I takt med att cybersäkerhet utvecklas, så bör din styrelse också göra det

I samarbete med Cortex Xpanse av Palo Alto Networks





Men hur många regissörer går vilse i teknikens tekniska detaljer? Utmaningen för en Chief Information Security Officer (CISO) är att prata med styrelsen på ett sätt som de kan förstå och stödja företaget.

Det borras in i cheferna för styrelseledamöter och C-sviten av skrämmande rubriker för dataintrång, advokater, stämningar och riskhanterare: cybersäkerhet är högrisk. Det måste vara på listan över ett företags högsta prioriteringar.



Niall Browne, senior vice president och informationssäkerhetschef på Palo Alto Networks, säger att man kan se på CISO-styrelsediskussionen som en klassisk säljföreställning: framgångsrika CISO:er kommer att veta hur man avslutar affären precis som de bästa säljarna gör. Det är det som gör en riktigt bra säljare: personen som har pitchen att stänga säger han. De har förmågan att avsluta affären. Så de ber om något.

I evigheter, säger Browne, har CISO:er haft två stora problem med styrelser. För det första har de inte kunnat tala samma språk så att styrelsen kunde förstå vad problemen var. Det andra problemet: Det fanns ingen fråga. Du kan gå framför en tavla och hålla din presentation, och regissörerna kan se ut som om de är överens, nickar eller skakar på huvudet, och du kan tänka för dig själv, Job done. De är uppdaterade. Men det betyder inte nödvändigtvis att företagets säkerhetsställning är bättre.

Det är därför det är viktigt för CISO:er att höja styrelsens förståelse till en nivå där de vet vad som behövs och varför. Speciellt när det kommer till nya framsteg inom cybersäkerhet, som hantering av attackytor, vilket förmodligen är ett av de områden som CISO:er fokuserar minst på och ändå är det viktigaste, säger Browne. Till exempel, många gånger kanske CISO och säkerhetsteamet inte kan se träet från träden eftersom de är så involverade i det. Och för att göra det behöver CISO:er en uppsättning mätvärden så att vem som helst kan läsa ett kortlek och inom några minuter förstå vad CISO försöker få fram, säger Browne. För för det mesta finns data där, men det finns inget sammanhang bakom det.



Det här avsnittet av Business Lab är producerat i samarbete med Palo Alto Networks.

Full transkript :

Laurel Ruma : Från MIT Technology Review, jag heter Laurel Ruma, och det här är Business Lab, programmet som hjälper företagsledare att förstå ny teknik som kommer ut från labbet och in på marknaden.

Vårt ämne idag är cybersäkerhet och företagsansvar. Under de senaste åren har cybersäkerhet blivit ett bekymmer på styrelsenivå med skadat rykte, förlorade intäkter och enorma mängder data som stulits. När attackytan växer kommer chefer för informationssäkerhet att få allt större ansvar för att veta var de kan förvänta sig nästa attack och hur de ska förklara hur det hände.



Två ord för dig: synlighet utanför och in.

Min gäst är Niall Browne, som är senior vice president och informationssäkerhetschef på Palo Alto Networks. Niall har decennier av erfarenhet av att hantera globala program för säkerhet, efterlevnad och riskhantering för finansiella institutioner, molnleverantörer och företag inom tekniktjänster. Han sitter i Googles rådgivande nämnd för CISO.

Det här avsnittet av Business Lab är producerat i samarbete med Palo Alto Networks.



Välkommen, Niall.

Niall Browne : Utmärkt. Tack, Laurel, för att du har mig.

Laurel : Så som informationssäkerhetschef, eller CISO, är du ansvarig för att säkra både Palo Alto Networks produkter och företaget självt. Men du säkrar inte vilket gammalt företag som helst; du säkrar ett säkerhetsföretag som säkrar andra företag. Hur är det annorlunda?

Niall : Ja, så jag tycker, det vackra med Palo Alto Networks är att vi är det största cybersäkerhetsföretaget i världen. Så vi får verkligen se vad fruktansvärt många företag aldrig får se. Och om du tänker efter så är en av de viktigaste sakerna att kunskap är makt. Så ju mer du vet om dina motståndare, vad de gör, vilka metoder de försöker på nätverket, vilka kontroller fungerar och vilka kontroller som inte fungerar, desto bättre är du att skapa din egen interna strategi för att skydda mot dessa kontinuerliga attacker. Och du har en mycket bättre position för att kunna tillhandahålla den informationen till styrelsen så att de kan försäkra dig om att lämplig tillsyn finns på plats.

