Cybersecurity kan gegevens beschermen. Hoe zit het met liften?





In associatie met Cortex Xpanse door Palo Alto Networks

Geavanceerde cyberbeveiligingsmogelijkheden zijn essentieel om software, systemen en gegevens te beschermen in een nieuw tijdperk van cloud, het internet der dingen en andere slimme technologieën. In de vastgoedsector maken bedrijven zich bijvoorbeeld zorgen over het potentieel voor gekaapte liften, evenals over gecompromitteerd gebouwbeheer en verwarmings- en koelsystemen.



Volgens Greg Belanger, vice-president van beveiligingstechnologieën bij CBRE, 's werelds grootste commerciële vastgoeddiensten en investeringsmaatschappij, is het beveiligen van de onderneming complexer geworden: beveiligingsteams moeten bekend zijn met de bedieningselementen en hardware op nieuwe apparaten, evenals met welke versie firmware is geïnstalleerd en welke kwetsbaarheden aanwezig zijn. Als bijvoorbeeld een verwarmings-, ventilatie- en airconditioningsysteem (HVAC) is aangesloten op internet, vraagt ​​hij zich af: Is de firmware waarop het HVAC-systeem draait kwetsbaar voor aanvallen? Kun je een manier vinden om dat netwerk te doorkruisen en binnen te komen en werknemers van dat bedrijf aan te vallen?

Inzicht in de kwetsbaarheden van ondernemingen is cruciaal om fysieke activa te beschermen, maar investeren in de juiste tools kan ook een uitdaging zijn, zegt Belanger. Kunstmatige intelligentie en machine learning hebben grote datasets nodig om de inzichten effectief te kunnen leveren, legt hij uit. In het tijdperk van cloud-first en industrieel internet der dingen, wordt de perimeter veel vloeiender. Door AI en machine learning toe te passen op datasets, zegt hij: je begint risicopatronen en risicovol gedrag te zien ontstaan.

Een andere prioriteit bij het beveiligen van fysieke bedrijfsmiddelen is het vertalen van inzichten in statistieken die leiders van C-suite kunnen begrijpen, om de besluitvorming te stimuleren. CEO's en leden van raden van bestuur, die steeds beter op de hoogte zijn van beveiliging, kunnen profiteren van geaggregeerde scores voor het beheer van aanvalsoppervlakken. Iedereen wil weten, zeker na een aanval als Colonial Pipeline, zou ons dat kunnen overkomen? Hoe veilig zijn we? zegt Belanger. Maar als uw onderneming in staat is om verdiensten toe te kennen aan verschillende functies, of ze te scoren, dan is het mogelijk om verbetering te meten. Belanger vervolgt: Ons vermogen om de score te zien, op de bedreigingen te reageren en die score vervolgens te verbeteren, is een belangrijke maatstaf.



Daarom is het beheer van aanvalsoppervlakken van cruciaal belang, vervolgt Belanger. We krijgen CBRE eigenlijk zoals een aanvaller dat zou doen, en vaak zijn deze tools geautomatiseerd. We zien dus veel meer dan een hacker individueel zou zien. We zien onze hele omgeving.

Deze aflevering van Business Lab is geproduceerd in samenwerking met Palo Alto Networks.

Volledig transcript

Laurel Ruma: Van MIT Technology Review, ik ben Laurel Ruma, en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen. Ons onderwerp van vandaag is het beveiligen van fysieke activa. Uiteraard is er veel aandacht geweest voor het cybergedeelte van cyberbeveiliging, maar ondernemingen hebben ook fysieke activa, waaronder olie- en gasinfrastructuur, productiefaciliteiten en onroerend goed. Wanneer je overal fusies en overnames, onbeperkte cloudinstanties, IoT-sensoren en apparaten bij gooit, kan het aanvalsoppervlak van een bedrijf breed, kwetsbaar en grotendeels onbekend zijn.

Twee woorden voor jou: gekaapte liften.



Mijn gast is Greg Belanger, vice-president beveiligingstechnologieën bij CBRE. CBRE is 's werelds grootste dienstverlener op het gebied van commercieel vastgoed en beleggingsondernemingen, met meer dan 100.000 medewerkers wereldwijd.

Deze aflevering van Business Lab is geproduceerd in samenwerking met Palo Alto Networks.

Welkom, Greg.



Greg Belanger: Hallo.

Laurier: Om te beginnen wordt vaak gezegd dat elk bedrijf een technologiebedrijf is. Dus hoe speelt cybersecurity een rol binnen commercieel vastgoed? Fysieke beveiliging is waarschijnlijk iets waar de meeste mensen bekend mee zijn, maar hoe zit het met systemen, sensoren en data?

