Die Wahrnehmung der Realität

Raghu Nandakumara 00:12

Liebe Segment-Hörer, willkommen zurück zu einer weiteren Folge unseres lieben Podcasts, The Segment: A Zero Trust Leadership Podcast. Heute freue ich mich sehr, dass der legendäre Brett Johnson zu mir kommt. Wenn Sie nicht wissen, wer Brett ist, erhalten Sie wahrscheinlich eine Handvoll Ergebnisse, die Ihnen seinen Hintergrund geben, wenn Sie ihn googeln. Aber sagen wir einfach so, er ist eine Legende in der Cybercrime-Community. Ich würde sagen, jetzt ist er ein reformierter Cyberkrimineller, der Strafverfolgungsbehörden ausbildet und ihnen hilft, die Kriminellen zu fangen. Aber einmal galt er gern als der „Pate der Cyberkriminalität“. In diesem Sinne begrüße ich diese Sendung — es ist das erste Mal, dass wir jemanden vorstellen, der auf der Liste der meistgesuchten Amerikaner steht: Brett Johnson, Welcome to The Segment!

Brett Johnson 01:11

Ich danke dir vielmals. Ich weiß das zu schätzen. Ich weiß nicht, ob ich legendär bin, ich würde sagen berüchtigter.

Raghu Nandakumara 01:17

Nun, die Bekanntheit einer Person ist die Legende einer anderen Person, also denke ich, es ist ein bisschen von beidem. Also, Brett, es ist toll, dich zu haben, und ich freue mich sehr, mit dir zu sprechen. Ihre Hintergrundgeschichte ist wirklich interessant, aber Sie haben das in vielen Podcasts und TEDTalks usw. behandelt, die Sie gemacht haben. Aber ein ständiges Thema, mit dem ich beginnen werde, und Sie wiederholen das, und ich habe es hier aufgeschrieben, Sie sagen, dass die Wahrnehmung der Realität wichtiger ist als die Realität selbst. Fangen wir dort an. Erkläre.

Brett Johnson 01:47

Sicher, es spielt keine Rolle, was die Wahrheit ist. Es ist wichtig, wovon ich dich überzeugen kann, okay? Und wir sehen, dass das Interessante daran ist, dass wir das jetzt mehr denn je sehen, mehr denn je. Spielt das wirklich eine Rolle? Spielt es wirklich eine Rolle, was das Team DOGE tut, oder spielt es eine Rolle, was sie dich davon überzeugen, dass sie es tun und das ist der springende Punkt? Nun, als ich ein Krimineller war, bedeutete das eigentlich, hey, es spielt keine Rolle, ob mir das Bankkonto tatsächlich gehört. Was wirklich zählt, ist, wenn ich den Kundendienst Ihrer Bank davon überzeugen kann, dass ich Sie bin und dass mir das Konto gehört, darauf kommt es wirklich an. Die Wahrheit spielt überhaupt keine Rolle. Darüber habe ich damals gesprochen. Heutzutage hat sich das jedoch geändert, und wenn man darüber nachdenkt, wenn man sich einen Online-Angriff ansieht, gibt es eigentlich nur drei Beweggründe dafür, warum das passiert: Es ist Status, es ist Geld oder es ist Ideologie. Es ist Status, ich versuche meine kriminellen Kollegen zu beeindrucken. Es ist Bargeld, ich versuche Geld zu verdienen. Oder du hast mich verärgert und ich versuche dich zu kriegen. Wenn du über diese Beweggründe nachdenkst und über diese Aussage nachdenkst: „Die Wahrnehmung der Realität ist wichtiger als die Realität selbst.“ Das ist wichtig, denn jetzt geht es nicht nur um Bargeld. Jetzt geht es um verschiedene Ideologien. Es geht um politische Agenden. Es geht darum, die Bevölkerung davon zu überzeugen, dass etwas richtig oder falsch ist, ob es nun stimmt oder nicht, diese Aussage war, meine Güte, Mann, seit ich das zu Zeiten der Shadow Crew zu sagen begann, bis heute, diese Aussage, ich denke, jetzt ist sie wichtiger als je zuvor.

Raghu Nandakumara 03:28

Ja, absolut richtig. Und ich denke, Sie haben dort absolut den Nagel auf den Kopf getroffen, besonders mit der Art der Bewaffnung des Internets, richtig. Und alle Arten von Medienplattformen, die Bewaffnung von KI, insbesondere in diesem Bereich, oder? In der Lage zu sein, eine Wahrnehmung zu schaffen, die glaubwürdiger ist als die Realität, was zur Unsicherheit der digitalen Welt beiträgt. Das ist meine Wahrnehmung, was sind deine Gedanken?

Brett Johnson 03:56

Ich freue mich, dass du KI angesprochen hast. Seit ihrer tatsächlichen Implementierung in den letzten Jahren wurde KI also so wahrgenommen, hey, Kriminelle nutzen sie massenhaft. Und das war wirklich nicht die Wahrheit. Auf krimineller Seite wurde viel geredet, aber was die tatsächlichen Anwendungsfälle angeht, gab es nicht viele. Aber nachdem das gesagt wurde, hier ist die interessante Sache, die ich gerade erwähnt habe, die Beweggründe für Online-Angriffe: Status, Bargeldideologie. Denken Sie an Geschäftliches, E-Mail-Kompromittierung. Das ist ein bargeldbasierter Angriff. Davon möchte ich profitieren. Ich versuche, das Unternehmen davon zu überzeugen, eine Zahlung an mich zu senden, anstatt an den bestehenden Zahlungsempfänger in seinem System. Eine der Möglichkeiten, dies zu tun, die beliebteste und erfolgreichste Methode, besteht darin, eine Unicode-Domain zu verwenden und zu überzeugen, dass die neue E-Mail-Adresse die tatsächliche E-Mail-Adresse ist. Eines der Dinge, die jedoch wirklich effektiv sind, ist die Verwendung von Deep Fakes, unabhängig davon, ob es sich bei Deep Fake um Audio oder Video handelt. Nun, es ist sehr erfolgreich und sehr, wenn Sie darüber nachdenken, und es tut mir leid, dass ich irgendwie herumhüpfe, damit ich Sie betrügen kann, muss ich zu dem potenziellen Opfer kommen, ob in einem Unternehmen oder einer Einzelperson. Ich muss das potenzielle Opfer dazu bringen, mir zu vertrauen. Wie funktioniert Vertrauen in einer Online-Umgebung? Nun, es funktioniert durch Tools, durch Technologie und schließlich durch Social Engineering. Also, die Technologie, wir vertrauen von Natur aus diesen Handys, wir vertrauen unseren Laptops, unseren Desktops, wir vertrauen den Websites, die wir besuchen, der Software, die wir verwenden, der Hardware, die wir verwenden. Wir verstehen nicht wirklich, dass Angreifer eine Vielzahl von Tools verwenden, um diese Technologie zu manipulieren, sodass wir die Telefonnummer, von der aus sie anrufen, nicht sehen. Wir sehen die Telefonnummer eines Kunden. Wir sehen die Telefonnummer eines Finanzinstituts. Sie benutzen gefälschte Telefonanrufe. Sie verwenden SOCKS5-Proxys, sodass wir nicht wissen, dass sie wie ich aus Ghana, Nigeria oder Alabama kommen. Wir sehen sie aus Europa, New York oder Brasilien kommen. Sie verwenden diese Tools also, um die Technologie zu manipulieren, und das öffnet tendenziell die Tür zum Vertrauen. Sobald diese Tür geöffnet ist, sehen wir, wie gut ein Betrüger ein Lügner ist, oder wenn Sie in der Tech-Branche tätig sind, wie gut der Angreifer als Social Engineer darin ist, Sie so zu manipulieren, dass Sie Informationen, Zugang, Daten oder Bargeld preisgeben. Und hier kommen Deep Fakes ins Spiel. Wir vertrauen also von Natur aus dieser Technologie. Wir vertrauen von Natur aus darauf, dass Zoom die Person ist, die da sein sollte. Und unsere Augen verleiten uns zu der Annahme, dass, ja, das der CEO des Unternehmens ist. Das schafft dieses Vertrauen, das schichtet dieses Vertrauen. Und das überzeugt die Lohnbuchhalterin, diese Zahlung an jeden zu schicken, der weiß, wo sich die KI tatsächlich befindet, dabei eine Rolle spielt. Und KI wird von Kriminellen in einem Ausmaß eingesetzt, in dem wir beobachten, wie sie Vertrauen schafft und solche Dinge. Wo es wirklich effektiv wird, ist der Deep-Fake-Erstellungsprozess. Weil Deep-Fakes in der Vergangenheit geschehen sind, waren sie nicht in Echtzeit. Es war etwas, das aufgenommen und dann dem Opfer zur Verfügung gestellt wurde. Aber da Deep Fakes weiter voranschreiten und sich weiterentwickeln, kommen wir an einen Punkt, an dem Deep Fakes in Echtzeit sein werden. Bei einem bargeldbasierten Angriff haben Sie also den CEO Ihres Unternehmens, der in Echtzeit, ohne jegliche Verzögerung, ein Gespräch mit der Gehaltsabrechnung führt: „Ich möchte, dass Sie diese Zahlung auf dieses neue Bankkonto überweisen. Sie haben die Adressen geändert und tun es jetzt. „Nun, das ist sehr effektiv, und das wird wunderbar funktionieren. Das ist aber nur eine Motivation für einen Deep Fake, denken Sie an den Deep Fake, den wir, wissen Sie, in den Vereinigten Staaten gesehen haben. Wir haben gesehen, wie die Vereinigten Staaten während COVID explodiert sind, weil die Strafverfolgungsbehörden offenbar gerne unbewaffnete schwarze Männer erschießen. Also ist das Land explodiert. Wir hatten Unruhen. Wir hatten Plünderungen. Was passiert, wenn wir in Zukunft ein Video sehen, in dem Strafverfolgungsbehörden eine unbewaffnete Person erschießen? Die Stadt explodiert, und ein paar Tage später kommt heraus, hey, es stellt sich heraus, dass das ein echter Fake war. Es stellte sich heraus, dass der Angreifer eine Waffe hatte. Der Angreifer schoss auf die Strafverfolgungsbehörden, aber künstliche Intelligenz war in der Lage, das Video zu entfernen und zu bearbeiten und ein neues Video zu erstellen, in dem es den Anschein hatte, dass die Strafverfolgungsbehörden diese Person nur mutwillig ermordeten. Der Schaden ist zu diesem Zeitpunkt bereits angerichtet. Das werden wir also in Bezug auf Deep Face und KI sehen. Das wird es wirklich. Hier ist meine Sorge. Im Moment beobachten wir die Erstellung von Deep Fakes und die Erkennung von Deep Fakes. Es ist eine Art Katz und Maus. Sie sehen also, die Angreifer kommen mit einem Deep-Fake heraus, vielleicht, oder vielleicht auch nicht, die Sicherheitsfirma kann das als das erkennen. Wenn das Unternehmen dies nicht tut, passt es seinen Algorithmus an, wo es jetzt identifiziert, dass die Deep-Fake-Angreifer losgehen und ihren hin und her, hin und her anpassen. Ich glaube wirklich, dass wir möglicherweise an einen Punkt kommen, an dem die KI in der Lage ist, so gute Deep-Fakes zu entwickeln, dass die Guten nicht in der Lage sind, den Endzeitpunkt des angerichteten Schadens zu erkennen. Und aus diesem Grund denke ich wirklich, dass wir als Gesellschaft eine sehr gute Chance haben, den Punkt zu erreichen, an dem wir nichts mehr wirklich vertrauen oder glauben können. Die Wahrnehmung der Realität ist wichtiger als die Realität selbst. Es spielt keine Rolle mehr. Es ist wichtig, wovon Sie jemanden überzeugen können.

