Auf dem Weg zu Zero-ish Trust

0:00:04.4 Raghu Nandakumara: Willkommen bei The Segment, einem Zero Trust Leadership-Podcast. Ich bin Ihr Gastgeber, Raghu Nandakumara, Leiter für Branchenlösungen bei Illumio, dem Unternehmen Zero Trust Segmentation. Heute gesellt sich Ryan Fried, Senior Information Security Engineer bei Brooks Running, zu mir. Bei Brooks ist Ryan für die Überwachung unternehmensweiter Sicherheitsprojekte vom Entwurf bis zur Fertigstellung verantwortlich. Vor seiner Zeit bei Brooks arbeitete er als Sicherheitsanalyst, Netzwerkingenieur, Risikobewertungsmanager und Sicherheitsarchitekt bei Unternehmen wie Coverys und BlueSnap. Heute spricht Ryan mit uns über die Rolle der Cybersicherheit in der Fertigung und im Einzelhandel, den Aufbau eines erfolgreichen Zero-Trust-Programms und den Unterschied zwischen Konformität und Sicherheit.

0:00:50.3 Raghu Nandakumara: Hey, Ryan, schön, dass du heute hier bei uns bist. Danke, dass du gekommen bist. Hey, wie geht's dir?

0:00:55.5 Ryan Fried: Gut, ich weiß die Gelegenheit wirklich zu schätzen. Es ist immer toll, mit dir zu chatten.

0:01:00.1 Raghu Nandakumara: Es ist uns eine Freude. Ich muss zunächst sagen, dass die Brooks-Laufschuhe, die ich seit etwa einem Monat trage, zweifellos die bequemsten, leichtesten und besten Laufschuhe sind, die ich je besessen habe. Ich kann nicht glauben, dass ich sie bis zu diesem Zeitpunkt nicht ausprobiert habe. Es ist also doppelt aufregend, Sie an Bord zu haben. Ich mag es, diese Gespräche mit unseren Gästen zu beginnen und sie zu fragen, wie sie zu Cyber gekommen sind. Also, was war deine Reise?

0:01:27.5 Ryan Fried: Sicher. Ich würde sagen, ich bin einer der traditionelleren Wege ins Internet. Ich habe Management-Informationssysteme studiert, also eine Mischung aus Wirtschaft und Technologie. Schließlich bekam ich im Rahmen eines IT-Rotationsprogramms eine Stelle bei einer großen Krankenkasse, sodass wir alle sechs bis acht Monate in einen anderen IT-Bereich wechselten. Ich begann damit, weil ich dachte, ich möchte Projektmanager werden, und nach sechs Monaten stellte ich schnell fest, dass das nicht der Fall war. Ich mag eher die praktische Arbeit. Nach meinem zweiten Jahr bekam die Krankenkasse also mindestens einen ihrer ersten CISOs. Er brachte einfach diese unglaubliche Unternehmenskultur so weit in das Unternehmen, dass jeden Tag um 4 Uhr quasi jeder seine Arbeit in den Bereichen Sicherheit und Infrastruktur und dergleichen aufhörte, und er sprach über die neuesten Bedrohungen und Sicherheitslücken, über die die Leute lesen oder die gemeldet wurden, und führte dann diese Diskussion. Und in keinem anderen Unternehmen habe ich gehört, dass der Sicherheitspersonal das Problem an den Mitarbeiter der Infrastruktur weiterleitet, der dann einen Plan entwickelt, um das Problem vielleicht innerhalb weniger Tage zu beheben. Dann gab es verschiedene Ingenieure, die über ihre Aktivitäten im Dark Web sprachen und die Ohren offen hielten. Ich war also begeistert und habe seitdem wirklich nicht mehr zurückgeschaut.

0:02:42.5 Raghu Nandakumara: Es ist so aufregend, zuerst diesen Kommentar zu hören, dass Sie ein Jahr lang Projektmanagement gemacht haben und dann wechseln. Es erinnert mich definitiv an ein Gespräch, das ich vor meinem ersten Job nach dem Studium im Analystenprogramm geführt habe und das ich im Grunde genommen am... In der linken Hand hieß es: „Hey, du könntest einen Job im IT-Projektmanagement annehmen, auf der rechten Seite könntest du einen Job im Cyberbereich annehmen.“ Ich sagte: „Da gibt es nur eine Wahl, es ist nicht die linke Hand.“ Aber es ist so toll, diese Kultur des Lernens zu hören, weil Sie absolut recht haben. Diese Gelegenheit, die Tools buchstäblich herunterzufahren und dann jeden Tag eine halbe Stunde des Tages damit zu verbringen, zu lernen, zu diskutieren und Ideen auszutauschen, ist eine unglaubliche Gelegenheit. Was, was waren die Dinge, mit denen Sie gerade in den ersten frühen Tagen dieser Erfahrung davongekommen sind?

0:03:37.3 Ryan Fried: Ich hatte einfach diese Wachstumsmentalität. Vor 10 Jahren haben wir gerade angefangen, ein bisschen über Public Cloud zu sprechen, aber mehr über virtuelle Maschinen, und selbst in den letzten ein oder zwei Jahren musste ich praktisch von Grund auf etwas über Container und DevSecOps lernen und genau genug wissen, um Anforderungen an Leute zu stellen, die das seit fünf Jahren tun, sowohl auf selbstbewusste Weise als auch in gegenseitigem Einvernehmen. Wir werden ihnen keine Anforderungen stellen und sagen, dass Sie diese erfüllen müssen, aber wenn Sie sie fragen, wissen sie ein bisschen über Sicherheit. Wenn man also denkt, dass sich die Technologie weiterentwickelt, muss man die nächste lernen, aber es ist wirklich wichtig, offen dafür zu sein, etwas darüber zu lernen.

0:04:19.8 Raghu Nandakumara: Ja, absolut. Also, können Sie bei dieser ersten Entdeckung von Cybersicherheit und Bedrohungen vielleicht eine bestimmte Sicherheitsfähigkeit mit uns teilen oder vielleicht ist es eine Bedrohung, die Ihnen aufgefallen ist und gesagt hat: „Gott, das ist wirklich aufregend, das ist es, was ich verfolgen möchte.“

0:04:37.9 Ryan Fried: Ja, ich denke, wenn ich vor etwa 10 Jahren zurückblicke, war CrowdStrike im EDR-Bereich die aufregendste Technologie. Ich bin mit den Grundlagen von Sophos oder Vera aufgewachsen und habe sie grundlegende Scans durchführen lassen. Aber als ich dann sah, wie etwas wie CrowdStrike oder wirklich jeder andere EDR-Anbieter sich diesen Prozessbaum ansehen und diesen verhaltensbasierten Ansatz verwenden kann, fand ich das wirklich cool.

