211service.com
Bättre cybersäkerhet innebär att hitta okända okända
I samarbete med Cortex Xpanse av Palo Alto Networks
Under de senaste månaderna har Microsoft Exchange-servrar varit som en kompis hajmatande frenesi . Hotaktörer har attackerat kritiska nolldagsbrister i e-postprogramvaran: en obönhörlig cyberkampanj som den amerikanska regeringen har beskrivit som omfattande inhemsk och internationell exploatering som kan påverka hundratusentals människor över hela världen. Att få synlighet i en fråga som denna kräver en fullständig förståelse för alla tillgångar som är kopplade till ett företags nätverk. Den här typen av kontinuerlig spårning av inventering skalas inte med hur människor arbetar, men maskiner kan hantera det enkelt.
För företagsledare med flera post-pandemiska prioriteringar är det dags att börja prioritera säkerhet. Det är i stort sett omöjligt nu för tiden att driva företag i nästan vilken storlek som helst där ditt företag fortfarande kan drivas om din IT går sönder, konstaterar Matt Kraning, teknisk chef och medgrundare av Cortex Xpanse, en leverantör av programvara för attacksythantering som nyligen förvärvades. av Palo Alto Networks.
Du kanske frågar varför företag inte bara korrigerar sina system och får dessa problem att försvinna. Om det bara vore så enkelt. Om inte företag har implementerat ett sätt att hitta och hålla reda på sina tillgångar, är den förment enkla frågan en huvudskrapa.
Men företag har svårt att svara på vad som verkar vara en enkel fråga: nämligen hur många routrar, servrar eller tillgångar har de? Om cybersäkerhetschefer inte vet svaret är det omöjligt att sedan förmedla en korrekt nivå av sårbarhet till styrelsen. Och om styrelsen inte förstår risken – och förblindas av något ännu värre än Exchange Server och 2020 SolarWinds attacker – ja, historien skriver nästan sig själv.
Det är därför Kraning tycker att det är så viktigt att skapa ett minimum av standarder. Och, säger han, styrelser och ledande befattningshavare måste vara minimalt insatta på vissa sätt om cybersäkerhetsrisker och analys av dessa mätvärden. För utan den nivån av förståelse ställer inte styrelser rätt frågor – och cybersäkerhetschefer har inte rätt konversationer.
Kraning anser att attacktjänsthantering är ett bättre sätt att säkra företag med en kontinuerlig process för upptäckt av tillgångar, inklusive upptäckten av alla tillgångar som exponeras för det offentliga internet – det han kallar okända okända. Nya tillgångar kan dyka upp var som helst när som helst. Detta är faktiskt ett lösbart problem till stor del med mycket teknik som utvecklas, säger Kraning. När du väl vet att ett problem finns är det faktiskt ganska enkelt att fixa det. Och det är bättre för inte bara företag, utan för hela företagets ekosystem.
Visa anteckningar och länkar:
En ledarskapsagenda att ta sig an imorgon , Global CEO Survey-undersökning, PwC
Fullständig avskrift
Laurel Ruma : Från MIT Technology Review, jag heter Laurel Ruma, och det här är Business Lab, programmet som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.
Vårt ämne idag är attack ytahantering. Var kommer ditt nästa cybersäkerhetsbrott ifrån? Företag har fler och fler saker kopplade till sitt internet, inklusive ständigt expanderande nätverk och åldrande infrastruktur. Och i takt med att angripare blir mer kreativa, måste chefer också göra det.
Två ord för dig: okända okända.
Min gäst är Matt Kraning, som är chief technology officer och medgrundare av Expanse, som nyligen förvärvades av Palo Alto Networks. Matt är expert på storskalig optimering, distribuerad avkänning och maskininlärningsalgoritmer som körs på massivt parallella system. Innan han var med och grundade Expanse arbetade Matt för DARPA, inklusive en utplacering till Afghanistan. Matt har doktorsexamen och magisterexamen från Stanford University. Det här avsnittet av Business Lab är producerat i samarbete med Palo Alto Networks. Välkommen, Matt.
Matt Kraning : Tack så mycket. Mycket glad att vara här.
Laurel : Från allra första början har du varit expert på storskaliga distribuerade avkännings- och maskininlärningsalgoritmer som körs på massivt parallella system. Hur ledde den expertisen till att du var med och grundade ett företag inom området attack surface management?
Matt : Tja, jag ska säga några saker. Attack yta management är vad vi slutade kalla det, men det var faktiskt en väldigt lång resa dit och vi gav oss inte riktigt iväg med att veta att det var exakt vad det skulle heta eller exakt vad vi skulle göra. Så det finns inte ens en Gartner-kategori, vilket är ett visst sätt att validera existensen för ett marknadssegment. Det kommer faktiskt fortfarande ut. Så området för attack ytahantering uppfann vi faktiskt själva. Och många uppfinningar betyder att det finns en hel del upptäckter i det.
