211service.com
Naarmate cyberbeveiliging evolueert, zou uw bestuur dat ook moeten doen
In associatie met Cortex Xpanse door Palo Alto Networks
Maar hoeveel regisseurs verdwalen in de technische details van technologie? De uitdaging voor een Chief Information Security Officer (CISO) is om met de raad van bestuur te praten op een manier die zij het bedrijf kunnen begrijpen en ondersteunen.
Het wordt in de hoofden van raad van bestuur en de C-suite geboord door enge koppen over datalekken, advocaten, rechtszaken en risicomanagers: cyberbeveiliging is een hoog risico. Het moet op de lijst van de topprioriteiten van een bedrijf staan.
Niall Browne, senior vice president en chief information security officer bij Palo Alto Networks, zegt dat je de discussie in het CISO-bestuur kunt zien als een klassiek verkooppraatje: succesvolle CISO's weten hoe ze de deal moeten sluiten, net als de beste verkopers. Dat is wat een echt goede verkoper maakt: de persoon die de pitch heeft om af te sluiten, zegt hij. Ze hebben de mogelijkheid om de deal te sluiten. Dus ze vragen om iets.
Volgens Browne hebben CISO's al eeuwenlang twee grote problemen met boards. Ten eerste hebben ze niet dezelfde taal kunnen spreken, zodat het bestuur kon begrijpen wat de problemen waren. Het tweede probleem: er was geen vraag. Je kunt voor een bord gaan en je presentatie geven, en de directeuren kunnen eruitzien alsof ze het eens zijn, knikken of hoofdschuddend, en je kunt bij jezelf denken: Klus gedaan. Ze zijn bijgewerkt. Maar dat betekent niet noodzakelijk dat de beveiligingshouding van het bedrijf beter is.
Daarom is het belangrijk voor CISO's om het begrip van de raad van bestuur te verhogen tot het niveau waarop ze weten wat er nodig is en waarom. Vooral als het gaat om nieuwe ontwikkelingen op het gebied van cyberbeveiliging, zoals het beheer van aanvalsoppervlakken, wat waarschijnlijk een van de gebieden is waar CISO's zich het minst op richten en toch het belangrijkste, zegt Browne. Vaak kunnen de CISO en het beveiligingsteam bijvoorbeeld door de bomen het bos niet meer zien omdat ze er zo bij betrokken zijn. En om dat te doen, hebben CISO's een set metrieken nodig, zodat iedereen een bordspel kan lezen en binnen enkele minuten kan begrijpen wat de CISO probeert over te brengen, zegt Browne. Omdat de gegevens er voor het grootste deel zijn, maar er zit geen context achter.
Deze aflevering van Business Lab is geproduceerd in samenwerking met Palo Alto Networks.
Vol vertaling :
Laurel Ruma : Van MIT Technology Review, ik ben Laurel Ruma, en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.
Ons onderwerp van vandaag is cyberbeveiliging en bedrijfsverantwoordelijkheid. In de afgelopen jaren is cyberbeveiliging een zorg op directieniveau geworden met een beschadigde reputatie, verloren inkomsten en enorme hoeveelheden gestolen gegevens. Naarmate het aanvalsoppervlak groter wordt, zullen chief information security officers steeds meer verantwoordelijkheid krijgen om te weten waar ze de volgende aanval kunnen verwachten en hoe ze moeten uitleggen hoe deze is gebeurd.
Twee woorden voor jou: zichtbaarheid van buiten naar binnen.
Mijn gast is Niall Browne, senior vice president en chief information security officer bij Palo Alto Networks. Niall heeft tientallen jaren ervaring in het beheren van wereldwijde beveiligings-, compliance- en risicobeheerprogramma's voor financiële instellingen, cloudproviders en technologieservicebedrijven. Hij zit in de CISO-adviesraad van Google.
Deze aflevering van Business Lab is geproduceerd in samenwerking met Palo Alto Networks.
Welkom, Niall.
Niall Browne : Excellent. Bedankt, Laurel, dat je me hebt.
Laurier : Dus als Chief Information Security Officer of CISO ben je verantwoordelijk voor het beveiligen van zowel de producten van Palo Alto Networks als het bedrijf zelf. Maar u beveiligt niet zomaar een oud bedrijf; u beveiligt een beveiligingsbedrijf dat andere bedrijven beveiligt. Hoe is dat anders?
Niall : Ja, dus ik denk dat het mooie van Palo Alto Networks is dat we het grootste cyberbeveiligingsbedrijf ter wereld zijn. We krijgen dus echt te zien wat heel veel bedrijven nooit te zien krijgen. En als je erover nadenkt, is een van de belangrijkste dingen: kennis is macht. Dus hoe meer je weet over je tegenstanders, wat ze doen, welke methoden ze proberen op het netwerk, wat de controles zijn die werken en wat de controles zijn die niet werken, hoe beter je je eigen interne strategie om te helpen beschermen tegen die voortdurende aanvallen. En u bent in een veel betere positie om die gegevens aan het bestuur te kunnen verstrekken, zodat zij kunnen garanderen dat het juiste toezicht aanwezig is.
