Diskussion über Sicherheit, Ransomware und worüber Sicherheitsteams nachdenken sollten mit Jerry Hsieh

Von Michelle Burrows, CMO, Splashtop

Sicherheit und Ransomware

Jerry Hsieh ist seit mehr als zwanzig Jahren an vorderster Front der IT-Risikobewertung und -Sicherheit tätig, zuletzt als Senior Director of Security and Compliance bei Splashtop, wo er in den letzten zehn Jahren in verschiedenen IT- und Sicherheitsfunktionen tätig war. Vor kurzem sprach er mit Michelle Burrows, CMO von Splashtop, darüber, was sein frühes Interesse an der Sicherheit geweckt hat und wie er über die Sicherheit von Systemen denkt, insbesondere angesichts der Zunahme von Sicherheitsverletzungen in den letzten Monaten, die in der Öffentlichkeit bekannt wurden.

Michelle Burrows: Jerry, danke, dass Sie zu uns gekommen sind. Während das Thema Sicherheit in letzter Zeit überall in den Nachrichten auftaucht, war es in der Vergangenheit eher ein Randthema. Wie sind Sie auf das Thema Sicherheit aufmerksam geworden?

Jerry Hsieh: Sie haben recht - ich beschäftige mich schon lange mit dem Thema Sicherheit, und vor vielen Jahren neigten die Unternehmen dazu, nicht viel über Sicherheit nachzudenken. Im Jahr 2003 hatte ich ein beunruhigendes Erlebnis, das mein Interesse an Sicherheit und Risikobewertung gefestigt hat.

Michelle Burrows: Das klingt ominös, bitte erzählen Sie mir mehr.

Jerry Hsieh: Das Unternehmen, für das ich arbeitete, war eines der Opfer eines SMTP-DDoS-Angriffs, der die E-Mail-Dienste des Unternehmens lahmlegte, darunter auch große Unternehmen und das Unternehmen, bei dem ich damals arbeitete. Ich erinnere mich noch genau an den Zeitpunkt, denn er fiel mit meiner Hochzeit zusammen und war der Grund dafür, dass ich mich wegen der Vorgänge im Büro nicht richtig amüsieren konnte.

Ich habe auch aus erster Hand erfahren, welche Auswirkungen so ein Angriff hat. Wir hatten mit einem Unternehmen zusammengearbeitet, das E-Mail-Filter einsetzte, um Unternehmen wie meines und andere vor solchen Angriffen zu schützen, und sie mussten aufgrund dieses Angriffs ihre Tätigkeit einstellen.

Ich habe auch einen anderen Vorfall aus erster Hand erlebt, bei dem eine Produktdatei als Virus eingestuft wurde, nachdem der Virenschutzanbieter die Definition aktualisiert hatte. Die IT-Abteilung und das technische Team verbrachten unzählige Nächte damit, aufzubleiben und zu versuchen, den Vorfall zu beheben, da jedes einzelne System betroffen war und wir eine Menge Arbeit hatten, um Dateien zu bereinigen, mit unserem Antiviren-Anbieter zusammenzuarbeiten und die Definitionen dessen, was als Angriff definiert wurde, zu korrigieren.

Michelle Burrows: Wow, ich schätze, wenn Ihre Hochzeit gestört wird, ist das eine denkwürdige Art und Weise, um herauszufinden, was man im Sicherheitsbereich alles nicht tun sollte. Erzählen Sie mir von anderen frühen Erfahrungen, die Sie mit Sicherheit gemacht haben.

Jerry Hsieh: Ich habe bei einem anderen Unternehmen in der Halbleiterindustrie als Sicherheitsingenieur gearbeitet. Damals arbeiteten wir hauptsächlich an der Sicherheit, um Patentverletzungen zu verhindern. Das Unternehmen stellte viele Sicherheitsexperten ein, da wir weniger kostspielig waren als ein Raum voller Anwälte. Diese Erfahrung brachte mich dazu, Sicherheit als eine Möglichkeit zu sehen, das geistige Eigentum eines Unternehmens zu schützen.

Michelle Burrows: Im Moment scheint es, als ob wir fast täglich von einer Sicherheitsverletzung oder einem Ransomware-Angriff hören. Was können Unternehmen tun, um sich zu schützen?