Greg: CBRE is de afgelopen vijf jaar op een digitale transformatiereis geweest in afwachting van de veranderende markt. Vroeger dacht niemand aan commercieel vastgoed als een software- of technologiebedrijf, maar daar brengen we verandering in. We kijken naar wat er is gebeurd met andere industrieën zoals Uber. Wat Uber met taxi's heeft gedaan en Airbnb met hotels, daar willen we zeker van zijn dat CBRE daarin voorop loopt. Dus hebben we besloten om onszelf te ontwrichten en om te vormen tot een technologiebedrijf. Wij zijn een commercieel vastgoedbedrijf met technologie en data als onderscheidende factoren. Met dat alles is er veel meer innovatie, toepassingen, migratie naar de cloud en slimme bouwtechnologieën. Het leiderschap van CBRE wist al vroeg dat we een geavanceerde cyberbeveiligingscapaciteit nodig hadden om onze klanten wereldwijd te beschermen in het nieuwe tijdperk. Dus het waarborgen van de veiligheid van onze software en het beschermen van onze gegevens zijn jaar na jaar topprioriteiten voor dit bedrijf.

Laurier: Dat is heel interessant, want je hebt gelijk. Mensen denken niet per se na over hoe een vastgoedbedrijf een technologiebedrijf zou kunnen zijn. Zijn het vijf moeilijke jaren geweest? Denk je dat het een tijdje heeft geduurd voordat mensen het belang en de urgentie van deze digitale transformatie begrijpen?

Greg: Het zijn vijf geweldige jaren geweest. Het was zeker een verandering voor hen, maar er werd veel veranderd door de zachte kant van het huis. Dus veranderen van een commercieel vastgoedbedrijf naar een bedrijf dat commercieel vastgoed en software gebruikt om die gebouwen te runnen, om de gegevens die we over mensen hebben te benutten, dat is ook een grote verandering geweest. Ze hebben niet alleen de beveiliging veranderd, maar ze zijn ook overgestapt op praktijken als flexibele softwareontwikkeling, mobiele technologie en dergelijke. Beveiliging was gewoon een nieuwe laag die bovenop de reeds bestaande wijziging werd toegevoegd. Daarom hadden we geen CIO. We hadden een chief digital transformation officer aan het roer.

Laurier: Dat is een interessante opzet, want dan wordt cybersecurity gewoon volledig geïntegreerd in wat je ook doet. Het wordt niet beschouwd als een afzonderlijke add-on.

Greg: Absoluut. Ik was eigenlijk aangenomen als vice-president van devSecOps, dat beveiliging integreerde in al deze flexibele softwareontwikkelingspraktijken. Beveiliging was gericht op waar we vijf jaar geleden waren: wanneer u klaar bent om live te gaan, zullen we u testen en u vertellen of u al dan niet naar productie mag gaan. Nu werken we nauw samen met onze ontwikkelaars als partners, en we proberen zo ver mogelijk naar links te schuiven. Dus testen uitvoeren en ze ontwerpideeën geven, bedreigingsmodellering, dat soort dingen om te proberen en ervoor te zorgen dat de software die ze vrijgeven, klaar is om op de eerste dag te gebruiken.

Laurier : Gewoon om mensen inzicht te geven in wat devSecOps is, dus devOps is een praktijk van continue softwareontwikkeling met een focus op IT-operaties, en dan voeg je beveiliging toe. Dus dan haal je eigenlijk al deze teams erbij om betere software voor het bedrijf in het algemeen te bouwen en het ook te beschermen.

Greg: Absoluut gelijk. De sleutel daarvoor is dat we de beveiliging zo geautomatiseerd mogelijk wilden maken. Als je aan devOps denkt, kost het veel van dat proces van het bouwen van software en het implementeren van software en het voortdurend doen. We wilden ervoor zorgen dat de beveiliging in datzelfde licht stond. Toen u zich klaarmaakte om software te ontwikkelen en software te migreren, was die beveiliging bij de belangrijkste stappen betrokken.

Laurier: Ik had ooit een huiveringwekkend gesprek met een directeur over gekaapte liften. Kun je onze luisteraars enkele voorbeelden geven van specifieke cyberbeveiligingsproblemen waarmee gebouwen en vastgoeddiensten te maken kunnen krijgen die anders zijn dan bijvoorbeeld een Uber?