Dus zeker voor ons, met dat kennisniveau van wat we in onze netwerken te zien krijgen, geeft dat ons echt de mogelijkheid om continu te innoveren. Dus onze producten nemen en daar continu op voortbouwen, zodat we kunnen voldoen aan de eisen van de klant en vervolgens aan de eisen van de industrie. Dus ik denk dat dat waarschijnlijk het eerste deel is. Het tweede deel is, we zitten echt samen in deze boot. Een deel van mijn werk is dus voortdurend praten met individuen in de branche en collega-CISO's, CTO's, CIO's en CEO's die praten over cyberbeveiligingsstrategie. En steevast zult u merken dat dezelfde problemen die zij hebben, exact dezelfde problemen zijn als wij. Dus voor ons is het echt de kans om te delen, hoe zorgen we ervoor dat we continu kunnen innoveren, een verschil kunnen maken in de industrie en echt continu kunnen samenwerken met marktleiders. Vooral gericht op hoe we ons bedrijf beveiligen en best practices bieden over hoe wij bedrijven veiliger kunnen zijn?
Laurier : Dus sommige mensen zullen misschien verbaasd zijn dat samenwerking en dit soort open delen van kennis zo wijdverbreid is, maar dat zou niet zo moeten zijn, toch? Want hoe ga je anders allemaal collectief verdedigen tegen de onbekende aanvallers?
Niall : Goede vraag. En als je het aan de andere kant van het hek bekijkt, zijn hackers continu aan het delen. Hoewel ze delen voor financieel gewin. Met andere woorden, ze zullen gegevens stelen en ze zullen het doorverkopen en doorverkopen en doorverkopen en doorverkopen. Hackers delen die gegevens voortdurend, inclusief doe-het-zelf-toolkits. En aan de beveiligingskant van het huis, is er altijd historisch gezien die achterdocht. Met andere woorden, ik ben de enige persoon die dit probleem uniek heeft. En als ik dit probleem deel, zullen ze denken dat ik het niet goed doe of dat het bedrijf het niet goed doet, of dat ik de enige persoon ben met dit specifieke probleem. En wat er in de loop van de tijd gebeurde, is dat CISO's niet veel gegevens deelden, wat betekent dat de hackers gegevens links en in het midden deelden. Maar aan de CISO-kant van het huis, aan de beschermingskant, was er heel weinig samenwerking, wat betekende dat je nu beperkte gedeelde best practices in de branche had.
Elke CISO zat in zijn eigen silo, in zijn eigen pijler, en deed zijn eigen unieke ding, en iedereen leerde van zijn eigen fouten. Het was dus echt een één-op-één-model. Je maakt een fout en dan maak je nog een fout, en dan maak je nog een fout. Als je echter met je collega zou kunnen praten, stel je voor in zaken of financiën, dan praat je voortdurend met de CTO en de CFO om te zeggen: Oh, tussen haakjes, hoe heb je die en die kwestie aangepakt? Dus ik zie nu dat de industrie begint te veranderen. CISO's beginnen nu te veranderen en delen. Ze hebben het continu over strategie. Ze hebben het er voortdurend over hoe ze hun omgeving beschermen? Ze hebben het over, wat zijn enkele van de goede bedrijfsmodellen die werken?
En als je naar MIT kijkt, zijn er industrie- en technische en bedrijfsmodellen die echt werken in andere industrieën. Maar als je dan in de CISO-gemeenschap zelf kijkt, denk je: wat zijn die best practices in de branche? En nu beginnen ze pas een beetje geformuleerd te worden, vanaf daar opborrelen. En wat ik zie, zeker in de afgelopen, ik zou zeggen drie of vier jaar, is er een enorme groei bij de CISO's met betrekking tot het leren van best practices uit de industrie en het echt verbeteren van hun vaardigheden. Dus ze zijn gewoon niet die technische nerd in de hoek. Ze moeten echt over zakelijke technologie kunnen praten, over zakelijke termen kunnen praten en echt gezien kunnen worden als die naaste collega van die CTO, de CIO, de CEO met betrekking tot het oplossen van zakelijke problemen.
Want als je erover nadenkt vanuit een cyberbeveiligingsperspectief, is het uiteindelijk gewoon een zakelijk probleem. En als het een zakelijk probleem is, moet u strategische bedrijfsoplossingen toepassen om die problemen op te lossen. In plaats van te praten over welke versie van antivirus je gebruikt, moet je het gesprek echt naar een hoger niveau tillen, zodat, wanneer je met het bestuur spreekt, wanneer je met dezelfde C-level executive spreekt, ze niet hun ogen in de lucht. Ze begrijpen dat u dezelfde zakelijke taal spreekt als zij. Wat, nogmaals, betekent dat als je een vertrouwde zakenpartner bent, je enorm veel meer verschil kunt maken in het bedrijf, in plaats van gezien te worden als die junior IT-leider in de organisatie waar alleen iemand naar toe komt als we worden gehackt of als een back-up mislukt, of als een Mac kapot is.