Jerry Hsieh: Ich werde das oft gefragt und denke viel darüber nach. Meiner Meinung nach ist das schwächste Glied meist der Endbenutzer. Die meisten Einbrüche werden durch einen einfachen Fehler verursacht - ein Mitarbeiter klickt auf einen schädlichen Link, speichert eine schädliche Datei, verwendet ein schwaches Passwort oder leitet etwas weiter. Ein einziger Benutzer kann dann das gesamte System gefährden.

Michelle Burrows: Das ist ziemlich interessant, dass ein einzelner Mitarbeiter versehentlich eine Menge Schaden anrichten kann. Ich glaube, viele Leute denken, dass sie nicht für einen solchen Vorfall anfällig sind, weil sie eine Firewall haben. Können Sie dazu etwas sagen?

Jerry Hsieh: Eine Firewall vermittelt den Menschen oft ein falsches Gefühl der Sicherheit. Ich höre oft jemanden sagen: "Ich werde nicht Opfer eines Angriffs werden, weil ich eine Firewall habe." Was sie nicht bedenken, ist, dass man zwar alle möglichen Schutzmaßnahmen um sein Netzwerk herum einrichten kann, aber eine der größten Bedrohungen tatsächlich von innen kommen kann. Eine Firewall löst Ihre Sicherheitsprobleme nicht, vor allem, wenn Hacker immer kreativer werden, um Mitarbeiter dazu zu verleiten, auf etwas zu klicken, um in Ihr System einzudringen.

Michelle Burrows: Wenn eine Firewall nicht die einzige Antwort auf Sicherheitsverletzungen ist, was empfehlen Sie dann?

Jerry Hsieh: Ich empfehle drei Bereiche, auf die man achten sollte:

  1. Endbenutzerschulung / Sensibilisierungstraining - Für mich ist dies einer der wichtigsten Punkte, auf den ich mich konzentrieren muss, und seit ich bei Splashtop bin, versende ich ständig Erinnerungen über Sicherheitsrisiken. Ich sorge dafür, dass jeder die Nachricht sieht und alle Mitarbeiter wissen, wie wichtig es ist, wachsam zu sein. Es ist hilfreich, dass unser CEO, Mark Lee, immer wieder Botschaften an unser Unternehmen sendet, in denen er die Bedeutung der Sicherheit betont und darauf hinweist, dass jeder dafür verantwortlich ist. Wenn die Leute wissen, dass dem CEO das Thema wichtig ist, werden sie auch aufmerksamer.
  2. Sicherheitsrichtlinien - Viele Unternehmen verfügen über Sicherheitsrichtlinien, aber sie sollten über Verfahren verfügen, um diese ständig zu überwachen und zu testen. Eine Richtlinie zu haben ist ein guter erster Schritt, aber sie durchzusetzen ist noch wichtiger.
  3. Kontinuierliche Penetrationstests - Kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) wurden von vielen Unternehmen übernommen. Es ist wichtig, Ihr Netzwerk und Ihre Anwendungen ständig zu "testen", um festzustellen, ob während des Softwareentwicklungszyklus (SDLC) Schwachstellen geschaffen werden.

Michelle Burrows: Ich bin mir sicher, dass, wenn Sie den Leuten erzählen, womit Sie Ihren Lebensunterhalt verdienen, einige das Gefühl haben, ihre eigenen schlechten Praktiken "beichten" zu müssen. Welche fragwürdigen Praktiken bereiten Ihnen am meisten Kopfzerbrechen oder Sorgen?

Jerry Hsieh: Ich lasse mir in der Regel von niemandem erzählen, was er tut, was eine bewährte Praxis sein kann oder auch nicht. Ich habe festgestellt, dass die meisten Menschen nicht wissen, was Cybersicherheit in der Praxis bedeutet. Sie sehen es im Fernsehen oder in einem Film und sehen, wie ein "Bösewicht" mit einem einzigen Befehl ein ganzes System zum Absturz bringt. Und dann denken sie vielleicht auch noch, dass sie durch ihre Firewall davor sicher sind. Was sie nicht verstehen, ist, dass der "Bösewicht" ein einzelner Benutzer in Ihrem Unternehmen sein könnte. Die wenigsten Datenschutzverletzungen werden von Mitarbeitern verursacht, die abtrünnig werden. Was Unternehmen wirklich brauchen, ist die Philosophie "vertraue niemandem". "Vertraue niemandem" ist eines der wichtigsten Zero Trust Access (ZTA)-Prinzipien, die meiner Meinung nach immer häufiger angewendet werden.

