Bessere Cybersicherheit bedeutet, die unbekannten Unbekannten zu finden





In Verbindung mit Cortex Xpanse von Palo Alto Networks

In den letzten Monaten waren Microsoft Exchange-Server wie Kumpel in einem Hai-Fütterungswahn . Bedrohungsakteure haben kritische Zero-Day-Fehler in der E-Mail-Software angegriffen: eine unerbittliche Cyber-Kampagne, die die US-Regierung als solche bezeichnet hat weit verbreitete nationale und internationale Ausbeutung das könnte Hunderttausende von Menschen weltweit betreffen. Um einen Einblick in ein solches Problem zu erhalten, ist ein umfassendes Verständnis aller mit dem Netzwerk eines Unternehmens verbundenen Assets erforderlich. Diese Art der kontinuierlichen Bestandsverfolgung passt sich nicht der Arbeitsweise von Menschen an, aber Maschinen können damit problemlos umgehen.



Für Führungskräfte mit mehreren Prioritäten nach der Pandemie ist es jetzt an der Zeit, der Sicherheit Priorität einzuräumen. Heutzutage ist es so gut wie unmöglich, ein Unternehmen fast jeder Größe zu führen, in dem Ihr Unternehmen bei einem IT-Ausfall immer noch laufen kann, beobachtet Matt Kraning, Chief Technology Officer und Mitbegründer von Cortex Xpanse, einem kürzlich erworbenen Anbieter von Angriffsoberflächen-Management-Software von Palo Alto Networks.

Sie fragen sich vielleicht, warum Unternehmen ihre Systeme nicht einfach patchen und diese Probleme verschwinden lassen. Wenn es nur so einfach wäre. Wenn Unternehmen keine Möglichkeit haben, ihre Vermögenswerte zu finden und zu verfolgen, ist diese vermeintlich einfache Frage ein Kopfkratzer.

Aber Unternehmen haben es schwer, eine scheinbar einfache Frage zu beantworten: nämlich, wie viele Router, Server oder Assets sie haben? Wenn Führungskräfte für Cybersicherheit die Antwort nicht kennen, ist es unmöglich, dem Vorstand ein genaues Maß an Verwundbarkeit zu vermitteln. Und wenn der Vorstand das Risiko nicht versteht – und von etwas noch Schlimmerem als den Angriffen auf Exchange Server und 2020 SolarWinds überrumpelt wird – nun, die Geschichte schreibt sich fast von selbst.



Deshalb findet Kraning es so wichtig, Mindeststandards zu schaffen. Und er sagt, dass Vorstände und Führungskräfte in gewisser Weise minimal mit Cybersicherheitsrisiken und der Analyse dieser Metriken vertraut sein müssen. Denn ohne dieses Verständnis stellen Vorstände nicht die richtigen Fragen – und Cybersecurity-Führungskräfte führen nicht die richtigen Gespräche.

Kraning glaubt, dass Attack Service Management ein besserer Weg ist, Unternehmen mit einem kontinuierlichen Prozess der Asset-Erkennung zu schützen, einschließlich der Erkennung aller Assets, die dem öffentlichen Internet ausgesetzt sind – was er unbekannte Unbekannte nennt. Neue Assets können jederzeit und überall erscheinen. Dies ist tatsächlich ein lösbares Problem, das größtenteils mit einer Menge Technologie entwickelt wird, sagt Kraning. Sobald Sie wissen, dass ein Problem besteht, ist die eigentliche Behebung ziemlich einfach. Und das ist nicht nur für Unternehmen besser, sondern für das gesamte Unternehmensökosystem.

Notizen und Links anzeigen:

Eine Führungsagenda für morgen , Umfrage Global CEO Survey, PwC



Vollständige Abschrift

Lorbeer Ruma : Von MIT Technology Review, ich bin Laurel Ruma, und dies ist Business Lab, die Show, die Führungskräften hilft, neue Technologien, die aus dem Labor kommen und auf den Markt kommen, zu verstehen.

Unser heutiges Thema ist Attack Surface Management. Woher wird Ihre nächste Cybersicherheitsverletzung kommen? Unternehmen haben immer mehr Dinge mit ihrem Internet verbunden, einschließlich ständig wachsender Netzwerke und alternder Infrastruktur. Und je kreativer die Angreifer werden, desto kreativer müssen auch die Führungskräfte werden.

Zwei Worte für Sie: unbekannte Unbekannte.



Mein Gast ist Matt Kraning, Chief Technology Officer und Mitbegründer von Expanse, das kürzlich von Palo Alto Networks übernommen wurde. Matt ist Experte für groß angelegte Optimierung, verteilte Erfassung und Algorithmen für maschinelles Lernen, die auf massiv parallelen Systemen ausgeführt werden. Vor der Mitbegründung von Expanse arbeitete Matt für DARPA, einschließlich eines Einsatzes in Afghanistan. Matt hat einen Doktortitel und einen Master-Abschluss von der Stanford University. Diese Folge von Business Lab wird in Zusammenarbeit mit Palo Alto Networks produziert. Willkommen, Matthias.

Matt Kraning : Ich danke dir sehr. Sehr glücklich, hier zu sein.

Lorbeer : Von Anfang an waren Sie ein Experte für groß angelegte verteilte Sensor- und maschinelle Lernalgorithmen, die auf massiv parallelen Systemen ausgeführt werden. Wie hat Sie diese Expertise dazu gebracht, ein Unternehmen im Bereich Attack Surface Management mitzugründen?

Matt : Nun, ich werde ein paar Dinge sagen. Attack Surface Management haben wir es letztendlich genannt, aber es war eigentlich ein sehr langer Weg dorthin und wir haben uns nicht wirklich auf den Weg gemacht, weil wir nicht wussten, dass es genau so heißen würde oder was genau wir tun würden. Es gibt also nicht einmal eine Gartner-Kategorie, was eine gewisse Existenzbestätigung für ein Marktsegment darstellt. Das kommt eigentlich noch raus. Das Gebiet des Angriffsflächenmanagements haben wir also eigentlich selbst erfunden. Und viel Erfindung bedeutet, dass viel Entdeckung darin steckt.