Så absolut för oss, med den kunskapsnivån om vad vi får se i våra nätverk, ger det oss verkligen möjligheten att kontinuerligt förnya oss. Så vi tar våra produkter och bygger vidare på dem, så att vi kan möta kundernas krav och sedan branschens krav. Så jag tror att det förmodligen är den första delen. Den andra delen är att vi verkligen är i den här båten tillsammans. Så en del av mitt jobb är att kontinuerligt prata med individer i branschen och andra CISO:er, CTO:er, CIO:er och VD:ar som pratar om cybersäkerhetsstrategi. Och alltid kommer du att upptäcka att samma problem som de har är exakt samma problem som vi har. Så för oss är det verkligen möjligheten att dela, hur säkerställer vi att vi kan kontinuerligt förnya oss, göra skillnad i branschen och verkligen samarbeta löpande med branschledare. Särskilt med fokus på hur vi säkrar vår verksamhet och tillhandahåller bästa praxis för hur vi företag kan bli säkrare?

Laurel : Så vissa människor kan bli förvånade över att samarbete och denna typ av öppen kunskapsdelning är så utbredd, men det borde de inte vara, eller hur? För hur ska ni annars kollektivt försvara mot de okända angriparna?

Niall : Bra fråga. Och om du tittar på det på motsatt sida av stängslet delar hackare kontinuerligt. Även om de delar för ekonomisk vinning. Med andra ord kommer de att stjäla data och de kommer att sälja den vidare och sälja den vidare och sälja den vidare och sälja den vidare. Hackare delar kontinuerligt denna data, inklusive gör-det-själv-verktyg. Och på säkerhetssidan av huset har det alltid funnits historiskt sett den där gamla misstanken. Med andra ord, jag är den enda personen som har det här problemet unikt. Och om jag delar det här problemet kommer de att tycka att jag inte gör ett bra jobb eller att företaget inte gör ett bra jobb, eller så är jag den enda personen som har det här specifika problemet. Och vad som hände med tiden är att CISO:er inte delade mycket data, vilket betyder att hackarna delade data till höger till vänster och mitten. Men på CISO-sidan av huset, på skyddssidan, var det väldigt lite samarbete, vilket gjorde att man nu hade begränsade delade branschpraxis.

Varje CISO var i sin egen silo, i sin egen pelare, och gjorde sin egen unika sak, och alla lärde sig av sina egna misstag. Så det var verkligen en en-till-en-modell. Du gör ett misstag och sedan gör du ett nytt misstag, och sedan gör du ett nytt misstag. Men om du kunde prata med din kamrat, föreställa dig i affärer eller finans, pratar du kontinuerligt med CTO och CFO för att säga, Åh, förresten, hur hanterade du ett sådant och sådant problem? Så jag ser nu att branschen börjar förändras. CISO:er börjar nu förändras och dela. De pratar hela tiden om strategi. De pratar ständigt om hur de skyddar sin miljö? De pratar om, vilka är några av de bra affärsmodellerna som fungerar?

Och om du tittar på MIT så finns det industri och tekniska och affärsmodeller som verkligen fungerar i andra branscher. Men sedan, om du tittar i själva CISO-gemenskapen, är det som, vad är dessa branschpraxis? Och nu börjar de bara bli lite formulerade, bubbla upp därifrån. Och vad jag ser, definitivt under de senaste, jag skulle säga tre eller fyra år, har det skett en enorm tillväxt hos CISO:er i förhållande till att lära sig branschpraxis och verkligen höja deras kompetens. Så de är bara inte den tekniska nörden i hörnet. De behöver verkligen kunna prata affärsteknik, kunna prata affärstermer och verkligen kunna ses som den där nära kamraten till den där CTO:n, till CIO:n, till VD:n i förhållande till att lösa affärsproblem.

För om du tänker på det ur ett cybersäkerhetsperspektiv, så är det i slutändan bara ett affärsproblem. Och om det är ett affärsproblem måste du tillämpa strategiska affärslösningar för att lösa dessa problem. Istället för att prata om vilken version av antivirus du använder, måste du verkligen höja konversationen, så att när du pratar med styrelsen, när du pratar med samma chef på C-nivå, de inte kastar sina ögon i luften. De förstår att du pratar samma affärsspråk som dem. Vilket betyder, återigen, om du är en pålitlig affärspartner, då kan du göra mycket mer skillnad i företaget, i motsats till att ses som den där juniora IT-ledaren i organisationen som någon bara någonsin kommer till om vi blir hackade eller om en säkerhetskopiering misslyckas, eller om en Mac är trasig.