Ein weiterer Irrglaube, den manche Menschen in Bezug auf die Cybersicherheit haben, ist, dass sie etwas ist, das man "abschließen" kann. Cybersicherheit ist etwas, das nie "fertig" ist, und es gibt immer Raum für Verbesserungen.

Michelle Burrows: Im Moment wird der Sicherheit viel Aufmerksamkeit geschenkt - vom CEO über die Investoren bis hin zu den Vorständen. Worüber sollten sich Unternehmen am meisten Sorgen machen?

Jerry Hsieh: Unternehmen müssen sich über eine Reihe von Bereichen Gedanken machen.

  1. Sie müssen eine gründliche und ehrliche Risikobewertung vornehmen. Wenn Ihr Unternehmen angegriffen wird, schadet dies Ihrer Marke und untergräbt das Vertrauen Ihrer Kunden, Mitarbeiter und sogar Ihres Vorstands. Sie müssen Ihr Risiko regelmäßig bewerten.
  2. Überwachen Sie jede Software, jeden Dienstanbieter und jede Hardware in Ihrem Netzwerk. Viele Abteilungen wetteifern häufig um die Zeit der IT-Abteilung und wollen die "neuesten und besten" Tools für alles einführen, von Kundenumfragen bis zum Marketing und von der agilen Entwicklung bis zur Kostenverfolgung. Doch jeder Anbieter, jede Software und jede Hardware kann für einen Angriff anfällig sein. Sie müssen Ihre Schwachstellen ständig überwachen und sicherstellen, dass die Mitarbeiter ihre Software aktualisieren und/oder das IT-Team proaktiv Patches bereitstellt, indem es proaktiv Updates versendet.
  3. Recherchieren Sie. Es gibt inzwischen Millionen von Produkten, und mit ihnen und den Fehlern, die sie in Ihr System einschleusen könnten, Schritt zu halten, ist eine nicht enden wollende Aufgabe. Ihr Sicherheitsteam muss die Schwachstellen ständig überwachen und erforschen.
  4. Sie sollten wissen, dass sich der Angriffsvektor geändert hat. Die Hacker sind im Laufe der Jahre viel schlauer geworden und haben ihre Angriffsmethoden geändert. Während eine gefährliche E-Mail vor ein paar Jahren noch offensichtlich war, sind diese E-Mails jetzt personalisiert, um die Wahrscheinlichkeit zu erhöhen, dass jemand darauf klickt. Sie müssen Ihre Mitarbeiter ständig testen, damit die Sicherheit immer an erster Stelle steht.

Michelle Burrows: Kürzlich gab es eine Meldung, dass VPNs ein Einfallstor für Angriffe sind. Warum sind Ihrer Meinung nach VPNs (Virtual Private Networks) besonders anfällig?

Jerry Hsieh: Ja, VPNs sind in letzter Zeit immer häufiger ein Einfallstor für Systemangriffe.
Meiner Meinung nach werden VPNs aus mehreren Gründen immer häufiger für Ransomware-Angriffe genutzt:

  1. VPN ist eine alte Technologie und wurde in den späten neunziger Jahren eingeführt. Wenn es eine bestimmte Technologie schon so lange gibt, ist es wahrscheinlicher, dass es einen Konstruktionsfehler oder einen herstellerspezifischen kritischen Softwarefehler gibt, da wir damals noch nicht alles wussten, was wir heute wissen. Ich habe zum Beispiel 1999 mein erstes VPN eingerichtet und mich dabei ausschließlich auf Befehle verlassen und eine einigermaßen freundliche Benutzeroberfläche verwendet. Wenn ich an diese Erfahrung zurückdenke, hat sich nicht viel geändert, und eine Fehlkonfiguration durch jemanden ist sehr wahrscheinlich.
  2. Ein VPN hängt davon ab, dass Ihre IT-Abteilung es richtig konfiguriert. Ich sehe oft, dass VPNs ausgenutzt werden, weil es keine Standardmethode für die Einrichtung, den Betrieb und die Verteilung des Zugangs gibt. Jede IT-Abteilung konfiguriert es so, wie es für sie sinnvoll ist, und das birgt Risiken.
  3. Heimcomputer werden über ein VPN genutzt. Wenn ein Mitarbeiter von zu Hause aus arbeitet und Zugriff auf Dateien am Arbeitsplatz benötigt, gibt es keine einfache Möglichkeit, den Mitarbeiter daran zu hindern, ein nicht vom Unternehmen ausgegebenes System für den VPN-Zugriff zu verwenden. Es gibt zwar Tools, die dabei helfen, aber sie sind meist sehr teuer und ressourcenintensiv.
  4. Sie können den oben genannten Punkt durch eine Richtlinie abschwächen, die Ihren Mitarbeitern vorschreibt, dass sie nur ihren Arbeitscomputer für den Zugriff auf das VPN verwenden dürfen. Dies führt zu einem weiteren Risikobereich - öffentliche Netzwerke. Wenn jemand auf Reisen ist und sich über ein VPN mit einem öffentlichen Netzwerk verbindet, ist er von Natur aus anfällig für Angriffe.