Im Gegensatz zu vielen Unternehmenssicherheits- und IT-Unternehmen, bei denen die meisten gegründeten Unternehmen in vielen Fällen in einen bestehenden Markt eintreten – sie machen normalerweise eine inkrementelle oder evolutionäre Weiterentwicklung zusätzlich zu dem, was bereits erfunden wurde – haben wir tatsächlich übernommen einen anderen Ansatz und sagten: „Wir fragen wirklich mit frischen Augen: Was wird heute auf dem Markt nicht angeboten?“ Und kamen auf die Idee: „Ist das Internet mit all seinen Versprechen tatsächlich? eine strategische Verbindlichkeit für Organisationen sein, nicht mehr nur ein strategischer Vermögenswert?'

Wir haben viele Techniken und Technologien entwickelt, um im Grunde das gesamte Internet als Datensatz zu betrachten: um kontinuierlich Informationen über das Internet zu sammeln, woher unser Hintergrund sowohl aus der Wissenschaft als auch aus unserer Arbeit in der Verteidigung kam und Geheimdienstgemeinschaften, an Orten wie DARPA und an verschiedenen Stellen in den US-Geheimdiensten. Und wir sagten, tatsächlich scheint im Internet eine ganze Reihe von Dingen kaputt zu sein, und überraschenderweise ist vieles davon tatsächlich mit sehr großen, sehr wichtigen Unternehmen verbunden. Es war das Kratzen an dieser Frage, das uns tatsächlich dazu veranlasste, Expanse zu gründen und dann auch das erste und führende Produkt für das zu schaffen, was heute als Angriffsflächenmanagement bekannt ist, das wirklich alle Ihre Ressourcen versteht, die Sie haben, die Risiken zu verstehen, die sie darstellen könnten, und dann auch Probleme zu beheben.

Aber als wir Expanse im Jahr 2012 gründeten, wussten wir noch nicht, dass es sich um Attack Surface Management handeln würde. Wir hatten noch nicht einmal den Namen Attack Surface Management. Stattdessen war es sehr problemorientiert: „Wir sehen viele seltsame und gefährliche Dinge im Internet und viele Sicherheitslücken. Lassen Sie uns häufig darauf doppelklicken und tatsächlich sehen, ob es eine Möglichkeit gibt, ein Geschäft darauf aufzubauen.'

Lorbeer : Und wie sehr hat sich das Internet in diesen neun kurzen Jahren verändert, richtig? Wenn Sie über diesen Datensatz sprechen und versuchen, Informationen darüber zu finden, wo die größten Sicherheitsrisiken liegen, wie schwer war es, ihn zu finden? Haben Sie sich umgesehen und gesehen: „Oh, schauen Sie, es gibt ganze Datensätze, Sie könnten diese Unternehmen leicht zurückverfolgen. Sie sind undicht.' Oder: „Die Dinge sind nicht sicher.“

Matt : Ich liebe den Satz: „Alles ist offensichtlich, wenn man die Antwort kennt.“ Ich denke, eine der größten Herausforderungen besteht zunächst darin, dass man die Daten tatsächlich sammeln muss, um überhaupt zu zeigen, wie groß dieses Problem ist. Und das Sammeln der Daten ist nicht einfach, insbesondere auf kontinuierlicher oder regelmäßiger Basis. Man muss tatsächlich viel Hintergrundwissen über Systemtechnik haben, viel Hintergrundwissen über verteilte Systeme, um tatsächlich Daten über alles zu sammeln. Ich denke, was unseren Ansatz einzigartig gemacht hat, ist, dass wir tatsächlich gesagt haben: 'Was wäre, wenn wir Daten zu jedem einzelnen System im Internet sammeln würden?' Was tatsächlich durch viele Kostenvorteile ermöglicht wird, die durch Dinge wie Cloud Computing ermöglicht werden, aber auch durch Softwarevorteile sowohl in Open Source als auch in Dingen, die wir selbst schreiben würden. Und dann, anstatt mit Dingen zu beginnen, die Sie über ein Unternehmen wissen, und zu versuchen, ihre Risiken einzuschätzen, sagten wir: „Warum fangen wir nicht mit allem im Internet an und versuchen dann, es auf das zu reduzieren, was interessant ist?“

Und daraus kamen viele sehr gute Erkenntnisse, bei denen wir fast zufällig entdeckten, dass wir tatsächlich viel, viel mehr Sicherheitsprobleme finden würden, als Organisationen tatsächlich über sich selbst wussten. Wenn ich mit Organisationen spreche, spreche ich nicht mit kleinen Unternehmen. Ich rede vom Militärdienst. Ich spreche von Fortune 500-Unternehmen, Fortune 100-Unternehmen, Fortune 10-Unternehmen. Selbst die größten, komplexesten, aber auch die besten Finanzen hatten die meisten Elite-Kunden mit Sicherheitsproblemen. Und was wirklich unsere Entdeckung und unsere Reise bei der Schaffung der Kategorie, bei der Schaffung der Angriffsflächenverwaltung als Idee war, war, dass wir all diese Sicherheitslücken und all diese Assets an weit entfernten Orten überall im Internet finden und dafür auftreten werden eine Vielzahl von Gründen.

Aber es war wirklich interessant, denn obwohl die Sicherheitsherausforderungen und Sicherheitsrisiken sehr real waren, waren die wirklichen Symptome, die wir fanden, die wir entdeckten, tatsächlich, dass Organisationen keine effektiven Mittel hatten, um alle Vermögenswerte zu verfolgen, die sie online hatten und zu denen sie gehörten gleichzeitig die Sicherheitslage dieser Assets zu bewerten und gleichzeitig die Risiken von Gegnern der Organisation zu beheben und zu beheben und zu mindern.

Und ich denke, eines der sehr interessanten Dinge war, dass wir jetzt rückblickend sagen können: ‚Offensichtlich möchten Sie all diese Aktivitäten machen.' Aber weil wir tatsächlich etwas Neues machten, das noch nie zuvor gemacht worden war, es war eine neue Kategorie, mussten wir all das entdecken, angefangen bei dem Punkt, dass wirklich eine Menge Sachen im Internet kaputt sind. Wir wissen nicht genau warum, aber gehen wir der Sache nach.'