Raghu Nandakumara 09:42

Ich meine, diese Art des Fortschritts in den zukünftigen Zustand, den Sie beschrieben haben, ist äußerst besorgniserregend, weil ich denke, dass Vertrauen für alles, was wir auf die eine oder andere Weise tun, von grundlegender Bedeutung ist. Ja. Ob das in der realen oder in der digitalen Welt ist, oder? Wir setzen ein gewisses Maß an implizitem Vertrauen ein, von dem wir abhängig sind. Wenn also diese Abhängigkeit oder unsere Fähigkeit, davon abhängig zu sein, abnimmt, wie bekämpfen wir das, oder? Wie können wir also in einer Welt, in der wir nicht zwischen Realität und Fiktion unterscheiden können, weiterhin mit Zuversicht funktionieren?

Brett Johnson 10:29

Für mich läuft es auf echte persönliche Beziehungen hinaus. Wie verhindern Sie die Kompromittierung geschäftlicher E-Mails? Nun, Sie besiegen es, indem Sie eine persönliche Beziehung zu diesem CEO haben, nicht nur online, sondern: „Hey, können wir reden? Kann ich zum Telefon gehen und dich zurückrufen?“ Kann ich das haben? Haben wir diesen Geheimsatz der alten Schule, der nirgendwo anders besprochen wurde, außer zwischen Ihnen und mir persönlich? Haben wir das? Es wird also so, es wird zu Sicherheitsmethoden der alten Schule zurückkehren. Es ist jedoch mehr als das, Sie müssen sich darüber im Klaren sein, dass soziale Medien uns gerne in unsere eigenen kleinen Echokammern versetzen. Es mag nicht, wenn wir objektiv sind. Es mag es, wenn wir subjektiv sind. Es mag, wenn wir miteinander streiten. So entsteht die Vorstellung, dass du danach streben musst, objektiv zu sein, aufgeschlossen zu sein, zu akzeptieren, zu verstehen und zuzugeben, wenn du falsch liegst. Was sehr schwierig ist, wenn du auf Twitter bist, denn sobald du zugibst, dass du falsch liegst, werden die Haie reinkommen und dich bei lebendigem Leib auffressen. Aber du musst verstehen, dass das nicht die reale Welt ist. Weißt du, wir leben heute in einer Gesellschaft, in der wir in den letzten Generationen darauf trainiert wurden, hey, auf A, Nummer eins, aufzupassen. Das bist du. Weißt du, du musst auf dich aufpassen, weil es sonst niemand tun wird, aber so funktioniert eine richtige, funktionierende Gesellschaft nicht. Eine Gesellschaft ist genau das: eine Gesellschaft. Es sind keine Individuen; es sind alle, die aufeinander aufpassen. Denn wenn wir aufeinander aufpassen, werden am Ende des Tages alle besser, am Ende des Tages erfolgreicher und am Ende des Tages profitabler. Das ist die Sache und wenn wir auf uns selbst aufpassen, fallen letztendlich Dinge, genau das ist die Sache. Als ich ein Krimineller war, weißt du, und ich nenne mich immer noch einen Kriminellen, aber als ich aktiv gegen das Gesetz verstoßen habe, einer der Gründe, warum ich ein kriminelles Leben geführt habe, und darüber habe ich viel nachgedacht. Einer der Gründe, warum ich ein kriminelles Leben geführt habe, ist, dass ich in der Lage sein wollte, mein eigenes Schicksal zu kontrollieren. Ich wollte mich überhaupt nicht auf jemand anderen verlassen müssen. Und ich sage Ihnen, wenn Sie ein Verbrechen begehen und es erfolgreich ist, wirkt diese Illusion wie ein Zauber. Es ist absolut, das ist zu 100% der Fall. Aber wenn alles fällt, und das tut es, wenn alles fällt, du zu Boden stürzst, findest du heraus, dass das wirkliche Leben davon abhängt, dass du mit allen anderen zusammenarbeitest und dich auf andere Menschen verlässt. Weißt du, viele Männer, wir fragen andere Leute nicht gerne nach Dingen. Wir verlassen uns nicht gern auf andere Menschen. Aber die Wahrheit ist, als ich, als ich dazu in der Lage war, als mir die Gelegenheit gegeben wurde, mein Leben zu verändern, und ich diese Gelegenheit nutzte. Die Art und Weise, wie ich das tun konnte, ja, es war meine Wahl. Aber gleichzeitig, wenn ich keine Community hätte, die Cybersicherheits-Community, das FBI, meine Freunde, Familienmitglieder, Mitarbeiter, wenn sie nicht da wären, um mich zu unterstützen und mich auf meinen Schwachsinn aufmerksam zu machen, als ich ihn hatte, und ich habe immer noch irgendeinen Schwachsinn. Wenn sie das nicht getan hätten, wäre ich nie dort gewesen, wo ich heute bin. Ich wäre wieder für 20 Jahre im Gefängnis. Davon bin ich absolut überzeugt, und wir als Gesellschaft müssen verstehen, dass es nicht nur um die einzelne Person geht, sondern um die Gruppe, die wichtig ist, und dass es darauf ankommt, sich gegenseitig zu helfen, denn das ist es, was wir tun sollten.

Raghu Nandakumara 14:12

Also, sprechen wir über das Gesellschaftskonzept, als Sie Shadow Crew gegründet oder betrieben haben, gab es eine Menge dieser Eigenschaften einer Zivilgesellschaft, die in die kollektive Arbeitsweise von Shadow Crew einfließen, die Leute haben sich gegenseitig geholfen, ich meine, ja, natürlich ging es um Cyberkriminalität, aber gab es eine Menge implizites Vertrauen innerhalb dieser Community?