Laurel : Jag gillar verkligen den där liknelsen...tillväxten av själva positionen. Som du sa, det lyfter faktiskt denna roll till styrelsebordet eftersom det är ett affärsproblem med en möjlig affärslösning. Men hur kan styrelser då i gengäld fatta bättre beslut? Du måste då också ta med lite data och information och något för att hjälpa styrelsen tillsammans med alla andra beslut de måste fatta i hela företaget.

Niall : Och det är nyckeln, är att de flesta människor, när de tittar på det, är klassisk försäljning. Du kan ha den bästa säljaren i branschen, men om de inte har nära, och nära är frågan. Här är en fantastisk produkt, och jag vill sälja den här produkten, det vill säga den här bilen för, låt oss säga, $50 000. Och sedan i slutet av säljplanen, kommer du att köpa bilen? Och det är det som gör en riktigt bra säljare, personen som har pitchen att stänga. De har förmågan att avsluta affären. Så de ber om något. Så jag tror att CISO i evigheter hade två stora problem med styrelsen. Det ena är att de inte kunde rapportera rätt data till styrelsen och talade samma språk där styrelsen skulle kunna förstå vad som gällde.

Och sedan två, det var ingen fråga. Och det är väldigt viktigt för om du går in i en tavla och du presenterar och alla nickar och skakar på huvudet och förstår det, så har du säkert uppdaterat dem, men säkerhetsställningen är ingen desto bättre. Och om man tittar på en klassisk styrelse, vilken styrelse som helst, så är de där på en väldigt, väldigt hög nivå, uppenbarligen, för att tjäna företaget. Så alla styrelseledamöter eller någon av styrelserna som jag har arbetat med tidigare, de har varit extremt villiga att hjälpa själva verksamheten. Så de tittar alltid på, ja, du presenterade X, men nu, hur kan jag hjälpa? Så jag tror att CISO:er måste vända det till mer av att vara den där säljaren med nära. Viktigast av allt, vad är min fråga?

Och ett klassiskt styrelsemöte, jag tror att det går bra, är att du sätter dig ner, du arbetar med styrelsen, du visar en kärnuppsättning av mätetal. Nu vill du inte visa mätvärden på siffror som är absolut meningslösa för tavlan. Om du tittar på tavlan har tavlan ett brett utbud av färdigheter. Vissa styrelseledamöter kan vara compliance-experter, vissa kan vara företagsledare, vissa kan vara finansledare. Så det handlar egentligen om två uppsättningar saker när du kommunicerar med styrelsen. Den ena kommer med en uppsättning kommunikationer eller mätvärden, och beskriver verkligen affärsfallet så att vem som helst kan läsa en kortlek, och inom några minuter förstår de vad du försöker få fram. Det är kritiskt.

Och sedan en andra del är, det är inte en presentation. Varje styrelsemöte bör avslutas med tid i slutet för frågor och svar och för att fråga. Och jag skulle säga att ett bra styrelsemöte innebär att du inte ens går igenom leken. Du delar däcket i förväg, de har läst igenom det, de kunde förstå din cybersäkerhetsställning genom att bara titta på ditt däck. Och då hänvisar styrelsemötet inte ens till kortleken. Det är en enkel uppsättning frågor, kommentarer fram och tillbaka och sedan frågan. Och frågan kan vara: Lyssna, kan vi få lite mer fokus på ett visst område i sig eller fler resurser? Eller så kan de fråga dig också. Så återigen, jag tror att modellen verkligen är, kommunicera en kärnuppsättning av data och sedan göra det till en konversation med en samarbetsfråga från båda sidor kontra att komma på ett 30-slides kortlek som ingen förstår att du presenterar det och sedan tar du slut av styrelsemötet därifrån. Den modellen fungerar helt enkelt inte, som vi vet.

Laurel : Ja. Inte för någon, eller hur? Så vilka specifika mätvärden rapporterar du egentligen tillbaka till styrelsen och varför är dessa mätvärden viktiga för din styrelse eller någon annan styrelse?

Niall : Problemet med alla branscher, inklusive cybersäkerhet är att det ibland bara finns för mycket data. Så, om du tittar på industristandarder som ISO 27001, kan du ha hundra och något kontroller. Om du tittar på FedRAMP har du 300 kontroller. Om man tittar på COSO eller COBIT. Så du vill inte gå till styrelsen med, förresten, här är 2 000 kontroller. Och här är hur vi följer dessa 2 000 kontroller. För för det mesta finns data där, men det finns inget sammanhang bakom det. Så de undrar att AV är på 95 % av slutpunkterna, är det bra? Vi skannar en gång var, låt oss säga 12 timmar, är det bra? Så de är vad jag kallar meningslösa mätvärden. De har inga som helst fördelar för de flesta InfoSec-människor, aldrig bry sig om ledare på styrelsenivå. Så ur vår synvinkel delar vi upp det i enkla kärnuppsättningar av pelare som vi kan mäta över tid.