Lorbeer : Das ist eine gute Denkweise, mit einem anderen Ort zu beginnen und sich dann rückwärts vorzuarbeiten. Laut einer aktuellen PwC-Umfrage von mehr als 5.000 CEOs auf der ganzen Welt sind laut Matt 47 % äußerst besorgt über die Cybersicherheit. Nun, 47 % klingen für mich nicht nach einer großen Zahl, sollten es nicht näher an 100 % sein?

Matt : Ich würde sagen, dass jeder CEO, mit dem ich gesprochen habe, in gewisser Weise darüber besorgt ist. Und ich denke, viel hängt davon ab, wo sie sind. Insgesamt haben wir insbesondere in den letzten fünf Jahren einen sehr großen Anstieg der Aufmerksamkeit der CEOs und Vorstände für Fragen der Cybersicherheit festgestellt. Wo ich denke, dass wir eine Verzögerung gesehen haben, obwohl ich denke, dass es in diesem Bereich einige Ausnahmen gibt, ist, dass viele Tools und Präsentationen, die sich insbesondere an das Publikum von Führungskräften für Cybersicherheitsrisiken richten, nicht effektiv alles vermitteln, was diese Leute sagen wirksame Entscheidungen treffen müssen. Und ich denke, dass dies aus verschiedenen Gründen eine Herausforderung darstellt, insbesondere weil viele CEOs und Vorstände nicht unbedingt über den vollständigen technischen Hintergrund verfügen, um dies zu tun. Aber ich denke, es war bisher auch ein Versäumnis der Industrie, diese Tools anbieten zu können. Und ich denke, wir werden dort immer mehr Veränderungen sehen.

Ich vergleiche es wirklich mit dem Zustand der Finanzen vor Sarbanes-Oxley, der im Grunde anfing, von CEOs und auch von Vorständen Schulungen zu verlangen, damit sie anfangen, bestimmte Finanzkennzahlen zu verstehen, um tatsächlich bestimmte Kontrollen zu haben. Ich denke, auf hoher Ebene müssen wir in den kommenden Jahren sehen, dass so etwas in irgendeiner Weise umgesetzt wird, um zu sagen, dass es einen Mindestsatz an Standards gibt und dass Vorstände und Führungskräfte in gewisser Weise ein Minimum an Vertrautheit haben müssen über das Cybersicherheitsrisiko und die Analyse dieser Metriken. Im Moment habe ich viele Leute sagen sehen: „Ich mache mir Sorgen darüber, aber dann weiß ich auch nicht wirklich, wohin ich als nächstes gehen soll“ oder „Ich kenne mich aus. Wir haben einen Bericht bekommen. Wir haben eine Firma beauftragt. Sie hatten diese Präsentation mit einer ganzen Reihe von PowerPoint-Folien mit vielen Diagrammen, die Weihnachtsbaumbeleuchtungen haben würden, die mein Gehirn zum Schmelzen brachten. Und ich konnte die Konzepte nicht wirklich verstehen.'

Ich denke, die Leute verstehen es, aber wir stehen noch in den Anfängen von: Wie haben Sie effektive Kontrollen darüber? Und wie haben Sie dann eigentlich Programme, die dafür robust sind? Auch hier müssen wir uns in diese Richtung bewegen, denn immer mehr Vorstände müssen dies als einen grundlegenden Aspekt ihres Unternehmens betrachten, zumal so ziemlich alle Unternehmen heutzutage, mir egal, in welcher Branche Sie tätig sind, welche Größe Sie haben Unternehmen läuft tatsächlich auf IT. Heutzutage ist es so gut wie unmöglich, ein Unternehmen fast jeder Größe zu führen, in dem Ihr Unternehmen bei einem Ausfall Ihrer IT immer noch in der Lage ist, weiterzumachen. Und als Ergebnis des Verständnisses von Cybersicherheit auf diesen Ebenen, wobei die Angriffsfläche jetzt ein Teil davon ist, ist es für Unternehmen sehr wichtig, sie verstehen zu können, da Sie Ihr Unternehmen sonst einem sehr großen Risiko aussetzen, wenn Sie es nicht tun solche Dinge richtig einschätzen können.

Lorbeer : Ja. Und das kommt auf das alte Sprichwort zurück, jedes Unternehmen ist ein Technologieunternehmen. Aber vielleicht ist dies ein konkreteres Beispiel dafür, wie es ist. Können Sie kurz beschreiben, was Attack Surface Management ist, vielleicht für dieses Executive-Publikum?

Matt : Die Art und Weise, wie wir das Angriffsflächenmanagement beschreiben, ist effektiv ein dreistufiger Prozess, bei dem alle Schritte kontinuierlich in Form eines Zyklus ausgeführt werden, aber es ist ein Prozess und ein Verfahren, mit dem Sie oder wirklich ein Anbieter, in diesem Fall Expanse, oder Palo Alto Networks, entdecken kontinuierlich alle Assets, die eine Organisation hat. In unserem Fall, von externen Angriffsflächen, alle Assets, die Sie im öffentlichen Internet haben. Und das ist ein kontinuierlicher Prozess, denn zu jedem beliebigen Zeitpunkt, und ich kann später darauf eingehen, können jederzeit neue Assets von überall im Internet auftauchen. Sie brauchen also einen kontinuierlichen Discovery-Prozess, der besagt: „Ich weiß zu jedem Zeitpunkt möglicherweise nicht alles über meine Assets, also sollte ich Mechanismen haben, um Informationen darüber zu sammeln, wo sie sich befinden könnten, und versuchen, sie meiner Organisation zuzuordnen.“

Sobald ein Vermögenswert entdeckt wird, müssen Sie gleichzeitig über Mittel verfügen, um ihn anhand einer Vielzahl unterschiedlicher Merkmale zu bewerten. Wenn ich einen neuen Vermögenswert entdeckt habe, ist dieser Vermögenswert in vielen Fällen wirklich neu? Und wenn dies nicht der Fall ist, dann passen Sie es an, normalisieren Sie es und deduplizieren Sie es mit anderen Dingen. Wenn es sich um ein neues Asset handelt, wird es in den meisten Fällen tatsächlich nicht verwaltet. Wie beginne ich also tatsächlich eine Reihe von Aktivitäten, um zu sagen: „Dies ist ein Asset, das mit meinem existiert, aber es existiert normalerweise außerhalb einer beabsichtigten Reihe von Sicherheitskontrollen. Wie beginne ich also einen Prozess, um sowohl zu bewerten, welche Kontrollen eingeführt werden müssen, als auch diese dann zu verwalten?' Und der dritte Teil der Bewertung besteht auch darin, das Risiko zu verstehen, das dies unmittelbar für meine Organisation darstellt, um mir bei der Priorisierung von Aktivitäten zu helfen.

