Stärkung unserer kollektiven Verteidigung
In this episode, host Raghu Nandakumara sits down with Ann Johnson, Corporate Vice President, Microsoft Security Business Development, to explore AI, everyday Zero Trust conversations, cyber resilience best practices, and so much more.
Transkript
0:00:03.8 Raghu Nandakumara: Welcome to The Segment: A Zero Trust Leadership Podcast. I'm your host, Raghu Nandakumara, Head of Industry Solutions at Illumio, the Zero Trust Segmentation company. Today I'm joined by Ann Johnson, Corporate Vice President, Security Business Development at Microsoft. A 22-year cybersecurity industry veteran with tenure at RSA Security, Qualys and Microsoft, Ann is a recognized global speaker, an author and an outspoken advocate for diversity and belonging in tech and throughout the world. Additionally, Ann advises and serves on the Board of Directors for many organizations, including the Seattle Humane Society, Human Security, and the Executive Women's Forum. Today, Ann joins us to discuss AI, everyday Zero Trust conversations, cyber resilience best practices, and so much more. We're so honored to have you on our podcast, on The Segment. As a way of introduction, can you tell us a little bit about your background in cyber and what your current role at Microsoft entails?
0:01:12.3 Ann Johnson: Yeah. Thank you Raghu. It's wonderful to be a guest. I lead, today at Microsoft, our strategic partnerships and M&A for cybersecurity. So it's a wonderful job. I think I have one of the best jobs in cybersecurity because I get to see everything in the industry, the newest stuff, the things that are nascent, and then think about how we partner with everyone to really build a security ecosystem because we fundamentally believe security is a team sport. I've been in cyber for 23 years since I started with this little company called RSA Security. I am.. all cyber people have domains of expertise. I'm actually an identity and fraud person, so that's the place that I came from for cybersecurity for a very long time. And I've been at Microsoft for about seven years and I've done a few different jobs here but it's just been this extraordinarily fun run and really exceeded our expectations with our ability to bring customer solutions that will simplify their security and help them be more secure ultimately.
0:02:11.1 Raghu Nandakumara: That's incredible. So you've had such a storied career in cyber. What continues to keep you interested and motivated to stay in this domain?
0:02:21.5 Ann Johnson: It changes every day. I'm one of those people that your brain never shuts off and you're looking for constructive things for it to focus on, and what I find is the dimensions with cyber are dynamic and the actors who are the bad actors change and the threads change and the landscape changes. And as companies now are modernizing, that made a huge change of cyber and now we have this thing called artificial intelligence, the natural language models and ChatGPT that are becoming real. So it's so dynamic and fun and ever-evolving. It just continually keeps me interested.
0:02:53.5 Raghu Nandakumara: You kind of brought up AI and those natural language models and ChatGPT. So in your opinion, the potential threat they pose and how they could be leveraged by malicious actors, is that very much real or at the moment is it just more hype than reality? What's your opinion on that?
0:03:13.3 Ann Johnson: Yeah. So I don't know that it's real today. I think that as we continue to think about artificial intelligence and natural language models, they obviously are going to be abused by bad actors and I think in two ways. The first way is they're going to leverage the technology to launch some of their attacks. They're going to figure out how to leverage the technology to make it easier or faster for them to launch attacks. The second thing, though, is that we need to secure the models themselves. We need to secure the data. We need to secure against data poisoning. We need to secure against model poisoning. Because if you think about AI, such as for cyber, the world's data is going to sit there in some way or another in the future and that is a great target rich environment for any bad actor.
0:03:56.0 Raghu Nandakumara: Absolutely, and I think that's always been the challenge with machine learning initially and now as AI, that form of intelligence is really being expressed, is ultimately it is based on whatever data you feed into it and compromising that in some way or tainting that impacts what is output. But if we look at it from a positive perspective, you've touched on how bad actors could leverage AI models. But do you see that also as a potential there for essentially the blue teams, the defensive folks like ourselves, to get ahead of the bad actors, leveraging these models? Do you see the potential for that as well?
0:04:36.1 Ann Johnson: Yeah, I think that there's absolutely huge potential for our blue teams, for our red teams, but also for us internally to learn from what we think the actors are going to do. Our job in this industry, I've always believed, is to stay a step ahead of them and that's why I'm optimistic constantly and I do think our blue teams and our red teams can take a lot of learnings from these natural language models. The thing it does is it makes it more egalitarian. So if you're not a coder, let's say you're not somebody who's written a lot of code, you actually have the ability now to really send a prompt into a system and have it execute something for you, which means it opens up this world that whether you're doing investigations or red or blue teaming, you suddenly open the world to a much broader audience.
0:05:19.6 Raghu Nandakumara: I think the way you describe that is so wonderful, egalitarian, because cybersecurity can often seem to be something that is the domain of a very select few and that classic example of, let's say, like a Mr. Robot with a hoodie on hunched over a keyboard. But I think as we think about security today and we hear about terms like democratization of security, it's so important that the entire organization is brought along for the ride. Is that something that you are very much onboard with?