0:05:05.8 Raghu Nandakumara: Diese Umstellung von der heuristischen Erkennung zur Verhaltenserkennung war also offensichtlich eine grundlegende Veränderung in der Art und Weise, wie wir den endpunktbasierten Schutz durchgeführt haben. Und das hat sich in den letzten 10 Jahren mit der Entwicklung der ML- und KI-basierten Technologie erheblich weiterentwickelt. Also, und ich weiß, dass Sie kürzlich bei RSA waren, was war besonders aufregend an dem, was Sie von den dortigen Anbietern gesehen haben?

0:05:34.4 Ryan Fried: Ja. Von RSA fand ich, dass eine der coolsten Technologien darin besteht, dass Sie Ihren Cloud-Sicherheitsschutz haben und nach einer Cloud-Konfiguration suchen, die wirklich hilfreich ist. Aber ich möchte wissen, was die Bedrohungsakteure tun, und das den Kontrollen zuordnen, in der Regel Fehlkonfigurationen für Cloud-Plattformen. Es gibt viele Cloud-Konfigurationsplattformen, bei denen Sie 300 Warnmeldungen erhalten, was für mich nicht hilfreich ist. Ich sehe also langsam, dass Anbieter einen stärker risikobasierten Ansatz verfolgen, bei dem sie vielleicht erkennen können, dass ihnen eine öffentliche IP-Adresse zugeordnet ist und der Internetzugang offen ist oder dass es sich um eine Fehlkonfiguration handelt, die in freier Wildbahn ausgenutzt wird. Ich sehe langsam einen eher auf Bedrohungen basierenden Ansatz für Fehlkonfigurationen in öffentlichen Clouds, was für mich als Ingenieur wirklich hilfreich ist.

0:06:31.7 Raghu Nandakumara: Und wenn Sie die Wörter oder Begriffe „risikobasiert“ und „bedrohungsbasiert“ verwenden, hören wir diese häufig, insbesondere im Lieferantenmarkt. Was meinen Sie als Praktiker und als sehr erfahrener Praktiker sehr genau, wenn Sie risikobasiert und wenn Sie bedrohungsbasiert sagen?

0:06:54.2 Ryan Fried: Wenn ich also diese beiden Begriffe verwende, denke ich normalerweise an Schwachstellenmanagement. Sie können also nicht alles patchen. Wenn Sie sich an Ihr Infrastrukturteam wenden, müssen Sie freiwillig ein hohes Maß an Genauigkeit darüber haben, wie wichtig es sein sollte. Ich schaue mir also einige Dinge an, die einige Schwachstellen-Management-Tools besser machen als andere. Ist das Asset öffentlich zugänglich? Handelt es sich um ihre Sicherheitslücke, gibt es dafür Machbarkeitsnachweise wie Exploit-Code? Wird sie aktiv ausgenutzt? Welcher CISA macht jetzt wirklich gute Arbeit mit der Liste der bekannten ausgenutzten Sicherheitslücken. Welchen Grad an Komplexität bräuchte ein Hacker? Können sie mit Metasploit einfach eine einzeilige Befehlszeile eingeben, oder ist dafür ein hohes Maß an Komplexität erforderlich? Und wie hoch ist dann der Grad der Benutzerinteraktion? Senden sie eine E-Mail, in der sie sie nicht einmal öffnen müssen? Oder muss ein Benutzer ein paar Mal klicken? Das sind also in der Regel die Dinge, die uns zusätzlich zum CVSS-Score helfen, wirklich zu priorisieren, was wir zuerst beheben sollten.

0:08:01.8 Raghu Nandakumara: Und ich glaube, Sie haben den Begriff Exposition verwendet. Was ist die tatsächliche Exposition, das Expositionsrisiko von Sicherheitslücken? Wie können Sie sich als Praktiker ein Bild von der Gefährdung Ihrer Ressourcen für Ihr Unternehmen machen?

0:08:20.0 Ryan Fried: Ja, das ist wirklich schwer. Die Vermögensverwaltung in den meisten Unternehmen, bei denen ich tätig war, war definitiv eine Herausforderung. Sie haben überall Vermögenswerte. Sie haben Leute, die bis zu den Arbeitsplätzen kommen und gehen. Sie haben neue Server, die gerade hochgefahren werden. Sie haben DevSecOps, bei dem kurzlebige Server auf Ihrer öffentlichen Cloud hochgefahren werden. Und ich habe in der Vergangenheit mit Pentest gebrannt, wo wir eine Windows 2008-Box haben, die hochgefahren war, sie hatte keinen EDR-Agenten, der Pen-Tester hat sie gefunden, ausgenutzt und dann seitlich verschoben und Domain- und Admin-Zugriff erhalten. Die besten Methoden, die ich in letzter Zeit gefunden habe, sind der API-Zugriff auf Ihren VMware-Stack, die Präsenz in der öffentlichen Cloud, was auch immer Sie verwenden, Ihre MDM-Lösung. Auf diese Weise verlassen Sie sich nicht darauf, dass ein Agent installiert oder ein Schritt unternommen wird.

0:09:14.0 Ryan Fried: Es gibt also ein paar Anbieter, die wirklich gute Arbeit leisten, was die Nutzung der API-Verbindung zu verschiedenen Plattformen angeht. Aber als Praktiker besteht auch eine Herausforderung darin, sicherzustellen, dass alle Ihre Agenten überall sind, was... Ich hatte noch nie eine hundertprozentige Einhaltung aller Agenten, Server und Workstations. Da Sie das jetzt tun können, anstatt Ihren EDR-Anbieter und Ihren Anbieter für Tresormanagement manuell zu überprüfen, gibt es Tools, die API-Aufrufe ausführen. Sie erhalten diesen einen Hostnamen und es heißt, wir sehen EDR, wir sehen die Tresorverwaltung, aber wir sehen nicht das Tool, das Ihre Logs abruft und sie an die SIM sendet. Das macht es viel einfacher, sonst machst du das selbst, was du nicht immer zu 100% bekommen wirst.

