Diskussion über den Sicherheitsbeirat von Splashtop, Cyberrisiken und ein Umdenken in der Softwareproduktion mit dem Cybersicherheitsexperten Sebastian Goodwin
von Mark Lee, CEO und Mitgründer, Splashtop
Splashtop hat kürzlich eine Ergänzung unseres Sicherheitsbeirats veröffentlicht, die wir im Dezember 2020 angekündigt haben: Sebastian Goodwin. Sebastian ist Cybersicherheitsforscher, Hauptredner, Unternehmensberater, außerordentlicher Professor an der School of Information der UC Berkeley und Chief Information Security Officer (CISO) bei Nutanix. Er hat mehr als 20 Jahre Erfahrung darin, Global-2000-Unternehmen dabei zu unterstützen, Cyberrisiken in großem Maßstab zu managen.
Sebastian sprach kürzlich mit Mark Lee, CEO von Splashtop, über die Gründe, warum er dem Splashtop Security Advisory Council beigetreten ist, warum er sich für Sicherheitsfragen begeistert und wie er die Entwicklung der Sicherheitslandschaft in dieser Zeit zunehmender Ransomware-Angriffe und anderer Cybersicherheitsbedrohungen sieht.
Mark Lee: Sebastian, wir freuen uns sehr, dass Sie Teil unseres Security Advisory Council sind. Ich glaube, Sie haben zum ersten Mal von Splashtop durch einen unserer Investoren erfahren, richtig?
Sebastian Goodwin: Ja, das stimmt. Er wusste über meinen Hintergrund Bescheid und dass Splashtop nach Sicherheitsberatern suchte, also war es sinnvoll, uns zusammenzubringen.
Mark: Sie haben enorme berufliche Erfahrung in der Cybersicherheit, mit Ihren aktuellen Rollen als CISO bei Nutanix und Vorstandsmitglied von SADA, einem Google Cloud Premier Partner und Lösungsanbieter, sowie Ihren früheren sicherheitsbezogenen Führungspositionen bei Palo Alto Networks, Robert Half, PeopleSoft und IBM, unter anderem. Sie haben einen Überblick darüber, wie Unternehmen Cyberrisiken angehen. Im Allgemeinen, wie gut denken Sie, dass Organisationen heutzutage die Sicherheit angehen?
Sebastian: Unternehmen sind heute mit beispiellosen Cybersicherheitsrisiken konfrontiert. Wie jüngste Nachrichtenberichte gezeigt haben, ist Ransomware eine große Bedrohung. Angreifer haben erkannt, dass sie Einfluss gewinnen können, indem sie Software angreifen, die in verschiedenen Branchen und Märkten weit verbreitet ist. Unternehmen müssen die Art und Weise, wie sie Software herstellen, überdenken, um die Sicherheit zu gewährleisten und das Vertrauen der Kunden zu erhalten.
Mark: Können Sie mehr darüber sagen, wie Unternehmen „umdenken“ müssen, wie sie Software produzieren?
Sebastian: Sicher. Umdenken bedeutet, das richtige Gleichgewicht entlang des Spektrums zwischen Sicherheit am einen Ende und geschäftlicher Agilität am anderen zu finden. Stark in die schnelle Bereitstellung neuer Produkte und Funktionen für Kunden zu investieren, kann bedeuten, weniger in Sicherheit zu investieren. Aber Investitionen in Sicherheit brauchen Zeit und können die Agilität und die Fähigkeit, wettbewerbsfähig zu bleiben, verringern.
Der Schlüssel ist, den richtigen Punkt entlang des Spektrums zu finden, an dem Sie Ihre Kunden mit den verbesserten Produkten und Funktionen bedienen können, die sie verlangen, während Sie gleichzeitig Ihre Produkte so sicher wie möglich machen.
Mark: Kunden erwarten, dass sie die neuesten und besten Funktionen schnell erhalten – aber sie sind sich möglicherweise nicht der Risiken bewusst, die mit der Nutzung von Software verbunden sind, die nicht gründlich geprüft wurde. Glauben Sie, dass sich das ändern wird?
Sebastian: Es ist alles Teil eines größeren Bewusstseinswandels in Bezug auf Cyberrisiken. Offensichtlich versteht jedes Unternehmen oder jede Einzelperson, die einen Angriff aus erster Hand erlebt hat, die Bedeutung guter Cybersicherheitspraktiken, auch wenn sie zu spät zu dieser Erkenntnis kommen, um den Auswirkungen eines Angriffs zu entgehen. Diejenigen, die noch keinen Cyberangriff erlebt haben, fallen in eine von zwei Kategorien: Entweder sind sie entschlossen, sich und ihre Unternehmen proaktiv zu schützen, oder sie machen sich selbst zu einem leichten Ziel. Ein Angriff kann sie ihr Geschäft kosten.
Mark: Welche Dinge können Softwareunternehmen wie unsere tun, um unsere Kunden davor zu schützen, Opfer von Cybersicherheit zu werden?