0:05:52.3 Ann Johnson: I am completely onboard with it. And it has two dimensions for me. One, I've been quoted as saying in the past that, “We know cybersecurity has matured as an industry when there are no longer is a cybersecurity group.” Now, that's an extreme statement and obviously I make it as a way of just poking at it a little bit. Cybersecurity is everyone's job and the more we can make the tools easier for people to use and we can truly make it everyone's job, the more secure we are ultimately going to be. The second thing, is that we have this cyber poverty line globally. There are going to be countries that don't have the ability to protect themselves from nation-state attacks. And as cyber war continues to be one of the elements of a kinetic war, it's truly an element of war as we've seen recently, we're going to have to find a way to give these countries the skills that they need so that they can defend themselves. These folks that just don't have cyber skills or they don't have the money to have cyber skills. And we do call that the cyber poverty line. So I think it's both those dimensions. I really think that AI, as much as it's going to help our SOC and our defenders and [make] those folks’ job easier, that democratization of it is going to actually be a real change for the industry.
0:07:00.1 Raghu Nandakumara: Ann I think that's fascinating. And I think also some part of that is also just, what I see, is the leveling up of individual countries and obviously groups of countries. For example, here in the EU where countries act more as a collective to bring that leveling up of general cybersecurity stance driven by legislation at the national level, which can only be a positive thing. Tied into all what you describe with that more democratization. Is that how you see it?
0:07:30.0 Ann Johnson: It is how I see it and I think that democratization has to exist as well and there has to be global standards and there has to be global regulation. But there also has to be global cooperation, right? Cooperation, private sector, private-public sector, public to public sector. We're seeing an increase in collaboration and cooperation, but we're not where we need to be and the only way we actually defeat the bad enemy is with collective defense. And we need to get a lot better about collective defense, and AI should just be one tool in the arsenal.
0:08:00.0 Raghu Nandakumara: I like that. I like that term, collective defense. Okay. I think we've spent the early part almost looking forward to what the future holds, so I'd like to go back a bit and just ask you: how in your time in cyber have you seen the priorities and the approaches to cyber evolve over time? because I was listening to your podcast, I think it was the episode with Sounil Yu, where he described the various eras of cybersecurity. How do you think about those eras?
0:08:31.3 Ann Johnson: I think the first era of cybersecurity is you had some people stand up a few firewalls, maybe they used tokens for authentication, they had some routers, and they had some antivirus software. And it was like, "Okay. We're all good here." It was a, "Keep everything out of the environment." It was very much a, "Our employees are all coming to the office. They're working on devices we issue them." Maybe not even laptops, maybe some of them are green screen. And the biggest concern that the CIO had was somebody plugging in a rogue server on the data center, right? And then we've evolved to this world where, okay, we've suddenly become more mobile and people are working on various devices and there's this Bring Your Own Device concept. And by the way, we started assuming breach somewhere around... And it's probably been about 10 years now, we've started assuming breach. We assume somebody is in your environment. So how do we contain them? How do we minimize the damage? How do we find them? And how do we evict them? So the tools started changing. No longer could you keep everyone out. You actually had to give people access because people wanted to work from anywhere on any device. How do you securely do that?
0:09:33.1 Ann Johnson: So that was like the second era. This third wave we're going into now, it really was largely accelerated by the pandemic when we saw 87 or 90 percent of global employees went and worked from home. And suddenly we had these hybrid environments that were not necessarily secure, and we had people working on kiosks or working on the same device that their child was essentially doing their school work on and we introduced this whole other vector. We've swung back a little to where now you have more people in the office, some people still at home, or they're in the office or at home part of the time, and you're truly hybrid but then you also have this new tooling of AI. So again, it's how did the... The biggest problem CISOs still tell me today is visibility. So how do you see that something truly bad is happening in your environment, detect it super quickly and stop it from doing damage? And that is like the third wave of tooling and it's all about the data. People don't come into your environment just to hang around. It truly is all about the data.
0:10:33.8 Raghu Nandakumara: That's really interesting. And just picking up on that last thing you said, it's all about visibility. When I think about this, I almost feel that visibility should be the first thing that you put in place when you deploy a new technology to get complete understanding of what is happening around it. Why is that still a significant gap for so many organizations? Why do they not have enough visibility in the right places?
0:11:01.1 Ann Johnson: Because it's super hard. If you think about technical debt and legacy systems and disparate systems and rogue cloud environments and people signing up for SaaS apps and people working on their own devices and the need to balance productivity with security, it becomes really hard to get complete visibility across your environment. We have people that are still running on Windows NT or Windows 95 systems. How are you going to get visibility for those if they're not talking to the cloud type environments? You have manufacturing lines that don't have cloud connectivity. You have oil companies that have offshore production systems, mining companies around the world that their automated mining trucks are 3,000 miles away from their corporate office yet they have 800 sensors on them. It is really hard to get visibility and it's what people struggle with, and it's the greatest thing that the security industry can do is to continue to improve visibility so that our CISOs know at least what their attack surface looks like and they can put the right controls in place.
0:12:00.0 Raghu Nandakumara: So when you talk to, in your role, when you talk to cyber leaders across the multitude of industries and nations, etc, what do they say is their biggest concern? Do they also align with, "I'm concerned that I just don't know what's going on," or do they sort of up-level that a bit?