Der letzte Schritt ist das, was wir Minderung nennen. Wenn Sie alles ausgewertet haben, was Sie entdeckt haben, was tun Sie eigentlich dagegen? Welche Maßnahmen ergreifen Sie und wie tun Sie dies auf hochautomatisierte und effektive Weise? Und für uns gibt es zwei Hauptschritte, die Minderung beinhaltet. Ich habe Priorisierung erwähnt, aber es ist eine, Systeme unter Verwaltung zu bringen. In vielen Fällen bedeutet dies auch, dass die meisten Systeme unserer Großkunden entweder direkt aus dem Internet genommen werden müssen, sodass wir sie hinter ein VPN oder ein anderes Unternehmensgerät stellen oder erstellen Stellen Sie sicher, dass sie dann bekannt und auf dem neuesten Stand sind, denn in vielen Fällen liegt das eigentliche Symptom von Sicherheitsproblemen, die wir finden, in der Tatsache, dass ein Asset sehr lange Zeit einfach nicht verwaltet wurde und möglicherweise Sicherheit enthält Sicherheitslücken, die später entdeckt wurden, einfach weil Sie Sicherheitspatches für bekannte Sicherheitsprobleme hatten, die nicht angewendet wurden.

In bestimmten Fällen, wie z. B. bei Zero-Day-Angriffen, ist es viel wichtiger zu wissen, wo sich alle Assets befinden, damit Sie sie so schnell wie möglich patchen können. Aber für die große Mehrheit der Assets, die wir für unsere Kunden entdecken und bei der Verwaltung ihrer Angriffsfläche helfen, besteht das eigentliche Problem darin, dass die Assets einfach nicht bekannt sind. Und für Führungskräfte liegt der eigentliche Schlüssel darin, dass die bestehenden Prozesse und Tools, die viele Unternehmen verwenden, von dieser bestimmten Seite der Sicherheit sehr gut sein können, aber sie davon ausgehen, dass Netzwerke effektiv viel statischer sind.

Lorbeer : Welche Auswirkungen hat es also, wenn ein Unternehmen seine tatsächliche Angriffsfläche nicht kennt?

Matt : Der große, offensichtlichste ist ein erhöhtes Verletzungsrisiko. Ich denke, es war in den 2000er Jahren ein Sprichwort, das nicht zuletzt von Anbietern unterstützt wurde, dass alles mit E-Mail-Phishing begann. Und es gibt sehr, sehr große E-Mail-Sicherheitsanbieter, die immer noch diese Botschaft verbreiten, dass jeder einzelne Sicherheitsvorfall effektiv eine Phishing-E-Mail ist und dass Menschen das schwächste Glied sind, wenn sie auf Dinge klicken, und daher mehr E-Mail-Sicherheit kaufen.

Ich denke nicht, dass das falsch ist. Ich finde es eigentlich richtig, dass Sicherheit ein großes Thema ist, das kann man kaufen. Aber es ist auch viel einfacher, besonders jetzt mit vielen guten Tools, wie Sie tatsächlich volle Transparenz über alle E-Mails haben, die an Mitarbeiter gesendet werden, weil sie einen zentralen Mailserver durchlaufen müssen. Es geht eigentlich darum, nur in der Lage zu sein, schlechte Dinge zu erkennen, aber nicht wirklich herausfinden zu müssen, dass beispielsweise E-Mails gesendet wurden, in die Sie keinen Einblick hatten.

Ich denke im Gegensatz dazu, was wir gesehen haben, insbesondere in jüngerer Zeit in den letzten zehn Jahren und sogar in den letzten fünf Jahren, sind einige der absolut schlimmsten Verstöße, die Schäden in Höhe von Hunderten von Millionen bis Milliarden Dollar verursachen, nicht kommen von Phishing. Sie stammen tatsächlich aus normalerweise unbekannten und nicht überwachten Vermögenswerten und befanden sich in vielen Fällen tatsächlich im öffentlichen Internet. Ich denke, einige der größten Beispiele dafür sind tatsächlich Dinge wie der WannaCry-Angriff, der einen weltweiten Schaden von über 10 Milliarden US-Dollar verursachte, ganze Unternehmen lahmlegte und den größten Teil des Gesundheitssystems des Vereinigten Königreichs wieder auf die Beine stellte und Papier für tatsächliche Tage.

Und die wirklichen Auswirkungen sind, dass Sie all diese zusätzlichen Zugangsmöglichkeiten haben, weil es so viele weitere Online-Assets gibt, die nicht von Organisationen verfolgt werden, und auf diese Weise gelangen Angreifer tatsächlich, weil sich herausstellt, dass es sehr viele gibt effiziente, automatisierte Möglichkeiten für Angreifer, diese Angriffsflächen zu verstehen, zu untersuchen und auszunutzen. Und die Auswirkungen sind ziemlich gewagt. Sie sehen, dass der Großteil der Gesundheitsversorgung eines Erste-Welt-Landes tagelang auf Stift und Papier reduziert ist. Sehr, sehr ernst, weil es nicht nur darum geht, jemandes E-Mail zu hacken, sondern tatsächlich die kritische Infrastruktur des Netzwerks selbst zu hacken.

Lorbeer : Apropos kritische Infrastruktur, ein weiterer kürzlicher Angriff ist die Wasseraufbereitungsanlage in Florida, wo ein Angreifer die chemische Zusammensetzung des Wassers aus der Ferne ändern konnte, um ihm Lauge hinzuzufügen, die eine ganze Gemeinde hätte vergiften können. Die Infrastruktur ist also ein enormes Problem für sehr große Unternehmen wie Wasseraufbereitungsanlagen oder Öl- und Gasunternehmen usw.?

