Cybersäkerhet kan skydda data. Vad sägs om hissar?





I samarbete med Cortex Xpanse av Palo Alto Networks

Avancerade cybersäkerhetsfunktioner är viktiga för att skydda programvara, system och data i en ny era av moln, sakernas internet och andra smarta tekniker. Inom fastighetsbranschen, till exempel, är företag oroade över potentialen för kapade hissar, samt äventyrade byggnadsförvaltning och värme- och kylsystem.



Enligt Greg Belanger, vice vd för säkerhetsteknik på CBRE, världens största kommersiella fastighetstjänster och investeringsbolag, har säkrandet av företaget blivit mer komplext – säkerhetsteam måste känna till kontroller och hårdvara på nya enheter, samt vilken version av firmware är installerad och vilka sårbarheter som finns. Till exempel, om ett värme-, ventilations- och luftkonditioneringssystem (HVAC) är anslutet till internet, frågar han sig: Är den fasta programvaran som driver HVAC-systemet sårbar för attacker? Kan du hitta ett sätt att korsa det nätverket och komma in och attackera anställda på det företaget?

Att förstå företags sårbarheter är avgörande för att skydda fysiska tillgångar, men att investera i rätt verktyg kan också vara en utmaning, säger Belanger. Artificiell intelligens och maskininlärning behöver stora uppsättningar data för att vara effektiva för att leverera insikterna, förklarar han. I en tid präglad av moln-först och industriellt internet of things, blir omkretsen mycket mer flytande. Genom att tillämpa AI och maskininlärning på datamängder, säger han, börjar du se riskmönster och riskbeteende börja dyka upp.

En annan prioritet när man säkrar fysiska tillgångar är att översätta insikter till mätvärden som C-suite-ledare kan förstå, för att hjälpa till att öka beslutsfattandet. VD:ar och styrelseledamöter, som blir mer säkerhetskunniga, kan dra nytta av sammanlagda poäng för hantering av attackytan. Alla vill veta, särskilt efter en attack som Colonial Pipeline, kan det hända oss? Hur säkra är vi? säger Belanger. Men om ditt företag kan tilldela meriter till olika funktioner, eller poängsätta dem, är det möjligt att mäta förbättringar. Belanger fortsätter: Vår förmåga att se poängen, reagera på hoten och sedan hålla poängen förbättrad är ett nyckelmått.



Det är därför det är viktigt att hantera attackytan, fortsätter Belanger. Vi får faktiskt synlighet för CBRE som en angripare skulle göra, och ofta är dessa verktyg automatiserade. Så vi ser mycket mer än någon hackare skulle se individuellt. Vi ser hela vår miljö.

Det här avsnittet av Business Lab är producerat i samarbete med Palo Alto Networks.

Fullständig avskrift

Laurel Ruma: Från MIT Technology Review heter jag Laurel Ruma, och det här är Business Lab, programmet som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden. Vårt ämne idag är att säkra fysiska tillgångar. Uppenbarligen har det varit mycket fokus på cyberdelen av cybersäkerhet, men företag har också fysiska tillgångar, inklusive olje- och gasinfrastruktur, tillverkningsanläggningar och fastigheter. När du kastar in fusioner och förvärv, obegränsade molninstanser, IoT-sensorer och enheter överallt, kan ett företags attackyta vara bred, sårbar och i stort sett okänd.

Två ord till dig: Kapade hissar.



Min gäst är Greg Belanger, vice VD för säkerhetsteknik på CBRE. CBRE är världens största kommersiella fastighetsservice- och investeringsföretag, med mer än 100 000 anställda över hela världen.

Det här avsnittet av Business Lab är producerat i samarbete med Palo Alto Networks.

Välkommen, Greg.



Greg Belanger: Hej.

Laurel: Till att börja med sägs det ofta att varje företag är ett teknikföretag. Så hur spelar cybersäkerhet en roll inom kommersiella fastigheter? Fysisk säkerhet är förmodligen något de flesta känner till, men hur är det när det kommer till system, sensorer och data?