Brett Johnson 14:42

Also, ich war in Dubai und werde in ein paar Monaten nach Dubai zurückkehren, aber ich habe den Sicherheitsteil der GITEX-Konferenz in Dubai gehalten, und ich war in einer Podiumsdiskussion und ich habe allen anderen in der Podiumsdiskussion zugehört, und ich saß da und sagte, weißt du, sie haben viele nette Dinge gesagt. Und schließlich war ich dran zu reden, und sie stellten mir eine Frage, und ich ignorierte die Frage völlig, und ich sagte: „Hey“, und ich sah das Publikum an, ich sagte: „Hey, wollt ihr wissen, warum die Bösewichte gewinnen und ihr jeden einzelnen Tag verliert?“ Und die Antwort lautet, und das ist auch heute noch die Antwort. Wir, die Bösewichte, können besser teilen und zusammenarbeiten als ihr. Wir sind, wie Sie gerade erwähnt haben, eher eine Gesellschaft als Sie. Ihr macht euch Sorgen um die Vorschriften. Sie sorgen sich um Wettbewerbsvorteile und Sie sorgen sich um sich selbst. Wir haben das mit Shadow Crew verstanden, und es ist nicht so, dass wir uns hingesetzt und es irgendwie geplant haben. Haben wir nicht. Was wir getan haben, war, gibt es die Genese der modernen Cyberkriminalität, es sind eigentlich drei Websites. Es sind Counterfeit Library, Shadow Crew und Carter Planet. Ich habe gefälscht und Shadow Crew, ein ukrainischer Mitarbeiter von mir, Dmitri Golov, hat Carter Planet gegründet, diese drei Websites. Es war nicht jemand, der sich hinsetzte und Dinge plante. Es gab Probleme, als diese Dinge wuchsen, und wir haben die Probleme gelöst. Und so passiert das Zeug. Eines der Dinge, die wir bei Counterfeit und Shadow Crew schnell verstanden haben, ist, dass es wichtig ist, Informationen auszutauschen. Es ist wichtig, auf Ihren Mitkriminellen aufzupassen. Und der Grund, warum wir das verstanden haben, ist, dass wir auch schnell verstanden haben, hey, wir begehen Verbrechen, und wenn wir nicht aufeinander aufpassen, werden wir eine Menge Sicherheitsleute haben, und was noch wichtiger ist, wir werden hier eine Menge Polizisten haben, die uns verhaften und für immer ins Gefängnis schicken werden. Also wurde es sehr wichtig, auf deine Mitmenschen aufzupassen. Ja, obwohl wir Kriminelle waren, haben wir absolut aufeinander aufgepasst. Wir haben uns gegenseitig geholfen, das Gesetz zu brechen. Wir haben uns gegenseitig geholfen, wir haben geholfen, uns gegenseitig weiterzubilden. Wenn wir persönliche Probleme gehabt hätten, würden wir diese normalerweise miteinander lösen. Es wurde eine echte Community. Und das ist eines der interessanten Dinge, die wir nicht mehr so oft sehen. Wissen Sie, wir leben heutzutage in Vierteln, in denen wir unseren Nachbarn normalerweise nicht kennen, wir sprechen nicht mit ihm. Wir lassen unsere Jalousien vorne geschlossen, damit wir nicht nach draußen und niemand sonst hineinsehen kann; wir isolieren uns weiterhin und leben einen größeren Teil unseres Lebens online, in unseren eigenen kleinen Echokammern, wo wir uns weigern, auch nur die gegenteilige Meinung von jemand anderem zu vertreten. Wenn jemand anderes eine andere Ansicht von uns hat, wird er plötzlich zu unserem Feind. Und so kann man als Menschen nicht wachsen. Es ist nicht die Art, dein Wissen oder deinen Horizont oder deinen Ausblick oder deine Einsicht auf irgendetwas zu erweitern. Aber auch heute noch, wenn man sich kriminelle Gemeinschaften anschaut, sei es auf Telegram, im Darknet oder sogar im Surface Web, wenn man sich diese kriminellen Gemeinschaften anschaut, sieht man diesen Kern der Zusammenarbeit, des Unterstützens, des Aufpassens aufeinander, und es ist bedauerlich, dass das in der kriminellen Welt lebendiger ist als in der Welt der Guten.

Raghu Nandakumara 18:15

Das ist faszinierend. Es ist besorgniserregend, denn ich denke, was Sie dann ansprechen, ist, dass einige dieser Werte, die wir historisch gesehen als wichtig für die Gesellschaft, für eine produktive Gesellschaft empfunden haben, wir in einer Art legaler, rechter oder nichtkrimineller Welt tatsächlich vergessen. Aber in der kriminellen Welt werden einige dieser Schlüsselqualitäten tatsächlich bewahrt und tatsächlich sehr, sehr rigoros praktiziert, um erfolgreich zu sein. Ich denke, das allein ist eine Lektion, insbesondere was den Austausch von Informationen und den Austausch von Wissen angeht. Ich finde das so wichtig. Nur so entwickeln wir uns. Ich möchte also auf die Beweggründe zurückkommen, die Sie im Zusammenhang mit Cyberkriminalität immer wieder betonen, oder? Status, Ideologie, Geld. Und ich denke, wir alle verstehen das Geldstück irgendwie. Wir verstehen bis zu einem gewissen Grad den ideologischen Teil. Aber ich würde gerne Ihre Sicht auf den Status erfahren, oder, wie ich sagen würde, richtig, wenn Sie als Cyberkrimineller nur ein bisschen Ihre Muskeln spielen lassen wollen, oder? Zeig einfach, zeig einfach die Waffen und zeig einfach, dass du trainiert hast. Also, wie würdest du das machen?

Brett Johnson 19:28

Also, verstehen Sie, wovon ich spreche, und Sie sehen das, wissen Sie, ich sehe die ganze Zeit auf LinkedIn oder Twitter, irgendeinen Sicherheits- oder Strafverfolgungsbeamten, der ein Video von einem Kind auf Facebook oder Telegram veröffentlicht, das stapelweise Bargeld schwenkt, oder ein Rap-Künstler, der über all den Betrug spricht, den er begeht. Und normalerweise sagen sie, dass der Typ ein verdammter Vollidiot ist. Und die Antwort ist, ja, der Typ ist ein verdammter Vollidiot, aber du verstehst oder schätzt nicht wirklich, was da eigentlich vor sich geht. Sie müssen verstehen, dass, obwohl es in diesen kriminellen Gemeinschaften darum geht, sicherzustellen, dass alle erfolgreich sind, diese kriminellen Gemeinschaften auch ein großer und ein kleiner Hund sind; genau das sind sie. Es ist also ein großer Hund, der kleine Hund frisst, und wenn Sie einen höheren Status haben, bedeutet das, dass Sie von jedem einzelnen Mitglied dieser Gemeinschaft mehr respektiert werden, und dieser Respekt ist am Ende des Tages gleichbedeutend mit Gewinn. Denken Sie also darüber nach und verstehen Sie, dass nicht alle Kriminellen gut sind, und damit meine ich kompetent. Also, ich von ihnen weiß absolut nichts. Sie kaufen alles von der Stange, weil es heutzutage egal ist, um welches Verbrechen es sich handelt. Sie können jede Komponente der Begehung dieses Verbrechens von der Stange kaufen, fertig. Du kannst Tutorials nehmen, du kannst sie kaufen. Sie können Live-Unterricht nehmen. Sie müssen die Dynamik des Verbrechens, das Sie begehen, nicht verstehen, und Sie können trotzdem Erfolg haben. Also, wenn du einer dieser Typen bist, die das Verbrechen, das du begehst, nicht verstehen, aber du in der Lage bist, eine Menge Geld zu stehlen, wie gewinnst du dann den Respekt der Mitglieder in dieser Gemeinschaft? Nun, das Einzige, was dir noch bleibt, ist beweisen zu können, dass ich in der Lage bin, 30 PS5 zu stehlen, dass ich 30.000$ pro Woche mit Arbeitslosenversicherungsansprüchen verdienen kann, und du verzichtest auf das Geld. Und das ist am Ende des Tages absolut wichtig. Also, wenn ich darüber spreche, ist es, kannst du etwas tun, was niemand sonst in dieser Community tun kann? Kannst du Ransomware entwickeln? Können Sie Ransomware einsetzen? Weil das wirklich zählt. Können Sie erfolgreiche Social-Engineering-Angriffe starten? Können Sie Phishing-Kampagnen starten? Kannst du Mann- und Mittelangriffe ausführen? Können Sie Botnetze erstellen und bereitstellen? Können Sie gestohlene Kreditkartendaten verwenden, um Amazon oder Apple zu betrügen, wenn das niemand auf der Welt tun kann? Wenn du kannst, gewinnst du den Respekt aller in dieser Gemeinschaft, und dieser Respekt ist wichtig. Das bedeutet eigentlich, dass Mitglieder zu Ihnen kommen und Sie um Rat fragen werden. Sie werden weitere Informationen mit Ihnen teilen. „Hey, ich habe gerade herausgefunden, dass das in meiner Gegend funktioniert, diese spezielle Art von Kriminalität, und es ist, es arbeitet gegen dieses Unternehmen“, und dann kannst du sie offline, auf Signal oder was auch immer, ein Gespräch mit ihnen führen. „Okay, wie funktioniert das? Welche Tools verwendest du?“ Aber es bedeutet, dass Sie am Ende des Tages profitabler und sachkundiger sind. Sobald also dieser Respekt wächst, kommen mehr Leute rein und teilen mehr Informationen mit Ihnen. Du kannst das dann mit anderen Menschen teilen, zuerst privat und danach öffentlich, und das erhöht deinen Status insgesamt, bis du schließlich an der Spitze der Nahrungskette stehst. Denn auch hier gilt: Großer Hund gegen kleinen Hund, und darauf kommt es an. Status ist also eines dieser Dinge, die absolut wichtig sind und die niemand wirklich schätzt oder versteht, wenn wir in Zukunft darüber nachdenken, wenn man darüber nachdenkt, wenn Cyberkriminalität heute ein Land wäre, hätte es die drittgrößte Wirtschaft der Welt. Das ist riesig, das ist riesig. Und die Bedeutung des Status innerhalb dieser Art von Gruppen abzuweisen oder nicht zu verstehen, geht wirklich am eigentlichen Punkt vorbei, warum viele dieser Verbrechen begangen werden.

Raghu Nandakumara 23:24

Ich meine, das ist faszinierend. Und ich möchte dich fragen, also wenn du in der Lage bist, uns mitzuteilen, was einige der wichtigsten Dinge sind, die du getan hast, um diesen großen Hund, diesen Patenstatus in der Community zu erreichen,