Och generellt sett vill du inte ha en uppsättning pelare som är 25 pelare, eftersom det är för många eftersom du inte kan mäta en mot 25. Så internt bosätter vi oss generellt i ungefär fem stora kärnområden som vi fokuserar på på och vi mäter mot dem varje gång. Så en är, säkra våra produkter. De flesta organisationer är väldigt, väldigt produktcentrerade nu. Så produkter i de flesta företag blir kritiska, kritiska, kritiska. Så en sak vi mäter är hur mäter vi? Hur skyddar vi våra produkter? Och vi betygsätter oss själva på en skala från noll upp till fem som är maximal mognad.

Nu, om du har riktigt bra produkter, men de sitter på infrastruktur som är osäker, har du ett problem. Så den andra är, säkra vår infrastruktur. Och den tredje är upptäckt och respons. Så om du har riktigt säkra produkter på riktigt säker infrastruktur, men ingen tittar på det och ingen mäter eller övervakar miljön för attacker, så har du ett problem. Så för oss är detektionssvaret det tredje, vilket är avgörande.

Den fjärde är då människor. Och folkkomponenten, det är absolut...Jag kan inte betona detta nog för om du inte har människor som förstår cybersäkerhet, så har du en kärnfråga. De allra flesta gånger är det människor som gör något i ett företag av misstag, det vill säga de kan klicka på en nätfiske-länk som äventyrar ditt nätverk. Så en sak, vad vi kallar det är street smart. Så en av de fyra pelarna är, kan vi få folk så att de är gatusmarta? Med andra ord, cybersäkerhet smart, street smart. Så om de går på vägen och de ser en främling ser misstänksam ut, använd din magkänsla. Samma sak med cybersäkerhet. Vilka är de enkla sakerna som de bör göra eller tänka på dagligen för att de kan skydda ett företag?

Och sedan är den femte verkligen styrning. Hur gör vi styrning och hur klarar vi oss själva? Och hur mäter vi vår framgång? Så om man tittar på det där så är det fem enkla pelare. Det är helt enkelt produkt, infrastruktur, detektionssvar, människor och styrning. Och vi mäter noll till fem för var och en av dem. Så då är det väldigt lätt för styrelsen och för andra medlemmar att titta på, hur trendar vi mot dessa områden över tid? Det låter dig gå högt, med andra ord tusenfotsvyn. Och sedan om det är en fråga om infrastruktur, kan du titta på mätningen, infrastrukturpelaren, och sedan kan du börja hoppa in i andra mätvärden senare om de vill. Men egentligen är det så vi formulerar det, hur vi byggde vårt säkerhetsprogram. Och det är något som jag tror som resonerar väldigt starkt hos styrelsen, för nu kan de mäta oss baserat på kända enheter kontra meningslösa mått som för det mesta inte säger dem något.

Laurel : Nu, tänk om vi bytte det? Vilket ansvar har styrelsen för att vara gatusmart och ha någon form av grundläggande förståelse för cybersäkerhet? Eller tar du det som ditt eget personliga ansvar att spendera tid med varje medlem för att se till att de förstår grunderna?

Niall : Korrekt. Så för oss handlar det mycket om att ta en viss kunskapsnivå och sedan bygga vidare på den kunskapen så att åtminstone alla är på samma kunskapsnivå. Så ett exempel är, återigen, du kan ha någon som är ordförande för revisionskommittén, som är väldigt, väldigt teknisk eller väldigt, väldigt efterlevnadsdriven. Och hon eller han kanske vet allt om styrelser...revisioner och alla ramar. Och det är jättebra. Och sedan andra sidan, du kanske har någon som är mer ekonomibaserad eller mer revisionsbaserad. Och då är frågan, hur arbetar du med att höja allas kompetenser?

Och det finns många olika sätt att göra det på. Det är två saker. Man sätter sig ner med dem en-mot-en och ger sedan en höjd konversation om, det här är vad vi gör. Det här är hela vårt säkerhetsprogram. Så här fungerar det. Så här såg 2020 ut. Så här ser 2021 ut...så att få alla på samma nivå och bygga den relationen är väldigt, väldigt viktigt.