Laurier : Ik hou echt van die analogie... de groei van de functie zelf. Zoals je al zei, het verheft deze rol eigenlijk naar de bestuurstafel omdat het een zakelijk probleem is met een mogelijke zakelijke oplossing. Maar hoe kunnen besturen dan op hun beurt betere beslissingen nemen? Je zult dan ook wat gegevens en informatie moeten meenemen en iets om het bestuur te helpen, samen met alle andere beslissingen die ze in het hele bedrijf moeten nemen.
Niall : En dat is het belangrijkste, is dat de meeste mensen, als ze ernaar kijken, klassieke verkoop zijn. U kunt de beste verkoper in de branche hebben, maar tenzij ze de close hebben, en de close is de vraag. Hier is een geweldig product en ik wil dit product verkopen, d.w.z. deze auto voor, laten we zeggen, $ 50.000. En dan, aan het einde van het verkooppraatje, ga je de auto kopen? En dat is wat een echt goede verkoper maakt, de persoon die de pitch heeft om af te sluiten. Ze hebben de mogelijkheid om de deal te sluiten. Dus ze vragen om iets. Dus ik denk dat CISO's eeuwenlang twee grote problemen hadden met het bestuur. Een daarvan is dat ze niet in staat waren om de juiste gegevens aan het bestuur te rapporteren en dezelfde taal spraken waarin het bestuur zou kunnen begrijpen wat de problemen waren.
En dan twee, er was geen vraag. En dat is erg belangrijk, want als je naar een bord gaat en je presenteert en iedereen knikt en schudt zijn hoofd en begrijpt het, dan weet je zeker dat je ze hebt bijgewerkt, maar de beveiligingshouding is er niet beter op. En als je kijkt naar een klassiek bestuur, elk bestuur zelf, ze zijn er natuurlijk op een heel, heel hoog niveau om het bedrijf te dienen. Dus elk van de bestuursleden of een van de besturen waarmee ik in het verleden heb gewerkt, ze waren zeer bereid om het bedrijf zelf te helpen. Dus ze kijken altijd naar: Nou, je hebt X gepresenteerd, maar hoe kan ik je nu helpen? Dus ik denk dat CISO's er meer van moeten maken om die verkoper te zijn met de afsluiting. Het belangrijkste is, wat is mijn vraag?
En een klassieke bestuursvergadering, ik denk dat dat goed gaat, is, je gaat zitten, je werkt met het bestuur, je laat een kern van statistieken zien. Nu wil je geen statistieken tonen over getallen die absoluut zinloos zijn voor het bord. Als je naar het bord kijkt, heeft het bord een breed scala aan vaardigheden. Sommige bestuursleden kunnen compliance-experts zijn, sommigen kunnen bedrijfsleiders zijn, sommigen kunnen financiële leiders zijn. Dus het gaat er echt om wanneer je met het bestuur communiceert, twee sets van dingen. Een daarvan is het bedenken van een reeks communicatie of statistieken, en het schetsen van de businesscase, zodat iedereen een bordspel kan lezen, en binnen enkele minuten begrijpen ze wat je probeert over te brengen. Dat is van cruciaal belang.
En dan is er nog een tweede deel, het is geen presentatie. Elke bestuursvergadering moet eindigen met tijd aan het einde voor vragen en antwoorden en voor het vragen. En ik zou zeggen, een goede bestuursvergadering is waarbij je niet eens door het dek gaat. Je deelt het deck van tevoren, ze hebben het gelezen, ze konden je cyberbeveiligingshouding begrijpen door alleen maar naar je deck te kijken. En dan verwijst de bestuursvergadering niet eens naar het dek. Het is een simpele set van vragen, opmerkingen heen en weer en dan de vraag. En de vraag zou kunnen zijn: Luister, kunnen we wat meer focus krijgen op een bepaald gebied zelf of meer middelen? Of misschien hebben ze ook een vraag aan jou. Dus nogmaals, ik denk dat het model echt is, communiceer een kernset gegevens en maak er dan een gesprek van met een gezamenlijke vraag van beide kanten versus het bedenken van een kaartspel met 30 dia's waarvan niemand begrijpt dat je het presenteert en dan ben je op van de bestuursvergadering van daaruit. Dat model werkt gewoon niet, zoals we weten.
Laurier : Ja. Voor niemand, toch? Dus welke specifieke statistieken rapporteer je eigenlijk terug aan het bord en waarom zijn die statistieken belangrijk voor jouw bord of een ander bord?
Niall : Het probleem met elke branche, inclusief cyberbeveiliging, is dat er soms gewoon te veel gegevens zijn. Dus als je kijkt naar industriestandaarden zoals ISO 27001, heb je misschien honderd en iets controles. Als je naar FedRAMP kijkt, heb je 300 iets dat bestuurt. Als je kijkt naar COSO of COBIT. Dus je wilt niet naar het bord gaan met, tussen haakjes, hier zijn 2.000 controles. En dit is hoe we voldoen aan deze 2000 controles. Omdat de gegevens er voor het grootste deel zijn, maar er zit geen context achter. Dus ze vragen zich af of AV op 95% van de eindpunten zit, is dat goed? We scannen elke, laten we zeggen 12 uur, is dat goed? Dus het zijn wat ik noem zinloze statistieken. Ze hebben geen enkel voordeel voor de meeste InfoSec-mensen, laat staan leiders op bestuursniveau. Dus vanuit ons oogpunt splitsen we het op in eenvoudige kernsets van pijlers die we in de loop van de tijd kunnen meten.