Greg: CBRE har varit på en digital transformationsresa de senaste fem åren i väntan på att vår marknad förändras. Tidigare var det ingen som tänkte på kommersiella fastigheter som ett mjukvaru- eller teknikföretag, men vi ändrar på det. Vi tittar på vad som har hänt med andra branscher som Uber. Det som Uber gjorde mot taxibilar och Airbnb gjorde mot hotell, vi vill se till att CBRE ligger i framkant av det. Så vi har bestämt oss för att störa oss själva och förvandla oss till ett teknikföretag. Vi är ett kommersiellt fastighetsbolag med teknik och data som skillnader. Med allt detta finns det mycket mer innovation, applikationer, migrering till molnet och smart byggnadsteknik. CBRE:s ledning visste tidigt att vi behövde ha en avancerad cybersäkerhetskapacitet för att skydda våra kunder över hela världen i den nya eran. Så att säkerställa säkerheten för vår programvara och att skydda vår data är högsta prioritet för detta företag år efter år.

Laurel: Det är verkligen intressant för du har rätt. Folk tänker inte nödvändigtvis på hur ett fastighetsbolag kan vara ett teknikföretag. Har det varit fem svåra år? Tror du att det har tagit ett tag för folk att förstå vikten och brådskan med denna digitala transformation?

Greg: Det har varit fantastiska fem år. Det har verkligen varit en förändring för dem, men det var mycket förändring som infördes av den mjuka sidan av huset. Så att byta från ett kommersiellt fastighetsbolag till ett företag som utnyttjar kommersiella fastigheter och mjukvara för att driva dessa byggnader, för att utnyttja den information vi har om människor, det har också varit en stor förändring. De förändrade inte bara säkerheten, utan de gick över till metoder som agil mjukvaruutveckling, mobilteknik och liknande. Säkerhet var bara ytterligare ett lager som lades till ovanpå den redan befintliga förändringen. Det var därför vi inte hade en CIO. Vi hade en chef för digital transformation vid rodret.

Laurel: Det är en intressant installation, för då blir cybersäkerhet helt integrerad i vad du än gör. Det anses inte vara ett separat tillägg.

Greg: Absolut. Jag anställdes faktiskt för att vara vice VD för devSecOps, som integrerade säkerhet i alla dessa agila mjukvaruutvecklingsmetoder. Säkerheten var fokuserad på var vi var för fem år sedan – när du är redo att gå live testar vi dig och berättar om du kommer att gå till produktion eller inte. Nu arbetar vi nära våra utvecklare som partners, och vi försöker flytta så långt till vänster som vi bara kan. Så kör tester och ge dem designidéer, hotmodellering, sånt där för att försöka se till att vilken programvara de än släpper är redo att börja dag ett.

Laurel : Bara för att ge folk en förståelse för vad devSecOps är, så är devOps en praxis med kontinuerlig mjukvaruutveckling med fokus på IT-drift, och sedan lägger du till säkerhet. Så då drar du faktiskt in alla dessa team för att bygga bättre mjukvara för företaget i allmänhet och även skydda den.

Greg: Fullständigt rätt. Nyckeln till det är att vi ville att säkerheten skulle vara så automatiserad som möjligt. När du tänker på devOps tar det mycket av den processen att bygga mjukvara och distribuera mjukvara och göra det kontinuerligt. Vi ville se till att säkerheten var i samma ljus. När du gjorde dig redo att utveckla programvara och migrera programvara, var den säkerheten involverad i viktiga steg på vägen.

Laurel: Jag hade en gång ett hårresande samtal med en chef om kapade hissar. Kan du ge våra lyssnare några exempel på specifika cybersäkerhetsproblem som byggnader och fastighetstjänster kan stöta på som är annorlunda än nödvändigtvis, säg, en Uber?