Brett Johnson 23:37

In Ordnung, also, meine Güte, Mann, wo soll ich anfangen, wo soll ich anfangen? Also, als Cyberkriminalität, wie Sie heute wissen, als sie zum ersten Mal begann, war ich wirklich im Erdgeschoss. Die Site hieß Counterfeit Library, und es war bereits eine bestehende Site. Sie hatten dort ein Forum, das nicht mehr existierte. Wirklich, niemand hat es benutzt. Ich war eines der ersten Mitglieder dieses Forums. Und der Grund, warum ich Mitglied dieses Forums war, ist, dass ich abgezockt wurde. Ich wusste überhaupt nichts. Ich meine, ich wusste, wie man eBay-Betrug und PayPal-Betrug macht. Ich wusste nicht, dass ich die Dynamik vieler Cyberkriminalität bei ihnen wirklich verstehe. Und ich habe nach einem gefälschten Ausweis gesucht, ein Typ hat mich abgezockt. Große Überraschung. Ich war sauer. Ich brauchte immer noch einen gefälschten Ausweis und fand diese gefälschte Bibliothek. Sie hatten es mit gefälschten Abschlüssen und Zertifikaten zu tun, und das war das, was ich zu diesem Zeitpunkt einem Kanal für Cyberkriminalität am nächsten kam. Also bin ich in ihr Forum gekommen. Niemand hat es benutzt, und buchstäblich das einzige, was ich getan habe, war zu meckern und mich jeden Tag darüber zu beschweren, abgezockt zu werden. Und ungefähr zur gleichen Zeit war ich dort. Diese beiden anderen Personen waren auch da. Einer trug den Spitznamen Mr. X, er war nicht in Los Angeles. Der andere trug den Bildschirmnamen Beelzebub, er war ausgerechnet aus Moose Jaw, Saskatchewan, gekommen. Also wurden wir zu einer Art, du weißt schon, Kumpel. Und eines Tages haben wir ICQ benutzt. Um sich gegenseitig eine Nachricht zu senden. Und eines Tages schickt mir Beelzebub auf ICQ eine Nachricht. Ich hatte den Bildschirmnamen Gollum. Er sagte: „Gollum!“ Ich sagte: „Ja, Mann.“ Er sagte: „Ich kann dir einen falschen Führerschein machen.“ Und ich sagte: „Nun, Alter, mach es.“ Und er sagte: „Nein, ich werde dir das in Rechnung stellen.“ Nun, zu diesem Zeitpunkt hatte ich so viel gemeckert, gestöhnt und mich beschwert, dass die wahren Besitzer von Counterfeit Library mich mochten und ich ihn kannte, und wir verstanden uns sehr gut. Er sagt: „Ich hätte es berechnet.“ Ich sagte: „Ja, verdammt nochmal bist du.“ Er sagt: „Nein, ich werde dir etwas berechnen, Mann.“ Er sagte: „Der Grund, warum ich Gebühren erheben möchte, ist, dass Sie, wenn Sie in diesem Geschäft tätig sein wollen, irgendwann in der Lage sein müssen, jemandem zu vertrauen.“ Nun, ich dachte, okay, also habe ich es ihm gesagt. Ich dachte: „Alter, ich schicke dir 200$ und wenn du mich abzockst, lasse ich deinen Hintern von dieser Seite verbannt und ich muss mir keine Sorgen mehr um dich machen.“ Er sagt: „Bet.“ Ich sagte: „Okay“, also habe ich ihm 200$ geschickt, ich habe ihm mein Bild geschickt. Ein paar Wochen später erhalte ich einen gefälschten Führerschein im Namen von Stephen Schwake. Ein echter Typ arbeitet bis heute, arbeitet bei ADP Payroll, und ich wusste nicht, was ich mir da ansah. Für mich war es der beste gefälschte Führerschein der Welt. Es stellte sich heraus, dass es das nicht war. Es war passabel, aber man braucht nur Passable, um Betrug zu begehen, und ich benutze den Führerschein, um Bankkonten zu eröffnen, Schecks einzulösen, all das andere Zeug. Der Deal wurde, Herr X machte eine sehr gute oder passable Sozialversicherungskarte. Beelzebub stellte einen passablen Führerschein in Ohio aus. Zu diesem Zeitpunkt wusste ich überhaupt nichts. Ich wusste, wie man eBay- und PayPal-Betrug macht. Also, der Deal war, Beelzebub wollte Führerscheine verkaufen. Herr X wollte Sozialversicherungskarten verkaufen. Ich hatte keine Fähigkeiten, Beelzebub schlug vor, dass ich der Rezensent werde, und sie würden die Produkte verkaufen. Ich wäre dieser externe, unabhängige Rezensent. Jeder, der überhaupt etwas verkaufen wollte, müsste mir eine Kopie davon schicken. Ich würde lernen, wie man es benutzt, lernen, was gut war und was nicht. Und das würde diese Gemeinschaft aufbauen. Und genau das ist passiert. Es wurde so, fast ein Traumfeld, wenn man es baut, werden sie kommen, für kriminelle Aktivitäten. Ich wurde dieser Rezensent. Jedes einzelne Produkt und jede Dienstleistung ging durch mich, und irgendwann ist genau das passiert. Jeder einzelne Geschäftsabschluss ging über Johnson. Also wurde ich dieser, dieser Gott, wenn es darum geht, wenn ich eine Genehmigung erteile, die Leute Geld verdienen. Wenn ich es nicht täte, gingen die Leute bankrott. Also, ich bin der Typ, der den ursprünglichen Vertrauensmechanismus entwickelt hat, den Kriminelle nutzen, diesen Prozess der Überprüfung, der Bürgschaft für Menschen und was das für Treuhandkanäle bedeutet. Ich bin der Typ, der das ursprünglich gebaut hat. Ich bin der erste Typ, der gestohlene Bankkonten verkauft hat, oder nicht gestohlen, aber Dump-Bankkonten online eingerichtet hat. Ich fing an, Identitätsdiebstahl in der Steuererklärung zu erstellen. Der Grund, warum sich die Steuererklärung aller von Jahr zu Jahr verzögert, ist dieser Heuchler, der gerade mit Ihnen spricht. Da ist, es gibt einen Gastgeber. Ich bin der Typ, der alle Ukrainer in die Staaten gebracht hat. Der Partner, den ich erwähnt habe, von Carter, Planet, Dmitri Golov. Er sah den Erfolg, den wir mit Counterfeit Library hatten. Er will, dass er ein Spammer war. Er hat all diese Kreditkartendaten bekommen. Und er meinte, ich frage mich, ob die Leute gestohlene Kreditkartendaten kaufen würden. Es stellt sich heraus, dass sie es tun werden. Also geht er ans Telefon. Er ruft seine Kumpels an. Sie nennen ihre. Sie haben eine physische Konferenz in Odessa. 150 dieser Kriminellen tauchen auf und starten Carter Planet, den Ursprung des modernen Kreditkartendiebstahls, wie wir es nennen. Das Problem mit ihnen war, dass sie im Osten Europas so viel Betrug begangen hatten, dass alle Karten gesperrt wurden. Also kommt Dimitri zu mir und sagte: „Hey, wir müssen in der Lage sein, Geld auszuzahlen.“ Also, ich bin der Typ, der dafür verantwortlich war, die ukrainisch-englischsprachige Beziehung zwischen Cyberkriminellen zu überbrücken, die bis heute andauerte. Nun, es dauerte mehrere Jahre. Bis zu einem gewissen Punkt ist es immer noch da, aber die Zahl der Kriminellen, für die ich verantwortlich bin, ist, Jesus, Mann, es ist, es ist eine Menge. Ich meine, ich könnte viel Zeit damit verbringen. Es gibt einen Grund, warum der Secret Service mich den ursprünglichen Internet-Paten genannt hat, und das ist kein guter Begriff. Und es gibt einen Grund, warum ich auf der meistgesuchten Liste der Vereinigten Staaten stand. Ich sage euch, Jungs und Mädels, jedem, der auf der Liste der meistgesuchten Amerikaner steht. In dem Moment bist du kein guter Kerl. Ich meine, du bist, du bist ein gefährlicher Typ. Es ist, es ist, es ist überhaupt nichts, worauf man stolz sein könnte.

Raghu Nandakumara 29:30

Sie sind nicht da, um dir eine Medaille zu verleihen, das ist sicher.

Brett Johnson 29:33

Nein, naja, sie sind da, um dich in Metall zu stecken.

Raghu Nandakumara 29:38

Lassen Sie uns also umschalten, weil Sie dort so viel Perspektive auf den Cyberkriminellen und bis zu einem gewissen Grad auf die Denkweise des Angreifers gegeben haben, oder? Und ich denke, wenn ich zurückgehe, etwas, was du gesagt hast, ist das richtig? Cyberkriminalität nimmt einfach zu, sie nimmt an Volumen zu, sie gewinnt an Wert. Also, was ist es? Wenn Sie sich jetzt sozusagen auf die Seite der Verteidiger stellen, richtig, welche Fehler machen die Verteidiger, sodass wir das Gefühl haben, dass wir nicht besser darin werden, Cyberkriminalität zu verhindern?