En over het algemeen wil je geen set van 25 pijlers hebben, want dat is te veel omdat je niet in staat bent om één versus 25 te meten. Dus intern vestigen we ons over het algemeen in ongeveer vijf belangrijke kerngebieden waar we ons op richten en daar meten we elke keer mee. Dus één is, beveilig onze producten. De meeste organisaties zijn nu zeer, zeer productgericht. Dus producten in de meeste bedrijven worden kritisch, kritisch, kritisch. Dus een ding dat we meten, is hoe we meten? Hoe beschermen we onze producten? En we beoordelen onszelf op een schaal van nul tot vijf, zijnde maximale volwassenheid.
Als je nu echt goede producten hebt, maar ze zitten op een infrastructuur die onveilig is, dan heb je een probleem. Dus de tweede is, onze infrastructuur beveiligen. En de derde is detectie en respons. Dus als je echt veilige producten hebt op een echt veilige infrastructuur, maar niemand kijkt ernaar en niemand meet of controleert de omgeving op aanvallen, dan heb je een probleem. Dus voor ons is de detectiereactie de derde, die van cruciaal belang is.
De vierde is dan mensen. En de mensencomponent, het is absoluut... ik kan dit niet genoeg benadrukken, want als je geen mensen hebt die cyberbeveiliging begrijpen, dan heb je een kernprobleem. In de overgrote meerderheid van de gevallen zijn het mensen die per ongeluk iets in een bedrijf doen, d.w.z. dat ze op een phishing-link kunnen klikken die uw netwerk in gevaar brengt. Dus één ding, wat we het noemen, is street-smart. Dus een van de vier pijlers is: kunnen we mensen zo krijgen dat ze street-smart zijn? Met andere woorden, cybersecurity slim, straat slim. Dus als ze over de weg lopen en ze zien een vreemde er verdacht uitzien, gebruik dan je gevoel. Hetzelfde met cyberbeveiliging. Wat zijn de simpele dingen die ze zouden moeten doen of waar ze dagelijks aan moeten denken om een bedrijf te beschermen?
En dan is de vijfde echt governance. Hoe doen we aan governance en hoe managen we onszelf? En hoe meten we ons succes? Dus als je het daar bekijkt, zijn het vijf eenvoudige pijlers. Het is gewoon product, infrastructuur, detectiereactie, mensen en bestuur. En we meten nul tot vijf voor elk daarvan. Dus dan is het heel gemakkelijk voor het bestuur en voor andere leden om naar te kijken: hoe zijn we in de loop van de tijd trending ten opzichte van die gebieden? Hiermee kun je hoog gaan, met andere woorden, het uitzicht van duizend voet. En als er dan een kwestie van infrastructuur is, kun je kijken naar de meting, de infrastructuurpijler, en dan kun je later beginnen met andere metrics als ze dat willen. Maar echt, dat is de manier waarop we dat verwoorden, hoe we ons beveiligingsprogramma hebben gebouwd. En dat is iets waarvan ik denk dat het heel sterk resoneert met het bestuur, omdat ze ons nu kunnen meten op basis van bekende entiteiten versus betekenisloze statistieken die hen voor het grootste deel niets vertellen.
Laurier : Nu, wat als we dat zouden veranderen? Wat voor soort verantwoordelijkheid heeft het bestuur om slim te zijn en een soort fundamenteel begrip van cyberbeveiliging te hebben? Of neem je dat op je als je eigen persoonlijke verantwoordelijkheid om tijd met elk lid door te brengen om ervoor te zorgen dat ze de basis begrijpen?
Niall : Correct. Dus voor ons is het heel erg een kwestie van een bepaald kennisniveau nemen en vervolgens op die kennis voortbouwen, zodat in ieder geval iedereen op hetzelfde kennisniveau zit. Dus een voorbeeld is, nogmaals, je zou iemand kunnen hebben die dat auditcomité voorzit, die heel, heel technisch of heel, heel nalevingsgericht is. En zij of hij weet misschien alles van besturen... audits en alle kaders. En dat is geweldig. En aan de andere kant heb je misschien iemand die meer op financiën of meer op audits is gebaseerd. En dan is de vraag: hoe werk je aan het verbeteren van ieders vaardigheden?
En er zijn talloze verschillende manieren om dat te doen. Het zijn twee dingen. De ene is één-op-één met ze gaan zitten en vervolgens een gesprek op hoog niveau voeren op, dit is wat we doen. Dit is ons hele beveiligingsprogramma. Dit is hoe het werkt. Zo zag 2020 eruit. Zo ziet 2021 eruit... dus iedereen op hetzelfde niveau krijgen en die relatie opbouwen is heel erg belangrijk.