Greg: Absolut. Kapade hissar, byggnadsledningssystem, VVS-system är alla ett problem. Man hör mycket om dessa saker i nyheterna, något som vi upplevt personligen. Vi tittar på att utveckla mobilapplikationer som du kan bädda in i din telefon och sedan använda saker som Bluetooth Low Energy för att faktiskt öppna dörrar till våra byggnader. Så när du tänker på fysisk säkerhet, finns det en beröringspunkt nu med informationsteknik och det industriella internet of things. Vi har faktiskt utvecklat en applikation som gör att en anställd kan komma in och använda sin telefon för att låsa upp en dörr, för att få tillgång till sin arbetsplats.

Om du någonsin har arbetat någonstans som är så stor att de måste ge dig en karta för att gå från en plats till en annan på ett kontor, har vi utvecklat vad vi kallar waypoint-teknologier för att låta användare med den här mobilapplikationen navigera mellan var de är sitter och var konferensrummet var och ge dem feedback på vägen. Allt detta görs genom Bluetooth och integrationer i mobilen. Det måste vi som säkerhetspersonal värna om.

Vi var tvungna att titta på den här mobila enheten, som var ansluten till en sensor, och den sensorn var ansluten till en gateway, och den gatewayen var ansluten till internet, men hur fungerade det hela? Hur kom data in? Hur kom den ut? Se till att dessa enheter finns i separata, segmenterade nätverk. Det är alla viktiga bekymmer för oss. Vi körde också penetrationstester mot dessa applikationer och enheter för att säkerställa att de var säkra.

Vi tittar på alla risker med dessa nya teknologier som en del av vår moderna kompetens, och vi tittar på mjukvaruutvecklare. De tillverkar dessa teknologier och infrastrukturteam ställer upp dem när vi försöker säkra företaget.

Laurel: Lite mer om penetrationstestning eller penntestning - det var då du faktiskt försökte se hur säkert ditt nätverk och din miljö är?

Greg : Det är rätt. Vi betalar folk för att försöka bryta sig in. Hacking är inget brott. Vi försöker betala etiska hackare för att bryta sig in i våra system för att berätta för oss var skurkar, riktiga skurkar faktiskt kan hitta sätt att explodera våra system.

Laurel: Så vi pratar egentligen om något som går utöver en smart byggnad. När vi tittar på de senaste cybersäkerhetsöverträdelserna, till exempel, hackar vattenbehandlingen ner i Florida, vad vi ser att ytan på en byggnad eller ett företag faktiskt är ganska bred, och kanske visar platser som inte är de mest uppenbara för människor eller penntester eller oetiska hackare för att faktiskt hacka sig in i en byggnad eller ett företag.

Greg : Det är rätt. Det är ett relativt nytt område. Det finns ett antal fantastiska företag som tittar på den här operativa tekniken (eller OT) för att försöka penntesta för att hitta vilka sårbarheter som finns. Det är en annan disciplin. Du måste vara bekant med några av kontrollerna eller någon av hårdvaran som styr dessa miljöer, vilken typ av firmware som används på dessa enheter och sedan vilken typ av sårbarheter som faktiskt finns i den firmware.

Det skiljer sig något från IT-penetrationstestet eller saker som vi normalt förstår som drivrutiner och bibliotek som också kan ha sårbarheter inbyggda i dem. Lägg sedan till det, det finns nu beröringspunkter. Så om du har ett VVS-system som är anslutet till internet, är den fasta programvaran som driver VVS-systemet sårbar för attacker? Kan du hitta ett sätt att korsa det nätverket och komma in och attackera anställda på det företaget? Så det är några viktiga bekymmer för oss.

Laurel: Att ha rätt verktyg för att försvara ett företag är också en utmaning eftersom säkerheten fortsätter att utvecklas, för att möta olika mothot. En del av det kan vara mer automatiserat som artificiell intelligens, men det som är avgörande är att förstå ditt företags sårbarhet, eller hur? Så den möjliga attackytan för hela ditt företag, eller hur?