Greg: Absoluut. Gekaapte liften, gebouwbeheersystemen, HVAC-systemen zijn allemaal een punt van zorg. Je hoort veel over deze dingen in het nieuws, iets dat we persoonlijk hebben meegemaakt. We kijken naar het ontwikkelen van mobiele applicaties die je op je telefoon kunt insluiten en vervolgens dingen als Bluetooth Low Energy kunt gebruiken om daadwerkelijk deuren naar onze gebouwen te openen. Dus als je aan fysieke beveiliging denkt, is er nu een raakvlak met informatietechnologie en het industriële internet der dingen. We hebben zelfs een applicatie ontwikkeld waarmee een medewerker binnen kan komen en zijn telefoon kan gebruiken om een ​​deur te ontgrendelen, om toegang te krijgen tot zijn werkplek.

Als je ooit ergens hebt gewerkt dat zo groot is dat ze je een kaart moeten geven om van de ene plaats naar de andere in een kantoor te gaan, hebben we zogenaamde waypoint-technologieën ontwikkeld waarmee gebruikers met deze mobiele applicatie kunnen navigeren tussen waar ze zich bevinden. zitten en waar de vergaderruimte was en geef ze onderweg feedback. Dat gebeurt allemaal via Bluetooth en integraties in mobiel. Dat moeten wij als beveiligingsprofessionals borgen.

We moesten kijken naar dit mobiele apparaat, dat was verbonden met een sensor, en die sensor was verbonden met een gateway, en die gateway was verbonden met internet, maar hoe werkte dat allemaal? Hoe zijn gegevens binnengekomen? Hoe is het eruit gekomen? Zorg ervoor dat die apparaten zich op afzonderlijke, gesegmenteerde netwerken bevinden. Dat zijn allemaal kritische zorgen voor ons. We hebben ook penetratietests uitgevoerd op deze applicaties en apparaten om er zeker van te zijn dat ze veilig waren.

We kijken naar alle risico's van deze nieuwe technologieën als onderdeel van onze moderne vaardigheden, en we kijken naar softwareontwikkelaars. Ze maken deze technologieën, en infrastructuurteams houden ze tegen, terwijl we proberen de onderneming te beveiligen.

Laurier: Iets meer over penetratietesten of pentesten — toen probeerde u eigenlijk te zien hoe veilig uw netwerk en omgeving zijn?

Greg : Dat is juist. We betalen mensen om te proberen in te breken. Hacken is geen misdaad. We proberen ethische hackers te betalen om in onze systemen in te breken om ons te vertellen waar slechteriken, echte slechteriken, manieren kunnen vinden om onze systemen te laten exploderen.

Laurier: We hebben het dus echt over iets dat verder gaat dan een slim gebouw. Als we kijken naar de recente cybersecurity-inbreuken, bijvoorbeeld de hack van de waterzuivering in Florida, dan zien we dat de oppervlakte van een gebouw of een bedrijf eigenlijk vrij breed is en misschien plekken laat zien die niet het meest voor de hand liggend zijn voor mensen of pentesten of onethische hackers om daadwerkelijk een gebouw of bedrijf binnen te dringen.

Greg : Dat is juist. Het is een relatief nieuw vakgebied. Er zijn een aantal geweldige bedrijven die naar deze operationele technologie (of OT) kijken om te proberen een pentest uit te voeren om te ontdekken welke kwetsbaarheden er zijn. Het is een andere discipline. U moet bekend zijn met sommige bedieningselementen of sommige hardware die deze omgevingen besturen, wat voor soort firmware op die apparaten wordt gebruikt en wat voor soort kwetsbaarheden er in die firmware aanwezig zijn.

Het is iets anders dan de IT-penetratietest of dingen die we normaal gesproken begrijpen als stuurprogramma's en bibliotheken waarin ook kwetsbaarheden kunnen zijn ingebouwd. Voeg daar nog aan toe, er zijn nu touchpoints. Dus als je een HVAC-systeem hebt dat is verbonden met internet, is de firmware waarop het HVAC-systeem draait dan kwetsbaar voor aanvallen? Kun je een manier vinden om dat netwerk te doorkruisen en binnen te komen en werknemers van dat bedrijf aan te vallen? Dat zijn dus enkele belangrijke zorgen voor ons.

Laurier: Het hebben van de juiste tools om een ​​onderneming te verdedigen is ook een uitdaging, aangezien de beveiliging zich blijft ontwikkelen om verschillende tegenbedreigingen het hoofd te bieden. Een deel daarvan is misschien meer geautomatiseerd, zoals kunstmatige intelligentie, maar wat cruciaal is, is het begrijpen van de kwetsbaarheid van uw onderneming, toch? Dus het mogelijke aanvalsoppervlak van je hele bedrijf, correct?