Och vi ser kontinuerligt att våra styrelsemedlemmar kommer att nå ut till oss eller vi kommer att nå ut till dem för att dela data, eller så kommer de att ha en idé som vi inte har tänkt på och vi kommer att säga, 'Ja, det är en riktigt bra idé. Låt oss införliva det i vårt program.' Så jag tror att det är väldigt användbart. Och sedan den andra delen är, det handlar om att berätta en historia. Alltså en berättelse och en berättelse. Så om du öppnar en bok och börjar på säkerhetssidan och börjar på slutet av kapitlet, ja, det är inte särskilt övertygande. Det är som, vem är Jane? Vem är Judy? Vem är Tim? Vem är Tony? Har ingen som helst mening.

Och ofta är det det som händer i cybersäkerhetsrapporter att styrelsen tittar på...och här är hon eller han som presenterar som en CISO och de presenterar en uppsättning data och mätvärden som de inte förstår och därför, de kan inte göra något med det. Så vi tillbringar mycket tid, vår första styrelse, och börjar med en grundläggande uppsättning principer och sedan varje styrelse efter det, var tredje månad eller så går vi in ​​i mer detaljer stegvis, allt eftersom vi växer och allt eftersom vi bygger det cybersäkerhetspaketet får de bättre förstå och förbättra sin förståelse också. Och sedan från deras sida, med den nivån av förståelse, kan de mycket lätt hoppa in och säga, 'Åh, förresten, här är ett område jag tycker att du bör fokusera på.'

Och i vår styrelse har vi några VC-företag, uppenbarligen, som är mycket tekniska och de kommer att ha en inriktning som de vill att vi fokuserar på. Jag vill säga, 'Visst, låt oss införliva det som en del av vårt program.' Så jag tror att jag skulle se detta som styrelsekommunikation som en väldigt mycket fram och tillbaka kommunikation. Det ska inte hända en gång i kvartalet. Det ska inte hända dagligen, men det ska verkligen ske under kvartalet där en styrelsemedlem har en idé och sedan kan du införliva det som en del av dina bästa praxis.

Nu vill man samtidigt att personalen inom det företaget ska kunna operativt driva sitt säkerhetsteam. Men visst, de insikter som vissa styrelsemedlemmar kan ge, i vissa fall är oerhört mycket eftersom de har varit i den branschen i många olika år. Och som en del av den modellen skulle de vanligtvis ha sett vad andra individer aldrig har sett förut. Dessutom tror jag att det som är mest fördelaktigt därifrån, inom cybersäkerhet, cybersäkerhet, igen, det är ett affärsproblem och det är en affärsprocess. Så de flesta av dessa styrelseledamöter är exceptionella på att lösa affärspraxis. Kanske inte cybersäkerhet, men de kan ta en cybersäkerhetsfråga och de kan relatera det till ett annat företags bästa praxis, och sedan dra nytta av det inom cybersäkerhet.

Och ärligt talat tror jag att det är det bästa värdet en styrelse kan ge. Många gånger kanske CISO och säkerhetsteamet inte kan se träet från träden eftersom de är så involverade i det. För styrelseledamöterna är det en fantastisk sorts prisma där de kan se på det utifrån och in, och de kan ge insikter baserat på, 'Tja, vänta lite, hur du löser det här problemet baserat på cybersäkerhet genom att gör en konsultmodell, som inte fungerar eller som inte skalar. Istället bör du göra en en-till-många-modell, d.v.s. åtgärda problemet en gång och sedan delas det mellan alla dina beståndsdelar, på samma sätt som molnet gör, mjukvara som en tjänst gör.' Så den där affärsinriktningen, affärsperspektivet, tror jag är något som jag verkligen tycker om att arbeta med en styrelse med, dela lite idéer och sedan samarbeta fram och tillbaka. För återigen, jag tror att deras affärsmannaskap är oöverträffad. Och om du helt enkelt kan positionera cybersäkerhet som en affärsfråga, kan du verkligen snabbt bygga en mycket stark ökning av en samarbetsmiljö.

Laurel : Så på tal om din egen upphöjning eller kompetenshöjning, när insåg du först att attack-ythantering var en separat ny disciplin som du behövde bli riktigt bekant med, utbilda din styrelse om och sedan hjälpa bemanna den och planera för den?

Niall : Bra fråga. Jag tror att om jag tittar på ASM, eller attack surface management, så är det förmodligen ett av de områden som CISO:er fokuserar minst på och ändå är det viktigaste. Och anledningen till det är, om du tittar på någon hackare, om en hackare vill äventyra din miljö, är det första de kommer att göra att först lära känna din miljö. Så ett exempel är, om du har en inbrottstjuv, när de väl bryter sig in i ett bostadsområde, kommer hon eller han ofta att vandra runt i bostadsområdet, ta en titt, vilka är husen som har soporna ute, vilka har bottenvåningen fönster som är öppna, vilka har inga lampor på framsidan av huset, vilken har hunden skällande?