Matt : Absolut. In diesem Fall war der Angriffsvektor nach meinem besten Verständnis tatsächlich ein Fernzugriffsserver, den jemand in diesem Werk offen gelassen hat, der im Internet war und jemandem Zutritt gewährte. Worum es bei unseren technischen Diensten geht, ist, dass wir Wege zu finden, die effektiv Werkzeuge des IT-Komforts sind, die aber von Angreifern unterwandert werden können, weil die Werkzeuge des IT-Komforts nicht im gleichen Maße gehärtet sind wie andere Dinge, die für das Internet bestimmt sind und als solche ausgelassen werden selbstverständlich. Wir haben diese Linie, dass wir das Internet in den meisten Fällen gerne als das sehen, was die meisten von uns über unsere Webbrowser oder auf unserem Telefon erlebt haben. Es ist diese wirklich schöne Verbrauchererfahrung und alle Webseiten, die wir uns ansehen, sehen sehr schön und ansprechend aus, und wir gehen dorthin.

Und es ist eine gute Analogie zur physischen Welt, wie ich denke, bald nachdem wir alle gegen Covid-19 geimpft sind, werden wir wieder draußen einkaufen. Du gehst vielleicht zu einem Starbucks und der Laden ist wirklich nett, du hast diese großartige Erfahrung, du holst dir deinen Latte, du gehst aus, aber wenn du dann unter all dem Glanz auf den Straßen nachsiehst, hast du tatsächlich eine viel ältere Infrastruktur. Sie haben Dinge wie keine Abwasserrohre und andere Dinge, die fettig und rissig sind. Und das ist die Infrastruktur, die obendrein die schönere Welt unterstützt.

Vieles, was wir als Teil der Angriffsfläche sehen, ist eine IT-Analogie, dass die meisten Menschen das Internet wirklich nur als „Was befindet sich in ihrem Webbrowser? Was gibt es auf dem Telefon, diese netten Verbraucher-Websites?' Aber es gibt eine gesamte Backend-IT-Infrastruktur, die dies unterstützt. Und es ist etwas knarrend und es ist nicht immer gut konfiguriert. Ohne etwas wie ASM haben Sie Probleme, dass Sie den Zustand Ihres Netzwerks nicht wirklich kennen, weil es so groß, verteilt und komplex ist. Und wie im Fall von Florida, das übrigens eine kleinere Organisation war, geht es um den Kern der Frage: Woher wissen Sie, dass etwas nicht läuft? Unter jeder IT-Sicherheitsrichtlinie sollte es nicht erlaubt sein, einen Fernzugriffsdienst im Internet zu haben. Aber selbst für kleinere Organisationen ist es sehr schwierig, kontinuierlich sichtbar zu machen, wie ich eigentlich von außen aussehe? Wie sehe ich für einen Angreifer mit Legacy-Tools aus?

Lorbeer : Und das ist ein gutes Beispiel für einen Angriff, der kein Phishing-Angriff ist. Mit der E-Mail hat das nichts zu tun. Während wir bei der Diskussion über Angriffe sind, am denkwürdigsten in diesem Jahr wieder, SolarWinds und Exchange, wie hätte die Implementierung von ASM diese Ergebnisse für Unternehmen verändert? Oder wie wäre es mit den glücklichen Organisationen, die ihre Möglichkeiten zur Verwaltung der Angriffsfläche tatsächlich verstanden und in der Lage waren, diese zu finden und den Angriff zu vereiteln?

Matt : Ich werde mit beiden sprechen, da einige unserer Kunden beide Systeme hatten und wir ihnen dabei geholfen haben. Ich denke, die Microsoft Exchange-Hacks, und für Ihre Zuhörer, ein bisschen Hintergrund: Es gab tatsächlich eine Reihe von Zero-Days, die für die Versionen der Microsoft Exchange-E-Mail-Dienste Anfang Februar und März dieses Jahres angekündigt wurden. Sehr, sehr gefährlich, weil dies tatsächlich die Mailserver einer Organisation sind, und wenn Sie dieser XY-Kette folgten, erlaubte es Ihnen im Grunde, eine Nachricht an einen Mailserver zu senden, um Ihnen praktisch uneingeschränkten administrativen Zugriff auf die gesamte E-Mail zu gewähren Server. Und es gab tatsächlich Hunderttausende davon, die wir online entdeckt haben. Und tatsächlich, wenn Sie darüber nachdenken, ist es ein sehr ernster Angriff, wenn ein Angreifer in der Lage ist, den gesamten oder den größten Teil des Mailservers des Unternehmens herunterzuladen, und mit all diesen sensiblen Informationen, die dort gespeichert sind.

Was uns also aufgefallen ist, waren eigentlich zwei Dinge, nämlich große Organisationen, die sich dessen sehr bewusst waren und sehr, sehr schnell Patches durchführten. Aber es gab eine Reihe von Kunden, denen wir helfen konnten, wenn sie so groß sind, dass sie nicht einmal einen zentralen Satz von Mailservern haben. Ohne Expanse wären sie nicht einmal in der Lage gewesen, alle ihre Mailserver zu finden und sie rechtzeitig zu patchen, da sie so weit verbreitet sind, dass sie sogar eine Bestandsaufnahme ihrer Mailserver benötigten. Und es ist sehr schwierig, dies auf eine zentrale Weise zusammenzufassen, es sei denn, Sie verwenden ein ASM-Tool wie Expanse. Denn stattdessen verwenden Sie in vielen Fällen Microsoft Outlook und Microsoft Excel. Sie werden E-Mails an verschiedene Geschäftsbereiche senden. Sie werden IT-Führungskräfte in diesen verschiedenen Geschäftsbereichen fragen. Wenn sie gepatcht werden, senden sie E-Mails und Tabellenkalkulationen zurück. Es ist ein sehr, sehr manueller Prozess.