Greg: Absolut. Artificiell intelligens och maskininlärning behöver stora uppsättningar data för att vara effektiva för att leverera insikterna. I en tid präglad av moln-först och industriellt internet of things (IIoT), blir denna omkrets som du försöker få information om mycket mer flytande. Traditionellt sett var omkretsen väldefinierad. Den var härdad mot attack, men nu med molninstanser kan IIoT-enheter dyka upp på ditt nätverk och kan exponeras för internet utan mycket förvarning. Även i en tidevarv med traditionella perimeterdagars försvar var det en svår uppgift att se ditt företag som en angripare från utsidan och in.

Nu har vi mer moderna verktyg som inte bara visar dessa system i realtid, utan varnar dig för de sårbarheter som kan påverka dina poäng. Vi ser saker som skugg-IT, felkonfigurerade IoT-enheter, molnsystem, förutom mycket mer insyn i vad som händer på våra kontor över hela världen. Genom att tillämpa AI-maskininlärning på den datamängden börjar du se riskmönster och riskbeteende börja dyka upp.

Laurel: När du tänker på outside-in, hur ser du på det – som en utomstående tittar på ditt företag och möjliga områden att utnyttja?

Greg: Konceptet med några av dessa verktyg för attackytehantering är att de ger oss samma synlighet som alla på internet skulle ha för vårt företag. Det är svårt att se vårt företag i sin helhet. När du tänker på ett företag av storleken CBRE, var är alla dina digitala tillgångar? Vet du med säkerhet att någon inte har skapat en webbplats på en molnvärdleverantör, t.ex. i Sydafrika och sedan använt din logotyp och ditt namn, och använt det för något slags ofarligt marknadsföringssyfte, men det kan ändå påverka ditt varumärke? Den typen av saker dyker inte alltid upp genom vanliga verktyg som vi har skannar vår kända miljö.

Så när vi tittar på attackytans hantering går vi ut och identifierar alla dessa tillgångar som kan vara relaterade till CBRE. Sedan är den andra uppgiften för oss att gå in och titta på dessa tillgångar och faktiskt korrelera dem med identitet, CBRE IP-utrymmet. Så vi får faktiskt synlighet för CBRE som en angripare skulle göra, och ofta är dessa verktyg automatiserade. Så vi ser mycket mer än någon hackare skulle se individuellt. Vi ser hela vår miljö.

Laurel : Så här mäter du din attackyta.

Greg: Exakt.

Laurel: Du försöker hitta allt du kan. Vissa organisationer använder den här inventeringen som ett mått, som hur snabbt tar det faktiskt att mäta alla dina tillgångar för att göra en fullständig tillgångsinventering och sedan jämföra den med vad angriparna ser? Som du nämnde kan en angripare bara se en sak, men angripare arbetar ofta som ett team, som vi såg detta nyligen med Colonial Pipeline-exploatet. Så hur ger detta företag ett steg upp?

Greg: Det är en resa. Du måste titta på när du börjar med attack ytahantering, din plattform kommer att identifiera många tillgångar som kan eller inte kan vara associerade med ditt företag. Så det första du ska titta på är hur stor andel av tillgångarna har vi identifierat positivt som våra tillgångar? Det första måttet är, hur många har du upptäckt? Hur många har vi identifierat? Vad återstår att göra? Därifrån gick vi personligen vidare för att titta på våra nästa fem stora ämnen. Så saker som: Avslöjade vårt verktyg för hantering av attackytan förfallna certifikat, molnkonton som vi kanske inte var medvetna om? Upptäckte vi någon skadlig programvara som kom ut från en av våra närvaropunkter?

Jag ska ge dig ett exempel: Vi hade ett fall där de upptäckte skadlig programvara som kom ut från ett av våra kontor i Europa, så vi satte genast igång. Vi försökte identifiera vilken tillgång det var. För vårt liv kunde vi inte identifiera vilken tillgång det var. Vi tittade på tillgångsetiketten. Det var en bärbar dator, men vi hade den inte i vårt nätverk. Det var inte kopplat till en användare. Vi insåg på grund av det, att vårt gästnätverk kom från samma punkt av närvaro från det kontoret, och så det var något. Det var tack och lov inte en riktig incident med skadlig programvara, men någon som var gäst i vårt nätverk hade något som var en påverkad tillgång.