0:12:19.1 Ann Johnson: They generally, and this is a really blanket statement, they generally feel pretty good about the things they know about. The threats they are aware of, the devices they can see, they generally feel like they have good security controls. It is the old we don't know what we don't know. And the concern is that someone could have been in their environment for 18 months in some type of rogue system or somebody brought a new SaaS app online and didn't tell corporate and how they're sharing data with it. ChatGPT goes into that category. A lot of questions we get are, "We don't have the visibility of what potentially confidential data our employees are putting in a system like that." So they have hyper-concern over this. We need to have maximum productivity for our organization but we don't have visibility to what folks are doing. And if we don't have visibility to what they're doing, we can't secure it.
0:13:05.0 Raghu Nandakumara: Right. It's kind of like, that sort of, the catch-22 then. I need productivity but then, in order to secure that, I need better visibility. I don't have visibility so I don't know how to secure that, so I don't know how to support your need for better productivity. And you get into that cycle. So I kinda want to go back to something that you said and you talked about, about a decade ago that the assume breach mentality coming up and it not being just sufficient to recover or restore but really be able to survive. So I'd like to use that as a segue into talking about Zero Trust. I guess the first question to you is, when did you first come across the term Zero Trust? What does it mean to you and how do you feel about it?
0:13:51.4 Ann Johnson: So, a few things. One, I think the concept of Zero Trust is a wonderful concept. When did I first come... I don't remember when I first came across Zero Trust but let's say it's five to seven years ago, let's just put it in that time frame. I think the problem is it has become this amorphous term that nobody really understands. And it was a marketing term for a while that people just say, "Hey, we're Zero Trust," with no grounding in principles. So we have really explicit principles around it. The first thing is you verify explicitly. Anything that happens in a session needs to be verified. Anything, whether it's a single piece of data passing through the environment, authentication, anomalies, etc. The second thing is you use least privilege access. You have to use least privilege access for all of your users. Most end users do not need admin rights on the laptop. You need to have some type of secure admin work stations. And these policies need to be adaptive so people just have the just-in-time privilege they need, when they need it, and then it goes away and it needs to be logged and audited.
0:14:50.6 Ann Johnson: The third thing is that assume breach. Always assume that someone is in your environment, assume you don't have complete visibility, and that's where you get into encryption and data protection and DLP and having a really mature program around that. And that is super hard because people don't know where all their data is and it's really hard to secure stuff that you don't know where it is. So Zero Trust to me is fundamental to cybersecurity. And most customers, by the way, whether they know it or not, they're on a Zero Trust journey. They're doing some pieces of this already and it's just really having the program maturity. And there are some programs that are more mature than others, it's the typical early adopters that are more mature than others. But people often ask me, "Where do I start? What do I do?" And one of the things I tell them is least privilege access is a really good place to start and multi-factor authentication, for 100% of the people who access your environment 100% of the time, is the other really good place to start.
0:15:43.3 Raghu Nandakumara: I agree. And I think just listening to the way you laid that out and if I think back to my undergraduate computer science course and I took a couple of modules on security, a lot of what Zero Trust really talks about and preaches are the axioms of computer security, of information security, like least privilege. And to me, it's almost like, why is it that those best practices haven't been followed from the get-go and now we're almost reverse engineering what we have in order to accommodate something that we should have been doing in the first place? Why has that gap developed?
0:16:18.6 Ann Johnson: Yeah I think that people over-privilege access because they don't want any of their employees to run to productivity issues. I know that, by the way. So access is over-privileged just, literally, for productivity reasons and you really have to be scientific about how you think about access. We are at the place in the industry that everyone talks assume breach, I think that one is very well known, but the verify explicitly everything that happens in the session is the harder thing. Because it used to be, and you know this, if someone was concerned about the security, they would strongly authenticate however they strongly authenticated, and then there was some type of role-based access control and then that was good enough, right? Now we're saying, no, that's not good enough. Actually, every single transaction that happens in someone's session has to be interrogated because you could have malicious malware that's impacting the software. You could have malicious malware that's impacting the data. Somebody could have hijacked the session. Somebody could have followed them into the session. And so we're saying this "explicitly verify everything that happens in a session" is hard and it's new but in order to have ultimate security it's the place you really want to be.
0:17:25.9 Raghu Nandakumara: And so what does that then translate into what customers are asking for and then what they're executing on? What is that typical conversation that you would have? And I guess in your role, it's very much at that exec level. Does the conversation start from organization XYZ, "We want to build out a Zero Trust program. How do I do it?" or is it more around, "Here is a sort of a transformation that we're about to undertake. How should I ensure that security is best of breed to support that transformation?" What is the nature of that conversation that leads ultimately to "you need to adopt Zero Trust"?
0:18:06.5 Ann Johnson: That would be ideal, the latter of what you said would be ideal. “The company is going to have some type of major transformation, let's bring security in early” would just be ideal. It doesn't happen as often as you'd like. We're getting better. By the way, security is now a board-level conversation. Lines of business are getting more comfortable that their security peers aren't trying to block them, they're just trying to enable secure business. And security should be an enabler, right? So ideally it happens when the business is trying to do something new and then you think practically how they're going to do that. The good news about having a Zero Trust architecture is that you can snap a lot of it into that. If the architecture already exists, then even bringing in other lines of business doesn't mean you have to do anything different.