Så du vandrar förbi. Det enda du gör är en recon. En snabb promenad förbi 20 hus i ett bostadsområde. Du väljer ut de två. Nu har du två mål. Sedan kommer du tillbaka senare på natten eller så kommer du tillbaka i morgon kväll och sedan bryter du dig in i de två. Gjort. Och återigen, du tittar på hur olika branscher gör det. Det är fascinerande för om du tittar på en bransch, det vill säga fysisk säkerhet och sedan tillämpar cybersäkerhet eller om du tillämpar det på styrelsen, så finns det ofta en enorm mängd likhet. Och samma sak med cybersäkerhet är att om ett företag vill äventyra din miljö, finns det två sätt att det i allmänhet kommer att hända. En är att de i allmänhet gör en nätverksskanning och de tittar på ditt företag och de finner att du har svag säkerhet. Och sedan vänder de huvudet bakåt och de säger: 'Åh, intressant, en bakdörr är öppen. Jag kommer att fokusera på det här företaget.

Eller två, samma sak också, de gör en rekon men de vet redan vem du är. Och i det här fallet vill de lära sig så mycket som möjligt så att de kan äventyra dig djupt i ditt nätverk. Så, innan du gör någon hacking av miljön, är recon-komponenten den mest kritiska delen. Annars är du en tjur i en porslinsbutik. Du rusar in, du slår av sensorer, höger, vänster och mitten. Du borde inte gå in genom ytterdörren, du borde gå in bakdörren. Så recon-komponenten på det är kritisk, kritisk, kritisk.

Nu, om du frågar de flesta CISO:er när var sista gången de återkopplade sitt eget företag, kommer de allra flesta att säga: 'Jag har ingen aning alls.' Så de kanske säger, 'Ja, vi använder en säkerhetsskanner.' Men om du tittar på en säkerhetsskanner, vad du gör är att du går till säkerhetsskannern, du har lagt in en uppsättning kända IP-adresser som du känner till och du skannar mot dessa IP-adresser. Men om man tittar på det så är det toppen av isberget, för hur ser den nya industrimodellen ut? Det är flytande. Förbi är de dagar då cybersäkerhet skulle stå upp en brandvägg och den skulle inte tillåta trafik genom brandväggen.

Nu är allt extremt dynamiskt. Allt är internet vänd. Så nu har du Kubernetes, du har människor som snurrar upp tiotusentals behållare med sina egna externa IP-adresser. De är alla tillgängliga från internet. Du har dev som gör det, scenen gör det. Du har alla olika miljöer som kommer. Och nu förändras din attackyta varje minut varje dag. En del av det är för att det är äkta. Du tillåter en IP-adress som finns där ute för att det finns ett legitimt affärsskäl, men ofta är det som kommer att hända att människor snurrar upp miljön och plötsligt exponeras den för internet.

Känner säkerhetsteamet till det? Somley nej, och CISO har ingen aning om det. Så förmågan, genom vilken du får lära känna, du får att rekonstruera din miljö eller ASM, eller attack ytahantering, är helt avgörande. För om du inte vet det kan du inte skydda det. Och då är problemet att du kan snurra upp en IP-adress i GCP eller AWS eller Alibaba. Det kan vara på plats, alla jobbar nu hemifrån. Så min bärbara dator kunde exponeras från internet. Och om du tittar på det, vad som alltid händer i praktiskt taget varje enskild attack, väl för det mesta från värdskapet, börjar det på utsidan och arbetar sig in. Så du behöver verkligen känna till din attackyta. Du måste skanna den varje dag. Du måste kunna tillskriva vilka IP-adresser och enheter som är exponerade.

Ett enkelt exempel är att om du tittar på det senaste antalet intrång som inträffade är det enkla saker. Oftast är det ett kluster som exponerades från internet, eller någon tillåts som ett transportadministrationsskal som SSH eller RDP från internet, eller så har någon fått ett Kubernetes-kluster och exponerat det från internet. I vart och ett av dessa fall är det bara människor som gör oavsiktliga misstag. Men ofta kan dessa IP-adresser exponeras för internet i minuter, i dagar, i år, och säkerheten får aldrig veta om det, eller skyddar mot det. Men samtidigt vet hackaren att eftersom de gör sitt jobb så gör de rekon kontinuerligt. Och det är där jag ser att det här problemet som har funnits i flera år av, Hur vet jag vad som är utsatt för internet? nu definieras det. Det är hantering av attackytan. Hur ser jag ut utifrån?