Så det är de typer av insikter som vi började hämta från attackytehantering under de senaste tre åren. Nu vill vi bli mer avancerade och titta på att samla alla dessa saker till en sammanlagd poäng, ungefär som en kreditpoäng.

Laurel : Det är fantastiskt, du kan snabbt komma igång när du märkte att något inte riktigt stämmer i ett sådant globalt nätverk. Detta verkar brådskande, eller hur? Så hur uttrycker du egentligen till dina kamrater och leverantörer och alla partners längs hela kedjan och ekosystemet, hur viktigt det är att känna igen attackythantering? Också, för dig själv, finner du dig själv en pionjär eller kanske en paradledare där du leder vägen för många andra företag att förstå att den här typen av teknik och sätt att tänka om säkerhet är här, som om det är en verklig sak?

Greg: Hur mycket jag än skulle vilja kallas visionär så är jag verkligen ingen visionär, men det är begrepp som varit kända ett tag. De har precis börjat få storskalig adoption. När jag började prata om attack surface management var det inte lätt att förstå.

När du väl förklarat vad det är du gör och vad verktygen för attackytehantering faktiskt kommer att ge dig, inträffade det glödlampsögonblicket mycket snabbt. Vår CISO såg omedelbart värdet i detta verktyg och sa omedelbart att vi absolut måste se till att vi identifierar alla våra tillgångar. Vad mer kan vi få ut av dessa system? Det var bra. Vi såg shadow IT. Vi såg molnkonton som vi inte visste fanns. Vi såg felkonfigurerade enheter eller certifikat som var på väg att löpa ut. Så värdet av det blir omedelbart uppenbart, men det är något som kräver lite förklaring.

Laurel: Så när du pratade om den sammanlagda poängen för attack ytahantering, låter det som något som är lite mer begripligt för en styrelse och olika vd:ar och andra chefer. Så du kan säga att vi förbättras, eller så går vi inte lika bra i år eller kvartal när vi tittar på poängen sammantaget en efter en. Tror du att denna sammanställning, eller sättet att föra ett styrkort till säkerhet, kommer att hjälpa den diskussionen med VD:er, chefer och styrelser i allmänhet?

Greg : Absolut. Det har länge varit en svårighet. Alla vill veta, särskilt efter en attack som Colonial Pipeline, kan det hända oss? Hur säkra är vi? Vad är vårt resultat, eller finns det ett mått du kan ge mig för att berätta för mig om jag är säker eller inte, eller om vårt program är effektivt? Ofta ger vi dem en mängd olika mätvärden. Här är alla sårbarheter som vi har. Här är instanserna av skadlig programvara som vi har upptäckt och rensat. Här är alla säkerhetsincidenter som vi ser varje dag. Men de översätts inte nödvändigtvis till, är vi säkra? Blir vi bättre? Finns det områden där vi kan fokusera? Så när vi tittar på att ge ett mått, hjälper det verkligen att förtydliga den bilden. Om du kan förklara hur det måttet härleddes, hur det var en mängd faktorer som certifikat, eller sårbarheter, eller konfiguration, och hur är det med summan av din applikation som skannar din applikations säkerhetstestning?

Om du tittar på hur vi har minskat alla våra högrisksårbarheter ur ett applikationssäkerhetsperspektiv, så spelar det roll. Så att komma på den formeln, det är verkligen svårt. Det är något som är en utmaning, och folk som jag själv i säkerhet trivs med den typen av utmaningar. Men det är verkligen där jag ser VD:arna och styrelserna som definitivt blir mer säkerhetskunniga, det är där jag ser att de vill att måttet ska gå. De vill se en poäng som ger dem en känsla av tröst att vi gör det bättre, och det här är inte något statiskt. Det är inte något som alltid kommer att förbättras eftersom nya sårbarheter, nya attacker inträffar hela tiden, och den poängen kommer att förändras. Men vår förmåga att se poängen, reagera på hoten och sedan hålla poängen förbättrad är ett nyckelmått för oss.