Brett Johnson 30:13

Ein Freund von mir, er hat gestern auf LinkedIn gepostet, und was er gesagt hat, es ist wirklich, es öffnet die Augen. Und darauf spiele ich jetzt schon seit ein paar Jahren an. Einer der Gründe, warum Cyberkriminelle extrem erfolgreich sind, ist, dass wir handeln, wenn wir etwas tun, wir es tun, weil wir so essen. Wenn Sie keinen Erfolg haben, essen Sie an diesem Tag nicht. Also, bei den Social-Engineering-Angriffen, die es da draußen gibt, gibt es einen Unterschied zwischen der Art und Weise, wie ein Bösewicht einen Social-Engineering-Angriff durchführt, und einem Guten. Weißt du, ein guter Kerl, wenn du zu DEFCON oder Black Hat gehst, hast du dort die Social-Engineering-Farm und jeder stiehlt jedem die Laptops und all diesen anderen Blödsinn. So funktioniert Social Engineering nicht wirklich. Wenn Sie als Social Engineer es wirklich tun, um Profit zu machen oder was auch immer die Motivation des Angriffs ist, versuchen Sie, etwas auf die kleinstmögliche Art zu tun, das das potenzielle Opfer glauben lässt, dass es sich nur dafür entscheidet, und Sie möchten nicht, dass es es jemals herausfindet. Denn wenn sie es herausfinden, sind die Auftritte vorbei. Sie haben also nur diesen Raum zum Handeln. Sie möchten also, dass der Raum, in dem sie sich dessen nicht bewusst sind, so lang wie möglich ist. Also, so wie die Guten etwas tun, mache ich auch den Witz, dass DEFCON existiert, damit die Leute über Exploits und Angriffsmethoden reden können, die kein echter Krimineller jemals tun wird. In Ordnung, das ist ein Witz, aber da ist auch viel Wahres dran. Und ich sehe das ständig, dass die Leute davon ausgehen, dass sie verstehen, wie Kriminelle denken, dass ich wie ein Krimineller denken kann. Nun, nein, das kannst du nicht. Wenn du könntest, wärst du ein Krimineller. Das ist eines der Dinge, die die Leute meiner Meinung nach wirklich verpassen. Das heißt nicht, dass du nicht vorhersehen kannst, was ich tun werde. Das kannst du, aber du musst aufgeschlossen sein. Du musst objektiv sein und nicht denken, dass du alles weißt. Und eines der Probleme ist meiner Meinung nach auch, dass viele dieser Unternehmen über extrem hohe Sicherheitsbudgets verfügen. Ich glaube nicht, dass man ein wirklich großes Budget haben muss. Ich denke, ein wirklich großes Budget bedeutet, dass wir etwas finden müssen, was mit all dem Geld zu tun hat. Und manchmal funktioniert es und manchmal nicht, aber lassen Sie uns trotzdem viel Geld ausgeben. Ich denke, all das zusammen ist meiner Meinung nach eine angemessene Cybersicherheit und der Schutz ist nicht wirklich öffentlich zugänglich. Es ist nicht wirklich romantisch, es ist nur das A und O der Dinge, die man tun muss. Wir haben mehr als 8500 Sicherheitsfirmen da draußen. Wir haben eine Menge Massenmedien, die Angreifer als Hacker, als Computergenies bezeichnen. Ist in der Lage, in jede Art von Computersystem einzubrechen, das sie wollen. Das ist nicht wirklich der Fall. Angriffe erfolgen, weil mehr als 90% aller Angriffe bekannte Exploits verwenden. Ja, es sind keine Computergenies. Es sind Dinge, über die uns jahrelang erzählt wurde und gegen die wir nichts unternehmen. Das verursacht die Bedrohungslandschaft, die es da draußen gibt. Über 90% der Angriffe sind Star of Vorfälle die mit Phishing-Angriffen beginnen. Es gefährdet also den Menschen. Es sucht nach bekannten Sicherheitslücken. Es geht darum, diese Dinge zu verstehen. Es geht darum, einen Angreifer zu verstehen. Die meisten Angriffe basieren auf Bargeld, und die meisten Angriffe sind opportunistische Angriffe. Ich suche nach dem einfachsten Zugang, der mir die größte Rendite für diese kriminelle Investition bietet. Wenn du das verstehst und nur ein Mindestmaß an Sicherheit einrichtest, wird es dir gut gehen. Aber das musst du tun. Du kannst nicht einfach eine Milliarde Dollar haben. Also, ich von diesen Banken habe ein milliardenschweres Sicherheitsbudget, und ich werde Ihnen nicht sagen, welche Bank, aber ich habe mit ihrem Vizepräsidenten für Bedrohungen gesprochen. Und ich fragte sie und sagte: „Hey, warum wurdet ihr noch nicht von Ransomware betroffen?“ Und sie sagte: „Ich weiß nicht. Ich werde fragen.“ Ungefähr drei Wochen später kommt sie zurück und sagt: „Nun, ich habe mich mit meinem Chef getroffen. Schließlich antwortet er mir und sagt: „Nun, wir haben ein Sicherheitsbudget von einer Milliarde Dollar.“ Und ich sagte: „Zur Hölle, das ist eine Menge.“ Und sie sagt: „Ja“, und dann sagte sie: „Dann hat er eine Pause gemacht und mich angeschaut und gesagt, und wir haben großes Glück.“ Und ich dachte, Heilige Hölle, Glück ist eine Strategie.

Brett Johnson 34:38

Wissen Sie, wenn Sie, wenn Sie in einer Hand sind, sagen, dass Sie eine Milliarde Dollar für Sicherheit ausgeben, und im nächsten Moment sagen Sie, und wir haben Glück, dass wahrscheinlich etwas nicht stimmt.

Raghu Nandakumara 34:50

Das ist brillant, und ich bin mir ziemlich sicher, wenn sie diese Milliarde Dollar gespart und nur vom Glück abhängig gewesen wären, wäre das Ergebnis wahrscheinlich immer noch ziemlich ähnlich, wahrscheinlich ähnlich.

Brett Johnson 35:02

Das ist es, was interessant ist. Also, weißt du, es ist, es ist wirklich eines dieser Dinge, einfach anzuschnallen und nicht, du weißt schon, nicht zu denken, dass du ein Superstar bist, ja, nicht zu denken, dass es ein wirklich romantischer Job ist. Es geht wirklich um das A und O der Dinge. Weißt du, ich habe neulich einen Typen gesehen. Als ich anfing zu sprechen, waren es zwei. Es gab tatsächlich nur zwei echte Kriminelle da draußen, die gesprochen haben, ich und Frank Avenue. Jetzt gibt es mehrere mehr, und einige von ihnen wissen, wovon sie sprechen. Also ich von ihnen nicht. Das. Dieser eine, dieser eine Typ hat über Schulungen zur Betrugsbekämpfung und zum Sicherheitsbewusstsein gepostet, und er gab Zahlen von, wissen Sie, „Unternehmen, die Sicherheitsbewusstseinsschulungen durchführen, stellen fest, dass sie einen Rückgang von 63% feststellen, und wenn sie eine Steuer zahlen, sparen sie 50% des Geldes.“ Und er wusste nicht, wovon er sprach, denn Sicherheitsbewusstsein, Schulung zur Betrugsbekämpfung, das funktioniert, solange das Training läuft. Es ist nichts, was man ein paar Wochen lang macht, und es ist effektiv. Für diese zwei Wochen ist es wirksam, und dann sind die Zahlen gleich wieder da, wo sie waren. Es geht also darum zu verstehen, dass man die Dinge richtig machen muss. Es ist nicht nur eine Hunde- und Ponyshow. Als ich im Gefängnis war, hatten wir ständig Hunde- und Ponyshows. Es ist etwas, mit dem Sie weitermachen und gleichzeitig sicherstellen müssen, dass Sie die Dinge richtig machen.

Raghu Nandakumara 36:20

Ich denke, all das ist auf den Punkt gebracht, und da ich aus Ihrem Hintergrund komme, bestätigt es meiner Meinung nach vieles, was weiterhin gesagt wird, aber ich habe das Gefühl, dass es nicht ausreichend zur Kenntnis genommen wird, oder? Denn was Sie gesagt haben, war, das ist nicht wie bei Cyberangreifern, Cyberkriminelle leben quasi vom Land, oder? Es sind dieselben Exploits wie sie, weil alle Toolkits für bekannte Exploits existieren. Also, warum sollten Sie gehen und ein neues Toolkit für einen potenziellen neuen Exploit erstellen müssen, wenn Sie einfach das, was da draußen ist, wiederverwenden können, oder? Es kostet weniger, es ist weniger Aufwand. Und wieder, richtig, mit gerade genug Glück wirst du, du wirst dieses Ergebnis bekommen, du wirst auszahlen und du wirst in der Lage sein, weiterzumachen. Also, als Sie sagten, richtig, es geht nicht unbedingt darum, die sexy neuen Dinge zu tun, oder, sondern in der Lage zu sein, in den grundlegendsten, den Grundlagen der Cybersicherheit brillant zu sein, oder? Darin liegt im Wesentlichen die größte Chance für Verteidiger. Wird diese Lektion gehört?

Brett Johnson 37:32

Weißt du, es sind einige Orte. Es sind einige Orte. Ich denke, es wird immer mehr gehört, je öffentlicher viele dieser Vorfälle werden. Sie nehmen zum Beispiel Colonial Pipeline. Koloniale Pipeline. Warum ist das passiert? Nun, es ist passiert, weil Colonial Pipeline wusste, dass eines ihrer VPN-Passwörter auf einem Dark-Web-Kanal verfügbar war. Sie wussten es und sie haben nichts dagegen unternommen. Sie haben das Passwort nicht geändert. Deshalb passiert es. Es passiert, weil Sie wissen, dass Ihr Passwort solarwinds123 ist, oder das ist einer der Gründe, warum es passiert.

Brett Johnson 38:07

Also, es ist, wenn, du weißt schon, als das Zeug öffentlich wird, und soweit wir wissen, hat Colonial Pipeline es versucht und Experian hat versucht, es auf einen Praktikanten zu verschieben. Wissen Sie, offensichtlich wird in all diesen Unternehmen, in denen es zu Vorfälle kommt, immer noch derselbe Praktikant eingestellt, um sie das erzählen zu hören. Ich denke, je mehr dieser Informationen veröffentlicht werden und wir sehen, wie diese Angriffe sind, sind es normalerweise keine ausgeklügelten Angriffe, sondern nur opportunistische Angriffe. Ich denke, das Verständnis dafür, und während wir weiterhin solche Gespräche führen, ich denke, das Verständnis, von dem das Bewusstsein ausgeht, hey, es sind nicht diese sexy Dinge, es sind nicht diese Computergenies, die im Schatten operieren, die niemand verstehen kann. Ist es nicht. Es sind diese Typen, die diese Dinge scannen. Sie lesen Whitepapers. Sie suchen fleißig nach Zugang. Sie verstehen, dass, wenn sie in einer Branche tätig sind und sie in der Lage sind, ein Unternehmen in dieser Branche mit diesem Angriff zu gefährden, hey, wahrscheinlich derselbe Angriff auch in diesen anderen Unternehmen derselben Branche funktionieren wird. Es geht also darum, diese Dinge zu verstehen. Es geht um Verstehen, Teilen und Zusammenarbeiten. Wenn ich ein Unternehmen in einer bestimmten Branche bin, wie Infrastruktur, Finanzen oder was auch immer, und ich sehe, dass mein Unternehmen von diesem spezifischen Angriff betroffen ist. Wenn ich Daten mit anderen Unternehmen aus derselben Branche teile und mit ihnen zusammenarbeite, bedeutet das, dass sich diese anderen Unternehmen schützen können, bevor es zu einem Angriff kommt. Wenn ich das nicht mache, bedeutet das, dass ich versuche, mir einen Wettbewerbsvorteil zu verschaffen, dass ich, wissen Sie, hier Sicherheit einrichte und meine anderen Konkurrenten bei lebendigem Leib auffressen lasse. Es ist, es ist unterdurchschnittlich, es bedeutet, aufgeschlossen zu sein. Es geht darum, objektiv zu sein. Als wir angefangen haben, haben wir verstanden, dass wir aufeinander aufpassen müssen. Es ist, es ist mehr als nur auf uns selbst aufzupassen.