0:18:48.4 Ann Johnson: And running things, I'll give an example, running things like Microsoft Conditional Access, which looks at every transaction that happens in the session from a user standpoint, is one of the underpinnings of having a really good Zero Trust strategy. Things that look at your devices, the health of your device, what is your device doing in this session, technology that looks at that. Then if you can enable the business that they don't have to come back to security every time. They just have to follow the principles of Zero Trust whenever they're rolling out something good. And it really truly does become both a business enabler and it makes security more effective and security more simple. Those are the ultimate measures of having a good Zero Trust program.
0:19:27.6 Raghu Nandakumara: And I think, I mean, that really is the ideal state where there is that consistency is built under the business or the application developers, etc, know that as long as they adhere to the security requirements and they build according to those, then they're going to be getting the best of breed security, it's going to be least privilege access and that transformation is not going to be in any way impeded. So from a Microsoft perspective, what do you see are the key technology enablers that you have that you're delivering to customers to support this?
0:20:05.8 Ann Johnson: Yeah. Our Zero Trust strategy, and everybody comes at it in a different way, starts with our identity. Because we are very strong in identity and we have our Microsoft Entra Suite, our Zero Trust starts there. And it starts with strong authentication, Windows Hello for Business or the Azure Authenticator, we have third parties we're integrated with. So it starts with strongly authenticating the user and then it goes to using conditional access, so making sure that all of your app access, all of your apps are attached to Conditional Access and we're looking at the health of everything that's happening within the session from that standpoint. Then, as you know, we do a lot of partnering. We do a tremendous amount of partnering. And in the spaces where we don't have a discrete or explicit technology, whether it's the network controls or those type of controls, secure web gateways, those type of controls, and we are moving further into saying we need to have a very robust Zero Trust offering that's powered with our partner ecosystem and with some Microsoft first-party solutions. So you'll see, over the next 12, 18, 24 months us moving even further in that direction.
0:21:07.1 Raghu Nandakumara: And do you see it... If I think back to the NIST Zero Trust architecture and there's this concept of this unified control plane that is then enabled, enforced via those individual policy enforcement points, whatever they need to be. Do you see it as being realistic that at some point in the future we will see true single policy sort of control planes that are able to go and deliver that Zero Trust enforcement across all of the pillars? Let's say if we refer back to Forrester’s original Zero Trust definition and the pillars that they talk about, do you see that as being something realistic?
0:21:50.9 Ann Johnson: We have been trying to get the things that are single panes of glass for a ton of controls for decades. Ideally, we have very few controls, where someone has to interact or we obfuscate the complexity from the end user even if there are... For Microsoft, even if there's partner solutions under the hood, we obfuscate the complexity for the end user and for the admin so that they can do all of their control management in one place. We're not there. As an industry, we're not there. I know you all are doing your piece of a lot of work with Zero Trust but the simpler we can make the solutions and the more aligned we can make the controls and the ability for the admins to work on a single console, the better the industry is going to be. So it's an ambition.
0:22:34.2 Raghu Nandakumara: And do you see the... In order to get closer and closer to that and if it is a couple of different control planes that are able to in some way interact with each other, that may be good enough. But the key thing there saying essentially... Zero Trust, the modern definition of Zero Trust, talks, among other things, about a risk-based, context-based ability to define policy. So is it important? I guess it's essential that those control planes share the same context and the same view of risk in order to be able to do that consistently. Is that, I guess, the first step?
0:23:19.7 Ann Johnson: Wenn Sie also an Ihre Segmentierungsplattform denken und das als eine Stelle zur Benutzerkontrolle betrachten, über die der Benutzer tatsächlich einen Überblick über alle Workloads und Geräte hat, und dann können Sie Ihre detaillierten Segmentierungsrichtlinien so einrichten, dass sie unter oder neben dem funktionieren, was wir mit unserem Zero-Trust-Kontrollplan tun, und wir können den Benutzer einfach mit einem Klick auf Illumio verweisen. Aber mein ideales Szenario ist, dass Sie dieses Ökosystem haben und Microsoft mit unserer Plattform, mit unserer Entra-Plattform, an der Spitze des Ökosystems sitzt, und alle Daten kommen zu uns und sie durchlaufen einen bedingten Zugriff und dann nutzen wir, weil wir nicht 100 Prozent der Lösung sein werden, wir nutzen Orte wie Illumio, um bestimmte Arbeiten zu erledigen, aber wir verschleiern die Komplexität, dass der Endbenutzer ein völlig anderes entwickeln muss Konsole, um diese Arbeit machen zu müssen. Das ist ideal.
0:24:10.3 Raghu Nandakumara: Ja, absolut. Aber ich denke, das Interessante ist, dass ich finde, dass die Art und Weise, wie Sie es ausgedrückt haben, so zutreffend ist, dass es letztendlich das ideale Szenario gibt, aber was ist heute möglich, wenn Sie erstklassige Lösungen integrieren und wie Sie diese Konsistenz aufbauen können, weil heute im Grunde kein Kunde auf einen, ich sage mal, auf einen Marktplatz gehen und sagen kann: „Hey, ich kaufe die umfassende Zero-Trust-Lösung. Klick, fertig. Ich habe Zero Trust.“ Das macht heute niemand.