So in der Lage, das tatsächlich zu identifizieren und ihnen wirklich zu helfen, in einer sehr kurzen Zeit von etwa einem Tag jeden einzelnen Server, den sie auf ihrem Grundstück hatten, zu finden und zu reparieren, was unserer Meinung nach das Ergebnis wirklich, wirklich verändert hat, weil sie es konnten sind in bestimmten Fällen seit Wochen angreifbar. Auch bei SolarWinds sind die Details meiner Meinung nach etwas anders, da nicht alle SolarWinds-Assets unbedingt dem Internet ausgesetzt sind. Und in vielen Fällen waren sie auch schon seit Monaten dort. Als Teil des umfassenderen Palo Alto hatten wir andere Produkte, die SolarWinds stoppen konnten: insbesondere den SolarWinds-Angriff, unser Endpoint-Framework namens XDR. Aber selbst bei SolarWinds haben Kunden nach Bekanntwerden des Angriffs immer noch das Problem, dass sie nicht einmal wussten, wo sich alle ihre SolarWinds-Server befanden, was wiederum auf dieses Bestandsproblem und die Auswahl von Funktionen wie Expanse und anderen zurückgeht Fähigkeiten, die wir jetzt als Teil von Palo Alto haben, konnten wir Kunden tatsächlich sehr schnell dabei helfen, zu verstehen, wo immer sie SolarWinds ausgesetzt waren, damit sie dies sehr schnell abmildern konnten. Es gab also effektiv einen zweistufigen Prozess. Bei Palo Alto konnten wir den Angriff auf unsere Kunden sogar verhindern, ohne zu wissen, dass die Lieferkette verletzt worden war. Und als es dann öffentlicher wurde, konnten wir tatsächlich allen helfen, alle Server zu identifizieren, die sie hatten, und sicherzustellen, dass sie alle auf dem neuesten Stand und nicht mit dem Supply-Chain-Trojaner infiziert waren.

Lorbeer : Das ist wirklich interessant, weil einige Unternehmen vielleicht denken: „Oh, nun, wir haben keine Wasserwerke und eine alternde Infrastruktur, um die wir uns Sorgen machen müssen.“ Aber wissen Sie eigentlich, wo all Ihre E-Mails gespeichert sind und auf wie vielen verschiedenen Servern und verschiedenen Cloud-Instanzen oder wo auch immer? Und wenn Sie nur wenige Stunden Zeit haben, um diesen kritischen Patch zu erstellen, wie schnell können Sie das schaffen?

Matt : Exakt. Und viele der Fragen, die ich unseren Kunden gestellt habe, lauten nur: „Wie können Sie darauf vertrauen, dass Ihre Systeme effektiv auf dem neuesten Stand sind?“ Selbst scheinbar einfach klingende Fragen mit vorhandener IT zu beantworten, wenn Sie nicht über Expanse oder ASM verfügen, ist tatsächlich überraschend schwierig. Ich gebe ein anderes lustiges Beispiel. Ich frage die Chief Information Security Officers die ganze Zeit: „Wie viele Router hat Ihre Organisation?“ Es scheint eine ziemlich grundlegende Frage zu sein, scheint, als wüssten sie, zumindest in sehr guter Näherung, dass das IT-Team wahrscheinlich genau wissen sollte, wie viele Router sie haben. Sie sind sehr wichtige Teile der Netzwerkausrüstung, insbesondere auf Unternehmensebene, sie sind teurer. Es ist also nicht nur der heimische Wi-Fi-Hotspot, an den wir gewöhnt sind. Diese Dinge können Zehntausende, in einigen Fällen Hunderttausende von Dollar kosten, um Workloads der Enterprise-Klasse zu bewältigen.

Und was wir feststellen, ist, dass es normalerweise keinen zentralen Ort gibt, an dem all das verfolgt wird, wenn Sie diese Frage stellen. Stattdessen wird es von lokalen Entwicklungs- und IT-Teams auf unterschiedliche Weise verfolgt. Es wird in mehreren Tabellenkalkulationen verfolgt. Es mag bestimmte lokale IT-Verwaltungssysteme geben, die das wissen, aber wenn Sie am Ende fragen: 'Wie viele Router haben Sie gerade?' Der Prozess, den sie verwenden würden, um darauf zu antworten, geht nicht in ein System oder meldet sich an, sondern startet tatsächlich eine E-Mail-Kette. Das ist eigentlich eines der Hauptprobleme, das das Angriffsflächenmanagement zu lösen versucht: Wie haben Sie eine genaue und aktuelle Bestandsaufnahme von allem, damit Sie darauf eine Vielzahl von Prozessen aufbauen können, einschließlich Sicherheit? ? Aber wenn Sie kein aktuelles Inventar haben oder denken, dass Sie es haben, aber nicht, dann wenn Sie anfangen, an diesem Faden zu ziehen, viele Geschäftsprozesse, viele IT-Prozesse, eine Menge von Sicherheitsprozessen, die Sie in Ihrem gesamten Unternehmen anwenden möchten, stellen Sie plötzlich fest: „Warte, das wird tatsächlich nur teilweise implementiert, denn wenn ich kein vollständiges Inventar habe, woher weiß ich dann eigentlich, was es ist mein gesamtes Vermögen durchgehen, anstatt nur das Vermögen, das mir bekannt ist?' Und davon sprechen wir, wenn wir unbekannte Unbekannte sagen. Wie Sie oben erwähnt haben, lautet es: 'Ich kenne einen Teil meiner Systeme, aber kenne ich sie alle?' Dieses Delta kann für Unternehmen alles bedeuten, da der größte Teil ihres Risikos in den Teilen ihres Netzwerks liegt, von denen sie nicht einmal wussten, dass sie sie untersuchen sollten.

Lorbeer : Welche anderen datengesteuerten Entscheidungen können von dieser Art der Konzentration darauf getroffen werden, tatsächlich zu wissen, wo sich all Ihre Vermögenswerte befinden? Wie kann dies dem Unternehmen sonst helfen?

Matt : Zwei Bereiche, in denen dies Unternehmen wirklich hilft, sind Cloud Governance und M&A. Insbesondere sind dies sehr weitläufige Unternehmen. Viele unserer Kunden haben also möglicherweise Hunderte von verschiedenen Cloud-Konten bei den öffentlichen Cloud-Anbietern, also AWS, Azure, Oracle, Google, Alibaba in vielen Fällen, und sie hatten keine Möglichkeit, dies tatsächlich zu rationalisieren, weil sie hätte eine ganze Reihe verschiedener Entwicklungsteams und sie könnten nichts bekommen. Wenn sie also sagen, dass sie in die Cloud wechseln, wird ein typischer Refrain unserer Kunden lauten: „Ja, das tun wir. Wir haben Geschäfte mit Amazon und sichern unsere Wetten ein wenig ab. Wir erforschen auch Azure, damit wir nicht nur an eine Cloud gebunden sind.“ Was wir feststellen, ist, dass der durchschnittliche Kunde für Expanse bei 11 verschiedenen Infrastrukturanbietern ist.