Raghu Nandakumara 39:56

Insofern. Denkst du mit vielem, was so ist? Vorschriften usw., die sich im Laufe der Zeit weiterentwickeln, und der Berichterstattung, der Berichterstattung über Vorfälle, der Berichterstattung über Auswirkungen usw. wird eine große Bedeutung beigemessen. Glauben Sie, dass dies zu einer viel transparenteren Kultur führt? Denken Sie, dass Unternehmen sich wohler fühlen, wenn es darum geht, Cyberangriffe zu melden?

Brett Johnson 40:19

Ich bin mir nicht sicher, ob sie sich wohler fühlen. Das Problem, nehmen wir Vorschriften, wir haben in der Regel Leute, die Vorschriften erlassen, die kein Verständnis für die Branche haben, die sie zu regulieren versuchen. Wenn Sie sich einige der Anhörungen zu Kryptowährungen ansehen, die gerade stattfanden, konnten Sie die Glasaugen der Senatoren und Vertreter sehen, die sagten und sie werden die Dinge regulieren? Oh mein Gott! Das ist also eines der Probleme. Ein weiteres Problem ist, dass die Berichterstattung, obwohl ich dafür bin, dass sie veröffentlicht wird, auch dafür bin, diesen anderen potenziellen Opfern die Möglichkeit zu geben, sich abzusichern, bevor sie veröffentlicht wird. Denn warum wurde Equifax getroffen? Equifax wurde getroffen, weil Apache einen Patch angekündigt hat. Equifax legt es nicht rein; innerhalb von 24 Stunden werden sie lebendig gefressen. Ich denke, es muss etwas Zeit eingeräumt werden, bevor es veröffentlicht wird, dass diese anderen Unternehmen Sicherheitsvorkehrungen treffen, denn ein Update ist nur eine Übertragung an jeden einzelnen Kriminellen auf dem Planeten, der ihnen sagt, an welche Tür sie klopfen sollen. Ja, ich denke, es muss eine Art von Regulierung geben, dass ein Unternehmen, gegen das verstoßen wurde, zuerst in der Lage sein muss, dies mit anderen Unternehmen in seiner Branche zu teilen. Diese anderen Unternehmen müssen sofort darauf reagieren und angemessene Sicherheitsmaßnahmen implementieren. Und an diesem Punkt könnte es dann veröffentlicht werden, damit diese anderen Unternehmen nicht Opfer dieser Ankündigung eines Verstoßes werden.

Raghu Nandakumara 41:51

Ich denke, das ist ein wirklich gutes Argument, denn, und Sie haben vorhin irgendwie darüber gesprochen, ist, dass, wenn ein Unternehmen, eine bestimmte Branche, Opfer eines bestimmten Cyberangriffs wird, der eine bestimmte Sicherheitslücke ausnutzt oder so, meistens dieselbe Art von Technologien von der überwiegenden Mehrheit der Vergleichsgruppe verwendet wird. Also, du hast recht. Also, wie im Fall des Informationsaustauschs, sollte es so sein, als ob Sie dem Teilen innerhalb Ihrer Peer-Gruppe Priorität einräumen, aber es ist auch fast wie die Chatham House-Regeln, oder? Die teilen es, aber veröffentlichen Sie es erst, wenn wir genug Zeit hatten, unsere eigene Sorgfalt walten zu lassen und sicherzustellen, dass wir zumindest geschützt sind, oder? Denn das nächste Mal wird einer von uns hier sein und wir werden es mit euch teilen, und ihr werdet auf die gleiche Weise davon profitieren. Also, kurz bevor wir zur nächsten Sache übergehen, oder? Wir sehen also im Moment und in den letzten Jahren, dass MITRE das Angriffs-Framework sozusagen kodifiziert hat, und wir sehen, dass der Schwerpunkt stark auf Taktiken, Techniken und Verfahren liegt. Und meine Sicht darauf ist, dass sich die Taktiken der Angreifer wirklich nicht ändern, oder? Es handelt sich um dieselben Taktiken, die wiederholt ausgeführt werden. Die Techniken und Verfahren können sich je nach Technologie und Reife der Organisation, die angegriffen werden soll, ändern. Ich denke, ein gewisses Verständnis von TTPs ist wichtig. Denken Sie, dass wir uns zu sehr auf TTPs im Vergleich zu Ähnlichem konzentrieren, wenn wir zu dem zurückkehren, was Sie gesagt haben, die Hauptursache dafür angehen, warum diese TTPs zugänglich sind, nämlich das Fehlen der Grundlagen. Was ist deine Perspektive?

Brett Johnson 43:27

Ich denke, in erster Linie müssen Sie sich unbedingt mit diesen Grundursachen befassen. Gleichzeitig, wissen Sie, wie das KI-Geschwätz, wissen Sie, wir haben, jedes Unternehmen möchte irgendeine Art von KI-Komponente haben, und jedes Unternehmen möchte sagen, dass Kriminelle KI einsetzen. Sie können ein sehr gutes Argument vorbringen, und das ist, was ich sage, ich sage, dass ein Krimineller oder ein Angreifer die Art und Weise, wie er angreift, nicht ändern wird, es sei denn, etwas zwingt ihn, das zu ändern. Ja, weißt du, warum sollte ich? Warum sollte ich anfangen, KI zu verwenden, wenn ich mit dem, was ich tue, bereits wild und erfolgreich bin? Das würde ich nicht, ich würde nicht. Es muss etwas geben, das mich zwingt, mich zu ändern. Wissen Sie, um Ihre Frage zu beantworten, ich denke, Sie müssen dort unbedingt weitermachen mit dem TTP, das. Ich finde das überhaupt nicht schlecht. Aber verstehen Sie, dass es da draußen eine Menge überflüssiges Geschwätz gibt, das versucht, ein Sicherheitsprodukt zu verkaufen. Weißt du, deswegen müsste ich KI verwenden. Ich habe tatsächlich einen Anwendungsfall dafür, bevor Sie anfangen, dieses Argument vorzubringen. Wie ich jetzt schon sagte, es wird bis zu einem gewissen Grad von Kriminellen benutzt. Es wird jedoch viel mehr geredet als genutzt. Verstehen Sie, dass die Vorstellung, was einen Angreifer zwingt, sich jetzt ändert und dann, dann, dann, dann, dann, dann, dann, dann, dann, dann, dann, dann, spielen Sie von dort aus mit dem TTP, aber um jeden Preis tun das A und O der richtigen Sicherheit. Sie wissen, dass mehr als 90% der Angriffe auf Exploits verwendet werden, nicht genug angeben können, das können Sie nicht. Das ist nicht Petya auf den Punkt gebracht. Weißt du, steck das ein und du wirst sicherer sein als nicht.

Raghu Nandakumara 45:06

Ja, absolut. Und ich finde, das ist so, es kann nicht oft genug wiederholt werden. Und ich denke, wenn Sie diese beiden, zwei Punkte, die Sie angesprochen haben, zusammenfassen, wenn Sie diese 90% ansprechen, werden Sie automatisch eine Änderung des Verhaltens der Angreifer erzwingen, denn diese Dinge, die vom Land leben, haben Sie hier irgendwie nicht benutzt, aber Sie haben in früheren Gesprächen festgestellt, dass die Mehrheit der Steuern keine nennenswerte technische Raffinesse hat, oder? Sie leben vom Land. Aber wenn wir ihnen geben, wenn wir einschränken oder minimieren, wie viel von dem Land sie leben können, oder? Das wird eine erhöhte technische Raffinesse erzwingen, was es dann entweder schwieriger machen oder uns mehr Möglichkeiten geben wird, dies zu erkennen und zu reagieren.

Brett Johnson 45:54

Du hast recht. Ich habe das nicht wirklich speziell angesprochen. Wir sind keine Computergenies. In Ordnung, einigen von uns geht es sehr gut. Also, ich von uns sind es sogar. Aber Sie müssen kein Hacker sein, Sie müssen kein Computergenie sein, um ein Unternehmen oder eine Einzelperson zu schikanieren. Um erfolgreich zu sein, müssen Sie das nicht tun. Was ich tun muss, ist zu teilen, auszutauschen und miteinander zusammenzuarbeiten. Das ist das einzige, was ich tun muss, um unglaublich erfolgreich zu sein. Verstehen Sie das, wenn Sie es aus dem Kopf bekommen, dass diese Angreifer raffinierte und Computergenies sind, dieser Punkt, der die Wettbewerbsbedingungen so ziemlich ausgleicht, so offen, dass Sie aufgeschlossen genug sind, um zu sagen, hey, diese Typen sind keine Genies. Sie sind nicht, sie sind nicht wirklich intelligent. Ich meine, einige von ihnen sind es, andere nicht. Aber sobald du deinen Geist dafür öffnest, kann dein Geist anfangen zu sagen: „Hey, ich kann diese Probleme lösen.“ Ich kann. Es sind nur die Muttern und Schrauben. Es ist, es scannt die Landschaft und sagt, Hey, es stellt sich heraus, dass ich diese Häfen offen habe, über die sie seit Jahren meckern, dass ich solche Sachen schließen muss. Es stellt sich heraus, dass ich, ich, ich erlaube den Fernzugriff. Ja, ja, solche Sachen sind es. Also, du reparierst das und es wird dir gut gehen. Ehrlich gesagt ist es das nicht, es ist nicht wirklich kompliziert. Ist es nicht.