Till skillnad från många företagssäkerhets- och IT-företag där, i många fall, de flesta företag som grundas vanligtvis går in på en befintlig marknad – de gör vanligtvis ett stegvis eller evolutionärt framsteg utöver det som redan har uppfunnits – tog vi faktiskt ett annat tillvägagångssätt och sa, 'Vi frågar verkligen, med nya ögon, 'Vad serveras inte på marknaden idag?'' Och kom på idén om, 'Är internet, med alla sina löften, faktiskt kommer att bli en strategisk skuld för organisationer, inte längre bara en strategisk tillgång?
Vi utvecklade en massa tekniker och teknologier för att i princip se på hela internet som en datauppsättning: att kontinuerligt samla information om internet, som egentligen är där vår bakgrund kom in både från akademin och sedan också från vårt arbete inom försvaret och underrättelsetjänster, på platser som DARPA och på olika platser i de amerikanska underrättelsetjänsterna. Och vi sa att det faktiskt verkar vara en hel massa grejer trasiga på internet, och överraskande nog är mycket av det faktiskt förknippat med mycket stora, mycket viktiga företag. Det var att repa på den frågan som faktiskt ledde oss till att både grunda Expanse och sedan också skapa vad som skulle bli den första och är den ledande produkten inom det som nu kallas attack surface management, vilket verkligen är att förstå alla tillgångar som du har, förstå de risker som de kan innebära och sedan också åtgärda problem.
Men när vi grundade Expanse redan 2012 visste vi inte att det skulle bli attack ytahantering. Vi hade inte ens namnet attack surface management. Istället var det väldigt problemfokuserat på 'Vi ser många konstiga och farliga saker på internet och många säkerhetsbrister. Låt oss dubbelklicka på det mycket och faktiskt se om det finns ett sätt att bygga ett företag runt det.'
Laurel : Och hur mycket har internet förändrats under dessa nio korta år, eller hur? När du pratar om den datamängden och när du försöker hitta information om var de största säkerhetsriskerna finns, hur svårt var det att hitta? Såg du dig omkring och såg, 'Åh, se, det finns hela datamängder, du kan enkelt spåra tillbaka till dessa företag. De läcker.' Eller 'Saker och ting är inte säkra.'
Matt : Jag älskar frasen, 'Allt är uppenbart när du vet svaret.' Jag tror att en av huvudutmaningarna till en början är att för att ens visa hur stort det här problemet är måste man faktiskt samla in data. Och att samla in data är inte lätt, särskilt på en kontinuerlig eller regelbunden basis, du måste faktiskt ha mycket systemteknisk bakgrund, mycket distribuerad systembakgrund för att faktiskt samla data om allt. Jag tror att det som gjorde vårt tillvägagångssätt unikt är att vi faktiskt sa, 'Tänk om vi samlar in data om varje enskilt system på internet?' Vilket faktiskt möjliggörs av mycket av både kostnadsfördelar som möjliggörs av saker som cloud computing, men också mjukvarufördelar både i öppen källkod och sådant som vi skulle skriva själva. Och sedan, istället för att utgå från saker som du vet om ett företag och försöka bedöma deras risker, sa vi, 'Varför börjar vi inte med allt på internet och försöker sedan förminska det till det som är intressant?'
Och många mycket bra insikter kom ur det där vi igen, nästan av en slump, började upptäcka att vi faktiskt skulle hitta många, många fler säkerhetsproblem än vad organisationer faktiskt visste om sig själva. När jag pratar med organisationer pratar jag inte med småföretag. Jag pratar militärtjänst. Jag pratar Fortune 500-företag, Fortune 100-företag, Fortune 10-företag. Även den största, mest komplexa, men också den bästa ekonomin, de flesta elitkunder hade problem för säkerheten. Och vad vi verkligen upptäckte och vår resa med att skapa kategorin, med att skapa attackytehantering som en idé var att vi hittar alla dessa säkerhetsbrister och alla dessa tillgångar på avlägsna platser var som helst på internet, och de kommer att inträffa för en mängd anledningar.
Men det var faktiskt intressant för även om säkerhetsutmaningarna och säkerhetsriskerna var mycket verkliga, var de verkliga symptomen som vi hittade, som vi upptäckte, faktiskt att organisationer inte hade ett effektivt sätt att spåra alla tillgångar som de hade online och att samtidigt utvärdera säkerhetsläget för dessa tillgångar och att samtidigt fixa och åtgärda och mildra riskerna för dem som är motståndare till organisationen.
Och jag tror att det var en av de mycket intressanta sakerna var att när vi ser tillbaka kan vi nu säga: 'Självklart vill du göra alla dessa aktiviteter.' Men eftersom vi faktiskt gjorde något nytt som aldrig hade gjorts förut, det var en ny kategori, vi var tvungna att upptäcka allt det där med utgångspunkt från 'det verkar vara mycket trasigt på internet.' Vi vet inte riktigt varför, men låt oss gå och undersöka.