0:10:01.2 Raghu Nandakumara: Die Sache mit der Sache, du wirst nie 100% bekommen und du spielst immer auf dem Laufenden. Und ich meine das nicht im Zusammenhang mit, wie wir oft sagen, „Oh, die Angreifer sind immer einen Schritt voraus“. Ich spreche nicht aus dieser Perspektive darüber, aber wie Sie schon sagten, nur bei den Grundlagen, holen wir immer auf, ob es um Patches geht oder ob es um Asset Discovery usw. geht. Wie bestimmen Sie, was gut genug ist? Was ist ein akzeptables Niveau und darüber hinaus ist es ein Bonus, aber auch die Kosten einer Verbesserung sind potenziell unerschwinglich. Wie stellst du das ein? Weil, und um Sie nicht abzuschalten, weil, um noch einmal auf das Beispiel dieses Windows 2008-Servers zurückzukommen, von dem Sie einfach nichts wussten. Das ist die Sicherheitsanfälligkeit, die letztendlich ausgenutzt wird. Wie findet man dieses Gleichgewicht?

0:10:46.1 Ryan Fried: Ja. Ich freue mich wirklich, dass Sie den Ausdruck „gut genug“ angesprochen haben, denn danach lebe ich im Sicherheitsbereich. Ich habe in stark regulierten Unternehmen wie Krankenversicherungen, Fintech und Karteninhaberdaten gearbeitet, wo ziemlich genau festgelegt ist, was Sie tun müssen, aber kein Unternehmen, für das ich gearbeitet habe, ist in der Branche der Sicherheit tätig. Brooks ist im Geschäft, um Schuhe zu verkaufen, und wir versuchen, unsere Angriffsfläche zu minimieren. Und falls und wann wir von Ransomware getroffen werden, macht uns das als Unternehmen nicht kaputt. Für die Arbeit im Einzelhandel auf Gedeih und Verderb gibt es keinen Compliance-Rahmen, an den wir uns aus einer ganzheitlichen Perspektive wirklich halten müssen. Wir werden also Dinge wie das NIST Cybersecurity Framework oder CIS Top verwenden, was 20 war, glaube ich, ist jetzt 18.

0:11:34.5 Ryan Fried: Und dann schauen wir uns in der Regel einmal im Jahr die verschiedenen Kontrollen an und bewerten uns selbst, denn sagen wir mal bei der Vermögensverwaltung. Das ist wichtig für uns. Und wenn wir uns auf eine Skala von eins bis fünf stellen, sind wir vielleicht bei einer Zwei oder Drei, aber vielleicht kommen wir nicht auf eine Fünf. Wie hoch ist der Aufwand, um von zwei auf drei gegenüber drei auf vier und vier auf fünf zu kommen? Ab wann halten wir es aufgrund unserer Größe und unserer Mitarbeiter für gut genug und fahren dann mit der nächsten Sache fort? Also schauen wir uns das wirklich an, was für uns am wichtigsten ist, Vermögensverwaltung ist offensichtlich sehr wichtig. Und dann bestimmen wir, was ein akzeptables Ergebnis dafür ist, und verbessern es.

0:12:16.5 Raghu Nandakumara: Das ist wirklich interessant. Und Sie haben dort einige wirklich interessante Dinge über den Gegensatz zwischen stark regulierten Branchen wie dem Finanzwesen wie dem Gesundheitswesen und einer weitaus weniger regulierten Branche gesagt, insbesondere wenn es um Cybersicherheitsanforderungen wie Fertigung und Einzelhandel geht. Und wenn ich an diese stark regulierten Branchen denke, haben sie in der Regel die drei Hebel. Das eine ist die Regulierung, das eine ist eine sehr klare Vorstellung davon, dass das etwas ist, das ich unbedingt schützen muss, sonst Verlust von Reputation, Verlust von Geschäftsumsätzen usw. Und dann gab es oft ein seismisches Ereignis, das diese Branche, diesen Sektor betrifft, was bedeutet, dass niemand sonst die Schlagzeile sein will. Aber wie bauen Sie jetzt in den nicht unregulierten, sondern in den weniger regulierten Branchen im Wesentlichen diese Hebel auf, um Ihr Programm voranzubringen?

0:13:12.7 Ryan Fried: Ja, ich denke, das Wichtigste, was wir bei Brooks getan haben und das ich in anderen Unternehmen gesehen habe, ist, diesen Lenkungsausschuss zu haben. Also trifft sich mein Chef mit dem COO, dem CFO, dem Leiter der Datenschutz- und der Rechtsabteilung, und dass sie verstehen, wie wichtig Sicherheit ist, verschafft uns das eine Menge Einfluss. Ich denke, das ist wirklich das Wichtigste, man braucht die Zustimmung der Geschäftsleitung und in der Lage zu sein, zu artikulieren, wo wir stehen, wo wir hinkommen müssen und was es braucht, ob es Geld oder Leute sind, so habe ich wirklich den erfolgreichsten Weg gefunden, das zu tun.

0:13:48,0 Raghu Nandakumara: Und wie vergleichen Sie die Rolle, die Sie heute bei Brooks innehaben, mit einigen Rollen bei Ihren früheren Arbeitgebern in diesen regulierten Branchen? Was sind die Herausforderungen in der einen und die Herausforderungen in der anderen? Und deshalb, weil es wirklich interessant ist, dass Sie in diesen verschiedenen Branchen in dieser Rolle umhergezogen sind.

0:14:09.1 Ryan Fried: Ja, ich denke, unser North Star ist ein bisschen anders. Da wir in einer stark regulierten Branche für HIPAA for Insurance arbeiteten, waren wir viel datenorientierter. Wir verwendeten Tools, um vertrauliche, eingeschränkte Daten zu finden. Wir haben uns mehr mit der Verhinderung von Datenverlust befasst. Das heißt nicht, dass wir das bei Brooks nicht tun, aber wir haben nicht die Daten, die stark reguliert sind. Bei Brooks konzentrieren wir uns viel mehr auf Verfügbarkeit. Der Blick auf Ransomware bestimmt also viel von dem, was wir tun. Also ja, ich würde sagen, wir denken zwar über eine Art urheberrechtlich geschützter Daten im Zusammenhang mit geistigem Eigentum nach, aber wir konzentrieren uns viel mehr auf die Verfügbarkeit durch verschiedene Bedrohungen.