Raghu Nandakumara 47:17

Mir gefällt wirklich, wie du das formulierst, weil es so ist, denke wie ein Angreifer, aber denk daran, dass der Angreifer versucht, das Einfachste zu tun, was möglich ist. Denken Sie also darüber nach, welche einfachen Dinge Sie angehen müssen, und das wird Ihnen viel mehr für Ihr Geld geben. Ich glaube, das ist es, was du sagst.

Brett Johnson 47:36

Ja, du fängst dort an. Du fängst dort an. Ich bin nicht der Meinung, dass die meisten Angriffe bargeldbasiert sind, und das sind sie, ich suche nach dem einfachsten Zugang, und deshalb, deshalb kommen Sie mit diesem mehrschichtigen Sicherheitsansatz. Ich verstehe, dass es mir egal ist, wie viel Sicherheit Sie haben, wenn ich Sie aus ideologischen Gründen angreife, ich versuche, alles durchzustehen, was Sie haben. Und das ist ein Problem, denn jede einzelne Sicherheitskomponente, die Sie haben und die vorhanden ist, kann ich umgehen, wenn ich genug Mühe darauf verwende. Aber ideologische Angriffe sind eine andere Art von Angriff. Die meisten Angriffe sind bargeldbasiert oder statusbasiert. Das bedeutet also, dass Sie bei diesem mehrschichtigen Sicherheitsansatz versuchen, so viele Ebenen einzubauen, dass es meine Zeit oder Mühe nicht wert ist, sie durchzugehen. Ich werde ein anderes Opfer finden. Ja, und darauf kommt es an.

Raghu Nandakumara 48:27

Ja, absolut. Also, lassen Sie uns ein bisschen den Kurs ändern, nicht massiv. Wenn Unternehmen Sie um Rat fragen, wie sie ihre Cybersicherheitsstrategie verbessern sollten, richtig? Was bieten Sie ihnen als ehemalige Cyberkriminelle normalerweise als diese Perlen der Weisheit an?

Brett Johnson 48:47

Nun, darüber sprechen wir gerade. Es geht um das Teilen und Austauschen von Informationen, und das ist einer der Gründe, warum ich so viel auf Konferenzen lege. Zumindest können Sie auf Konferenzen andere Leute treffen, die in derselben Branche arbeiten wie Sie, die in denselben Positionen arbeiten, in denen Sie arbeiten, sodass Sie, obwohl es vielleicht Regeln gibt, die Sie nicht teilen und zusammenarbeiten sollten, zum Telefon greifen und sagen können: „Hey, Bill, das sehen wir hier drüben. Vielleicht, vielleicht willst du etwas dagegen tun.“ Sie haben also zumindest die Fähigkeit, diese Verbindungen und das Netzwerk dort herzustellen, das am Ende des Tages wichtig ist. Die andere Sache ist zu verstehen, wie ich gerade gesagt habe, es ist mir egal, welches Tourprodukt der Security Service Sie haben. Es gibt, es gibt keine Wunderwaffe. Gibt es nicht. Es gibt Sicherheitsfirmen da draußen, die sagen werden: „Sie benötigen nur mein Produkt. Es wird alles heilen.“ Das nennen wir Pillow Talk über Cybersicherheit. Das ist das Gleiche wie zu sagen, ich werde dich morgen früh immer noch respektieren. Nein, das werden sie nicht. Verstehen Sie also, verstehen Sie, dass es diesen mehrschichtigen Ansatz erfordert, aber verstehen Sie auch, dass Sie. Wenn du weißt, warum du angegriffen wirst, Status, Geld, Ideologie, wenn du weißt, wer dich angreift, und es gibt nur sieben verschiedene Arten von Angreifern, dann hast du Kriminelle, du hast Hacktivisten, du hast Terroristen, du hast Nationalstaaten, du hast Insider, du hast Hacker, die angeheuert werden, du hast Drehbuch-Kiddies. Das sind die Sieben. Du weißt, wer dich angreift. Du kannst herausfinden, warum sie dich angreifen. Wonach suchen sie also? Nun, sie suchen nur nach Informationen, Zugangsdaten oder Bargeld. Wenn Sie also diese Dinge verstehen können, wer sie sind, warum sie das angreifen, wonach sie suchen, und die Sicherheit darauf aufbauen können, wonach sucht diese Person dann? Es ist so, du wirst nicht versuchen, Sicherheitsvorkehrungen für etwas zu entwickeln, das dich nie jemand angreifen wird, absolut. Konzentrieren Sie sich also darauf, wonach sie suchen, wer sie sind und warum sie Design Security angreifen. Es geht darum, Ihren Platz im Spektrum der Cyberkriminalität zu verstehen, weil Sie einen haben. Und wie ich dich angreife, hängt absolut davon ab, wer du bist und was du tust. Findet das heraus. Entwerfen Sie Sicherheit, machen Sie die Muttern und Schrauben. Weißt du, ich bin nicht der Typ, mit dem ich gesprochen habe, meine Güte, das war, es ist wahrscheinlich fünf Jahre her. Er hat bei einem Finanzinstitut gearbeitet und sagt: „Hey, wir haben Splunk.“ Ich sagte: „Ja.“ Er sagt: „Ich weiß nicht, wie man Splunk benutzt.“ Ich dachte: „Ja, es ist eine eigene Sprache, nicht wahr?“ Er sagt: „Ja, es ist wirklich schwierig.“ Ich sagte: „Also, was machst du damit?“ „Nun, wir haben es an einen Computer angeschlossen und es ist mit nichts verbunden.“ Das ist der Typ, der mehr Budget hat, als Sie brauchen, wissen Sie, und daran ist die Bundesregierung schlecht. Die Bereitstellung von Budgets und alles, was die Behörde nicht verwendet, muss zurückgehen, also versucht diese Behörde, Dinge zu finden, für die sie das Geld ausgeben kann. Viele Unternehmen sind so. Weißt du, wenn wir das Budget nicht verwenden, werden sie nächstes Jahr unser Budget kürzen. Das ist falsch zu glauben, dass Sie diese Denkweise hinter sich lassen und verstehen müssen, dass Ihre Funktion darin besteht, die Umgebung für Sie und Ihre Kunden oder Ihre Klienten zu sichern. Und wir sind noch nicht da. Wir sind absolut nicht da. Aber darüber spreche ich, wissen Sie, ich spreche über die Arten von Komponenten, wissen Sie, wenn Sie in der Finanzbranche tätig sind, haben Sie diese Komponente zur Identitätsprüfung, verstehen Sie, wie Angreifer das umgehen können? Also, dann brauchst du auch diese anderen Komponenten, um sicherzugehen, dass du die Dinge betrachtest, es geht um die Daten insgesamt. Wie ich habe ich vor ein paar Jahren für das Unternehmen gearbeitet, und sie haben, sie haben mich zu ihrem Chief Criminal Officer gemacht. Es war eine Spielerei. Es war absolut eine Spielerei. Sie bestreiten es bis heute: „Oh nein, wir meinen es ernst. Du warst nein, es war eine Spielerei.“ Also, während ich dort gearbeitet habe, haben wir angefangen, diesen Mann in der Mitte anzugreifen, und das liegt daran, dass Angreifer Whitepapers lesen. Und sie lesen auch seit Jahren Whitepapers und sie haben verstanden, hey, es gibt diesen Drang, Passwörter loszuwerden, also sehen Sie jetzt, wie viele Sitzungstoken gestohlen werden, viele Cookie-Injection-Angriffe. Es war dieser Angriff und bis heute dieser Angriff, der gegen viele Finanzinstitute sehr erfolgreich ist. Und der Grund, warum es funktioniert, ist, dass sich dieses Finanzinstitut einfach auf diesen Cookie verlässt. Wenn du den Keks hast, musst du die richtige Person sein. Wenn sie sich jedoch die Zeit nehmen würden, sich alle Daten anzusehen, die für dieses Konto verfügbar sind, würden sie eine Änderung des Geräts oder eine Änderung der IP-Adresse feststellen, oder sie würden sehen, dass diese verschiedenen Anomalien auftauchen. Also, worüber ich auch spreche, ist die Betrachtung der Daten, denn das ist wichtig. Die Daten geben Ihnen die Wahrheit über die Umgebung und die Transaktion, die gerade stattfindet, Auskunft. Wenn Sie sich die Daten nicht oder nur kleine Teile der Gesamtdaten ansehen, tun Sie sich selbst und Ihren Kunden einen schlechten Dienst. Es schaut sich also auch die Daten an.

Raghu Nandakumara 53:45

Bieten Sie also irgendwelche Ratschläge zu Schlüsselstrategien an, die Unternehmen anwenden sollten, wie zum Beispiel, sozusagen oben, oben in der Diskussion, über die wir gesprochen haben, wie Vertrauen ist und was Vertrauen bedeutet. Und in den letzten 10 bis 15 Jahren ist die gesamte Zero-Trust-Strategie quasi in den Mittelpunkt gerückt, wie zum Beispiel, was sind Ihre Ansichten zur richtigen Strategie für Unternehmen, die Zero Trust verfolgen usw.?