0:24:42,5 Ann Johnson: Nein. Aber deshalb ist es unser Ziel, die Plattform zu sein, und es ist die Plattform, auf der andere aufbauen. Sie bauen Ihre Lösungen auf unserer Plattform auf und so kommt der Traffic zu uns, er durchläuft einen bedingten Zugriff, und wir können uns mit all den verschiedenen Partnern austauschen, die wir in unser Zero-Trust-Ökosystem einbringen. Unser Ehrgeiz ist genau das, wovon wir hier sprechen, aber wir sind noch nicht da und wir sind wahrscheinlich 18, 24 Monate davon entfernt.
0:25:08.4 Raghu Nandakumara: Sicher. Das sind dann spannende 18, 24 Monate. Das ist nicht allzu weit am Horizont. Ich möchte also ein wenig den Gang wechseln und darüber sprechen, wie Sie sehen, was aus Sicht der Gesetzgebung und Regulierung passiert, nicht nur in den USA, sondern weltweit, von dem Sie glauben, dass es die Einführung von Zero Trust vorantreiben oder beschleunigen wird. Jeder spricht über das Biden-Mandat und darüber, was darauf folgt, aber wir sehen auch Dinge wie, sagen wir, die EU, NIS2 und DORA. Und wir sehen eine ähnliche Regulierung in der APAC-Region und so weiter. Wie nützlich werden diese Gesetze und Vorschriften Ihrer Meinung nach sein, um die Einführung besserer Sicherheitspraktiken wirklich zu beschleunigen? Glauben Sie, dass es ein signifikant positives Ergebnis geben wird?
0:25:55.2 Ann Johnson: Ich denke in dem Maße... Schauen Sie, die EU hat etwas wirklich Interessantes mit ihrem Konzept gemacht, fast einen Cyberdome zu haben und eine kollektive Verteidigung innerhalb der EU zu haben. Und diese Art von Regulierung und diese Art von Anforderungen und dieser zukünftige Rahmen sind wirklich wirkungsvoll und sinnvoll. Eine der Herausforderungen für unsere Kunden, die in einem globalen Umfeld arbeiten, besteht darin, dass die Vorschriften nicht einheitlich sind. Und ich werde ein Beispiel verwenden. Das einzig Tolle an der DSGVO ist, dass sie für Konsistenz gesorgt hat. Es geht nicht darum, ob es Ihnen gefallen hat oder nicht. In der Konversation haben Sie verstanden, was Ihre Anforderungen waren, wenn Sie in der EU wären, was den Datenschutz angeht. Ich denke also, in dem Maße, in dem wir eine einheitlichere und einheitlichere Regulierung erreichen können und die Branche dabei helfen kann, die Aufsichtsbehörden aufzuklären, und die Aufsichtsbehörden mit den Experten sprechen können, denke ich, dass das einen enormen Nutzen haben wird. Das tue ich.
0:26:47,6 Ann Johnson: Und wir begrüßen die Gelegenheit, konstruktive Gespräche über Regulierung in allen Bereichen der Technologie, einschließlich KI, zu führen, weil sie notwendig ist. Aber was schwierig ist, ist, wenn Sie... Ich denke, die Zahl liegt bei etwa 250. Microsoft prüft täglich rund 250 spezifische Vorschriften auf der ganzen Welt, um festzustellen, ob wir die Vorschriften einhalten müssen. In der Region muss mehr Kohärenz herrschen. Es muss mehr globale Standards geben, denn am Ende des Tages ist es für Unternehmen wirklich schwierig, in diesem Tempo an der Einhaltung von Vorschriften zu arbeiten, aber auch ein Sicherheitsprogramm durchzuführen und ihr Geschäft zu führen.
0:27:24.0 Raghu Nandakumara: Wenn Sie an so etwas wie DORA denken und ich weiß, dass Sie mit großer Leidenschaft über Cyber-Resilienz und die Entwicklung in diese Richtung sprechen, sehen Sie das, so etwas, als dass Sie die Konsistenz in eine bestimmte Branche bringen? Oder ist es immer noch die Herausforderung, dass es dann immer noch auf Landesebene verabschiedet werden muss, was dann die Komplikationen mit sich bringt, wie schnell es verabschiedet wird und so weiter?
0:27:51.8 Ann Johnson: Ja, ich denke, das stimmt. Ich denke, die Einzigartigkeit innerhalb des Landes wird zu einer Komplexität führen, an die nicht gedacht wurde. Ihre Fähigkeit, sich von einem Angriff zu erholen, ist das Wichtigste, was Sie haben. Ihre Fähigkeit, Ihre Kerngeschäftssysteme nach einem Angriff wieder online zu bringen, ist eines der wichtigsten Dinge, die Sie haben, und ich denke, dass jede Vorschrift, die Unternehmen tatsächlich dabei hilft, dies zu tun, ohne viel Aufwand zu verursachen, fantastisch ist, aber die tatsächliche Implementierung pro Land und pro Unternehmen wird die Komplexität erheblich erhöhen.