Greg: Absoluut. Kunstmatige intelligentie en machine learning hebben grote datasets nodig om de inzichten effectief te kunnen leveren. In het tijdperk van cloud-first en industrieel internet der dingen (IIoT), wordt deze perimeter waarover u informatie probeert te krijgen veel vloeiender. Traditioneel was de perimeter goed gedefinieerd. Het was gehard tegen aanvallen, maar nu met cloud-instanties kunnen IIoT-apparaten op uw netwerk verschijnen en zonder veel waarschuwing worden blootgesteld aan internet. Zelfs in het tijdperk van traditionele perimeterdagenverdediging, was het een moeilijke taak om uw bedrijf als een aanvaller van buitenaf te zien.

Nu hebben we modernere tools die deze systemen niet alleen in realtime aan de oppervlakte brengen, maar u ook waarschuwen voor de kwetsbaarheden die van invloed kunnen zijn op uw scores. We zien zaken als schaduw-IT, verkeerd geconfigureerde IoT-apparaten, cloudsystemen, naast veel meer inzicht in wat er in onze kantoren wereldwijd gebeurt. Als je AI-machine learning toepast op die dataset, begin je patronen van risico en risicovol gedrag te zien ontstaan.

Laurier: Als je outside-in beschouwt, hoe kijk je daar dan naar - als een buitenstaander die naar je bedrijf kijkt en naar mogelijke gebieden om te exploiteren?

Greg: Het concept van sommige van deze tools voor het beheer van aanvalsoppervlakken is dat ze ons dezelfde zichtbaarheid geven als iedereen op internet voor ons bedrijf. Het is moeilijk om ons bedrijf in zijn totaliteit te zien. Als u denkt aan een bedrijf ter grootte van CBRE, waar zijn dan al uw digitale activa? Weet u zeker dat iemand geen website heeft opgezet bij een cloudhostingprovider, bijvoorbeeld in Zuid-Afrika, en vervolgens uw logo en uw naam heeft gebruikt en het voor een of ander onschadelijk marketingdoel heeft gebruikt, maar dat kan nog steeds impact hebben op je merk? Dat soort dingen komen niet altijd aan de oppervlakte via de normale tools die we hebben om onze bekende omgeving te scannen.

Dus kijkend naar het beheer van aanvalsoppervlakken, gaan we erop uit en identificeren we al deze activa die mogelijk verband houden met CBRE. Dan is de andere taak voor ons om deze activa te bekijken en ze daadwerkelijk te correleren met identiteit, de CBRE IP-ruimte. We krijgen dus eigenlijk zicht op CBRE zoals een aanvaller dat zou doen, en vaak zijn deze tools geautomatiseerd. We zien dus veel meer dan een hacker individueel zou zien. We zien onze hele omgeving.

Laurier : Dus zo meet je je aanvalsoppervlak.

Greg: Precies.

Laurier: Je probeert alles te vinden wat je maar kunt vinden. Sommige organisaties gebruiken deze inventaris als statistiek, zoals hoe snel het werkelijk duurt om al uw activa te meten om een ​​volledige inventaris van activa te maken en deze vervolgens te vergelijken met wat de aanvallers zien? Zoals je al zei, kan een aanvaller maar één ding zien, maar aanvallers werken vaak als een team, zoals we dit onlangs zagen met de exploit van de Colonial Pipeline. Dus hoe geeft dit bedrijven een voorsprong?

Greg: Het is een reis. Wanneer u begint met het beheer van aanvalsoppervlakken, moet u kijken naar het platform van uw keuze dat veel activa zal identificeren die al dan niet verband houden met uw bedrijf. Dus het eerste waar u naar gaat kijken, is welk percentage van de activa hebben we positief geïdentificeerd als onze activa? De eerste statistiek is: hoeveel heb je er ontdekt? Hoeveel hebben we er geïdentificeerd? Wat moet er nog gebeuren? Van daaruit zijn we persoonlijk verder gegaan met het bekijken van onze volgende vijf grote onderwerpen. Dus dingen als: Heeft onze tool voor het beheer van aanvalsoppervlakken verlopen certificaten onthuld, cloudaccounts waarvan we ons misschien niet bewust waren? Hebben we malware gedetecteerd die uit een van onze points of presence komt?