Brett Johnson 54:10

Ich denke, dass ich es auf jeden Fall für Zero Trust haben werde. Ich denke, und ich spreche bis zu einem gewissen Grad darüber, es ist, ich habe das bereits erwähnt, damit ich Sie schikanieren kann, muss ich ein gewisses Maß an Vertrauen aufbauen. Und ich glaube wirklich, dass jedes neue Engagement zwischen dem Kunden und dem Unternehmen aus einer Zero-Trust-Sicht erfolgen sollte. Weißt du, es ist nicht etwas wie: „Hey, wir haben dir schon einmal vertraut. Wir wissen, dass dieses Login oder dieses Cookie seit der letzten Sitzung gültig war. Also, es kommt wieder rein. Du bist startklar.“ Nein, so sollte es nicht sein. Es geht darum zu verstehen, dass es für mich als Angreifer sehr einfach ist, einen Keks zu stehlen. Es ist sehr einfach für mich, eine Identität oder eine Kreditkartennummer zu stehlen oder einen Browser-Fingerabdruck zu fälschen und so reinzukommen. Es stellt also sicher, dass jede neue Interaktion verifiziert wird. Und das geht auf Reagan zurück, oder? Vertraue, aber überprüfe. Weißt du, ja, ich vertraue dir, aber ich werde alles überprüfen, was du sagst. Das ist, das ist es, was zählt. Gleichzeitig und das ist, das ist, das ist, ist eines der Dinge, die für mich weiterhin schwer einzuschätzen sind. Sie möchten in dieser Umgebung nicht so viele Reibungen verursachen, dass der Kunde woanders hingeht. Ja, das wird zu einem riesigen Problem. Und ja, du kannst den ganzen Betrug auf der Welt stoppen. Das einzige, was Sie tun müssen, ist die Website herunterzufahren, es wird sie stoppen. Es ist, dass du dich nicht willst. Sie wollen dieses Gleichgewicht zwischen Sicherheit und Reibung haben, aber dieses Gleichgewicht muss unbedingt mehr auf die Sicherheitsseite ausgerichtet sein. Das muss es. Im Hintergrund geht es also darum, Dinge so einzurichten, dass Sie vorhersehen können, wie viel Überprüfung in jede eingehende Interaktion gesteckt werden muss. Weißt du, kommt es von einer anderen IP als sonst? Sieht es so aus, als ob es von einem potenziellen Proxy kommt oder von irgendwoher umgeleitet wird? Was ist los? Ist es ein neues Gerät? Ist es ein altes Gerät, das reinkommt? Hat dasselbe Gerät oder denselben IP-Bereich Zugriff auf andere Konten? Wie oft haben sie das Passwort vergessen? Ist es ein altes Passwort, das für eine Passwortänderungsanfrage verwendet wird? Ich meine, all diese Dinge können im Hintergrund erledigt werden, bevor der Kunde mit irgendetwas konfrontiert wird, das für zusätzliche Reibung auf seiner Seite sorgen würde. Also, das sind die Dinge, die Sie tun müssen. Tun Sie dies, tun Sie im Hintergrund alles, was Sie können, um das Betrugspotenzial zu antizipieren, und handeln Sie dann an diesem Punkt. Das wird wichtig. Weißt du, neulich wurde eine Studie über CAPTCHAs durchgeführt, im Grunde genommen, ich meine, sie haben die CAPTCHAs hart gehämmert. Und seien wir ehrlich, viele CAPTCHAs gibt es da draußen. Für die Guten gibt es nichts als Reibereien. Und das ist, das ist, das ist etwas, wovor du vorsichtig sein musst, okay. Es macht also Dinge im Hintergrund, damit Sie diesen Kunden nicht verzögern müssen.

Raghu Nandakumara 57:14

Welches dieser Bilder hat einen Zyklus? Ja, am Ende, wir haben gerade darüber gesprochen, und dann wählst du am Ende alles aus, weil plötzlich alles so aussieht, als ob es einen Teil eines Zyklus davon hat, und dann heißt es, der falsche Versuch noch einmal, oder? Und das ist es und dann bist du 40 Minuten später. Ja, ja, genau, genau. In Ordnung. Du hast uns heute so viel von deiner Zeit gegeben, und wir könnten ewig so weitermachen. Brett, bevor wir fertig sind, warum hinterlassen Sie uns nicht eine amüsante Anekdote, aus der wir alle lernen könnten?

Brett Johnson 57:45

Eine amüsante Anekdote? Okay, ja, ja. Weißt du, ich sprach über Vertrauen und das erste echte Online-Verbrechen, das ich begangen habe. Und die Leute haben mich vielleicht schon einmal darüber sprechen hören, aber es ist eine Art Mikrokosmos für die Funktionsweise der meisten Betrügereien. Ich war, ich war in Lexington, Kentucky. Mit Straßenbetrug ging es mir nicht wirklich gut. Ich habe eBay gefunden, eBay hat mir verdammt gut gefallen. Ich wusste nicht, wie man Geld verdient. Und eines Abends sah ich Bill O'Riley als Moderator der Insider-Ausgabe. Sie haben Beanie Babies profiliert, und das Beanie Baby, von dem sie sprachen, war Peanut, der königsblaue Elefant, der für 1.500 Dollar verkauft wurde. Also fing ich an, nach Peanut zu suchen. Ich kann ihn nicht finden. Am Ende kaufte ich eine graue Beanie Baby Elephant für 8$, kam vorbei und kaufte etwas blaue Farbe, ging nach Hause und versuchte, den kleinen Kerl zu färben. Es stellte sich heraus, dass er aus Polyester gefertigt war. Würde Farbe nicht sehr gut halten. Holt ihn raus und er sieht aus, als hätte er die Räude. Aber ich habe der Dame 1.500$ abgezockt. Ich habe ein Bild von einem echten auf meinem gefunden. Hat es gepostet. Sie dachte, ich hätte das Richtige. Sie gewinnt das Angebot. Ich habe ihr 1.500 Dollar abgezockt, und da habe ich die erste Lektion über Cyberkriminalität gelernt. Sie wusste, wer ich war, aber wenn man ein Opfer lange genug aufschiebt, schreckt man es einfach weiter ab. Viele von ihnen sind verärgert, sie werfen ihre Hände in die Luft, sie gehen weg und melden das Verbrechen nicht. Also, das ist wirklich die erste Lektion. Die meisten Leute melden das Verbrechen nicht. Die meisten Leute geben auf. In Ordnung, das ist also die erste Lektion. Aber es geht auch darum zu verstehen, dass diese eine Sache auch ein Mikrokosmos der meisten dieser Betrügereien ist. Da hast du ein Opfer, ein potenzielles Opfer, das Lust auf etwas hat. Sie wollen etwas. Nun, dieser Wunsch ermöglicht es mir als Krimineller, das Vertrauen des Opfers leichter zu gewinnen und sicherzustellen, dass es emotional reagiert, nicht rational oder logisch. Also vertraute sie der eBay-Plattform. Sie vertraute der Technologie. Sie verstand nicht, dass ich ein Werkzeug benutzte, ein Bild von einem echten, um Vertrauen zu gewinnen, um diese Tür des Vertrauens zu öffnen. Wie gut ist ein Social Engineer, wenn die Tür einmal offen war? Wie gut bin ich als Lügnerin darin, sie zu manipulieren, um mir Geld zu geben? Was ich auch getan habe. Also der Wunsch des Opfers, die Technologie, Tools, Social Engineering, um online Vertrauen aufzubauen, und dann schließlich, dass diese Person aufgibt, weggeht und das Verbrechen niemals den Strafverfolgungsbehörden meldet. All das ist eine Art Mikrokosmos für die meisten dieser Betrügereien, egal ob es sich um Krypto, eBay oder PlayStation 5 oder was auch immer handelt. All diese Betrügereien funktionieren online. Verstehe das. Verstehe, dass es ein Wunsch ist. Du wünschst dir etwas, das bedeutet, dass du eher emotional als logisch oder rational reagieren wirst. Es versteht sich, dass die Plattform zwar da ist, es aber keinen Grund gibt, ihr von Natur aus zu vertrauen. Das Gleiche gilt für die Technologie Zero Trust. Weißt du, warum sollte ich ihm vertrauen? Es gibt Angreifer und überall gibt es Raubtiere. Das ist die Anekdote, die ich verwenden würde. Wenn wir diese Dinge in der realen Welt verstehen, neigen wir dazu, ein ziemlich gutes Situationsbewusstsein zu haben. Wir wissen, wann wir in einer schlechten Gegend sind, wann etwas platzen wird oder was auch immer. Das lässt sich nicht sehr gut auf eine Online-Umgebung übertragen, aber wir müssen verstehen, dass Raubtiere überall sind. Und wenn wir das verstehen, bedeutet das nicht, dass wir unser Leben paranoid machen wollen, sondern dass wir verstehen, dass, hey, Angreifer überall sind. Und wenn wir das verstehen, wird unser Bekanntheitsgrad steigen und dadurch automatisch sicherer sein.

Raghu Nandakumara 1:01:19

Fantastisch, ich meine, ich denke, das ist der perfekte Ort, um dieses spezielle Gespräch zu beenden. Brett, es war so ein Privileg und eine Freude, mit dir zu sprechen. Also, vielen Dank für deine Zeit. Nein danke dir und deiner und deiner Ehrlichkeit.

Brett Johnson 1:01:35

Ich weiß das zu schätzen. Vielen Dank, und ich habe es wirklich geliebt, mit Ihnen zu sprechen. Ich danke dir vielmals.

Raghu Nandakumara 1:01:39

Vielen Dank, dass Sie sich die dieswöchige Folge des Segments für noch mehr Informationen und Zero-Trust-Ressourcen angesehen haben. Besuchen Sie unsere Website unter illumio.com. Sie können uns auch auf LinkedIn und Twitter unter Illumio kontaktieren. Wenn Ihnen die heutige Konversation gefällt, finden Sie unsere anderen Folgen, wo immer Sie Ihre Podcasts abrufen. Ich bin dein Gastgeber, Raghu Nandakumara, und wir werden bald zurück sein.

‍