Q & A über Cyber-Risiken und ein Umdenken in der Softwareproduktion

QA Mark und Sebastian

Im Gespräch mit dem Cybersecurity-Experten Sebastian Goodwin über den Splashtop-Sicherheitsbeirat, Cyber-Risiken und das Umdenken in der Software-Produktion

Von Mark Lee, CEO und Mitbegründer, Splashtop

Splashtop hat vor kurzem einen Neuzugang in unserem Security Advisory Council bekannt gegeben, den wir im Dezember 2020 angekündigt haben: Sebastian Goodwin. Sebastian ist Cybersecurity-Forscher, Keynote-Speaker, Unternehmensberater, außerordentlicher Professor an der UC Berkeley's School of Information und Chief Information Security Officer (CISO) bei Nutanix. Er verfügt über mehr als 20 Jahre Erfahrung in der Unterstützung von Global-2000-Unternehmen bei der Verwaltung von Cyber-Risiken im großen Maßstab.

Sebastian sprach kürzlich mit Splashtop-CEO Mark Lee über die Gründe, warum er dem Splashtop Security Advisory Council beigetreten ist, warum er sich für Sicherheitsthemen begeistert und wie er die Entwicklung der Sicherheitslandschaft in dieser Zeit der zunehmenden Ransomware-Angriffe und anderer Cybersecurity-Bedrohungen sieht.

Mark Lee: Sebastian, wir freuen uns sehr, dass Sie Teil unseres Sicherheitsbeirats sind. Ich glaube, Sie haben durch einen unserer Investoren von Splashtop erfahren, richtig?

Sebastian Goodwin: Ja, das ist richtig. Er wusste über meinen Hintergrund Bescheid und dass Splashtop nach Sicherheitsberatern suchte, also machte es Sinn, uns zusammenzubringen.

Mark: Sie verfügen über eine enorme Berufserfahrung im Bereich Cybersecurity, mit Ihren aktuellen Rollen als CISO bei Nutanix und Vorstandsmitglied von SADA, einem Google Cloud Premier Partner und Lösungsanbietersowie Ihre früheren sicherheitsrelevanten Führungspositionen bei Palo Alto Networks, Robert Half, PeopleSoft und IBM, um nur einige zu nennen. Sie sehen aus der Vogelperspektive, wie Unternehmen mit Cyber-Risiken umgehen. Was denken Sie, wie gut gehen Unternehmen heutzutage mit dem Thema Sicherheit um?

Sebastian: Unternehmen sind heute mit noch nie dagewesenen Cybersicherheitsrisiken konfrontiert. Wie jüngste Nachrichtenberichte gezeigt haben, stellt Ransomware eine große Bedrohung dar. Angreifer haben erkannt, dass sie sich einen Vorteil verschaffen können, indem sie Software angreifen, die in verschiedenen Branchen und Märkten weit verbreitet ist. Unternehmen müssen die Art und Weise, wie sie Software produzieren, neu überdenken, um die Sicherheit besser zu gewährleisten und das Vertrauen der Kunden zu erhalten.

Mark: Können Sie mehr darüber sagen, wie Unternehmen die Art und Weise, wie sie Software produzieren, "neu denken" müssen?

Sebastian: Sicher. Umdenken bedeutet, die richtige Balance entlang des Spektrums zwischen Sicherheit am einen Ende und geschäftlicher Agilität am anderen Ende zu finden. Wenn man viel in die schnelle Bereitstellung neuer Produkte und Funktionen für Kunden investiert, kann das bedeuten, dass man weniger in die Sicherheit investieren muss. Aber in Sicherheit zu investieren, kostet Zeit und kann die Agilität und die Fähigkeit, wettbewerbsfähig zu bleiben, verringern.

Der Schlüssel liegt darin, den richtigen Punkt im Spektrum zu finden, an dem Sie in der Lage sind, Ihre Kunden mit den verbesserten Produkten und Funktionen zu bedienen, die sie verlangen, während Sie gleichzeitig Ihre Produkte so sicher wie möglich machen.

Mark: Die Kunden erwarten, dass sie schnell die neuesten und besten Funktionen erhalten - aber sie sind sich vielleicht nicht der Risiken bewusst, die mit der Verwendung von Software verbunden sind, die nicht gründlich geprüft wurde. Glauben Sie, dass sich das ändert?

Sebastian: Es ist alles Teil eines größeren Bewusstseinswandels in Bezug auf Cyber-Risiken. Jedes Unternehmen und jede Person, die einen Angriff am eigenen Leib erfahren hat, versteht die Bedeutung guter Cybersicherheitspraktiken, auch wenn sie diese Erkenntnis zu spät erlangt, um von den Auswirkungen eines Angriffs verschont zu bleiben. Diejenigen, die noch keinen Cyberangriff erlebt haben, fallen in eine von zwei Kategorien: Entweder sie sind entschlossen, sich und ihr Unternehmen proaktiv zu schützen, oder sie machen sich zu einem leichten Ziel. Ein Angriff kann sie ihr Geschäft kosten.