Ik zal je een voorbeeld geven: we hadden een geval waarin ze malware ontdekten die uit een van onze kantoren in Europa kwam, en dus kwamen we onmiddellijk in actie. We hebben geprobeerd vast te stellen welk bezit het was. Voor het leven van ons konden we niet identificeren welk bezit dat was. We hebben de asset-tag bekeken. Het was een laptop, maar die hadden we niet op ons netwerk. Het was niet gekoppeld aan een gebruiker. Daardoor kwamen we erachter dat ons gastnetwerk uit hetzelfde point of presence kwam van dat kantoor, en dat was dus iets. Het was gelukkig geen echt malware-incident, maar iemand die te gast was in ons netwerk had iets dat een getroffen asset was.

Dat zijn dus het soort inzichten dat we de afgelopen drie jaar uit het beheer van aanvalsoppervlakken hebben gekregen. Nu willen we geavanceerder worden en kijken naar het samenvoegen van al deze dingen in een totale score, net zoals een kredietscore.

Laurier : Dat is verbazingwekkend, je zou snel in actie kunnen komen als je merkt dat er iets niet klopt in zo'n wereldwijd netwerk. Dit lijkt dringend, toch? Dus hoe vertel je je collega's en leveranciers en alle partners in de hele keten en het ecosysteem eigenlijk hoe belangrijk het is om aanvalsoppervlakbeheer te herkennen? En voor jouzelf, vind je jezelf een pionier of misschien een paradeleider waar je de weg wijst voor veel andere bedrijven om te begrijpen dat dit soort technologie en manier van denken over beveiliging hier is, alsof het een echte ding?

Greg: Hoe graag ik ook visionair genoemd zou willen worden, ik ben zeker geen visionair, maar dit zijn begrippen die al een tijdje bekend zijn. Ze beginnen nu pas grootschalige acceptatie te krijgen. Toen ik begon te praten over het beheer van aanvalsoppervlakken, was het niet gemakkelijk te begrijpen.

Als je eenmaal hebt uitgelegd wat je aan het doen bent en wat de tools voor het beheer van aanvalsoppervlakken je daadwerkelijk zullen opleveren, kwam dat gloeilamp-moment heel snel. Onze CISO zag meteen de waarde van deze tool in en zei meteen dat we er absoluut voor moeten zorgen dat we al onze activa identificeren. Wat kunnen we nog meer uit deze systemen halen? Het was geweldig. We zagen schaduw-IT. We zagen cloudaccounts waarvan we niet wisten dat ze bestonden. We zagen verkeerd geconfigureerde apparaten of certificaten die op het punt stonden te verlopen. Dus de waarde daarvan wordt meteen duidelijk, maar het is iets dat een beetje uitleg vereist.

Laurier: Dus als je het hebt over de geaggregeerde score voor beheer van aanvalsoppervlakken, klinkt dat als iets dat een beetje begrijpelijker is voor een bestuur en verschillende CEO's en andere leidinggevenden. Je kunt dus zeggen dat we verbeteren, of dat we het dit jaar of kwartaal niet zo goed doen als we de scores één voor één bekijken. Denkt u dat deze telling, of manier om een ​​scorekaart naar de beveiliging te brengen, die discussie met CEO's, leidinggevenden en besturen in het algemeen zal helpen?

Greg : Absoluut. Het is al lang een moeilijkheid. Iedereen wil weten, zeker na een aanval als Colonial Pipeline, zou ons dat kunnen overkomen? Hoe veilig zijn we? Wat is onze score, of is er een statistiek die u me kunt geven om me te vertellen of ik al dan niet veilig ben, of dat ons programma effectief is? Vaak geven we ze verschillende statistieken. Hier zijn alle kwetsbaarheden die we hebben. Dit zijn de malware-instanties die we hebben gedetecteerd en opgeschoond. Hier zijn alle beveiligingsincidenten die we elke dag zien. Maar die vertalen zich niet noodzakelijkerwijs in, zijn we veilig? Worden we beter? Zijn er gebieden waarop we ons kunnen concentreren? Dus als we kijken naar het geven van één statistiek, helpt het zeker dat beeld te verduidelijken. Als u kunt uitleggen hoe die statistiek is afgeleid, hoe het een groot aantal factoren was, zoals certificaten, of kwetsbaarheden, of configuratie, en hoe zit het met het totaal van uw applicatie die uw applicatiebeveiligingstests scant?

Als je kijkt naar hoe we al onze kwetsbaarheden met een hoog risico hebben verminderd vanuit het oogpunt van applicatiebeveiliging, dan speelt dat een rol. Dus die formule bedenken, dat is zeker lastig. Het is een uitdaging, en mensen zoals ik in de beveiliging gedijen goed bij dat soort uitdagingen. Maar dat is zeker waar ik de CEO's en raden van bestuur zie die zeker meer beveiligingsbewust worden, dat is waar ik zie dat ze die statistiek willen hebben. Ze willen een score zien die hen een gerust gevoel geeft dat we het beter doen, en dit is niet iets statisch. Het is niet iets dat altijd zal verbeteren, want er komen steeds nieuwe kwetsbaarheden, nieuwe aanvallen en die score zal veranderen. Maar ons vermogen om de score te zien, op de bedreigingen te reageren en die score vervolgens te verbeteren, is een belangrijke maatstaf voor ons.