Ich spreche nicht von SaaS, ich spreche von Orten, die Sie tatsächlich bekommen, wie das Mieten eines Servers und das Speichern von Daten auf sich selbst. Es ist erstaunlich und astronomisch und wir könnten sagen: „Nun, ja, Sie sind auf Azure. Sie sind auch auf AWS. Wussten Sie, dass Sie auch bei DigitalOcean sind? Sie sind auch in Linode. Ihr General Manager in Europa hat Sie wahrscheinlich an OVH oder Orange Hosting vermittelt. Sie haben etwas anderes im malaysischen Rechenzentrum. Ich bin mir nicht sicher, was das ist. Und das ist typisch. Ein Kunde für uns war tatsächlich bei über hundert verschiedenen Anbietern, weil sie ein sehr großes multinationales Unternehmen sind. Ich denke, dann sehen wir, dass sich die Cloud-Governance-Pläne der Menschen und die Cloud-Realität dramatisch unterscheiden. Wenn Sie ihnen dabei helfen, können sie sowohl sicher als auch schnell in die Cloud wechseln.

Das zweite sind Fusionen und Übernahmen. Ich denke, das ist etwas, das zunehmend passiert. Da sich viele Branchen konsolidieren, gibt es in letzter Zeit viele M&A-Aktivitäten. Aber wenn Sie darüber nachdenken, ist eine Fusion und Übernahme eines der größten IT-Veränderungsereignisse, die ein Unternehmen haben kann, insbesondere wenn es sich um eine große Übernahme handelt. Ich weiß also ein wenig darüber, da ich diesen Prozess kürzlich mit Palo Alto Networks auf der anderen Seite des Tisches selbst durchlaufen habe, aber die Anzahl der Dinge, die Sie integrieren müssen, ist ziemlich groß. Und im Fall von Expanse sind wir in ein weltweit führendes Sicherheitsunternehmen integriert und außerdem relativ klein. Die Integrationsprobleme waren also fast nicht vorhanden, und es war ein wirklich großartiger Prozess.

Aber für größere Organisationen, wo Sie vielleicht eine Organisation mit 50.000 Mitarbeitern erwerben, erwirbt eine Organisation mit 10.000 Mitarbeitern die Anzahl der verschiedenen Schritte, die Sie durchlaufen müssen, die Menge an IT, die Sie übertragen müssen, die Menge an Altlasten, die Sie übertragen müssen verstehen ist gigantisch. Und in vielerlei Hinsicht werden diese in vielen Fällen nur teilweise umgesetzt, da Sie als Erwerber möglicherweise nicht einmal wissen, wo sich all die Vermögenswerte befinden, die Sie erwerben. Beispielsweise gab es für eine Fluggesellschaft eine Reihe von Fusionen, und wir sind tatsächlich in der Lage, Vermögenswerte der fusionierten Fluggesellschaft zu finden, die nicht mehr existieren, aber mehr als ein Jahrzehnt nach der Fusion noch im Internet waren.

Das gibt Ihnen eine Vorstellung davon, wie lange einige dieser Dinge dauern. Das ist die andere Seite davon, wie wir unseren Kunden wirklich helfen, nämlich zu verstehen: „Wenn Sie tatsächlich einen Vermögenswert erwerben, wie schließen Sie diesen Prozess tatsächlich ab? Wie messen Sie es? Wie überwachen Sie es und wie machen Sie das im Maßstab des Internets statt mit vielen Beratern, Excel-Tabellen, Zetteln und E-Mails?'

Lorbeer : Also aus unserem Gespräch heute habe ich das Gefühl, dass dies die Warnung ist, wenn Sie nicht wissen, was Sie nicht wissen, sollten Sie es wirklich herausfinden, wenn Sie es noch nie gehört haben. Aber es gibt Hoffnungsschimmer, oder? Denn wenn das Asset existiert, können Sie es zumindest finden, nachverfolgen und beurteilen, was Sie damit tun werden, Änderungen vermitteln, die Sie vornehmen müssen, oder es bewerten, um es wieder vollständig konform mit der Cybersicherheit zu machen. Was gibt Ihnen Hoffnung, was möglich ist, nachdem Sie die ersten drei Monate dieses Jahres gesehen haben, und was ist mit Angriffen passiert, den anhaltenden Problemen, die wir haben werden? Aber es gibt Möglichkeiten, oder? Es gibt Hoffnung. Was sehen Sie, was Sie optimistisch in Bezug auf die Cybersicherheit macht, und worauf wir uns in den nächsten fünf Jahren freuen?

Matt : Ja, ich bin eigentlich ziemlich optimistisch, nicht einmal langfristig, aber sogar mittelfristig denke ich, sogar in drei, vier Jahren. Kurzfristig wird es definitiv einige raue See geben, aber hier ist, was mich am optimistischsten macht. Erstens denke ich, dass dies tatsächlich ein lösbares Problem ist, größtenteils mit einer Menge Technologie, die entwickelt wird. Und damit ist klar, dass, sobald Sie wissen, dass ein Problem existiert, es eigentlich ziemlich einfach zu beheben ist. Es gibt viele mechanistische Schritte, um darin besser zu werden. Es gibt eine Menge Automatisierungen, die darauf gesetzt werden können. Und es kommen viele Dinge zum Tragen. Aber in vielen Fällen besteht der wirklich schwierige Teil darin, zu sehen, was Sie tatsächlich beheben müssen, und alle Probleme zu kennen, sie dann effektiv zu priorisieren und dann mit der Arbeit daran zu beginnen.