Så för första gången någonsin har cybersäkerhet börjat ... de visste att det fanns ett problem i evigheter, men de kunde inte formulera vad problemet var, strunt i vad lösningen var. Och nu ser jag den typen av förändring att folk, förvisso under de senaste åren eller två, sa: 'Det här är inte ett problem där jag kan titta på det och säga, ja, det är ett problem.' Nu måste du byta från denna problemadolisering till 'Hej, vi måste fixa det här.' För det är så hackarna kommer in. Och nu ser jag folk säga: 'Låt oss börja fixa det här.' Och jag tror att framöver kommer du att ha attackythantering som en av de mest kritiska komponenterna i alla CISO och deras organisation. Om inte, kommer de att bli ägda. De kommer att kompromissa och det kommer att ha en förödande inverkan på deras verksamhet.

Laurel : Så på tal om det och hur styrelsen förstår hantering av attackytor, så kommer de flesta IT-anställda att ta vägen mot, som du sa, lätthet och ändamålsenlighet. De snurrar upp Kubernetes och servrar och molninstanser och vad det nu kan vara, eftersom de bara behöver få jobbet gjort. Varför är det, när du har ett globalt företag, ett sådant problem med, eller jag skulle säga, en möjlighet att lösa när du går igenom andra affärsbehov, som en fusion och ett förvärv, där du kan ha två företag som går samman och du tänker du vet var alla servrar finns, men i själva verket växer ett företag och förändras varje dag. Och det kanske inte är den sista räkningen, den sista pålitliga räkningen. Varför är det en oro för CISO:er och styrelsen?

Niall : Så jag tänker på det här som två sätt. En är, känna till attackytan på ditt eget företag. Och sedan, två, för något av dina förvärv, innan du förvärvar dem, måste du också veta vad deras attackyta är. Så om du frågar 99 % av CISO:er, 'Berätta om min attackyta.' De kommer inte att ha data för att göra det. Så ge dig ett exempel, i Palo Alto Networks använder vi Xpanse. Och sättet som fungerar är att det finns fyra huvudfaser jag tänker på i attack ytahantering. Och detta gäller närhelst du förvärvar ett företag eller har integrerats inom din organisation under de senaste 10 åren.

Och den första delen är kontinuerlig upptäckt. Så du måste ha förmågan – och det är därför vi använder Xpanse – att kontinuerligt skanna 24 gånger 7 gånger 365, varje enskild IP-adress på internet för att ta reda på vilka IP-adresser, vilka portar som är öppna. Så först och främst måste du känna till alla IP-adresser och portar på internet. Problemet där, det är bra, men det kommer inte att ge dig mycket. Så vad är skillnaden mellan IP-adressen i Palo Alto Networks och IP-adressen för Acme, speciellt när den ändras varje minut? Eftersom allt är dynamiskt förändras allt kontinuerligt på internet.

Så den andra delen för oss är egentligen tillskrivningen. Så allt skannas. Vi gör attribution. Så vi börjar titta på varje enskild IP-adress, varje enskild tjänst, varje enskild användare på internet att titta på för dessa användare själva, är de Palo Alto Networks-användare eller Palo Alto Networks-enheter eller nätverk? Mycket kritiskt eftersom det, vi kan när som helst se, om någon ansluter en bärbar dator i London, vi kan få tillskrivning att det är en av våra enheter och nätverk. Och om nätverket och enheten öppnar RDP, ett fjärrskal från internet, så är det ett problem. Eller om någon skapar ett nätverk som vi inte har en aning om vad det är, och det har (personligt identifierbar information) PII eller hälsodata, skulle det vara förödande för oss för vår verksamhet. Så vi spenderar mycket tid på att använda verktygen, som Xpanse, för attributionskomponenten där.

Tredje komponenten vi tittar på, nu vet du IP-adresserna och tjänsterna och du vet vilka som är Palo Alto Networks. Därefter, efter det, finns det olika risknivåer. Om någon öppnar något från internet som är en webbserver och den kommunicerar med kryptering med SSL och det är väl lappat, så är risken för det mesta i det fallet förmodligen en av 10. Men sedan, om du har fick en annan IP-adress som snurrades upp och den tillåter ett internt ingenjörsverktyg som av misstag exponerats för internet som har tillgång till dina molnmiljöer och det är inte lappat. Och ofta är det inte det. För när du tittar på verktyg som exponeras av misstag, hanteras de inte för om de hanterades i första hand skulle de inte exponeras för internet.