Laurel : Det är ett bra sätt att tänka på det, börja med en annan plats och sedan arbeta dig bakåt. Så Matt, enligt en nyligen genomförd PwC-undersökning av mer än 5 000 VD:ar runt om i världen, är 47 % extremt oroade över cybersäkerhet. Nu låter 47% inte som en stor siffra för mig, borde det inte vara närmare 100%?
Matt : Jag skulle säga att varje vd jag har pratat med är bekymrad över det på någon nivå. Och jag tror att mycket beror på var de är. Sammantaget, vad vi har märkt är en mycket stor ökning, särskilt under de senaste fem åren, av vd:arnas och styrelsernas uppmärksamhet på cybersäkerhetsfrågor. Där jag tror att vi har sett en eftersläpning, även om jag tror att det finns några undantag inom det här området, är att många av både verktyg och presentationer som går, särskilt för ledande publik, för cybersäkerhetsrisker inte effektivt förmedlar allt som dessa människor måste fatta effektiva beslut. Och jag tror att detta är utmanande av olika anledningar, särskilt att många VD:ar och styrelser inte nödvändigtvis har den fullständiga tekniska bakgrunden för att kunna göra det. Men jag tror att det också har varit ett misslyckande hittills inom industrin att kunna tillhandahålla dessa verktyg. Och jag tror att vi kommer att se fler och fler förändringar där.
Jag likställer det verkligen med finansläget före Sarbanes-Oxley som i princip började kräva att vd:ar ska få utbildning, och även styrelser, att börja förstå vissa finansiella mått, att faktiskt ha vissa kontroller på plats. Jag tror att på hög nivå kommer vi att behöva se något sådant under de kommande åren implementeras på något sätt för att säga att det finns ett minimum av standarder och att styrelser och ledande befattningshavare måste vara minimalt insatta på något sätt om cybersäkerhetsrisker och analys av dessa mätvärden. Just nu har jag sett många människor säga: 'Jag är orolig över det här, men sedan vet jag inte riktigt vart jag ska gå härnäst' eller 'Jag är insatt. Vi har en rapport. Vi anlitade ett företag. De hade den här presentationen som hade en hel massa PowerPoint-bilder med många diagram som skulle ha julgransbelysning som fick min hjärna att smälta. Och jag kunde inte riktigt förstå begreppen.
Jag tror att folk förstår det, men vi är fortfarande i början av: Hur har du effektiva kontroller över detta? Och hur har man egentligen program som är robusta kring det? Återigen måste vi gå i den riktningen eftersom fler och fler styrelser behöver se detta som en grundläggande aspekt av sitt företag, särskilt som i stort sett alla företag idag, jag bryr mig inte vilken bransch du är i, vilken storlek, din företaget kör faktiskt på IT. Det är i stort sett omöjligt nuförtiden att driva företag i nästan vilken storlek som helst där ditt företag fortfarande kan driva om din IT går ner. Och som ett resultat av förståelsen för cybersäkerhet på dessa nivåer, där attackytan nu är en del av det, är det mycket viktigt för organisationer att kunna förstå, för annars kommer du att utsätta din organisation för en mycket stor risk genom att inte att kunna bedöma sådana saker ordentligt.
Laurel : Ja. Och det går tillbaka till det gamla ordspråket, varje företag är ett teknikföretag. Men det här är kanske ett mer specifikt exempel på hur det är. Skulle du kort beskriva vad attack ytahantering är, kanske för den verkställande publiken?
Matt : Sättet som vi beskriver attackytehantering är att det i praktiken är en trestegsprocess där alla steg görs kontinuerligt i form av cykel, men det är en process och procedur genom vilken du, eller egentligen en leverantör, i det här fallet Expanse eller Palo Alto Networks, upptäck kontinuerligt alla tillgångar som en organisation har. I vårt fall, från extern attack yta, alla tillgångar som du har på det offentliga internet. Och det är en kontinuerlig process för när som helst, och jag kan gå in på detta senare, men när som helst kan nya tillgångar dyka upp var som helst på internet. Så du behöver ha en kontinuerlig upptäcktsprocess som säger: 'Vid varje given tidpunkt kanske jag inte vet allt om mina tillgångar så jag borde ha mekanismer för att samla information om var som helst de kan vara och försöka koppla dem till min organisation.'