En we zien voortdurend dat onze bestuursleden ons de hand zullen reiken of we zullen contact met hen opnemen om gegevens te delen, of ze zullen een idee hebben waar we nog niet over hebben nagedacht en we zullen zeggen: 'Nou, dat is echt een goed idee. Laten we dat in ons programma opnemen.' Dus ik denk dat dat heel handig is. En dan is het tweede deel, het gaat allemaal om het vertellen van een verhaal. Dus een verhaal en een verhaal. Dus als je een boek openslaat en je begint aan de beveiligingskant en je begint bij het eindhoofdstuk, nou, dat is niet erg overtuigend. Het is als, wie is Jane? Wie is Judith? Wie is Tim? Wie is Tony? Heeft geen enkele zin.
En vaak gebeurt dat in cyberbeveiligingsrapporten waar het bestuur naar kijkt... en hier is zij of hij die zich presenteert als een CISO en ze presenteren een reeks gegevens en statistieken die ze niet begrijpen en daarom, daar kunnen ze niks mee. Dus we besteden veel tijd aan ons eerste bord, beginnend met een basisset van principes en daarna elk bord, ongeveer elke drie maanden gaan we stapsgewijs meer in detail, terwijl we groeien en terwijl we bouwen dat cybersecurity-deck, krijgen ze ook een beter begrip en een hoger begrip. En dan van hun kant, met dat niveau van begrip, kunnen ze heel gemakkelijk inspringen en zeggen: 'O, tussen haakjes, hier is een gebied waarvan ik denk dat je je erop zou moeten concentreren.'
En in ons bestuur hebben we natuurlijk enkele VC-bedrijven die zeer technisch zijn en die een inslag zullen hebben waarop ze willen dat we ons erop concentreren. Ik wil zeggen: 'Natuurlijk, laten we dat opnemen in ons programma.' Dus ik denk dat ik dit als bestuurscommunicatie zou zien als een zeer heen en weer communicatie. Het mag niet eens per kwartaal gebeuren. Het zou niet dagelijks moeten gebeuren, maar het zou zeker het hele kwartaal moeten gebeuren waarbij een bestuurslid een idee heeft en dat kan je dan verwerken in je best practices.
Nu wil je tegelijkertijd dat het personeel binnen dat bedrijf hun beveiligingsteam operationeel kan leiden. Maar zeker, de inzichten die een bestuurslid kan bieden, zijn in sommige gevallen enorm omdat ze al meerdere jaren in die branche actief zijn. En als onderdeel van dat model zouden ze doorgaans hebben gezien wat andere individuen nog nooit eerder hebben gezien. Bovendien denk ik dat wat van daaruit het meest gunstig is, in cyberbeveiliging, cyberbeveiliging, nogmaals, een zakelijk probleem is en een bedrijfsproces. Dus de meeste van deze bestuursleden zijn uitzonderlijk in het oplossen van zakelijke praktijken. Misschien geen cyberbeveiliging, maar ze kunnen een cyberbeveiligingsprobleem nemen en dat relateren aan een andere best practices van het bedrijf, en die vervolgens gebruiken in cyberbeveiliging.
En eerlijk gezegd denk ik dat dat de beste waarde is die een bord kan bieden. Vaak kunnen de CISO en het beveiligingsteam door de bomen het bos niet meer zien omdat ze er zo bij betrokken zijn. Voor de bestuursleden is het een geweldig soort prisma waarmee ze het van buiten naar binnen kunnen bekijken en inzicht kunnen geven op basis van: 'Nou, wacht even, de manier waarop je dit probleem oplost op basis van cybersecurity door een adviesmodel doen, dat werkt niet of schaalt niet. In plaats daarvan zou je een één-op-veel-model moeten doen, d.w.z. het probleem één keer oplossen en dan wordt het gedeeld met al je kiezers, net zoals de cloud dat doet, software as a service.' Dus die zakelijke inslag, zakelijk perspectief, is iets waar ik echt van geniet om met een bestuur te werken, wat ideeën te delen en dan heen en weer samen te werken. Want nogmaals, ik denk dat hun zakelijk inzicht ongeëvenaard is. En als je cybersecurity simpelweg kunt positioneren als een zakelijk probleem, dan kun je echt heel snel een zeer sterke toename van een samenwerkingsomgeving bouwen.
Laurier : Dus over je eigen upleveling of upskilling gesproken, wanneer herkende je voor het eerst dat aanvalsoppervlakbeheer een aparte nieuwe discipline was waarmee je echt vertrouwd moest raken, je board moest onderwijzen en het vervolgens moest helpen bemannen en plannen?
Niall : Goede vraag. Ik denk dat als ik kijk naar ASM, of het beheer van aanvalsoppervlakken, dat waarschijnlijk een van de gebieden is waar CISO's zich het minst op richten en toch het belangrijkste. En de reden daarvoor is dat als je naar een hacker kijkt, als een hacker je omgeving wil compromitteren, het eerste dat ze zullen doen, is eerst je omgeving leren kennen. Dus een voorbeeld is, als je een inbreker hebt, als ze eenmaal in een woonwijk hebben ingebroken, zal hij of zij vaak ronddwalen in de woonwijk, een kijkje nemen, welke huizen de vuilnisbakken hebben, welke de begane grond hebben ramen die open staan, bij welke geen verlichting aan de voorkant van het huis, bij welke de hond blaft?