Så för oss, egentligen, är modellen vad är risknivån för varje enskild IP-adress och varje enskild tjänst? Och vi kan sedan fokusera på de som är åtta eller nio av tio. På daglig basis eller på timbasis kan vi fixa dem. Men ofta återigen handlar det om att om de utsätts för internet så exponeras de, de är inte lappade, de hanteras inte. De avslöjas av misstag.

Och sedan den sista vi fokuserar på, problemet är nu, här är ett problem med skalan. Du pratar inte om tre IP-adresser eller fyra IP-adresser. Du kan prata om 40 000 IP-adresser, 400 000 IP-adresser. Och så plötsligt imorgon är det 500 000. Sedan går det ner till 350 009 IP-adresser. Så, på grund av problemets omfattning, och eftersom fler och fler saker med tiden kommer att vända sig till internet, är det enda sättet att lösa detta genom automatisering. Ingen som helst tvekan om att frågan om att en varning genereras, och att någon från säkerhetscentralen (SOC) hoppar in, tittar på den IP-adressen, tittar på tjänsten, bara inte fungerar.

Så det som måste hända är att allt måste automatiseras. Allt från skanningsperspektivet till attributionskomponenterna, vad är risken med den IP-adressen? Så nu, istället för att du har 500 000 IP-adresser, och nu fokuserar du på tre IP-adresser som plötsligt dök upp där, är en som en SSA-server. En kan vara som en telnet-server, en annan kan vara ett ingenjörsverktyg. Och sedan, från automatiseringslagret, vill du bygga in automation i tjänsten där tjänsten automatiskt åtgärdas, oavsett om den är patchad eller om den är offline.

Och om du tittar på hela kedjan är det det omvända av vad hackaren gör. Hackaren är att de gör recon och sedan bryter de sig in på den servern för att äventyra din miljö. Du börjar i samma position som de är, där du borde vara. Du bör börja med din attackyta, din recon. Och efter det, då tittar du på din risk. Du tittar på lappningen, du tittar på att ta den offline. Du tittar på automatisering. Så jag är övertygad om, om man tittar på, med driften mot molnet, människor som arbetar hemifrån, att detta koncept med omkrets har varit borta i 10 år. Det har varit borta i 10 år. Men cybersäkerheten har hängt på det och sagt: 'Ja, det finns fortfarande en omkrets.' Det finns det inte.

Så nu ser de varenda enhet som finns på internet. Det är dess egen omkrets. Enheten, nätverket, vad det nu är. Och egentligen tror jag att en av de absolut drivande faktorerna, om allt finns på internet, om allt är online, om allt alltid kommunicerar, om allt förändras dynamiskt, måste du ha ett cybersäkerhetsprogram som har förmågan att veta , berätta för mig varje enskild enhet som finns på nätverket, på internet, vilken risknivå har de? Och sedan för de som når en viss risknivå, antingen ta det offline och tillämpa kontroller. Och förresten, du måste göra det 24 gånger 7 gånger 365, inga människor inblandade. Du måste göra det på grund av problemets omfattning. Om du har en person som är involverad i den processen, kommer du att misslyckas. Du kommer att misslyckas. Därför använder vi verktyg som Xpanse för att hitta och sedan åtgärda dessa problem.

Laurel : Ja. Teknik är skalbar, men människor är det inte. Höger?

Niall : Exakt.

Laurel : Tja, Niall, jag uppskattar det här samtalet idag. Det har varit helt fascinerande och det har gett oss så mycket att tänka på. Så tack för att du är med oss ​​idag på Business Lab.

Niall : Tack så mycket för inbjudan. Jag njöt verkligen av samtalet.

Laurel : Det var Niall Browne, informationssäkerhetschefen på Palo Alto Networks, som jag pratade med från Cambridge, Massachusetts, hemmet för MIT och MIT Technology Review, med utsikt över Charles River.

Det var allt för det här avsnittet av Business Lab. Jag är din värd, Laurel Ruma. Jag är chef för Insights, avdelningen för anpassad publicering av MIT Technology Review. Vi grundades 1899 vid Massachusetts Institute of Technology. Och du kan hitta oss i tryckt form, på webben och vid dussintals evenemang varje år runt om i världen.

För mer information om oss och showen, kolla in vår hemsida på technologyreview.com.

Showen är tillgänglig var du än får dina poddar.

Om du gillade det här avsnittet hoppas vi att du tar dig tid att betygsätta och recensera oss.

Business Lab är en produktion av MIT Technology Review.

Det här avsnittet producerades av Collective Next.

Tack för att du lyssna.

Det här podcastavsnittet producerades av Insights, den anpassade innehållsdelen av MIT Technology Review. Den producerades inte av MIT Technology Reviews redaktion.

Dölj