0:28:27.0 Raghu Nandakumara: Wenn wir das dann aus Sicht einer Organisation ein wenig ändern, woran sollten sie dann denken, wenn sie über Cyber-Resilienz nachdenken? Wie sollten sie darüber nachdenken, die richtigen Kontrollen aufzubauen, um ihnen ein Maß an Cyber-Resilienz zu bieten, mit dem ihr Vorstand zufrieden ist und das ein gewisses Mindestmaß an Produktivität garantiert?
0:28:48,9 Ann Johnson: Ja. Und, Raghu, das ist etwas, über das ich, weil du manchmal meinen Podcast hörst, viel geredet habe, worüber ich geschrieben habe usw. Ich bin begeistert davon. Das Erste, was Unternehmen wissen müssen, ist, wo sich Ihre wichtigsten Geschäftssysteme befinden. Was sind die drei bis fünf oder zehn oder welche Systeme auch immer, die unbedingt online sein müssen, damit Ihr Unternehmen läuft? Was sind sie? Und das ist alles, von der Gehaltsabrechnung bis hin zu Ihren Kunden. Was hält das Geschäft am Laufen? Das ist Nummer eins. Wo liegen die Daten dafür, ist Nummer zwei. Sobald Sie das identifiziert haben, wissen Sie was... In vielen Sicherheitsprogrammen wird davon die Rede sein, sie stellen sie als Kronjuwelen dar, weil sie vielleicht nicht über die Ressourcen oder Mitarbeiter verfügen, um alles zu sichern, aber sie müssen diese Dinge sichern. Was ist dann Ihr Failover-Plan? Sagen wir einfach, diese Systeme sind alle ausgefallen. Wo ist die Redundanz für diese Systeme?
0:29:33.7 Ann Johnson: Haben Sie eine Cloud-Umgebung? Haben Sie Redundanz im Ausland? Haben Sie in einem anderen Land Redundanz für diese Systeme? Wie werden Sie kommunizieren? Wenn Ihr E-Mail-System kompromittiert wurde und das bedeutet, dass möglicherweise auch Ihr Nachrichtensystem kompromittiert wurde, wie werden Sie intern in Ihrer Organisation kommunizieren, wenn es zu einem Ereignis kommt? Was wird passieren? Es muss ihn geben. Wer wird mit den Aufsichtsbehörden sprechen und wie werden sie mit den Aufsichtsbehörden sprechen? Wer wird öffentlich sprechen und wie werden sie öffentlich sprechen? Wer wird mit Ihren Anwälten kommunizieren? Wer spricht mit Ihren Mitarbeitern und wie sprechen sie mit Ihren Mitarbeitern? Haben Sie bereits einen Drittanbieter unter Vertrag genommen, der eine Vereinbarung über einen Beauftragten für die Reaktion auf Vorfälle getroffen hat? Haben Sie einen Drittanbieter, der für den Wiederaufbau Ihrer Systeme zuständig ist? Ich weiß, es klingt wirklich taktisch, aber wo sind Ihre Backups und haben Sie tatsächlich getestet, dass Sie Ihre Backups wiederherstellen können?
0:30:26.3 Ann Johnson: Und sind Ihre Backups so ausgerichtet, dass sie kompromittiert werden könnten? Eines der Dinge, die Ransomware-Akteure tun, ist, eines der ersten Dinge, die sie tun, ist, nach Ihren Backups zu suchen, weil sie diese Backups tatsächlich beschädigen wollen. All diese Dinge müssen also... Also ist es nicht nur technologisch, es geht um die geschäftliche Seite. Und dann müssen Sie tatsächlich Übungen am Tisch machen und davon ausgehen, dass Sie eine solche Veranstaltung hatten und Sie müssen tatsächlich planen. Du musst den Plan ein paar Mal ausführen. Wir alle bilden rote und blaue Gruppen und lilafarbene Gruppen aus, aber machen Sie eine Übung am Tisch, bei der es heißt: „Ihre Umgebung ist völlig ausgefallen. Was jetzt?“ Und das müssen Sie ein paar Mal im Jahr tun, nicht nur mit den operativen Mitarbeitern, sondern auch mit Ihren Führungskräften und möglicherweise mindestens einmal im Jahr mit Ihrem Vorstand. Es sind all diese Dinge, die wir als Best Practices empfehlen.
0:31:05.0 Raghu Nandakumara: Was mir gefällt, und Sie haben das am Ende angesprochen, ist die Entwicklung hin zu dem, was Cyber-Konformität bedeutet. Wir bewegen uns weg von... Und ich denke, worauf Sie andeuten, aber ich möchte Ihnen keine Worte in den Mund nehmen, ist die Abkehr von Checkbox-Übungen hin zu wirklich bedrohungsorientierten, offensiven Sicherheitsübungen, egal ob es sich dabei um lila Teamübungen handelt, echte lila Teamübungen oder Tischübungen, bei denen Ihre tatsächlichen Kontrollen getestet werden, im Gegensatz zu einer Reihe von: „Okay. Ist es so konfiguriert, dass es X ausführt? Ist es so konfiguriert, dass es Y ausführt?“ Und so weiter.