Und ich denke insbesondere, dass die Dinge, die ich gesehen habe, innerhalb der Branche liegen, ich denke, dass es in den wenigen Jahren viele Technologien geben wird, die dem seit Jahren bestehenden Marketing-Hype gerecht werden werden. Ich rede viel mit Industriepartnern. Wir verwenden erhebliche Datenmengen. Mit meinem Hintergrund, wo ich in Stanford in Betriebsforschung und maschinellem Lernen promoviert habe, verwenden wir in unseren Produkten tatsächlich echtes maschinelles Lernen. Wir verwenden auch viele Heuristiken. Ich scherze, dass wir manchmal Klassifikatoren für maschinelles Lernen haben, um ein Problem zu lösen. In anderen Fällen haben wir SQL-Abfragen, die das Problem lösen.

Wir haben einige wirklich gut geschriebene SQL-Abfragen. Darauf bin ich sehr stolz. Aber ich denke, dass die Branche selbst, insbesondere in Marketingmaterial, denken würde, dass alles in der Cybersicherheit diese automatisierte KI, ML-fähiges Alles ist. In den meisten Fällen, aber nicht in allen, aber in vielen Fällen in der gesamten Branche, und dies gilt insbesondere für Startups, ist es nur eine Art Pitch. Und was Unternehmen wirklich KI nennen, sind nur Standard-Softwareregeln, und es passiert wirklich nichts Besonderes.

Oder es gibt einen alten Witz: „Oh, ich habe dieses tolle KI-Ding. Was ist es? Nun, wir haben ein paar Analysten, die ehemalige Geheimdienstoffiziere sind, normalerweise in Maryland oder außerhalb von Tel Aviv, und sie sind diejenigen, die alles tun. Aber wir haben ein System, das Arbeit effizient an sie weiterleitet, und das ist unsere KI.“ Und sie sagen: 'Warte, das sind Leute.' Ich denke, was ich gesehen habe, ist, dass Automatisierung im weitesten Sinne eine reale Sache ist. Aber Automatisierung bedeutet eigentlich vor Ort, man nimmt etwas, was vorher Stunden und Tage und 10 Leute gedauert hat. Und mit der Software im Moment ist es eher so, wie Sie das auf 15 Minuten und zwei oder drei Personen reduzieren können?

Ich denke, dass wir noch größere Gewinne sehen oder sogar beginnen werden, Menschen in bestimmten Geschäftsprozessen vollständig aus dem Kreis zu nehmen. Und ich denke, was wir sehen und das ist eine Menge, woran wir arbeiten und woran ich gerade arbeite, ist, dass in den nächsten Monaten und Jahren tatsächlich groß angelegte maschinelle Lernfähigkeiten tatsächlich in der Produktion eingesetzt werden. Ich denke, es gibt einige, die stückweise da draußen sind. Es gibt viel mehr Regeln, als irgendjemand darüber sprechen möchte, aber wir sehen jetzt, dass es genug Datensammlung gibt, dass es genug Normalisierung von Daten gibt, insbesondere in größeren Unternehmen, und dass Unternehmen eher bereit sind, Informationen mit Anbietern zu teilen, wenn dies der Fall ist den Sicherheitsdienst, den sie erhalten, nachweislich verbessert, dass wir tatsächlich in der Lage sein werden, immer ausgefeiltere Fähigkeiten in dieser Richtung einzusetzen und das Produkt mit der Realität in Einklang zu bringen. Ich denke, das war zumindest der breitere Zeitgeist des Branchenmarketings.

Ich habe viele von ihnen gesehen, sie sind sehr, sehr real und sie kommen sehr stark. Und sie kommen in industriellem Maßstab für Verteidiger. Und ich denke, das ist es, was mich am meisten begeistert, denn trotz der Tatsache, dass es das alte Sprichwort gibt, dass Angreifer einmal Recht haben müssen, Verteidiger müssen immer Recht haben, ist es jetzt zunehmend skalierbarer, dass Verteidiger Recht haben die meiste Zeit und um tatsächlich sehr ausgedehnte Überwachungsnetzwerke einzurichten, damit die Verteidiger sie bei diesem Angriff vollständig auslöschen können, wenn die Angreifer einmal einen Fehler machen. Und das wirkt sich asymmetrisch auf die Kosten aus und wird meiner Meinung nach dazu beitragen, das Feld wieder in die Verteidigung zu lenken.

Matt : Ich denke, als es teilweise KI-Lösungen und ML-Lösungen und teilweise Automatisierung gab, half es den Angreifern viel mehr, weil sie ein paar verschiedene Teile mit Klebeband zusammenkleben, bestimmte Dinge sehr hoch skalieren und dann einfach sehen konnten, was ihnen in a zurückkam toller weg. Ich denke, dass Verteidiger über ähnliche Fähigkeiten verfügen können, die effektiv sind, weil sie tatsächlich alles abdecken, was in einem Unternehmen vor sich geht. Und das wird uns erlauben, das Blatt zu wenden.

Lorbeer :Matt, vielen Dank, dass Sie heute an einem fantastischen Gespräch über das Business Lab teilgenommen haben.

Das war Matt Kraning, Chief Technology Officer und Mitbegründer von Expanse, mit dem ich aus Cambridge, Massachusetts, dem Sitz des MIT und der MIT Technology Review, mit Blick auf den Charles River gesprochen habe.

Das war es für diese Folge von Business Lab. Ich bin Ihr Gastgeber, Laurel Ruma. Ich bin der Direktor von Insights, der Custom-Publishing-Abteilung von MIT Technology Review. Wir wurden 1899 am Massachusetts Institute of Technology gegründet. Und Sie finden uns auch in gedruckter Form, im Internet und jedes Jahr auf Veranstaltungen auf der ganzen Welt.

Weitere Informationen über uns und die Messe finden Sie auf unserer Website unter technologyreview.com.

Diese Sendung ist überall verfügbar, wo Sie Ihre Podcasts erhalten. Wenn Ihnen diese Folge gefallen hat, hoffen wir, dass Sie sich einen Moment Zeit nehmen, um uns zu bewerten und zu bewerten. Business Lab ist eine Produktion von MIT Technology Review. Diese Folge wurde von Collective Next produziert. Danke fürs Zuhören.

Diese Podcast-Episode wurde von Insights, dem Zweig für benutzerdefinierte Inhalte von MIT Technology Review, produziert. Es wurde nicht von der Redaktion des MIT Technology Review erstellt.

verbergen