Laurier: Heb je het gevoel dat raden van bestuur en uitvoerende teams steeds meer beveiligingsbewust worden? Ik bedoel, het is toch onmogelijk om niet bijna elke week de krantenkoppen te zien van de ene of de andere inbreuk, maar filtert dat erdoorheen?

Greg: Ja. Ik weet persoonlijk dat we voor ons altijd een jaarlijkse lijst met prioriteiten krijgen van onze CEO en onze raad van bestuur. Sinds ik nu bij mijn bedrijf bij CBRE werk, is het elk jaar onze nummer één of nummer twee prioriteit. Het is dus een topprioriteit, omdat ze de krantenkoppen zien.

Zoals elke beveiligingsprofessional je zal vertellen, krijgen we elke keer als er iets uit kwetsbaarheid komt, een nuldag, een aanval zoals Colonial Pipeline, allemaal dezelfde vraag. Zou dat hier kunnen gebeuren? Lopen we risico? Dus dat soort dingen houden ons bestuur absoluut bezig. Wat voor mij interessant is, is dat de raden van bestuur nu leden willen binnenhalen die zelf beter op de hoogte zijn van beveiliging, en ze stellen moeilijke vragen. Wat doet u aan deze kwetsbaarheden? Hoe snel kun je patchen? Wat is uw tussentijd tussen kwetsbaarheid en patchen?

Dit zijn dingen die rechtstreeks spreken met onze professionele beveiligingstaal. Zeker, ze zijn zeer relevant voor ons, maar ze zijn zeker directer en meer betrokken, en ze geven het bestuur een gevoel van troost dat iemand aan hun kant die de veiligheidstaal spreekt.

Laurier : Ik bedoel, dat is wat je wilt zien, toch? Het is duidelijk dat de prioriteiten van het bestuur enorm zijn, en een daarvan is om winst te maken, maar de andere is om geen winst te verliezen, en een cyberbeveiligingsaanval kan dat schaden. Zorg er dus voor dat je de taal van het hele bedrijf spreekt.

Greg : Absoluut.

Laurier : U sprak een beetje over hoe aanvalsoppervlakbeheer u dit inzicht geeft om te weten dat de computer zelf malware bevat, maar het netwerk nog niet heeft aangetast. Zijn er nog andere inzichten die u hebt gezien in software voor het beheer van aanvalsoppervlakken die u zojuist hebben verrast of u hebben doen beseffen hoe belangrijk het was om deze mogelijkheid te hebben?

Greg : Ja. Zoals veel grote bedrijven voeren wij jaarlijks een pennentest uit. Dat wil zeggen, we huren iemand van buiten ons bedrijf in om ons aan te vallen zoals een slechterik zou doen. Dit geeft ons een idee van hoe ver ze kunnen gaan. Het verschil met daadwerkelijke aanvallen en deze bedrijven die we inhuren, is dat we ze een vaste tijdslimiet geven. We zeggen: 'Je hebt zes weken om in te breken en zo ver mogelijk bij onze omgeving te komen', en we geven ze de voorwaarden voor engagement. Je mag deze dingen doen, maar deze andere dingen niet.

In de jaren dat we aanvalsoppervlakbeheer hebben toegepast, is het geweldig om deze aanvallen te zien. Ze komen terug en geven je week na week een uitlezing, dit is wat we zien, dit zijn de dingen die we hebben uitgebuit. We kunnen veel van dezelfde dingen zien die zij kunnen zien.

Dit jaar wezen ze bijvoorbeeld op een website die in Zuid-Afrika wordt gehost. Ze zeiden dat het dit framework gebruikt en het lijkt op deze hostingprovider te zijn. Er lijken geen kwetsbaarheden te zijn, maar we vallen het aan en kijken of we er niet in kunnen breken. Is dat je IP? Ja ja het is. We zijn ons daarvan bewust via onze tool voor het beheer van aanvalsoppervlakken. We zijn op de hoogte van de aanvraag. We kunnen het niet per se veilig stellen omdat we er niet tegen opgewassen zijn. Het maakt deel uit van schaduw-IT.