Sebastian: Das fängt damit an, dass wir uns sehr Gedanken über Sicherheit machen und Softwareprodukte entwickeln, die standardmäßig sicher sind. Mache zum Beispiel die Zwei-Faktor-Authentifizierung zur Standardeinstellung für die Authentifizierung bei deinen Diensten über öffentliche Netzwerke.
Nehmen Sie eine Zero-Trust-Haltung ein, was bedeutet, niemandem oder nichts zu vertrauen. Gehen Sie davon aus, dass alles irgendwann kompromittiert wird, und arbeiten Sie daran, Ihren Explosionsradius zu begrenzen – der Begriff der Sicherheitsbranche, der beschreibt, wie weit ein bestimmter Angriff ausstrahlt. Machen Sie es beispielsweise so, dass, wenn ein Benutzer in einem Netzwerk ein kompromittiertes Gerät hat, die Malware nicht über diesen Benutzer hinaus auf andere Geräte im Netzwerk übertragen werden kann.
Mark: Sie sind engagiert, Unternehmen beizubringen, wie sie ihre Cybersicherheitspraktiken verbessern können. Können Sie ein wenig über diesen Aspekt Ihrer Arbeit sprechen?
Sebastian: Ich denke, es ist entscheidend, dass Organisationen in der Lage sind, ihr Cyber-Risiko effektiv zu messen und zu verwalten, damit sie ihr Geschäft proaktiv schützen können. Eine Möglichkeit, wie ich helfe, ist als unabhängiger Cybersicherheitssprecher und Berater für CEOs und Vorstände. Die Mitarbeit in Ihrem Sicherheitsbeirat ist ein Beispiel für diese Rolle. Ich unterrichte auch einen von mir für die UC Berkeley erstellten Kurs auf Graduiertenebene, in dem ich zukünftigen Technologie- und Wirtschaftsführern helfe, besser in der Bewertung und Verwaltung von Cyberrisiken sowohl auf der Führungsebene als auch auf Vorstandsebene zu werden.
Mark: Sie sind offensichtlich leidenschaftlich daran interessiert, Cyberrisiken zu managen. Woher kommt diese Leidenschaft?
Sebastian: Nun, ich habe mich schon so lange ich mich erinnern kann für Computer interessiert. Ich habe mir selbst das Programmieren beigebracht, als ich noch ziemlich jung war, in den Tagen der 2400-Baud-Modems und dem Aufkommen des World Wide Web. Ich war schon immer fasziniert von Hackern und der Kreativität und dem Können, die beim Hacken erforderlich sind. Denken Sie darüber nach. Man muss zuerst tief verstehen, wie ein System so gebaut wurde, dass es auf eine bestimmte Weise funktioniert, und dann muss man Wege finden, dieses System Dinge tun zu lassen, für die es nicht entworfen wurde.
Es ist ein faszinierendes Rätsel und eine Herausforderung. Eine lustige Geschichte: In der High School wurde ich fast rausgeschmissen, als ich die neu eingeführte Festplattenverschlüsselungssoftware der Computerabteilung umgehen konnte. Das einzige, was mich gerettet hat, war, dass einer meiner Lehrer beiläufig „jeden Schüler, der die unzerbrechliche Verschlüsselung hacken konnte“, herausgefordert hatte. Zum Glück bin ich der Ausweisung entkommen.
Mark: Wir freuen uns, dass Sie sich entschieden haben, weiter daran zu arbeiten, Angriffe zu verhindern, anstatt sich der dunklen Seite des schädlichen Hackings anzuschließen!
Sebastian: Ich auch! Aber ich denke, dass es wichtig ist, Wertschätzung für die Fähigkeiten von Hackern zu haben. Wenn ich Sicherheitsleute für meine Teams einstelle, achte ich darauf, dass sie den gesamten Technologie-Stack verstehen. Ein frisch gebackener College-Absolvent, der großartig Code schreiben kann, braucht viel Training, um an den Punkt zu kommen, an dem er alle Möglichkeiten verstehen kann, wie die Software, die er baut, umgangen werden kann. Es ist eine endlose Herausforderung, aber auch unendlich faszinierend.
Mark: Vielen Dank für dieses Gespräch, Sebastian. Und danke, dass Sie unserem Security Advisory Council beigetreten sind, um Splashtop dabei zu helfen, die Sicherheit der von uns gelieferten Produkte kontinuierlich zu verbessern.
Sebastian: Ich schätze die Sicherheitseinstellung von Splashtop. Wie mein derzeitiges Unternehmen, Nutanix, ist Splashtop bestrebt, in die Zukunft zu schauen und proaktiv mit Sicherheitsrisiken umzugehen. Das ist der einzig verantwortungsvolle Ausgangspunkt, um herauszufinden, wie wir die sichersten Lösungen für unsere Kunden entwickeln können.