0:14:52.2 Raghu Nandakumara: Und ich finde das wirklich faszinierend, weil wir über das traditionelle Sicherheitsdreieck der CIA nachdenken. Das C wird normalerweise sehr stark fokussiert. Und das Ich bekommt ein ordentliches Maß an Aufmerksamkeit und das A wird oft nicht ignoriert, sondern ist der Teil, den jeder bereit ist, zu opfern, um das C und das I zu schützen. Aber auch hier denke ich, ich habe das Gefühl, dass gerade der Begriff Cyber-Resilienz in den letzten Jahren wirklich in Mode gekommen ist, dass der Fokus auf das A zunimmt und Unternehmen der Verfügbarkeitssäule des CIA-Dreiecks neben dem C und dem I viel mehr Bedeutung beimessen. Siehst du es?

00:15:37.3 Ryan Fried: Das tue ich wirklich. Ja. Wir denken über die Verfügbarkeit unseres ERP-Systems nach. Eine Sache, die mir aufgefallen ist, ist, dass meiner Erfahrung nach immer mehr Unternehmen die Wiederherstellung von Ransomware testen. Es ist eine Sache, es einzurichten, aber herauszufinden, wie lange es tatsächlich dauert, und es dann tatsächlich wiederherzustellen und den Geschäftsanwendern die Möglichkeit zu geben, an die Daten zu kommen, die sie benötigen, ist wirklich wichtig, weil Sie das mit Ransomware nicht zum ersten Mal tun möchten. Und dann ist es super interessant zu finden... Ich war an den Bemühungen zur Geschäftskontinuität beteiligt und nehmen wir an, jemand benötigt die Anwendung XYZ. Sie fragen ihn, wie schnell und er sagt eine Stunde. Weil warum nicht? Warum sagen wir nicht eine Stunde? In Wirklichkeit braucht unser Infrastrukturteam vielleicht acht Stunden, um diese Diskrepanz herauszufinden, wo es sagen kann: „Wir schaffen das in einer Stunde, aber Sie müssen für ein anderes Rechenzentrum bezahlen, das aktiv ist und schreibt, und es kostet etwa eine Million Dollar und dann sagen sie: ‚Acht Stunden klingt ziemlich gut'“. Daher ist es wichtig, die Erwartungen an die tatsächliche Bearbeitungszeit dieser kritischen Anwendungen zu erfüllen, um ein Level festzulegen, da es länger dauert, als Sie denken.

0:16:52.5 Raghu Nandakumara: Ja, absolut. Und das hast du gesagt... Nur ein paar Dinge. Entschuldigung, ich freue mich sehr, wenn unsere Gäste, nur dieser Gedankenstrom und so, ich auf all diese Dinge doppelklicken möchte. Lassen Sie uns also am Anfang dieses Gedankenstroms beginnen und Sie haben über Effektivität gesprochen und darüber, wie effektiv meine Kontrollen sind. Aus Ihrer Sicht, die auf Ihre Zeit in stärker regulierten Branchen zurückgeht, lautet also eine etwas umfangreiche Frage: Was ist Ihrer Meinung nach der Unterschied zwischen Konformität und Sicherheit?

0:17:27.9 Ryan Fried: Ja, das ist ein riesiger Unterschied. Compliant kann also positiv genutzt werden. Bei der Arbeit mit Kreditkartendaten ist PCI wirklich präskriptiv und hat viele tolle Dinge, aber es empfiehlt auch achtstellige Passwörter, mit denen ich Schwierigkeiten habe. Es ist also eine gute Ausgangsbasis und Sie können sie verwenden, um Dinge zu erledigen. Ich denke, mit diesem bedrohungsbasierten Ansatz, in welcher Branche Sie tätig sind, wie gehen Angreifer vor? Was die Cloud angeht, so stellt Gartner beispielsweise fest, dass 90-95% der Cloud-Sicherheitslücken meiner Meinung nach eine Fehlkonfiguration sind. Ich weiß nicht, ob Audits darüber sprechen, aber das ist wichtig, weil wir eine Cloud-Präsenz haben. Compliance ist also gut, es kann dein Freund sein, aber das kann nicht alles sein, was du tust.

0:18:18.4 Raghu Nandakumara: Ich betrachte das aus früheren Rollen heraus so, dass Compliance und Audits oft anhand einer Checkliste oder einer Reihe von Standards, die Sie definiert haben, verglichen mit, wie Sie sagen, verglichen mit der tatsächlichen Bedrohung und wie sie diese aktuelle Konfiguration ausnutzen könnte. Das bringt mich dann zu der Folgefrage zu dieser Art von Gedanken, die Sie geteilt haben, lautet: Wie testen Sie, ob Ihre Kontrollen wirksam sind?

0:18:52.0 Ryan Fried: Jetzt kommst du also zu meinem Leidenschaftsprojekt in meinen letzten paar Jobs.

0:18:57.6 Raghu Nandakumara: In Ordnung, lass uns gehen.

0:18:57.8 Ryan Fried: Ja, als ich anfing, sprach ich über die 10-jährige Entwicklung. Sie würden einem Pen-Tester so viel Geld zahlen und sie würden im Grunde einfach einen Nessus-Scan durchführen und Ihnen sagen, dass das all Ihre Sicherheitslücken sind und das war's. Der nächste Teil, den ich gesehen habe, ist, dass Sie jetzt einen Pen-Tester bezahlen, vielleicht gewähren Sie ihnen Zugriff in Ihrer Umgebung, vielleicht auch nicht. Wahrscheinlich nicht. Sie versuchen reinzukommen, vielleicht kommen sie rein, sie bekommen Zugang und dann reparierst du diese Dinge. In den letzten Jahren hat man begonnen, die Entwicklung von Purple-Teaming und Tools wie Atomic Red Team zu beobachten, wo jetzt jemand, der nicht als formeller Pen-Tester geschult ist, tatsächlich Simulationen dessen ausführen kann, was Hacker verwenden.