Laurel: Känner du att styrelser och ledningsgrupper blir mer säkerhetskunniga? Jag menar, det är omöjligt, eller hur, att inte se rubrikerna nästan varje vecka nu av ett eller annat brott, men filtrerar det igenom?

Greg: Ja. Jag vet personligen, för oss får vi alltid en årlig lista över prioriteringar som kommer ut från vår vd och vår styrelse. Eftersom jag har varit på mitt företag på CBRE nu, har det varit vår första eller tvåa prioritet varje år. Så det är en högsta prioritet, eftersom de ser rubrikerna.

Som alla säkerhetsspecialister kommer att berätta för dig, varje gång något kommer ut ur sårbarhet, en nolldag, en attack som Colonial Pipeline, får vi alla samma fråga. Kan det hända här? Är vi i riskzonen? Så den typen av saker trycker absolut på vår styrelse. Det som är intressant för mig är att styrelserna nu vill ta in medlemmar som själva är mer säkerhetskunniga och de ställer svåra frågor. Vad gör du åt dessa sårbarheter? Hur snabbt kan du patcha? Vad är din mellantid mellan sårbarhet och patchning?

Det här är saker som direkt talar med vårt säkerhetsfackspråk. Visst, de är väldigt relevanta för oss, men de är definitivt mer direkta och mer investerade, och de ger styrelsen en känsla av tröst med någon på deras sida som talar säkerhetsspråket.

Laurel : Jag menar, det är vad du vill se, eller hur? Uppenbarligen är styrelsens prioriteringar enorma, och en av dem är att göra vinst, men den andra är att inte förlora vinst, och en cybersäkerhetsattack kan skada det. Så du måste se till att du talar språket i hela företaget.

Greg : Absolut.

Laurel : Du pratade lite om hur attackytehantering faktiskt ger dig den här insikten att veta att själva datorn har skadlig programvara, men det har inte påverkat nätverket ännu. Så finns det andra insikter som du har sett från programvara för attacksytbehandling som bara överraskade dig eller fick dig att inse hur viktigt det var att ha denna förmåga?

Greg : Ja. Liksom många stora företag genomför vi ett årligt penntest. Det vill säga, vi anställer någon utanför vårt företag för att attackera oss som en dålig kille skulle göra. Detta ger oss en känsla av hur långt de kan gå. Skillnaden med faktiska attacker och dessa företag som vi anlitar är att vi ger dem en fast tidsuppsättning. Vi säger: 'Du har sex veckor på dig att bryta dig in och komma så långt du kan till vår miljö' och vi ger dem villkoren för engagemang. Du får göra dessa saker, men inte tillåtet att göra dessa andra saker.

Under de år som vi har haft attack ytahantering anställd, har det varit fantastiskt att se dessa attacker. De kommer tillbaka och de ger dig en avläsning vecka efter vecka, det här är vad vi ser, det här är sakerna som vi har utnyttjat. Vi kan se många av samma saker som de kan se.

Till exempel, i år pekade de ut en webbplats som är värd i Sydafrika. De sa att det kör det här ramverket och det verkar vara på denna värdleverantör. Det verkar inte finnas några sårbarheter, men vi attackerar det och ser om vi inte kan bryta oss in i det. Är det din IP? Ja ja det är det. Vi är medvetna om det genom vårt verktyg för hantering av attackytor. Vi är medvetna om applikationen. Vi kan inte nödvändigtvis säkra det eftersom vi inte stod upp. Det är en del av shadow IT.

Men eftersom vi har upptäckt det, kan vi nu försöka ta reda på exakt vem som drev den webbplatsen, vad de behöver göra för att säkra den, om de behöver ta med den i vår fold eller inte och vara värd för den med vår standardföretagens IT-värdleverantörer, den typen av saker.