Samtidigt så fort en tillgång upptäcks måste du ha medel för att utvärdera den över en mängd olika egenskaper. I många fall, om jag har upptäckt en ny tillgång, är denna tillgång verkligen ny? Och om det inte är det, matcha, normalisera, deduplicera det med andra saker. Om det är en ny tillgång kommer den i de flesta fall faktiskt att vara ohanterad. Så hur startar jag egentligen en rad aktiviteter för att säga, 'Det här är en tillgång som finns med min, men den existerar vanligtvis utanför en avsedd uppsättning säkerhetskontroller. Så hur startar jag en process för att både bedöma vilka kontroller som måste införas och sedan ta den under förvaltning.' Och den tredje delen av utvärderingen är också att förstå vilken risk detta innebär direkt för min organisation för att hjälpa mig att prioritera aktiviteter.
Det sista steget är vad vi kallar lindring. När du har utvärderat allt du har upptäckt, vad gör du egentligen åt det? Vilka åtgärder vidtar du och hur gör du det på mycket automatiserade och effektiva sätt. Och för oss finns det två primära steg som begränsningen innebär. Jag nämnde prioritering, men det är en, att föra system under förvaltning. I många fall betyder det också att för de flesta system som är associerade med våra stora kunder betyder det att de antingen tas bort från internet direkt, så vi lägger dem bakom en VPN eller annan typ av företagsenhet, eller gör säker på att de sedan är kända och sedan uppdaterade för i många fall råkar det verkliga symtomet på säkerhetsproblem som vi upptäcker vara kring det faktum att en tillgång var ohanterad under en mycket lång tid och kan innehålla säkerhet sårbarheter som senare upptäcktes helt enkelt för att du skulle ha säkerhetskorrigeringar som finns för kända säkerhetsproblem som inte hade tillämpats.
I vissa fall, som nolldagsattacker, är det faktiskt bara mycket viktigare att veta var alla tillgångar finns så att du kan korrigera dem så snart som möjligt. Men för den större majoriteten av tillgångarna som vi upptäcker för våra kunder och hjälper till att hantera deras attackyta, är det verkliga problemet att tillgångarna helt enkelt inte är kända. Och för chefer är den verkliga nyckeln att de befintliga processerna och verktygen som många företag använder kan vara mycket bra från den här sidan av säkerheten, men de antar att nätverken faktiskt är mycket mer statiska.
Laurel : Så vad är konsekvenserna av att ett företag inte känner till sin faktiska attackyta?
Matt : Den stora, mest uppenbara är en ökad risk för intrång. Jag tror att det var ett ordspråk under en stor del av 2000-talet, till stor del hjälpt av leverantörer, att allt började från nätfiske via e-post. Och det finns väldigt, väldigt stora leverantörer av e-postsäkerhet som fortfarande pumpade detta budskap att det är varje enskild säkerhetsincident som faktiskt är ett nätfiskemeddelande och att människor är den svagaste länken när de klickar på saker och därför köper mer e-postsäkerhet.
Jag tycker inte att det är fel. Jag tycker att det faktiskt är korrekt att säkerhet är en stor grej, det kan man köpa. Men det är också mycket lättare att mildra, speciellt nu med många bra verktyg, som att du faktiskt har full synlighet över alla e-postmeddelanden som skickas till anställda eftersom de måste gå via en central e-postserver. Det är faktiskt en fråga om att bara kunna upptäcka dåliga saker men att faktiskt inte behöva ta reda på att det till exempel skickades e-postmeddelanden som du inte hade insyn i.
Jag tror däremot att det vi har sett, särskilt på senare tid under det senaste decenniet och faktiskt till och med de senaste fem åren, är några av de absolut värsta intrång, de som orsakar hundratals miljoner till miljarder dollar skada, kommer inte från nätfiske. De kommer faktiskt från vanligtvis okända och oövervakade tillgångar och som i många fall faktiskt fanns på det offentliga internet. Så jag tror att några av de största exemplen på detta faktiskt är saker som WannaCry-attacken, som orsakade, uppskattningsvis över 10 miljarder dollar i skador, stängde hela företag, och satte det mesta av sjukvårdssystemet i Storbritannien på nytt. och papper för faktiska dagar.
Och de verkliga konsekvenserna är att du har alla dessa extra vägar att komma in eftersom det finns så många fler tillgångar som finns online som inte spåras av organisationer, och det är faktiskt så angripare kommer in eftersom det visar sig att det finns mycket effektiva, automatiserade sätt för angripare att förstå och undersöka och utnyttja dessa attackytor. Och följderna är ganska djärva. Du ser det mesta av sjukvården i ett förstavärldsland reducerat till penna och papper i dagar. Mycket, mycket allvarligt eftersom det inte bara är att hacka någons e-post, det är faktiskt att hacka den kritiska infrastrukturen i själva nätverket.
Laurel : På tal om kritisk infrastruktur, en annan attack nyligen är vattenreningsverket i Florida, där en angripare kunde på distans ändra vattnets kemiska sammansättning för att lägga till lut, vilket kunde ha förgiftat ett helt samhälle. Så då är infrastruktur en enorm fråga för mycket stora företag, som vattenreningsverk eller olje- och gasföretag, etc.?
