Diskussion über den Sicherheitsbeirat von Splashtop, Cyberrisiken und ein Umdenken in der Softwareproduktion mit dem Cybersicherheitsexperten Sebastian Goodwin
von Mark Lee, CEO und Mitgründer, Splashtop
Splashtop hat kürzlich eine Ergänzung unseres Sicherheitsbeirats veröffentlicht, die wir im Dezember 2020 angekündigt haben: Sebastian Goodwin. Sebastian ist Cybersicherheitsforscher, Hauptredner, Unternehmensberater, außerordentlicher Professor an der School of Information der UC Berkeley und Chief Information Security Officer (CISO) bei Nutanix. Er hat mehr als 20 Jahre Erfahrung darin, Global-2000-Unternehmen dabei zu unterstützen, Cyberrisiken in großem Maßstab zu managen.
Sebastian sprach kürzlich mit Mark Lee, CEO von Splashtop, über die Gründe, warum er dem Splashtop Security Advisory Council beigetreten ist, warum er sich für Sicherheitsfragen begeistert und wie er die Entwicklung der Sicherheitslandschaft in dieser Zeit zunehmender Ransomware-Angriffe und anderer Cybersicherheitsbedrohungen sieht.
Mark Lee: Sebastian, wir freuen uns sehr, dass du Teil unseres Sicherheitsbeirats bist. Ich glaube, du hast zuerst durch einen unserer Investoren von Splashtop erfahren, richtig?
Sebastian Goodwin: Ja, das stimmt. Er wusste über meinen Hintergrund Bescheid und dass Splashtop nach Sicherheitsberatern suchte, also war es sinnvoll, uns zusammenzubringen.
Mark: Du verfügst über umfangreiche Berufserfahrung im Bereich Cybersicherheit, mit deinen aktuellen Rollen als CISO bei Nutanix und Vorstandsmitglied von SADA, einem Google Cloud Premier Partner und Lösungsanbieter, sowie in deinen früheren sicherheitsbezogenen Führungspositionen unter anderem bei Palo Alto Networks, Robert Half, PeopleSoft und IBM. Du hast eine Vogelperspektive, wie Unternehmen mit Cyberrisiken umgehen. Allgemein, wie gut gehen Unternehmen deiner Meinung nach heutzutage mit dem Thema Sicherheit um?
Sebastian: Unternehmen sind heute mit beispiellosen Cybersicherheitsrisiken konfrontiert. Wie jüngste Nachrichtenberichte gezeigt haben, ist Ransomware eine große Bedrohung. Angreifer haben erkannt, dass sie Einfluss gewinnen können, indem sie Software angreifen, die in verschiedenen Branchen und Märkten weit verbreitet ist. Unternehmen müssen die Art und Weise, wie sie Software herstellen, überdenken, um die Sicherheit zu gewährleisten und das Vertrauen der Kunden zu erhalten.
Mark: Kannst du mehr darüber sagen, wie Unternehmen ihre Softwareproduktion „überdenken“ müssen?
Sebastian: Sicher. Umdenken bedeutet, das richtige Gleichgewicht entlang des Spektrums zwischen Sicherheit auf der einen Seite und geschäftlicher Agilität auf der anderen Seite zu finden. Stark in die schnelle Bereitstellung neuer Produkte und Funktionen für Kunden zu investieren, kann bedeuten, dass du weniger in Sicherheit investierst. Aber Investitionen in Sicherheit brauchen Zeit und können die Agilität und die Fähigkeit, wettbewerbsfähig zu bleiben, verringern.
Der Schlüssel ist, die richtige Stelle innerhalb des Spektrums zu finden, an der du deinen Kunden die verbesserten Produkte und Funktionen bieten kannst, die sie benötigen, und gleichzeitig deine Produkte so sicher wie möglich zu gestalten.
Mark: Kunden erwarten inzwischen, dass sie schnell die neuesten und besten Funktionen erhalten — aber sie sind sich möglicherweise nicht der Risiken bewusst, die mit der Verwendung von Software verbunden sind, die nicht gründlich geprüft wurde. Siehst du, dass sich das ändert?