0:19:38.7 Ryan Fried: Also werde ich mir verschiedene Berichte von Mandiant oder Red Canary ansehen und es wird sagen, dass dies die 10 wichtigsten Hackertechniken sind, die wir im letzten Jahr gesehen haben. Und dann verwende ich tatsächlich ein Tool, um diese Techniken auf meinem Laptop in unserem Netzwerk auszuführen. Wir werden sehen, was unser EDR oder unsere Firewalls abfangen. Wenn sie das meiste davon fangen, großartig. Und wenn sie etwas nicht fangen, schreibe ich eine Erkennung aus unserem SEM oder EDR, damit wir es beim nächsten Mal abfangen. Ein kurzes Beispiel ist, dass die meisten Hacker, wenn sie reinkommen, etwas sagen wie: Wer bin ich? Um genau herauszufinden, wo sie sind, welchen Account sie haben. Und wir haben festgestellt, dass unser EDR-Tool es nicht erkannt hat, also haben wir eine Schnellerkennung geschrieben, wann immer wir das sehen, und wir haben Pen-Tester mit so etwas Einfachem und so früh erwischt. Ja, ich denke einfach, Dinge wie die Emulation von Gegnern oder sogar das Ausführen von Dingen in Eingabeaufforderungen, wie wer bin ich oder sysinfo oder net group admin, ist wirklich effektiv und kostenlos.

0:20:46.3 Raghu Nandakumara: Also möchte ich das fragen. Und absolut, und ich denke, das ist wirklich die Entwicklung der Sicherheitstests. Jetzt glaube ich, dass wir uns in einer Phase befinden, in der wir unsere Sicherheitsmaßnahmen weitaus realistischer testen. Und natürlich ermöglichen Teamübungen eine schnelle Feedback-Schleife, um das zu verbessern. Aber nehmen wir an, Sie sind dort und suchen nach der nächsten Sicherheitsfunktion, die Sie mit an Bord nehmen möchten, um in diesem Fall Brooks zu schützen. Wie können Sie dann überprüfen, ob das, was auch immer dieser Anbieter Ihnen zu verkaufen versucht, Ihnen tatsächlich die Sicherheitsverbesserung bietet, die Sie erwarten? Wie gehen Sie dabei vor?

0:21:30.1 Ryan Fried: Ja, ich denke, es ist wirklich wichtig, wirklich präskriptive Erfolgskriterien zu definieren. Also, welchen Anwendungsfall versuchst du zu finden? Weil Sie keine gute Zeit haben werden, wenn Sie einfach nach einem Anbieter suchen und sagen, ich möchte die Fähigkeit dazu haben. Warum? Wovor versuchst du dich zu verteidigen? Und kannst du das nachahmen? Wenn Sie nach einer Lösung für die Verwaltung der Sicherheitslage in der Cloud suchen, machen Sie vielleicht einen kurzen POC und dann stellen Sie einen S3-Bucket bereit, der für die ganze Welt ohne Daten zugänglich ist, und sehen, wie schnell er ihn erkennt. Oder für die Mikrosegmentierung: Vielleicht haben Sie einen Laptop und führen einen Nmap-Scan der gesamten Umgebung durch und sehen, was sie zurücksenden kann. Und dann versetzt man das Tool in den Erzwingungsmodus und schaut, was man noch erreichen kann. Ich denke also, Sie müssen den Anwendungsfall und das Problem, das Sie zu lösen versuchen, verstehen, bevor Sie überhaupt darüber nachdenken, sich Anbieter anzusehen.

0:22:30.2 Raghu Nandakumara: Ja, absolut. Ja. Weil es das ist, und ich denke, beide von Kundenseite haben eine klare Vorstellung von dem Anwendungsfall, den Sie zu lösen versuchen, im Gegensatz zu einem allgemeinen „Hey, ich brauche diese Fähigkeit.“ Für die Leistung muss es einen Gleichstand geben. Und dann denke ich, aus der Sicht eines Anbieters bedeutet es, einen klaren Bezug zu diesem Anwendungsfall herstellen zu können, anstatt noch einmal zu sagen: „Hey, wir verkaufen Ihnen diese Funktion“, und das funktioniert einfach so. Und das sagen zu können, finde ich sehr wichtig. Und ich möchte zur nächsten Sache übergehen, weil dies ein Zero Trust Leadership Podcast ist. Also werden wir ein bisschen über Zero Trust sprechen. Und ich weiß, dass Sie ein echter Zero-Trust-Praktiker sind. Sie haben mindestens zwei Zero-Trust-Programme bei verschiedenen Arbeitgebern entwickelt. Erstens, wie denken Sie über Zero Trust und warum findet es bei Ihnen großen Anklang?

0:23:23.4 Ryan Fried: Ja. Also denke ich immer an den Target-Angriff von vor etwa einem Jahrzehnt, als ein HVAC-Installateur Zugriff auf das Netzwerk hatte und dann auf Karteninhaberdaten zugreifen konnte. Das ist einer der Gründe, warum wir das versuchen. Oder ich denke im Grunde darüber nach, ob und wenn ein Benutzer infiziert ist, wie wir den Explosionsradius minimieren, indem wir ihm die geringsten Zugriffsrechte gewähren, damit er nicht viel Schaden anrichten kann?

0:23:52.4 Raghu Nandakumara: Also, wenn du das anwendest, und natürlich... Das entspricht also absolut dem Zero-Trust-Sicherheitsansatz. Wie entwickeln Sie dann ein Programm, das Ihr Unternehmen bei der Umsetzung dieses Ansatzes unterstützt? Weil wir immer wieder hören, dass Zero Trust eine großartige Idee ist, aber in der Praxis schwer umzusetzen ist, und Sie sie dennoch zweimal erfolgreich umgesetzt haben. Was ist also die geheime Zutat, die Sie haben und die andere wissen müssen?

0:24:23.0 Ryan Fried: Sicher. Zero Trust ist eher ein Prinzip, das ich auf verschiedene Arten anwenden konnte. Bei fast allem, was wir tun, denken wir darüber nach, wie wir Zero und Zero-Sish Trust erreichen können. Tatsächlich ist Zero Trust wirklich schwer umzusetzen, und ich finde es wirklich einschüchternd. Als ich zum ersten Mal an Zero Trust dachte, dachte ich darüber nach, weniger Kommunikation zwischen Servern zulassen zu können, was mir wirklich Angst macht und sich wirklich auf die Produktion auswirkt. Aber worüber wir zum Beispiel sprechen, ist Mikrosegmentierung aus der Zero-Trust-Perspektive. Was ist das Beste für unser Geld, das wir bekommen, wenn wir am wenigsten disruptiv sind? Denn wie Sie und Ihre Zuhörer wissen, habe ich an Glaubwürdigkeit verloren, weil ein Tool oder eine Technologie, irgendein Sicherheitstool etwas blockiert hat, vielleicht war es eine legitime Blockade, vielleicht auch nicht, aber es ist wirklich schwer, dieses Vertrauen zurückzugewinnen.