Dus je dwaalt langs. Gewoon alles wat je doet is een verkenning. Een korte wandeling langs 20 huizen in een woonwijk. Je kiest er twee uit. Nu heb je twee doelen. Dan kom je later op de avond terug of je komt morgenavond terug en dan breek je in die twee. Gedaan. En nogmaals, je kijkt naar de manier waarop verschillende industrieën het doen. Het is fascinerend, want als je naar één branche kijkt, d.w.z. fysieke beveiliging en dan pas je cyberbeveiliging toe of pas je het toe op het bestuur, dan is er vaak een enorme mate van overeenkomst. En hetzelfde geldt voor cyberbeveiliging: als een bedrijf uw omgeving in gevaar wil brengen, zijn er twee manieren waarop dit over het algemeen zal gebeuren. Een daarvan is dat ze over het algemeen een netwerkscan doen en naar uw bedrijf kijken en ze ontdekken dat u een zwakke beveiliging heeft. En dan draaien ze hun hoofd naar achteren en zeggen ze: 'O, interessant, er staat een achterdeur open. Ik ga me focussen op dit bedrijf.'
Of anders twee, hetzelfde ook, ze doen een verkenning, maar ze weten al wie je bent. En in dit geval willen ze zoveel mogelijk leren, zodat ze je diep in je netwerk kunnen compromitteren. Dus voordat u de omgeving hackt, is de recon-component het meest kritieke onderdeel. Anders ben je een stier in een porseleinkast. Je haast je naar binnen, je klopt sensoren af, rechts, links en in het midden. Je zou niet door de voordeur moeten gaan, je zou door de achterdeur moeten gaan. Dus de verkenningscomponent daarop is kritisch, kritisch, kritisch.
Als je de meeste CISO's vraagt wanneer ze voor het laatst hun eigen bedrijf hebben verkend, zal de overgrote meerderheid zeggen: 'Ik heb helemaal geen idee.' Dus ze kunnen zeggen: 'Nou, we gebruiken een beveiligingsscanner.' Maar als je naar een beveiligingsscanner kijkt, ga je naar de beveiligingsscanner, je hebt een reeks bekende IP-adressen ingevoerd die je kent en je scant tegen die IP-adressen. Maar als je daar naar kijkt, is dat het topje van de ijsberg, want hoe ziet het nieuwe industriemodel eruit? Het is vloeibaar. Voorbij zijn de dagen dat cyberbeveiliging een firewall zou opwerpen en geen verkeer door de firewall zou toestaan.
Nu is alles extreem dynamisch. Alles staat in het teken van internet. Dus nu heb je Kubernetes, je hebt mensen die tienduizenden containers draaiende houden met hun eigen externe IP-adressen. Ze zijn allemaal toegankelijk via internet. Je hebt de dev die het doet, het podium doet het. Je hebt alle verschillende omgevingen die eraan komen. En nu verandert je aanvalsoppervlak elke minuut van elke dag. Een deel ervan is het, omdat het echt is. Je staat een IP-adres toe dat daarbuiten is omdat er een legitieme zakelijke reden is, maar vaak gebeurt het dat mensen de omgeving op gang brengen en plotseling wordt deze blootgesteld aan internet.
Weet het beveiligingsteam ervan? Nee, en de CISO heeft er geen idee van. Dus het vermogen, waardoor je je omgeving of de ASM leert kennen, of oppervlaktebeheer kunt aanvallen, is absoluut cruciaal. Want als je het niet weet, kun je het ook niet beschermen. En dan is het probleem dat je een IP-adres in GCP of AWS of Alibaba kunt laten draaien. Het kan op locatie zijn, iedereen werkt nu vanuit huis. Dus mijn laptop kan worden blootgesteld aan internet. En als je ernaar kijkt, wat er altijd gebeurt in vrijwel elke afzonderlijke aanval, grotendeels vanaf de hosting, het begint aan de buitenkant en werkt zijn weg naar binnen. Je moet dus echt je aanvalsoppervlak kennen. Je moet het elke dag scannen. U moet kunnen toeschrijven wat de IP-adressen en apparaten zijn die worden blootgesteld.
Een eenvoudig voorbeeld is dat als je kijkt naar het laatste aantal inbreuken die hebben plaatsgevonden, het simpele dingen zijn. Meestal is het een cluster dat via internet is blootgesteld, of iemand heeft toestemming gegeven voor een transportbeheershell zoals SSH of RDP vanaf internet, of iemand heeft een Kubernetes-cluster gekregen en heeft deze via internet blootgelegd. In elk van deze gevallen zijn het gewoon mensen die per ongeluk fouten maken. Maar vaak kunnen die IP-adressen minuten, dagen, jaren aan internet worden blootgesteld, en de beveiliging krijgt er nooit iets van te weten of beschermt ertegen. Maar tegelijkertijd weet de hacker dat, omdat ze hun werk doen, ze continu de verkenning doen. En dat is waar ik zie dat dit probleem dat al jaren bestaat, hoe weet ik wat er op internet wordt weergegeven? nu wordt het gedefinieerd. Het is aanvalsoppervlakbeheer. Wat is mijn outside-in view?