Matt : Absolut. I det fallet, så vitt jag förstår, var attackvektorn där faktiskt en fjärråtkomstserver som någon på den fabriken lämnade öppen, var på internet och lät någon gå in. Vad våra tekniska tjänster handlar om är att vi återigen hitta sätt som effektivt är verktyg för IT-bekvämlighet men som kan undergrävas av angripare eftersom IT-bekvämlighetens verktyg inte härdas i samma grad som andra saker som är avsedda att finnas på internet och utelämnas som en självklarhet. Vi har den här linjen som vi gillar att se internet på de flesta sätt som vad de flesta av oss upplevt genom våra webbläsare eller på vår telefon. Det är den här riktigt trevliga konsumentupplevelsen och alla webbsidor vi tittar på ser väldigt trevliga och tilltalande ut och vi går dit.
Och det är en bra analogi till den fysiska världen som jag antar, snart efter att vi alla är vaccinerade från covid-19, kommer vi att vara tillbaka och handla utanför. Du kanske går till en Starbucks och butiken är riktigt trevlig, du har den här fantastiska upplevelsen, du får din latte, du går ut, men om du tittar under allt glitter på gatorna har du faktiskt mycket äldre infrastruktur. Du har saker som inga avloppsrör och annat som är oljigt och spricker. Och det är infrastrukturen som stödjer den vackrare världen på toppen.
Mycket av det vi ser som en del av attackytan är en IT-analogi som de flesta människor ser internet som bara 'Vad finns i deras webbläsare?' Vad är det på telefonen, dessa fina konsumentwebbplatser?' Men det finns hela backend-IT-infrastrukturen som stöder det. Och det är något knarrigt och det är inte alltid välkonfigurerat. Utan något som ASM har du problem som du faktiskt inte vet tillståndet för ditt nätverk eftersom det är så stort, distribuerat och komplext. Och som i fallet med Florida, som för övrigt var en mindre organisation, går det till hjärtat av hur vet man att något inte pågår? Enligt någon IT-säkerhetspolicy bör det inte vara tillåtet att ha en fjärråtkomsttjänst på internet. Men det är väldigt svårt även för mindre organisationer att få den där kontinuerliga synligheten av, hur ser jag egentligen ut utifrån? Hur ser jag ut för en angripare med äldre verktyg?
Laurel : Och det är ett bra exempel på en attack som inte är en nätfiske-attack. Det har inget med mejlet att göra. Medan vi diskuterar attacker, mest minnesvärt i år igen, SolarWinds och Exchange, hur skulle implementeringen av ASM ha förändrat dessa resultat för organisationer? Eller vad sägs om de lyckliga organisationerna som faktiskt förstod deras hanteringsalternativ för attackytan och kunde hitta detta och förhindra attacken?
Matt : Jag ska prata med båda eftersom ett antal av våra kunder hade båda dessa typer av system och vi hjälpte dem att svara. Jag tror att Microsoft Exchange-hackarna, och för dina lyssnare, lite bakgrund: det tillkännagavs faktiskt en uppsättning nolldagar för uppsättningarna av versioner av Microsoft Exchange-e-posttjänsterna tidigare i februari och mars i år. Mycket, mycket farligt eftersom det i själva verket är en organisations e-postservrar och om du följde den här XY-kedjan, vad den i princip tillät dig att göra var att skicka ett meddelande till en e-postserver för att ge dig effektivt obegränsad administrativ åtkomst till hela e-postmeddelandet server. Och det var faktiskt hundratusentals av dessa som vi upptäckte online. Och faktiskt, om du tänker efter, att ha en angripare som kan ladda ner hela eller det mesta av företagets e-postserver och med all denna känsliga information som finns lagrad där, är en mycket allvarlig attack.
Så vad vi märkte var faktiskt två saker, vilket var att för stora organisationer var de mycket medvetna om detta och de lappade väldigt, väldigt snabbt. Men det fanns ett antal kunder som vi kunde hjälpa där de är så stora att de faktiskt inte ens har en central uppsättning e-postservrar. Så utan Expanse skulle de inte ens ha kunnat hitta alla sina e-postservrar och kunna patcha dem i tid eftersom de är så distribuerade att de faktiskt behövde en inventering av även deras e-postservrar. Och det är väldigt svårt att samla det på ett centralt sätt om du inte använder ett ASM-verktyg som Expanse. För istället, i många fall, använder du vanligtvis Microsoft Outlook och Microsoft Excel. Du kommer att skicka e-postmeddelanden till olika affärsenheter. Du kommer att fråga IT-ledare i de olika affärsenheterna. Om de är lappade kommer de att skicka tillbaka e-postmeddelanden och kalkylblad. Det är en väldigt, väldigt manuell process.
