohungsakteure tun traditionell alles, um das zu bekommen, was sie wollen. Und sie werden in der Regel nicht darüber hinausgehen. Aber wenn sie das erst einmal herausgefunden haben und herausfinden, dass sie es schneller und effektiver machen können, wird das, glaube ich, die Dinge aufbrechen.

47:29 Raghu Nandakumara

Zum Abschluss ist mir bewusst, dass Sie bald woanders sein müssen. Gib uns noch einen heißen Take. Also in die Zukunft der Bedrohungsinformationen.

47:43 Sherrod DeGrippo

Die Zukunft der Bedrohungsinformationen? Ich denke, die Zukunft der Bedrohungsinformationen wird immer verwertbarer und steht weiterhin in direktem Zusammenhang mit der Wirksamkeit der Sicherheitslage eines Unternehmens. Dort muss die Zukunft sein. Dorthin müssen wir gehen, ob es die Sicherheitsvorkehrungen effektiver macht oder ob diese Führungskräfte besser in der Lage sind, fundierte Entscheidungen zu treffen.

48:13 Raghu Nandakumara

Sherrod, vielen Dank. Das war ein super aufregendes Gespräch. Ich weiß es wirklich zu schätzen, dass Sie sich die Zeit genommen haben, heute bei uns zu sein.

48:21 Sherrod DeGrippo

Es hat mir wirklich Spaß gemacht, Raghu. Danke, dass du mich eingeladen hast!