Dus voor de eerste keer ooit beginnen cyberbeveiliging... ze wisten al lang dat er een probleem was, maar ze waren niet in staat om te verwoorden wat het probleem was, laat staan wat de oplossing was. En nu zie ik het soort verschuiving dat, zeker in de afgelopen twee jaar, mensen zeiden: 'Dit is geen probleem waarbij ik ernaar kan kijken en zeggen, ja, het is een probleem.' Nu moet je van deze probleemverering overgaan naar: 'Hé, we moeten dit gaan oplossen.' Want zo komen de hackers binnen. En nu zie ik mensen zeggen: 'Laten we dit gaan oplossen.' En ik denk dat het beheer van aanvalsoppervlakken in de toekomst een van de meest kritieke componenten van elke CISO en hun organisatie zal zijn. Zo niet, dan worden ze eigendom. Ze zullen gecompromitteerd raken en het zal een verwoestende impact hebben op hun bedrijf.
Laurier : Daarover gesproken en hoe de raad van bestuur het beheer van aanvalsoppervlakken begrijpt, de meeste IT-medewerkers zullen, zoals je zei, gemak en doelmatigheid kiezen. Ze draaien Kubernetes en servers en cloudinstanties op en wat het ook mag zijn, omdat ze gewoon de klus moeten klaren. Waarom is dat, als je een wereldwijd bedrijf hebt, zo'n probleem met, of ik moet zeggen, een kans om op te lossen als je door andere zakelijke behoeften gaat, zoals een fusie en overname, waarbij je misschien twee bedrijven hebt die samenkomen en je denkt je weet waar alle servers staan, maar in feite groeit en verandert een bedrijf elke dag. En dat is misschien niet de laatste telling, de laatste betrouwbare telling. Waarom is dat een zorg voor CISO's en het bestuur?
Niall : Dus ik denk hier over twee manieren. Een daarvan is, ken het aanvalsoppervlak van uw eigen bedrijf. En dan, twee, voor al je aanwinsten, voordat je ze aanschaft, moet je ook weten wat hun aanvalsoppervlak is. Dus als je 99% van de CISO's vraagt: 'Vertel me eens over mijn aanvalsoppervlak.' Daar hebben ze de gegevens niet voor. Dus geef je een voorbeeld, in Palo Alto Networks gebruiken we Xpanse. En de manier waarop dat werkt, is dat er vier hoofdfasen zijn waar ik aan denk bij het beheer van aanvalsoppervlakken. En dit is van toepassing wanneer u een bedrijf overneemt of in de afgelopen 10 jaar binnen uw organisatie bent geïntegreerd.
En het eerste deel is, is continue ontdekking. Je moet dus de mogelijkheid hebben - en daarom gebruiken we Xpanse - om continu 24 bij 7 bij 365 te scannen, elk afzonderlijk IP-adres op internet om uit te zoeken welke IP-adressen, welke poorten open zijn. U moet dus allereerst alle IP-adressen en poorten op internet kennen. Het probleem daar, dat is prima, maar het zal je niet echt veel opleveren. Dus wat is het verschil tussen het IP-adres in Palo Alto Networks en het IP-adres van Acme, vooral wanneer het elke minuut verandert? Omdat alles dynamisch is, verandert alles continu op internet.
Dus het tweede deel dat echt voor ons is, is de toeschrijving. Dus alles wordt gescand. We doen aan attributie. Dus we beginnen te kijken naar elk afzonderlijk IP-adres, elke afzonderlijke service, elke gebruiker op internet om naar te kijken voor die gebruikers zelf, zijn het Palo Alto Networks-gebruikers of Palo Alto Networks-apparaten of -netwerken? Heel kritisch omdat we op elk moment kunnen zien dat als iemand een laptop aansluit in Londen, we de attributie kunnen krijgen dat dat een van onze apparaten en netwerken is. En als dat netwerk en apparaat RDP openen, een externe shell van internet, dan is dat een probleem. Of als iemand een netwerk opzet waarvan we geen idee hebben wat het is, en het heeft (persoonlijk identificeerbare informatie) PII of gezondheidsgegevens, dat zou verwoestend zijn voor ons voor ons bedrijf. We besteden dus veel tijd aan het gebruik van de tools, zoals Xpanse, voor de attributiecomponent daar.
Derde component waar we naar kijken, nu weet je de IP-adressen en services en weet je welke Palo Alto Networks zijn. Daarna zijn er verschillende risiconiveaus. Als iemand iets van internet opent dat een webserver is en het communiceert met behulp van codering met SSL en het is goed gepatcht, dan is het risico in dat geval voor het grootste deel waarschijnlijk één op 10. Maar dan, als u kreeg een ander IP-adres dat werd gesponnen en het staat een interne engineeringtool toe die per ongeluk werd blootgesteld aan internet dat toegang heeft tot uw cloudomgevingen en het is niet gepatcht. En vaak is dat niet zo. Want als je kijkt naar tools die per ongeluk worden blootgesteld, worden ze niet beheerd, want als ze in de eerste plaats zouden worden beheerd, zouden ze niet worden blootgesteld aan internet.