Så kan faktiskt identifiera det och verkligen hjälpa dem på en mycket kort ordning på, typ en dag, att hitta och kunna fixa varenda server de hade på sin egendom, vilket vi tror verkligen förändrade resultatet, eftersom de kunde har varit sårbara i veckor i vissa fall. Även för SolarWinds tror jag att detaljerna är lite annorlunda eftersom inte alla SolarWinds tillgångar nödvändigtvis är exponerade för internet. Och i många fall hade de varit där i månader. Som en del av bredare Palo Alto hade vi andra produkter som kunde stoppa SolarWinds: SolarWinds-attacken i synnerhet, vårt slutpunktsramverk kallat XDR. Men även där för SolarWinds, när attacken väl var känd, har kunderna fortfarande problemet med att de inte ens visste var alla deras SolarWinds-servrar var, vilket återigen går tillbaka till detta inventeringsproblem och valmöjligheter, både som Expanse och andra kapacitet vi nu har som en del av Palo Alto, kunde vi faktiskt hjälpa kunder mycket snabbt att förstå överallt där de hade en SolarWinds-exponering så att de kunde mildra det mycket snabbt. Så det var faktiskt en tvåstegsprocess. På Palo Alto kunde vi förhindra attacken mot våra kunder även utan att veta att leveranskedjan hade brutits. Och när det väl var mer offentligt kunde vi faktiskt hjälpa alla att identifiera alla servrar de hade och se till att de alla var uppdaterade och inte infekterade med trojanen i leveranskedjan.
Laurel : Det är verkligen intressant eftersom vissa företag kanske tänker, 'Åh, ja, vi har inga vattenverk och åldrande infrastruktur att oroa sig för.' Men vet du faktiskt var all din e-post lagras och hur många olika servrar den kan finnas på och olika molninstanser eller var som helst? Och när du bara har några timmar på dig att göra den här viktiga patchen, hur snabbt kan du göra det?
Matt : Exakt. Och många av frågorna som jag ställde till våra kunder är bara: 'Hur kan du vara säker på att dina system faktiskt är uppdaterade?' Att svara på till och med till synes grundläggande klingande frågor med befintlig IT, om du inte har Expanse eller ASM, är faktiskt förvånansvärt svårt. Jag ska ge ett annat roligt exempel. Jag frågar informationssäkerhetscheferna detta hela tiden: 'Hur många routrar har din organisation?' Det verkar som en ganska grundläggande fråga, verkar som om de skulle veta, åtminstone till en mycket bra uppskattning, IT-teamet borde förmodligen veta exakt hur många routrar de har. De är mycket viktiga delar av nätverksutrustning, särskilt på företagsnivå, de är dyrare. Så det är inte bara som den där Wi-Fi-hotspot för hemmet som vi är vana vid. Dessa saker kan kosta tiotals, i vissa fall, hundratusentals dollar för att hantera arbetsbelastningar av företagsklass.
Och vad vi finner är att när du ställer den frågan, finns det faktiskt vanligtvis inte en central plats där allt det spåras. Istället kommer det att spåras av lokala utvecklings- och IT-team på olika sätt. Det kommer att spåras i flera kalkylblad. Det kan finnas vissa lokala IT-ledningssystem som vet det, men i slutet av det, om du sa som 'Hur många routrar har du just nu?' Processen som de skulle använda för att svara som inte går in i ett system eller loggar in, det är faktiskt att starta en e-postkedja. Det är faktiskt ett av huvudproblemen som attack-ythantering försöker lösa, är, hur har du en korrekt och uppdaterad inventering av allt så att du sedan kan bygga en mängd olika processer ovanpå det, inklusive säkerhet ? Men om du inte har en uppdaterad inventering eller du tror att du har det, men det har du inte, så när du börjar dra på den tråden, många affärsprocesser, mycket IT-processer, mycket av säkerhetsprocesser som du vill ska tillämpas i hela ditt företag, helt plötsligt inser du: 'Vänta, det här implementeras faktiskt bara delvis, för om jag inte har en fullständig inventering, hur vet jag vad som är gå över alla mina tillgångar i motsats till bara de tillgångar jag känner till?' Och det är vad vi pratar om när vi säger okända okända. Som du nämnde överst är det: 'Jag känner till en viss grad av mina system, men känner jag till alla?' Det deltat kan vara allt för organisationer eftersom de flesta av deras risker ligger i de delar av deras nätverk som de inte ens visste att undersöka.
Laurel : Vilka andra datadrivna beslut kan tas från den här typen av fokus på att faktiskt veta var alla dina tillgångar finns. Hur kan detta annars hjälpa verksamheten?