Mark: Was können Softwareunternehmen wie wir tun, um unsere Kunden davor zu schützen, Opfer von Cybersicherheit zu werden?

Sebastian: Es fängt damit an, dass man sich sehr viele Gedanken über Sicherheit macht und Softwareprodukte entwickelt, die standardmäßig sicher sind. Machen Sie zum Beispiel die Zwei-Faktor-Authentifizierung zum Standard für die Authentifizierung bei Ihren Diensten über öffentliche Netzwerke.

Nehmen Sie eine Null-Vertrauens-Haltung ein, was bedeutet, dass Sie niemandem oder nichts vertrauen. Gehen Sie davon aus, dass alles irgendwann angegriffen wird, und arbeiten Sie daran, Ihren Angriffsradius zu begrenzen - ein Begriff aus der Sicherheitsbranche, der beschreibt, wie weit sich ein bestimmter Angriff ausbreitet. Sorgen Sie beispielsweise dafür, dass sich die Malware nicht über den Benutzer hinaus ausbreiten und andere Geräte im Netzwerk infizieren kann, wenn ein Benutzer in einem Netzwerk ein kompromittiertes Gerät hat.

Mark: Sie engagieren sich dafür, Unternehmen zu zeigen, wie sie ihre Cybersicherheitspraktiken verbessern können. Können Sie ein wenig über diesen Aspekt Ihrer Arbeit sprechen?

Sebastian: Ich denke, es ist entscheidend, dass Unternehmen in der Lage sind, ihr Cyber-Risiko effektiv zu messen und zu verwalten, damit sie ihr Geschäft proaktiv schützen können. Eine Möglichkeit, wie ich helfen kann, ist als unabhängiger Referent für Cybersicherheit und als Berater für CEOs und Vorstände. Die Mitarbeit in ihrem Security Advisory Council ist ein Beispiel für diese Rolle. Ich unterrichte auch einen Kurs auf Graduiertenebene, den ich für die UC Berkeley entwickelt habe und in dem ich zukünftigen Technologie- und Geschäftsführern dabei helfe, Cyber-Risiken sowohl auf Geschäftsführungs- als auch auf Vorstandsebene besser einschätzen und verwalten zu können.

Mark: Das Management von Cyber-Risiken liegt Ihnen offensichtlich am Herzen. Woher kommt diese Leidenschaft?

Sebastian: Nun, ich interessiere mich für Computer, so lange ich denken kann. Ich habe mir das Programmieren selbst beigebracht, als ich noch ziemlich jung war, in den Tagen der 2400-Baud-Modems und der Anfänge des World Wide Web. Ich war schon immer fasziniert von Hackern und der Kreativität und den Fähigkeiten, die mit dem Hacken verbunden sind. Denken Sie darüber nach. Man muss zuerst genau verstehen, wie ein System aufgebaut ist, um auf eine bestimmte Art und Weise zu funktionieren, und dann muss man Wege finden, dieses System dazu zu bringen, Dinge zu tun, für die es nicht konzipiert wurde.

Es ist ein faszinierendes Rätsel und eine Herausforderung. Eine lustige Geschichte: In der High School wurde ich fast von der Schule verwiesen, als es mir gelang, die neu eingesetzte Vollplattenverschlüsselungssoftware der Computerabteilung zu umgehen. Das Einzige, was mich rettete, war, dass einer meiner Lehrer beiläufig eine Herausforderung an "jeden Schüler, der die unknackbare Verschlüsselung hacken kann", ausgesprochen hatte. Zum Glück entging ich dem Schulverweis.

Mark: Wir sind froh, dass Sie sich entschieden haben, weiter an der Prävention von Angriffen zu arbeiten, anstatt sich der dunklen Seite des schädlichen Hackens anzuschließen!

Sebastian: Ich auch! Aber ich denke, dass es wichtig ist, Wertschätzung für die Fähigkeiten von Hackern zu haben. Wenn ich Sicherheitsleute für meine Teams einstelle, achte ich darauf, dass sie den gesamten Technologie-Stack verstehen. Ein frisch gebackener College-Absolvent, der großartig Code schreiben kann, braucht viel Training, um an den Punkt zu kommen, an dem er alle Möglichkeiten verstehen kann, wie die Software, die er baut, umgangen werden kann. Es ist eine endlose Herausforderung, aber auch unendlich faszinierend.

Mark: Vielen Dank für dieses Gespräch, Sebastian. Und vielen Dank, dass Sie unserem Security Advisory Council beigetreten sind, um Splashtop dabei zu helfen, die Sicherheit der von uns gelieferten Produkte kontinuierlich zu verbessern.

Sebastian: Ich schätze die Sicherheitseinstellung von Splashtop. Wie mein derzeitiges Unternehmen, Nutanix, ist Splashtop bestrebt, vorausschauend und proaktiv mit Sicherheitsrisiken umzugehen. Das ist der einzige verantwortungsvolle Ansatzpunkt, um herauszufinden, wie wir die sichersten Lösungen für unsere Kunden bauen können.

Banner zur kostenlosen Testversion auf dem Blog unten