Maar omdat we dat hebben ontdekt, kunnen we nu proberen te achterhalen wie die website precies beheerde, wat ze moeten doen om deze te beveiligen, of ze deze al dan niet in onze plooi moeten brengen en hosten met onze standaard zakelijke IT-hostingproviders, dat soort dingen.

Dus het is van onschatbare waarde geweest vanuit het oogpunt van het zien als een pentest, we kunnen veel van dezelfde dingen zien die onze penetratietesters zien door middel van ons aanvalsoppervlakbeheer. Dus dat was geruststellend om te weten dat we ogen en ogen hebben voor dezelfde dingen die een aanvaller zou doen.

Laurier : Als u daarover praat, hoe helpt het uw beveiligingsteam dan om succesvoller te zijn in het afweren van aanvallen? Hoe helpt ASM of Attack Surface Management daarbij?

Greg : Zichtbaarheid is de naam van het spel vanuit een beveiligingsperspectief. We wilden alles in onze omgeving kunnen zien. Dan ga je een stap verder en zeg je, goed, nu we alles kunnen zien, wat voor soort gedrag zien we uit deze activa? Dat was de volgende stap, in samenwerking met onze partner in het beheer van aanvalsoppervlakken, om het gedrag van deze activa te zien, ongeacht of ze aangeven dat er misschien een compromis is of dat er een soort van kwetsbaarheid was. Het lijkt veel op emissietesten. Dus als je aan je auto denkt en hem meeneemt voor emissietests, sluiten ze een apparaat aan op je uitlaat en zien ze wat er uit je auto komt en geven ze je een voldoende of een onvoldoende.

Aanvalsoppervlakbeheer lijkt daar erg op. Vanuit een gedragsstandpunt zijn we in staat om naar al deze aanwezigheidspunten, al deze internet-IP-adressen te kijken en te zien wat eruit komt. Dat geeft ons enig inzicht in hun gedrag. Dan gaan we nu een stap verder, en we integreren dat allemaal in realtime met onze simkaart, ons beveiligingsincident en gebeurtenisbeheersysteem. Dat wordt 24/7 gemonitord door ons security operations center, zodat wanneer we iets zien dat oploopt tot het niveau van een beveiligingsincident, we daar in realtime op kunnen reageren.

Laurier: Dat is precies wat je wilt doen, de machines veel van het zware werk laten doen, en dan de mensen erbij halen om echt uit te zoeken wat er gebeurt en aan de hand is en het hele bedrijf veilig te stellen.

Greg: Absoluut, ja.

Laurier: Hoe beïnvloedt de bijna alomtegenwoordige acceptatie van cloudservices de manier waarop u denkt over beveiliging en beheer van aanvalsoppervlakken. Of het nu een spin-up-exemplaar is of een lift, het is nog steeds een oppervlak, toch?

Greg: Dat klopt, en het is een belangrijk punt van zorg. Als je nadenkt over het elastische karakter van de meeste cloudserviceproviders, kan veel infrastructuur in enkele minuten worden opgebouwd, en je bent je misschien wel of niet bewust van die infrastructuur, hoe deze is verbonden, welke kwetsbaarheden erin zijn ingebouwd. Aanvalsoppervlakbeheer geeft ons dezelfde zichtbaarheid die een aanvaller zou hebben. Dus als dingen in een stroomversnelling raken, als ze bijvoorbeeld verkeerd zijn geconfigureerd en ze op de een of andere manier gegevens lekken, zelfs metagegevens, in de buurt, hey, ik ben hier, ik ben een webserver. Hier is mijn versie. Hier is mijn nummer, dat een aanvaller een schat aan informatie geeft waarvan we niet per se willen dat ze die zien. Wat voor soort kwetsbaarheden zijn er voor die specifieke webserver en versie, en welke dingen zou ik kunnen blootleggen? Die blootstelling zelf geeft aanvallers ook een houvast. Ze kunnen dat specifieke bezit gaan scannen en kijken naar manieren om bruut te forceren of op de deur te kloppen, zodat ze daadwerkelijk een manier kunnen vinden om in onze omgeving te komen.

Dus vanuit ons perspectief geeft aanvalsoppervlakbeheer ons inzicht in of we naar al onze cloudomgevingen kijken en we ze kunnen vertellen wat we gebruiken en waarvan we ons bewust zijn, dan kunnen ze die controleren op veranderingen in onze houding die naar buiten komen, en kijken of we activa hebben die we niet noodzakelijkerwijs bedoelden om het internet te ontmaskeren, en wat we de wereld vertellen door de blootstelling van die activa. Het is dus zeker een gamechanger voor ons geweest als we nadenken over hoe onze cloudomgeving werkt. Het heeft ons geholpen ervoor te zorgen dat onze cloudomgeving, met uitzondering van zeer specifieke aanwezigheidspunten, grotendeels in dat private cloudnetwerk is opgenomen.