0:25:22.3 Ryan Fried: Ich hatte Werkzeuge, bei denen jedes Mal, wenn etwas kaputt ging, sie sagten: „Ist es das Werkzeug?“ Ich sagte: „Nein.“ Davon ausgehend haben wir uns mit der Kommunikation von Workstation zu Workstation befasst, was eigentlich keine sein sollte. Und dann die Interaktion zwischen Benutzer und Server, denn über 90% unserer Mitarbeiter sind nicht im IT-Bereich tätig. Sie greifen also wirklich nicht auf Server zu, es sei denn, sie greifen über HTTPS nicht aus der Ferne auf sie zu. Und wenn man aus der Bedrohungsperspektive darüber nachdenkt, beginnen die meisten Angriffe mit einer Phishing-E-Mail auf einer Workstation. Normalerweise greifen die Leute nicht auf E-Mails auf einem Server zu und das sollten sie auch nicht. Wie schaffe ich es, so dass ich höre, dass jemand von Ransomware angegriffen wurde, der keinen schlechten Tag hatte. Sie können keine anderen Workstations und auch die meisten anderen Server nicht angreifen. Aus Sicht der Mikrosegmentierung ist das für mich der Zero-ish Trust.

0:26:19.2 Raghu Nandakumara: Mir gefällt die Art und Weise, wie du sagtest, es ist Zero-ish. weil ich denke, es geht auf etwas zurück, über das wir zuvor gesprochen haben, ist gut genug. Und es zieht diese Grenze zwischen dem... Ich weiß, dass hier die... Und ich glaube, um zu paraphrasieren, was Sie gerade gesagt haben, ich weiß, dass dies die größten Risiken eines zu freizügigen Zugriffs auf mein Netzwerk sind. Das ist also der Zugriff, auf den ich mich konzentrieren werde, um dieses implizite Vertrauen zu verringern. Ich gehe also zu mehr Null-Implizit-Vertrauen über, aber ich ziehe hier die Grenze, weil darüber hinaus die Rendite, die ich für meine Bemühungen erhalte, vernachlässigbar ist oder ich denke, dass ich zurückgehen könnte... Und das war ein wirklich wichtiger Punkt in Bezug auf... Es ist oft potenziell karriereprägend. Sicherheitskontrollen sind wegweisend, denn wenn sie gut laufen und Sie nachweisen können, dass Sie das Risiko und Ihre Exposition reduziert haben, dann loben Sie alle. Aber es besteht eine weitaus größere Wahrscheinlichkeit, dass eine wichtige Anwendung kaputt geht und sie sagen: „Hey Ryan, hey Raghu, lass uns ein Gespräch über das Ding führen, das du gerade beantragt hast.“ Und wie Sie schon sagten, Sie müssen Stunden, Tage damit verbringen, zu erklären, warum es nicht Ihr Produkt war, das das Problem verursacht hat. Nochmals, ich denke, vielleicht nur um es noch einmal zu wiederholen, welche Maßnahme besagt, dass sich die Mühe bis zu diesem Zeitpunkt lohnt? Das ist gut genug. Und darüber hinaus sind die Kosten hoch, um mehr Vorteile zu erzielen. Wie zieht man diese Linie in den Sand?

0:27:56.8 Ryan Fried: Sicher, es kann definitiv subjektiv sein, aber für mich denke ich an den Verwaltungsaufwand und dann an die Auswirkungen der Produktion auf Anwendungen. In ihrer Stellenbeschreibung steht außer uns nicht, dass man sicher sein muss. Sie brauchen, dass ihre Anwendungen laufen. Ich kann also ein gutes Beispiel für etwas geben, das wir nicht getan haben, weil ich nicht dachte, dass es das Geld wert ist. Ein weiteres potenzielles Risiko ist also, sagen wir, ein Server wird infiziert und er besucht eine befehlsgesteuerte Domain, lädt Malware herunter und ist infiziert. Direkt vom Server, ein Benutzer musste sich nicht mit dem Server verbinden. Eine Sache, die wir jetzt tun könnten, ist Zero Trust zu verwenden, bei dem wir nur Anwendungen oder Servern erlauben, zu bestimmten Domains, bestimmten Websites zu gelangen. Realistisch betrachtet, gehen Server nicht auf viele Websites, aber die Arbeit, die dahinter steckt, ist unglaublich. Und das weiß ich nur, weil wir es versucht haben. Es gibt so viele Domains auf einer Website, auf die sich Dinge beziehen. Es wäre also ein administrativer Albtraum und würde die Produktion beeinträchtigen, wenn, sagen wir, sie laden eine neue Anwendung herunter, die nicht funktioniert. Nehmen wir an, es ist jemand in Asien oder Europa und ich bin die Person, die das tut. Also woran ich wirklich denke ist, was ist das Risiko? Das Risiko besteht darin, dass unser DNS diese Domain nicht abfängt, unser EDR diese Domain nicht abfängt, unsere Firewall diese Domain nicht abfängt und es ist ein C2-Server. Kann ein staatlicher Akteur das tun? Klar. Aber für mich lohnt sich das nicht, weil es sich auf die Produktion auswirken kann. Also haben wir es auf andere Weise gemacht.

0:29:45.1 Raghu Nandakumara: Jep. Und ich habe eine ähnliche Erfahrung, also verstehe ich das absolut. Wie sieht also die Zukunft Ihres Zero-Trust-Programms aus und wie denken Sie über diese kontinuierliche Entwicklung? Wie sieht das aus?

0:30:01.1 Ryan Fried: Ja, ich denke von der Mikrosegmentierung, um sicherzustellen, dass sie überall angewendet wird. Schauen wir uns verschiedene Anwendungsfälle an, vielleicht eher aus der Sichtbarkeitsperspektive, um herauszufinden, was mit dem zusammenhängt, was wir unter Public Cloud betrachten, und um sicherzustellen, dass wir so wenig Privilegien wie möglich nutzen, wenn es um Rollen und Zugriff und dergleichen geht. Und zumindest Zugriffsrechte im Allgemeinen über unsere Active-Directory-Konten, sowohl in Azure als auch vor Ort. Das sind einige der großen Dinge, an denen wir arbeiten.