0:31:45,6 Ann Johnson: Das ist richtig. Und ich würde sagen, und genau wie du gesagt hast, es gibt viel auszupacken. Die erste Frage lautet: „Wessen Job ist das? Wem gehört die Cyber-Resilienz Ihres Unternehmens?“ Und der Plan für Cyber-Resilienz, jede Organisation, die ich mir vorstellen kann, jede große Organisation hat einen Plan für Naturkatastrophen. Wenn Sie in Ihrer Region eine Naturkatastrophe hatten, haben Sie einen Plan, wie Sie Ihr Unternehmen wieder online bringen, Ihre Mitarbeiter schützen usw. Sie benötigen genau den gleichen Plan für Cyberangriffe. Und wessen Job ist das dann? Sind es die Leute, die deine Widerstandsfähigkeit beweisen? Ist es Ihr Cyber-Team? Diese Entscheidungen müssen alle jetzt getroffen werden, nicht nach einer Veranstaltung.
0:32:24.2 Raghu Nandakumara: Und im Anschluss daran: Was sind die wichtigsten Dinge, über die CISOs ihrem Vorstand unbedingt Bericht erstatten sollten, was dem Vorstand, dem CEO, tatsächlich einen klaren Hinweis darauf gibt, wie das Sicherheitsprogramm mit den Geschäftszielen verknüpft ist? Was sind zum Beispiel diese, sagen wir, drei wichtigen Dinge?
0:32:45.9 Ann Johnson: Ja. Das Erste, was ich sagen möchte, ist zu verstehen, dass Ihr Vorstand keine Sicherheitsleute sind. Sie sind vielleicht nicht einmal Technologie-Leute. Verstehen Sie das zuerst, denn was auch immer Sie mit dem Vorstand besprechen werden, Sie müssen es in einer Sprache formulieren, die der Vorstand versteht. Die Sprache, die ein Vorstand versteht, ist Risiko. Alles, worüber Sie sprechen, sollte sich also auf das Geschäftsrisiko beziehen. Dies ist nur ein wirklich einfaches Beispiel. „Wenn wir in unserem Unternehmen keine Multifaktor-Authentifizierung einführen, besteht für uns ein viel höheres Risiko, da wir wissen, dass Phishing und Personen, die schwache Passwörter verwenden, immer noch der wichtigste Angriffsvektor sind.“ Das ist also ein Risiko, das das Unternehmen verstehen sollte, vor allem, wenn Sie versuchen, dafür ein Budget aufzubringen. Aber auf Vorstandsebene sollten Sie es sehr einfach halten, vielleicht Ihre 10 wichtigsten Risiken durchgehen und es in dieser Risikosprache halten und sich von „Hey, ich möchte über unsere Strategie zur Ende-zu-Ende-Verschlüsselung sprechen“ vermeiden. Sprechen Sie darüber, warum Sie eine Verschlüsselungsstrategie haben und was sie bewirken wird und wie sie das Risiko für das Unternehmen senken wird. Dazu würde ich CISOs ermutigen. Und CISOs hatten früher wirklich technische Rollen inne. Sie kommen jetzt an den Punkt, an dem CISOs wirklich gute Geschäftsleute sein müssen, die die Technologie und die Anwendung der Technologie im Unternehmen verstehen.
0:33:58.9 Raghu Nandakumara: Das ist also wirklich interessant. Absolut. Diese Entwicklung des CISO von einem sehr technischen, nach innen gerichteten, fast technologieorientierten Ansatz hin zu einem viel stärker geschäftsorientierten, geschäftsorientierten und in der Lage, beides miteinander zu verbinden. Aber Sie haben über die Kommunikation mit dem Vorstand gesprochen und es ist fast so, als ob Sie gesagt haben, Sie sprechen über Technologie und Sie sprechen über, sagen wir, Verschlüsselung und Sie sprechen darüber, wie dies einen Geschäftsvorteil bietet. Für mich fühlt sich das immer noch so an, als würde der Vorstand das Thema auf ein sehr niedriges Niveau bringen, und es handelt sich möglicherweise um eine Terminologie und ein Konzept, die der Vorstand nicht verstehen würde. Kannst du also ein bisschen mehr darüber sprechen?
0:34:42.3 Ann Johnson: Ja. Lass mich klarstellen, was ich gesagt habe. Nein, ich glaube nicht, dass Sie mit dem Vorstand über Verschlüsselung sprechen. Ich denke, über welche Technologie Sie auch sprechen, Sie sollten nur über Geschäftsrisiken sprechen. Was ist Ihr Datensicherheitsprogramm und wie reduziert es Ihr Geschäftsrisiko? Alles, worüber Sie sprechen, sollte ein Geschäftsrisiko sein. Aber nein, ich denke nicht, dass Sie mit dem Vorstand über Verschlüsselung sprechen sollten, und das ist der Punkt, den ich ansprechen wollte. Reden Sie nicht über Technologie. Sprechen Sie über Geschäftsrisiken und darüber, wie ein Programm Ihr Geschäftsrisiko senken kann.