Så det har varit ovärderligt ur synvinkeln att se det som ett penntest, vi kan se många av samma saker som våra penetrationstestare ser genom vår attackytehantering. Så det har varit tröstande att veta att vi har ögon och syn på samma saker som en angripare skulle göra.

Laurel : När du pratar om det, hur hjälper det ditt säkerhetsteam att bli mer framgångsrika i att avvärja attacker? Hur hjälper ASM eller attack surface management med det?

Greg : Synlighet är namnet på spelet ur ett säkerhetsperspektiv. Vi ville kunna se allt i vår miljö. Sedan tar du ett steg bortom det och du säger, okej, nu när vi kan se allt, vilken typ av beteende ser vi av dessa tillgångar? Det var nästa steg, att arbeta med vår partner inom attack ytahantering, för att börja se beteendet hos dessa tillgångar, oavsett om de indikerar att det kanske finns en kompromiss eller att det fanns någon form av sårbarhet. Det är ungefär som emissionstestning. Så när du tänker på din bil och tar in den för utsläppstestning, kopplar de en enhet till ditt avgasrör och de ser vad som kommer ut ur din bil och de ger dig betyget godkänd eller underkänd.

Angreppsytans hantering är väldigt lik den. Ur beteendesynpunkt kan vi titta på alla dessa närvaropunkter, alla dessa internet-IP-adresser och se vad som kommer ut ur dem. Det ger oss lite insikter om deras beteende. Sedan tar vi det ett steg längre nu, och vi integrerar faktiskt allt detta i realtid med vårt SIM-kort, vårt säkerhetsincident och händelsehanteringssystem. Det övervakas 24/7 av vårt säkerhetsoperationscenter så att när vi ser något som stiger till nivån för en säkerhetsincident kan vi svara på det i realtid.

Laurel: Vilket är precis vad du vill göra, låta maskineriet göra mycket av de tunga lyften och sedan ta in människor för att faktiskt ta reda på vad som händer och pågår och säkra hela företaget.

Greg: Absolut, ja.

Laurel: Hur påverkar den nästan allestädes närvarande användningen av molntjänster ditt sätt att tänka på säkerhet och hantering av attackytor. Oavsett om det är en spunna instans eller en hiss, är det fortfarande en yta, eller hur?

Greg: Det stämmer, och det är en viktig fråga. När du tänker på den elastiska karaktären hos de flesta molntjänstleverantörer, kan mycket infrastruktur stå upp på några minuter, och du kanske eller kanske inte är medveten om den infrastrukturen, hur den är ansluten, vilka sårbarheter den har inbyggd i den. Styrning av attackytan ger oss samma synlighet som en angripare skulle ha. Så när saker snurras upp, om de är felkonfigurerade, till exempel, och de läcker data på något sätt, till och med metadata, runt, hej, jag är här, jag är en webbserver. Här är min version. Här är mitt nummer, som ger en angripare en mängd information som vi inte nödvändigtvis vill att de ska se. Vilken typ av sårbarheter finns för just den webbservern och versionen, och vilka saker kan jag avslöja? Den exponeringen i sig ger också angriparna fotfäste. De kan börja skanna just den tillgången och titta på sätt att brutalt tvinga eller knacka på dörren så att de faktiskt kan hitta ett sätt att komma in i vår miljö.

Så ur vårt perspektiv ger attackytehantering oss den insynen i om vi tittar på alla våra molnmiljöer och vi kan berätta för dem vad vi använder och vad vi är medvetna om, då kan de övervaka dessa för förändringar i vår hållning som kommer ut och titta på om vi har tillgångar eller inte som vi inte nödvändigtvis menade att exponera internet, och vad vi berättar för världen genom exponeringen av dessa tillgångar. Så det har verkligen varit en förändring för oss när vi tänker på hur vår molnmiljö fungerar. Det har hjälpt oss att se till att vår molnmiljö, förutom mycket specifika närvaropunkter, till stor del finns i det privata molnnätverket.