Laurier : Het is een behoorlijk moeilijk jaar geweest voor veel mensen en veel industrieën, maar de weerklank van de pandemie in de commerciële vastgoedsector zal jarenlang, zo niet decennia, doorklinken. Waar denk je anders over met beveiliging vanwege de pandemie?

Greg: Zeker, het eerste waar ik vorig jaar aan dacht toen iedereen thuis werkte, en ik denk dat dit een aantal jaren zo zal zijn, is hoe we mensen beschermen die nu vanuit huis werken? Hoe beschermen we werknemers die met hun gezin op een thuisnetwerk zitten? Hun families hebben mogelijk niet dezelfde beveiligingshulpmiddelen als wij en onze activa kunnen worden blootgesteld. Daarom hebben we gekeken naar zaken als Always On VPN, dat onze medewerkers zal beschermen tegen alles wat er op hun specifieke thuisnetwerk gebeurt. Dat heeft zeker geholpen. We kijken ook naar nieuwe technologieën zoals Secure Access Service Edge, zodat we kunnen proberen al onze tools en technologieën veel dichter bij mensen te brengen die thuis zouden werken of trouwens vanaf elke locatie zouden werken.

Tot slot, ik denk dat het een enorme nadruk legt op beveiliging als geheel. Er is veel meer bekendheid met dingen die het afgelopen jaar zijn gebeurd en die de behoefte aan een goed cyberbeveiligingsprogramma echt hebben doen toenemen. Het heeft er dus toe geleid dat de toch al slechte situatie voor het vinden van echt goede, betrouwbare beveiligingsprofessionals nog nijpender werd. Het is erg moeilijk te vinden en hun omstandigheden zijn nu anders. Veel beveiligingsprofessionals werken vanuit huis en ze willen die grotere flexibiliteit om thuis verder te werken, een flexibel schema te hebben of vanuit een ander kantoor te werken. Dus het vinden van echt goede mensen is zeker moeilijker na een pandemie.

Laurier : Dat is, denk ik, een probleem, niet alleen voor beveiligingsmensen, maar in het algemeen, omdat mensen de manier waarop ze leven en willen werken veranderen. Iets interessants dat u zei, was gewoon het idee om het thuisnetwerk te beveiligen, wat betekent dat de verantwoordelijkheid van een bedrijf zich begint uit te strekken tot buiten de normaal redelijk goed gedefinieerde gebieden van het bedrijf. Want de realiteit is dat als het huis niet beveiligd is, het netwerk niet beveiligd is, en dan is uw werknemer niet beveiligd.

Greg : Dat klopt helemaal. Als je erover nadenkt, hebben we enige kennis van wie onze meest aangevallen mensen zijn. We kennen een aantal van de mensen die vaker het doelwit zijn, hetzij omdat ze een of andere leidinggevende zijn, of omdat ze binnen een leidinggevende hebben gewerkt, of omdat ze zich in een positie bevinden, bijvoorbeeld in de juridische of financiële sector waar een aanvaller misbruik van kan maken. die posities om fraude te plegen.

Nadenken over hoe we die mensen beschermen wanneer ze vanuit huis werken, is een belangrijke zorg voor ons. Deze Always On VPN, het was een uitdaging om dat overal uit te rollen, maar we hebben het in korte tijd gedaan. Nu hebben we dezelfde beveiliging voor al onze medewerkers, of ze nu wel of niet thuis zijn, of ze nu op kantoor zijn of in een coffeeshop. Ik denk dat dat zeker een behoorlijk risico heeft gemitigeerd.

Laurier : Greg, heel erg bedankt dat je vandaag bij ons bent gekomen in wat een fantastisch gesprek was op het Business Lab.

Greg: Dank u. Ik waardeer het echt.

Dat was Greg Belanger, vice-president van beveiligingstechnologieën bij CBRE, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review, met uitzicht op de Charles River. Dat was het voor deze aflevering van Business Lab. Ik ben je gastheer Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology en je kunt ons elk jaar in gedrukte vorm, op het web en op evenementen over de hele wereld vinden.

Ga voor meer informatie over ons en de show naar onze website op technologyreview.com. De show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vindt, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen. Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next. Bedankt voor het luisteren.

Deze podcastaflevering is geproduceerd door Insights, de afdeling voor aangepaste inhoud van MIT Technology Review. Het is niet geproduceerd door de redactie van MIT Technology Review.

zich verstoppen