Michelle Burrows: Welche Alternativen können Unternehmen anstelle eines VPNs einsetzen? Gibt es irgendwelche Nachteile bei diesen Alternativen?

Jerry Hsieh: Ich weiß, das klingt sehr nach Eigenwerbung, aber die beste Alternative ist der Einsatz einer Fernzugriffslösung. Und ja, das schließt Splashtop ein. Splashtop trägt dazu bei, die mit VPNs verbundenen Risiken zu mindern, da es Ihnen ermöglicht, nur Ihren Desktop zu streamen. Das bedeutet, dass die Daten in Ihrem Unternehmensnetzwerk geschützt sind, da Sie die Daten nur ansehen können. Alle Daten befinden sich nach wie vor innerhalb Ihres Unternehmensnetzes.

Wenn ich dagegen ein VPN benutze, kann ich alles herunterladen, was ich will, was bedeutet, dass Hacker dasselbe tun können. Wenn ich ein Tool wie Splashtop verwende, kann ich die Datei anzeigen und bedienen oder verwenden, aber ich kann sie nicht herunterladen. Ich kann es so konfigurieren, dass nur lokale Computer darauf zugreifen können.

Da wir gerade über Sicherheit sprechen, bietet Splashtop außerdem viele weitere Sicherheitsfunktionen wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. All diese zusätzlichen Sicherheitsfunktionen sind Dinge, die ein VPN nicht bieten kann.

Sie haben nach den Nachteilen der Fernzugriffstechnologie gefragt. Der einzige Nachteil ist, dass es eine Lernkurve gibt, wenn die Leute Fernzugriffslösungen annehmen. Da Splashtop jedoch ursprünglich für den Verbrauchermarkt entwickelt wurde, ist der Zeitaufwand für die Einarbeitung minimal. Und mit minimal meine ich, dass es für den durchschnittlichen Benutzer nur wenige Minuten dauert.

Michelle Burrows: Erzählen Sie mir mehr über VPN vs. Splashtop?

Jerry Hsieh: Manchmal höre ich, dass der Unterschied zwischen einem VPN und dem Abo-Modell, das Splashtop anbietet, eine feste Investition sein könnte, wenn man die Preise von VPN und Splashtop vergleicht. Ein VPN ist eine langfristige Investition, die manche Leute vielleicht einmal tätigen. Dabei vergessen sie jedoch, dass VPN-Gateways oft ausfallen und die Investition in ein Backup-Gateway teuer ist. Außerdem muss ein VPN gewartet werden - für Sicherheitslücken und Patch-Upgrades. Splashtop übernimmt die Wartungs- und Sicherheitsarbeit. Splashtop ist wartungsfrei und vierundzwanzig Stunden am Tag, sieben Tage die Woche verfügbar.

Michelle Burrows: Wenn Sie nicht gerade über Sicherheit nachdenken, was mchen Sie in Ihrer Freizeit?

Jerry Hsieh: Wie Sie wahrscheinlich schon bemerkt haben, habe ich nicht viel Freizeit. Wenn ich Freizeit habe, spiele ich gerne Golf. Meine Frau ist vielleicht nicht begeistert von meiner Rolle, aber ich liebe es, mich über Sicherheitstrends und die Arbeit, die ich jeden Tag mache, auf dem Laufenden zu halten.

Vielleicht sind Sie daran interessiert:

Q & A über Cyber-Risiken und ein Umdenken in der Softwareproduktion

Die Rolle von VPN und RDP bei Ransomware-Angriffen

Denken Sie darüber nach, wie Sie Ihren Mitarbeitern einen sicheren Fernzugriff ermöglichen können? Kontaktieren Sie Splashtop noch heute.

Banner zur kostenlosen Testversion auf dem Blog unten