Dus voor ons is het model eigenlijk wat het risiconiveau is van elk afzonderlijk IP-adres en elke afzonderlijke service? En we kunnen ons dan concentreren op degenen die acht of negen van de 10 zijn. Op dagelijkse basis of op uurbasis kunnen we die gaan repareren. Maar vaak is het zo dat als ze worden blootgesteld aan internet, ze worden blootgesteld, ze zijn niet gepatcht, ze worden niet beheerd. Ze worden per ongeluk blootgesteld.
En dan de laatste waar we ons op concentreren, het probleem is nu, hier is een probleem met schaal. Je hebt het niet over drie IP-adressen of vier IP-adressen. Je zou kunnen praten over 40.000 IP-adressen, 400.000 IP-adressen. En dan is het morgen ineens 500.000. Daarna gaat het naar 350.009 IP-adressen. Dus, vanwege de omvang van het probleem, en omdat in de loop van de tijd steeds meer dingen internetgericht zullen zijn, is de enige manier om dit op te lossen door middel van automatisering. Het lijdt geen enkele twijfel dat het probleem van het genereren van een waarschuwing en iemand van het Security Operations Center (SOC) dat inspringt, naar dat IP-adres kijkt, naar de service kijkt, gewoon niet werkt.
Dus wat er moet gebeuren, is dat alles moet worden geautomatiseerd. Alles, van het scanperspectief tot de attributiecomponenten, wat is het risico van dat IP-adres? Dus nu, in plaats van dat je 500.000 IP-adressen hebt, en je focust nu op drie IP-adressen die daar plotseling opdoken, is er één als een SSA-server. De ene zou als een telnet-server kunnen zijn, de andere zou een technisch hulpmiddel kunnen zijn. En dan, vanuit de automatiseringslaag, wil je automatisering inbouwen in de service waarbij die service automatisch wordt hersteld, of deze nu is gepatcht of offline wordt gehaald.
En als je naar die hele keten kijkt, is het het omgekeerde van wat de hacker doet. De hacker is, ze doen de verkenning, en dan breken ze in op die server om je omgeving in gevaar te brengen. Je begint in dezelfde positie als zij, waar je zou moeten zijn. Je zou moeten beginnen met je aanvalsoppervlak, je verkenning. En daarna kijk je naar je risico. Je kijkt naar de patching, je kijkt naar het offline halen ervan. Je kijkt naar automatisering. Dus ik ben er vast van overtuigd, als je kijkt naar, met de drive naar de cloud, mensen die vanuit huis werken, dit concept van perimeter is al 10 jaar verdwenen. Het is al 10 jaar weg. Maar cybersecurity hangt eraan en zegt: 'Nou, er is nog steeds een perimeter.' Dat is er niet.
Dus nu zien ze elk apparaat dat op internet staat. Dat is zijn eigen perimeter. Het apparaat, het netwerk, wat het ook is. En echt, ik denk dat een van de zeker de drijvende factoren is, als alles op internet staat, als alles online is, als alles altijd communiceert, als alles dynamisch verandert, moet je een cyberbeveiligingsprogramma hebben dat het vermogen heeft om te weten , vertel me elk apparaat dat op het netwerk is, op internet, wat is het risiconiveau? En dan voor degenen die een bepaald risiconiveau bereiken, ofwel offline halen en controles toepassen. En trouwens, je moet het 24 voor 7 voor 365 doen, zonder dat er mensen bij betrokken zijn. Je moet dat doen vanwege de omvang van het probleem. Als je een persoon hebt die bij dat proces betrokken is, dan zul je falen. Je gaat falen. Daarom gebruiken we tools zoals Xpanse om die problemen te vinden en vervolgens op te lossen.
Laurier : Ja. Technologie is schaalbaar, maar mensen niet. Rechts?
Niall : Precies.
Laurier : Nou, Niall, ik waardeer dit gesprek van vandaag. Het was absoluut fascinerend en het heeft ons zoveel gegeven om over na te denken. Dus bedankt dat je vandaag bij ons bent gekomen in het Business Lab.
Niall : Hartelijk dank voor de uitnodiging. Ik heb echt genoten van het gesprek.
Laurier : Dat was Niall Browne, de chief information security officer bij Palo Alto Networks, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review, met uitzicht op de Charles River.
Dat was het voor deze aflevering van Business Lab. Ik ben je gastheer, Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology. En je kunt ons in print, op het web en op tientallen evenementen per jaar over de hele wereld vinden.
Ga voor meer informatie over ons en de show naar onze website op technologyreview.com.
De show is overal beschikbaar waar je je podcasts vandaan haalt.
Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen.
Business Lab is een productie van MIT Technology Review.
Deze aflevering is geproduceerd door Collective Next.
Bedankt voor het luisteren.
Deze podcastaflevering is geproduceerd door Insights, de afdeling voor aangepaste inhoud van MIT Technology Review. Het is niet geproduceerd door de redactie van MIT Technology Review.