Matt : Två områden som detta verkligen hjälper organisationer med är faktiskt molnstyrning och M&A. Särskilt är det mycket spretiga företag. Så för många av våra kunder kan de faktiskt ha hundratals olika molnkonton hos de offentliga molnleverantörerna, så AWS, Azure, Oracle, Google, Alibaba i många fall, och de hade inget sätt att faktiskt rationalisera detta eftersom de skulle ha en hel massa olika utvecklingsteam och de kunde inte få något. Och så, när de säger att de flyttar till molnet, kommer en typisk avstå från våra kunder att vara som, 'Ja, det är vi. Vi har avtal med Amazon och vi säkrar våra satsningar lite. Vi utforskar också Azure så att vi inte bara är låsta till ett moln.' Vad vi finner är att den genomsnittliga kunden för Expanse finns hos 11 olika infrastrukturleverantörer.
Jag pratar inte SaaS, jag pratar på platser som du faktiskt får som att hyra en server, lägga data på dig själv. Det är fantastiskt och astronomiskt och vi skulle kunna säga: 'Ja, du är på Azure. Du är också på AWS. Visste du att du också är i DigitalOcean? Du är också i Linode. Din general manager i Europa placerade dig förmodligen i OVH eller Orange hosting. Du har något annat i det malaysiska datacentret. Jag är inte riktigt säker på vad det är. Och det är typiskt. En kund för oss var faktiskt hos över hundra olika leverantörer eftersom de är ett mycket stort multinationellt företag. Jag tror att det är då vi ser att människors molnstyrningsplaner kontra molnverklighet är dramatiskt olika. Och genom att hjälpa dem med det kommer de att kunna flytta både säkert och snabbt till molnet.
Den andra är sammanslagningar och förvärv. Jag tror att detta är något som händer allt mer. Eftersom många branscher konsolideras har det skett mycket M&A-aktivitet på senare tid. Men när du tänker efter är en M&A en av de största IT-förändringshändelser en organisation kan ha, särskilt om det är ett stort förvärv. Så jag vet lite om detta, efter att nyligen ha gått igenom den här processen med Palo Alto Networks på andra sidan bordet, men antalet saker du måste integrera är ganska stort. Och i fallet med Expanse är vi integrerade med ett toppsäkerhetsföretag i världen och vi är också relativt små. Så integrationshuvudvärken har nästan varit obefintlig, och det har varit en riktigt bra process.
Men för större organisationer där du kanske skaffar en organisation med 50 000 personer en organisation med 10 000 personer, antalet olika steg du måste gå igenom, mängden IT som du måste överföra, mängden arv du måste förstå är gigantiskt. Och på många sätt är dessa i många fall endast delvis implementerade eftersom du som förvärvare kanske inte ens vet var alla tillgångar du förvärvar finns. Som ett exempel, för ett flygbolag, fanns det en serie fusioner och vi kan faktiskt hitta tillgångar för det sammanslagna flygbolaget som inte längre existerar, men som fortfarande fanns på internet mer än ett decennium efter fusionen.
Vilket ger dig en uppfattning om hur lång tid vissa av dessa saker tar. Det är den andra sidan av, hur vi verkligen hjälper våra kunder, är faktiskt att förstå, 'När du faktiskt förvärvar en tillgång, hur slutför du egentligen den processen? Hur mäter du det? Hur övervakar du det och hur gör du det på internets skala snarare än med många konsulter, Excel-kalkylblad, papper och e-postmeddelanden?'
Laurel : Så från vårt samtal idag känner jag att det här är, om du inte vet vad du inte vet, borde du verkligen räkna ut det varning, om du inte har hört det förut. Men det finns glimtar av hopp i detta, eller hur? För om tillgången finns kan du åtminstone hitta den, spåra den och bedöma vad du ska göra med den, förmedla eventuella ändringar du behöver göra eller bedöma den för att få den tillbaka till full cybersäkerhetsöverensstämmelse. Vad ger dig hopp om vad som är möjligt efter att ha sett de första tre månaderna i år och vad som har hänt med attacker, de pågående problemen som vi kommer att ha? Men det finns möjligheter där, eller hur? Det finns hopp. Vad ser du som gör dig optimistisk om cybersäkerhet och vad vi ser fram emot under de kommande fem åren?
Matt : Ja, jag är faktiskt ganska optimistisk inte ens på lång sikt men även på medellång sikt tror jag, till och med tre, fyra år framöver. På kort sikt kommer det definitivt att bli lite hård sjö framför mig, men det här är det som gör mig mest optimistisk. För det första tror jag att detta faktiskt är ett lösbart problem till stor del med mycket teknik som utvecklas. Och med det är det tydligt att när du väl vet att ett problem finns, är det faktiskt ganska enkelt att fixa det. Det finns många mekanistiska steg för att bli bättre på det. Det finns många automatiseringar som kan sättas på det. Och det är många saker som kommer att bli aktuella. Men i många fall är den svåra delen att se vad du faktiskt behöver fixa och känna till alla problem och sedan kunna prioritera dem effektivt och sedan börja arbeta med dem.