0:30:29.6 Raghu Nandakumara: Und du hast ein paar Mal über Cloud gesprochen. Und oft unterscheiden Unternehmen und Praktiker zwischen Cloud-Sicherheit und herkömmlicher Campus- und Rechenzentrumssicherheit. Und tatsächlich war ich Anfang dieser Woche auf einer Veranstaltung und auf der Bühne war im Wesentlichen eine Person, die DevOps oder DevSecOps bei einer großen Finanzorganisation leitete. Und er sagte, das Problem, das wir geschaffen haben, besteht darin, zu sagen: „Okay, ich trenne Sicherheit anders, oder wie ich Sicherheit für Cloud- und Legacy-Systeme, traditionell, wie auch immer Sie es nennen wollen, anders betrachte.“ Was sind Ihre Gedanken? Weil er der Ansicht war, dass Sie über sie auf die gleiche Weise nachdenken müssen, um eine konsistente Sicherheit zu gewährleisten.

0:31:18.0 Ryan Fried: Ich stimme absolut zu. Das Sprichwort, das ich immer befolge, ist, dass die Cloud nur eine Erweiterung Ihres Rechenzentrums ist. Egal, ob es sich um eine VM, eine Windows-VM in der Cloud oder in Ihrem Rechenzentrum oder unter Ihrem Schreibtisch handelt. Es muss immer noch gepatcht werden, es braucht immer noch die bestimmten Agenten und es ist wirklich gefährlich, sie getrennt zu betrachten. Und ich denke, es braucht einige Zeit, um sich daran zu gewöhnen, sowohl aus Sicherheits- als auch aus Infrastruktursicht. Aber wie Sie schon sagten, die Kontrollen müssen ähnlich sein. Wenn Sie nun zu bestimmten Dingen wie Diensten und Speichercontainern kommen, können diese unterschiedlich sein. Eine VM ist eine VM, egal ob sie kurzlebig ist oder nicht. Sie benötigen also immer noch diese Sichtbarkeit und Patches und dergleichen, genau wie Sie es in Ihrem Rechenzentrum tun würden.

0:32:04.6 Raghu Nandakumara: Also, was für eine Art, wenn Sie sich jetzt ansehen, was Sie in der Zukunft sehen. Was sind die Trends, Technologien, die Sie wirklich begeistern? Ich weiß, dass Sie ein bisschen über Ihr Herzensprojekt gesprochen haben, aber worauf freuen Sie sich wirklich in der Welt der Cybersicherheit?

0:32:24.8 Ryan Fried: Ja, ich denke, nur Verbesserungen in der Vermögensverwaltung, über die wir gesprochen haben, mehr von diesem API-basierten Ansatz, um herauszufinden, wie hoch Ihre Gesamtzahl an Vermögenswerten ist. Das ist schwer herauszufinden, aber ich denke auch, dass wir in den kommenden Jahren weitere Technologien rund um die API-Sicherheit sehen werden. Ich denke, das ist etwas, dem Unternehmen wahrscheinlich stärker ausgesetzt sind, als ihnen bewusst ist, vor allem, wenn sie Anwendungen haben, die Anwendungen aufrufen, in Ihrem Netzwerk oder, was wahrscheinlicher ist, in anderen Anwendungen oder Netzwerken, die von Mitarbeitern genutzt werden. Und Sie haben vielleicht keine Ahnung, welche Art von Sicherheit Sie dafür haben. Deshalb freue ich mich sehr auf diese Technologie, um herauszufinden, wo sich Ihre APIs befinden und welche Art von Sicherheit Sie um sie herum haben. Und dann diesen entwicklergestützten Ansatz zu haben, das ist nicht mein Fachgebiet, aber ich hätte gerne ein Tool, das es in die Entwicklersprache übersetzt und mit der richtigen Kritikalität, damit sie das Problem beheben können.

0:33:19.3 Raghu Nandakumara: Und tatsächlich, Sie haben auf Entwickler hingewiesen und wir hören viele Begriffe wie DevSecOps und eine Verschiebung nach links und sicher durch Design oder standardmäßig sicher. Ich bin auf keinen Fall ein Experte in diesen Begriffen, aber ich bin... Ich bin gefährlich genug, dass ich sie gelesen habe und sie herausplatzen lassen kann. Was bedeuten diese für Sie und was bedeuten sie für das, was Sie als Praktiker tun?

0:33:46.1 Ryan Fried: Ja, ich denke, Shift-Left ist wirklich wichtig. Ich war auf beiden Seiten, wo Entwickler sagen werden: „Hey, wir haben diese Anwendung, die in zwei Wochen in Produktion gehen wird. Kannst du das einfach absegnen?“ Ich sage: „Was?“ Und dann verwenden wir verschiedene Tools, um versuchen zu können, Anwendungsschwachstellen und dergleichen zu untersuchen. Und wir finden es heraus. Höchstwahrscheinlich wird es sowieso live gehen. Im Idealfall engagieren wir uns also von Anfang an und ich habe keinen großen Hintergrund in der Anwendungsentwicklung, aber manchmal finde ich, dass sie in der ersten Diskussion einfach nur durch die Sicherheit im Raum reden oder sich anders verhalten. Aber dann denke ich auch, dass es wirklich wichtig ist, weil es statische Codeanalyse-Tools gibt, dynamische Codeanalyse-Tools. Lassen Sie den Entwickler auswählen, was ihm gefällt. Weil ich höchstwahrscheinlich nicht täglich dabei sein werde, ich möchte etwas, das entwicklerfreundlich ist. Und damit hatten wir gute Erfolge. Natürlich wollen wir es uns ansehen, um zu sehen, ob es das grundlegende Minimum an Sicherheitsüberprüfungen enthält, aber wir wollen, dass es in einer Sprache verfasst wird, die sie verstehen, und wir haben eher eine beratende Rolle.