0:35:08.4 Raghu Nandakumara: Ja. Nein, verstanden. Okay. Ich bin völlig klar und da gibt es keine Zweideutigkeit. Wir sprechen also über Cyber-Führungskräfte und Sie haben bereits über die Entwicklung des CISO gesprochen, die Sie in Ihrer Zeit im Cyberbereich erlebt haben. Wohin wird diese Entwicklung Ihrer Meinung nach in den nächsten Jahren führen? Wie wird sich die Rolle des CISO Ihrer Meinung nach weiter entwickeln?
0:35:31.9 Ann Johnson: Ich denke, die Rolle des CISO wird sich weiterentwickeln und natürlich viel anspruchsvoller sein. Wir haben einen großartigen CISO bei Microsoft, Bret Arsenault, einen wunderbaren CISO. Die meisten CISOs, die ich kenne, sind wundervolle Menschen, die die richtigen Dinge tun wollen und in einem undankbaren Job sind, weil man für alles verantwortlich gemacht wird und für nichts danke. Aber die Rolle wird sich weiter entwickeln, um dieser Komplexität auf Unternehmensebene gerecht zu werden. Sie müssen die Regulierung verstehen. Sie müssen verstehen, wie sich die Kontrollen auf die Regulierung auswirken. Sie müssen in der Lage sein, mit den Leuten zu sprechen, die im SOC an vorderster Front stehen. Sie müssen in der Lage sein, mit Ihrem Vorstand zu sprechen. Es ist ein wirklich schwieriger Job. Aber je mehr der CISO, wie Bret, seine Prioritäten an den Prioritäten des Unternehmens ausrichten kann, desto effektiver werden Sie in dieser Rolle sein.
0:36:13.9 Raghu Nandakumara: Ann für Sie persönlich, worauf freuen Sie sich, worauf freuen Sie sich im Cyberbereich, ob das eine technologische Entwicklung ist, ob das eine Entwicklung der Menschen oder eine Entwicklung der Gesetzgebung ist? Worauf freuen Sie sich in den nächsten Jahren wirklich?
0:36:33.2 Ann Johnson: Ich werde es dir sagen, und ich bin kein Modewort... Ich mache das schon lange genug, dass ich nicht sehr aufgeregt bin. Ich freue mich wirklich sehr über KI und Modelle in natürlicher Sprache. Die Fähigkeit, die Fähigkeiten von Cyberkriminalität auf einen viel breiteren Pool von Talenten auszudehnen, die tatsächlich zur Branche beitragen könnten, wird dazu beitragen, unseren Fachkräftemangel zu verringern, ebenso wie die Anwendung der Technologie selbst, um anhand von Millionen und Aberbillionen von Signalen, die Menschen in ihrer Umgebung sehen, zu argumentieren und Ihnen tatsächlich zu sagen, was ein echtes Problem ist. Das verschafft Ihnen viel schnellere Sichtbarkeit. Wenn es genau diese beiden Dinge löst, Sie viel schneller sichtbar macht und dazu beiträgt, unseren Talentmangel zu beheben, weil der Talentpool größer wird, hat es meiner Meinung nach sein Versprechen gehalten.
0:37:13.5 Raghu Nandakumara: Oh, absolut. Und ich denke, ich wiederhole nur, was Sie gesagt haben, und bringe es auf das große Problem zurück, das Sie hervorgehoben haben, auf mangelnde Sichtbarkeit. Wenn es uns ermöglicht, die Sichtbarkeit zu verbessern, können wir meiner Meinung nach zu einer besseren Entscheidungsfindung und einer besseren Sicherheit führen, was letztlich das Ergebnis ist, das wir wollen.
0:37:32,7 Ann Johnson: Korrekt. Das ist genau richtig.
0:37:34.9 Raghu Nandakumara: Fantastisch. Ann, es war mir eine große Freude, heute mit dir zu sprechen. Und natürlich für unsere Zuhörer: Wenn Sie mehr über Trends erfahren möchten, wenn Sie einen Podcast zur Sicherheitsführung auswählen möchten, den Sie sich unbedingt anhören müssen, dann schauen Sie sich Anns Podcast Afternoon Cyber Tea with Ann Johnson an. Er ist auf CyberWire, er ist auf allen üblichen Podcasting-Plattformen. Und hören Sie sich alle früheren Ausgaben an, weil dort einfach so viele fantastische Inhalte enthalten sind. Ann, danke nochmal für deine Zeit. Ich weiß das wirklich zu schätzen. Und es war wunderbar, mit dir zu sprechen.
0:38:10.9 Ann Johnson: Vielen Dank, Raghu. Ich weiß das zu schätzen. Es war ein großartiges Gespräch. Hab einen wundervollen Tag.
0:38:15.0 Raghu Nandakumara: Ich danke dir. Danke, dass du dir die dieswöchige Folge von The Segment angesehen hast. Noch mehr Informationen und Zero-Trust-Ressourcen finden Sie auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter mit uns in Verbindung setzen @illumio. Und wenn dir das heutige Gespräch gefallen hat, findest du unsere anderen Folgen überall dort, wo du deine Podcasts bekommst. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.