Och jag tror särskilt att de saker jag har sett är inom branschen, jag tror att det finns många tekniker under de få åren som kommer att möta marknadsföringshypen som har funnits i flera år. Jag pratar mycket med branschpartners. Vi använder stora mängder data. Med min bakgrund där jag har en doktorsexamen från Stanford i operationsforskning och maskininlärning, använder vi faktiskt lite verklig maskininlärning i våra produkter. Vi använder också mycket heuristik också. Jag skämtar om att vi ibland har maskininlärningsklassificerare för att lösa ett problem. Andra gånger har vi SQL-frågor som löser problemet.
Vi har några riktigt välskrivna SQL-frågor. Jag är väldigt stolt över dem. Men jag tror att branschen själv, speciellt inom marknadsföringsmaterial, man skulle kunna tro att allt inom cybersäkerhet är denna automatiserade AI, ML-aktiverat allt. I de flesta fall, men inte alla, men i många över hela branschen, och detta gäller särskilt i nystartade företag, det är bara en linje att pitcha. Och vad företag egentligen kallar AI är bara standardprogramvaruregler och det är egentligen inget speciellt på gång.
Eller så finns det ett gammalt skämt som säger: 'Åh, jag har den här fantastiska AI-grejen. Vad är det? Tja, vi har ett gäng analytiker som är före detta underrättelseofficerare, vanligtvis i Maryland eller utanför Tel Aviv och det är de som gör allt. Men vi har ett system som effektivt dirigerar arbete till dem och det är vår AI.' Och de säger 'vänta, det är människor.' Jag tror att det jag har sett är att en, brett definierad automation är en verklig sak. Men automatisering betyder faktiskt på marken, är att du tar något som tidigare tog timmar och dagar och 10 personer. Och sedan med mjukvara just nu, det är mer så hur tar man ner det till 15 minuter och två eller tre personer?
Jag tror att vi kommer att se ännu större vinster eller till och med börja ta människor ur kretsen helt och hållet i vissa affärsprocesser. Och jag tror att det vi ser och det här är mycket av det vi jobbar på och jag jobbar på nu är att under de kommande månaderna och åren kommer verklig storskalig maskininlärningskapacitet faktiskt att implementeras i produktionen. Jag tror att det finns några som finns där ute i bitar. Det finns mycket fler regler än någon vill prata om, men vi ser nu att det finns tillräckligt med datauppsättning, det finns tillräckligt med normalisering av data i det, särskilt hos de större företagen, och att företag är mer villiga att dela information med leverantörer om det förbättrar bevisligen säkerhetstjänsten som de får, att vi faktiskt kommer att kunna distribuera allt mer sofistikerade funktioner längs dessa linjer och få produkten/verkligheten att matcha. Jag tror att det är vad åtminstone den bredare marknadstidsandan i branschen hade varit.
Jag har sett många av dem, de är väldigt, väldigt verkliga och de kommer väldigt mycket. Och de kommer i industriell skala för försvarare. Och jag tror att det är det jag är mest exalterad över, för trots att det finns det gamla ordspråket att angripare måste ha rätt en gång, försvarare måste ha rätt hela tiden, alltmer är det nu mer skalbart för försvarare att ha rätt mycket av tiden och att faktiskt sätta upp väldigt stora övervakningsnätverk så att om angriparna slinker en gång kan försvararna helt utplåna dem i den attacken. Och det påverkar både asymmetriskt kostnaden och även jag tror kommer att bidra till att luta planen tillbaka till försvaret.
Matt : Jag tror att när du hade partiella AI-lösningar och ML-lösningar och partiell automation, hjälpte det angripare mycket mer eftersom de kunde tejpa ihop några olika delar, skala upp vissa saker väldigt högt och sedan bara se vad som kom tillbaka till dem i en bra väg. Jag tror att försvarare kommer att kunna ha liknande kapacitet som är effektiva eftersom de faktiskt täcker allt som händer i ett företag. Och det kommer att tillåta oss att vända utvecklingen.
Laurel :Matt, tack så mycket för att du var med oss idag i det som har varit ett fantastiskt samtal på Business Lab.
Det var Matt Kraning, teknisk chef och medgrundare av Expanse, som jag pratade med från Cambridge, Massachusetts, hemmet för MIT och MIT Technology Review, med utsikt över Charles River.
Det var allt för det här avsnittet av Business Lab. Jag är din värd, Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology. Och du kan också hitta oss i tryckt form, på webben och vid evenemang varje år runt om i världen.
För mer information om oss och showen, kolla in vår hemsida på technologyreview.com.
Den här showen är tillgänglig var du än får dina poddar. Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss. Business Lab är en produktion av MIT Technology Review. Det här avsnittet producerades av Collective Next. Tack för att du lyssna.
Det här podcastavsnittet producerades av Insights, den anpassade innehållsdelen av MIT Technology Review. Den producerades inte av MIT Technology Reviews redaktion.