Laurel : Det har varit ett ganska tufft år för många människor och många branscher, men efterklangen av pandemin i hela den kommersiella fastighetsbranschen kommer att skölja över i år, om inte årtionden. Vad tänker du annorlunda på med säkerhet på grund av pandemin?

Greg: Visst, det första som kom att tänka på förra året när alla jobbar hemifrån, och jag tror att detta kommer att vara sant i ett antal år, är hur vi skyddar människor som nu arbetar hemifrån? Hur skyddar vi anställda som är i ett hemnätverk med sina familjer? Deras familjer kanske inte har samma säkerhetsverktyg som vi har och våra tillgångar kan vara exponerade. Så vi har tittat på saker som Always On VPN, som kommer att skydda våra anställda från vad som än händer på just deras hemnätverk. Det har verkligen varit till hjälp. Vi tittar också på nya tekniker som Secure Access Service Edge, så att vi kan försöka föra alla våra verktyg och tekniker mycket närmare människor som skulle arbeta hemifrån eller arbeta från vilken plats som helst för den delen.

Sen, slutligen, tror jag att det har lagt stor vikt vid säkerhet som helhet. Det finns mycket mer medvetenhet om saker som har hänt under det senaste året eller så som verkligen har drivit hem behovet av ett bra cybersäkerhetsprogram. Så det har haft effekten att göra en redan dålig situation för att hitta riktigt bra, pålitliga säkerhetsexperter ännu mer allvarlig. Det är väldigt svårt att hitta och deras omständigheter är annorlunda nu. Många säkerhetspersonal arbetar hemifrån och de vill ha den ökade flexibiliteten för att fortsätta arbetet hemifrån, eller ha ett flexibelt schema eller arbeta från ett annat kontor. Så att hitta riktigt bra människor är verkligen svårare efter pandemin.

Laurel : Det är, tror jag, ett problem inte bara för säkerhetsmänniskor, utan i allmänhet, eftersom människor ändrar sitt sätt att leva och vill arbeta. Något intressant du sa var bara tanken på att säkra hemnätverket, vilket betyder att ett företags ansvar börjar sträcka sig ut förbi företagets normalt sett ganska väldefinierade områden. För verkligheten är att om huset inte är säkrat, så är nätverket inte säkert, och då är din anställd inte säker.

Greg : Det är helt rätt. När man tänker efter har vi viss kunskap om vilka som är våra mest attackerade personer. Vi känner till några av de personer som oftare blir måltavla, antingen för att de är en chef av något slag, eller de har arbetat inom en chef, eller de är i en position, till exempel, inom juridik eller finans där en angripare kan utnyttja dessa positioner för att begå något bedrägeri.

Att tänka på hur vi skyddar dessa människor när de arbetar hemifrån är en viktig fråga för oss. Detta Always On VPN, det har varit en utmaning att få det rullat ut överallt, men vi har gjort det på kort tid. Nu har vi samma säkerhet för alla våra anställda, oavsett om de är hemma eller inte, vare sig de är på kontoret eller inte, eller de är på ett kafé. Jag tror verkligen att det har minskat en hel del risker.

Laurel : Greg, tack så mycket för att du var med oss ​​idag i det som har varit ett fantastiskt samtal på Business Lab.

Greg: Tack. Jag uppskattar det verkligen.

Det var Greg Belanger, vice vd för säkerhetsteknik på CBRE, som jag pratade med från Cambridge, Massachusetts, hemmet för MIT och MIT Technology Review, med utsikt över Charles River. Det var allt för det här avsnittet av Business Lab. Jag är din värd Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology, och du kan hitta oss i tryckt form, på webben och i evenemang varje år runt om i världen.

För mer information om oss och showen, kolla in vår hemsida på technologyreview.com. Showen är tillgänglig var du än får dina poddar. Om du gillar det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss. Business Lab är en produktion av MIT Technology Review. Det här avsnittet producerades av Collective Next. Tack för att du lyssna.

Det här podcastavsnittet producerades av Insights, den anpassade innehållsdelen av MIT Technology Review. Den producerades inte av MIT Technology Reviews redaktion.

Dölj