0:34:56.1 Raghu Nandakumara: Ich habe irgendwie mit der Idee gespielt, dass die Einführung eines Zero-Trust-Ansatzes in Bezug auf Sicherheit wirklich mit einer Verschiebung nach links einhergeht. Und das zu nehmen, anstatt zu versuchen, schlechte Dinge zu blockieren und explizit zu sagen, das sind die guten Dinge, die ich zulassen möchte, entspricht sehr stark der Entwicklung einer Anwendung, bei der Sie fast sagen, okay, ich weiß, das sind die Dinge, die die Anwendung tun muss, und ich möchte die Sicherheitsregeln schreiben, die mir das ermöglichen. Denken Sie also, dass es so ist, dass, wenn wir sehen, dass sich die Sicherheitslage nach links verlagert, das... Um das praktikabel zu machen, wird es eine verstärkte Einführung von Zero Trust sein, oder anders ausgedrückt, wesentlich mehr Konzentration auf die Definition einer auf Zulassungslisten basierenden Sicherheit?

0:35:48.4 Ryan Fried: Ja, ich denke, die Shift-Left spielt definitiv mit. Ich denke, wenn wir jetzt neue Server oder Anwendungen integrieren, sind wir früher involviert, weil sie in unsere Mikrosegmentierungsumgebung aufgenommen werden und wir verstehen wollen, welche Kommunikation dieses Tool tatsächlich benötigt. Und ich kann ein kurzes Beispiel geben. Wir hatten eine Anwendung, bei der der Anbieter sagte, wir müssten die Ports eins bis 65.000 öffnen, was verrückt und extrem faul von diesem Anbieter ist.

0:36:16.7 Raghu Nandakumara: Was ist mit den anderen paar hundert am Ende. Die wollten sie nicht?

0:36:20.6 Ryan Fried: Ja. Ja, das haben sie versucht, das geringste Privileg oder Zero-ish Trust. Wenn wir früh involviert sind, können wir es einen Monat lang laufen lassen und sehen, ob es vielleicht nur eine Reichweite von 100 oder 1.000 Ports ist. Aber wenn wir nicht frühzeitig involviert sind und sie die Anwendung installieren, ohne dass wir es wissen und sie bereits in Produktion ist, müssen wir wahrscheinlich den Wert auf 65.000 belassen, es sei denn, wir haben umfangreiche Arbeit und eine schnelle Feedback-Schleife. Wir sind schon früh in diese Anforderungsphase eingebunden und schauen uns die Daten an, die Ihnen helfen, eine Zero-Trust-Strategie erfolgreich umzusetzen.

0:36:58.1 Raghu Nandakumara: Absolut. Und ich glaube, das kommt dann wieder zu der Reife zurück, von der Sie gesprochen haben. Je reifer das Programm wird, desto mehr verschiebt sich das Engagement der Sicherheitsbehörden natürlich immer weiter nach links. Und noch einmal: Wie weit noch übrig ist, hängt wirklich davon ab, wie weit Sie das Programm bringen wollen. Ich meine, wie gesagt, es gibt noch so viel mehr, das wir besprechen können, aber ich bin mir Ihrer Zeit bewusst. Worauf freust du dich in Bezug auf die Zukunft? Was sind die Dinge, von denen du möchtest, dass die Zuhörer sie hören und mitnehmen und vielleicht in die Praxis umsetzen?

0:37:37.3 Ryan Fried: Ja, ich habe über die Kontrollvalidierung gesprochen. Ich war wirklich begeistert, wie sich die Sicherheit wirklich durch die Zusammenarbeit und die umsetzbaren Bedrohungsinformationen verändert hat. Ich denke, MITRE ATT&CK war für die Branche eine wirklich positive Sache, da es im Grunde genommen kodifiziert hat, was Angreifer von einer hohen Ebene aus tun. Also in der Lage zu sein, Teil einer Informationsaustauschgruppe zu sein oder zu einer Konferenz zu gehen oder einfach nur Artikel zu lesen und zu sehen, was Hacker verwenden, und Ihnen dann den Wert oder den Befehl zu geben, den Sie ausführen müssen. Auf diese Weise können Sie es in Ihrer Umgebung ausführen, um zu sehen, ob Sie betroffen sind. Denn früher hatten Sie einmal im Jahr einen Pen-Test, und danach müssen Sie bis zum nächsten Jahr warten und es ist, es wird aufgrund der sich anpassenden Umgebungen sehr schnell veraltet. Ich freue mich sehr darauf, das auch weiterhin zu beobachten und vielleicht sogar die Cloud zu verlagern, um zu sehen, welche Protokolle ich mir ansehen sollte. Was machen Angreifer? Wie kann ich es emulieren? Wie kann ich sehen, ob es funktionieren würde oder nicht?

0:38:40.2 Raghu Nandakumara: Fantastisch. Die andere Sache, Ryan, stimmt es, dass du bei Brooks Running all deine wichtigen Sicherheitsbesprechungen abhältst, während du in Brooks-Trainern joggst? Stimmt das? Lass es uns einfach wissen.

0:38:49.0 Ryan Fried: Ja, ich glaube, ich habe es dir schon gesagt, als ich das Interview gemacht habe, du musst deine 5.000 Zeit angeben und unter 20 Minuten sein.

0:38:55.1 Raghu Nandakumara: Nachdem ich mit dir gelaufen bin, bin ich mir ziemlich sicher, dass du einen unter 20 schaffen könntest, wenn du es versuchst. Ich weiß, dass du es an dem Tag schonend mit mir gemacht hast. Ryan, es war mir eine große Freude, dich hier zu haben. Es ist immer eine Freude, mit einem so wunderbaren Sicherheitsexperten wie Ihnen zu sprechen. Also vielen Dank für Ihre Zeit.

0:39:14.0 Ryan Fried: Ja, danke für die Gelegenheit. Ja, es war großartig.

0:39:16.6 Raghu Nandakumara: Und ja, und wenn Sie mehr darüber erfahren möchten, wie Illumio Organisationen wie Brooks Running dabei hilft, Risiken zu reduzieren und Cyberangriffe abzuwehren, können Sie unsere Website illumio.com besuchen und sich diese Kundenfallstudie und eine ganze Reihe anderer ansehen. Ich danke dir vielmals.

0:39:37.5 Raghu Nandakumara: Danke, dass du dir die dieswöchige Folge von The Segment angesehen hast. Noch mehr Informationen und Zero-Trust-Ressourcen finden Sie auf unserer Website unter illumio.com. Sie können sich auch auf LinkedIn und Twitter unter @illumio mit uns in Verbindung setzen. Und wenn dir das heutige Gespräch gefallen hat, findest du unsere anderen Folgen überall dort, wo du deine Podcasts bekommst. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.

‍