Sebastian: Das alles ist Teil eines größeren Bewusstseins für Cyberrisiken. Es ist klar, dass jedes Unternehmen oder jede Einzelperson, die einen Angriff aus erster Hand erlebt hat, die Bedeutung guter Cybersicherheitspraktiken versteht, auch wenn sie zu spät zu dieser Erkenntnis kommen, um von den Auswirkungen eines Angriffs verschont zu bleiben. Diejenigen, die noch keinen Cyberangriff erlebt haben, lassen sich in eine von zwei Kategorien einteilen: Entweder setzen sie sich dafür ein, sich und ihr Unternehmen proaktiv zu schützen, oder sie machen sich selbst zu einem leichten Ziel. Ein Angriff kann sie ihr Geschäft kosten.
Mark: Welche Dinge können Softwareunternehmen wie unsere tun, um unsere Kunden davor zu schützen, Opfer von Cybersicherheit zu werden?
Sebastian: Das fängt damit an, dass wir uns sehr Gedanken über Sicherheit machen und Softwareprodukte entwickeln, die standardmäßig sicher sind. Mache zum Beispiel die Zwei-Faktor-Authentifizierung zur Standardeinstellung für die Authentifizierung bei deinen Diensten über öffentliche Netzwerke.
Nimm eine Zero-Trust-Haltung ein, was bedeutet, dass du niemandem oder irgendetwas vertraust. Gehe davon aus, dass irgendwann alles durchbrochen wird, und arbeite daran, deinen Explosionsradius zu begrenzen — der Begriff der Sicherheitsbranche, der beschreibt, wie weit sich ein bestimmter Angriff ausbreitet. Als Beispiel, mach es so, dass, wenn ein Benutzer in einem Netzwerk ein kompromittiertes Gerät hat, sich die Malware nicht über diesen Benutzer hinaus ausbreiten kann, um andere Geräte im Netzwerk zu infizieren.
Mark: Du hast es dir zur Aufgabe gemacht, Unternehmen beizubringen, wie sie ihre Cybersicherheitspraktiken verbessern können. Kannst du ein bisschen über diesen Aspekt deiner Arbeit sprechen?
Sebastian: Ich denke, es ist entscheidend, dass Unternehmen in der Lage sind, ihr Cyberrisiko effektiv zu messen und zu verwalten, damit sie ihr Unternehmen proaktiv schützen können. Ich helfe unter anderem als unabhängiger Redner und Berater für Cybersicherheit für CEOs und Vorstände. Die Mitgliedschaft in deinem Sicherheitsbeirat ist ein Beispiel für diese Rolle. Ich unterrichte auch einen Graduiertenkurs, den ich für die UC Berkeley konzipiert habe, in dem ich zukünftigen Technologie- und Wirtschaftsführern helfe, Cyberrisiken sowohl auf Vorstands- als auch auf Vorstandsebene besser einzuschätzen und zu managen.
Mark: Du hast eindeutig eine Leidenschaft für das Management von Cyberrisiken. Woher kommt diese Leidenschaft?
Sebastian: Nun, ich habe mich für Computer interessiert, solange ich mich erinnern kann. Ich habe mir das Programmieren selbst beigebracht, als ich noch ziemlich jung war, in den Tagen der 2400-Baud-Modems und der Anfänge des World Wide Web. Ich war schon immer fasziniert von Hackern und der Kreativität und den Fähigkeiten, die mit Hacken verbunden sind. Denk darüber nach. Du musst zuerst tief verstehen, wie ein System so gebaut wurde, dass es auf eine bestimmte Art funktioniert, und dann musst du Wege finden, dieses System dazu zu bringen, Dinge zu tun, für die es nicht konzipiert wurde.
Es ist ein faszinierendes Rätsel und eine Herausforderung. Eine lustige Geschichte: In der High School wurde ich fast rausgeschmissen, als ich die neu eingeführte Festplattenverschlüsselungssoftware der Computerabteilung umgehen konnte. Das einzige, was mich gerettet hat, war, dass einer meiner Lehrer beiläufig „jeden Schüler, der die unzerbrechliche Verschlüsselung hacken konnte“, herausgefordert hatte. Zum Glück bin ich der Ausweisung entkommen.
Mark: Wir freuen uns, dass du dich entschieden hast, weiter daran zu arbeiten, Angriffe zu verhindern, anstatt dich der dunklen Seite des schädlichen Hackens anzuschließen!
Sebastian: Ich auch! Aber ich denke, dass es wichtig ist, Wertschätzung für die Fähigkeiten von Hackern zu haben. Wenn ich Sicherheitsleute für meine Teams einstelle, achte ich darauf, dass sie den gesamten Technologie-Stack verstehen. Ein frisch gebackener College-Absolvent, der großartig Code schreiben kann, braucht viel Training, um an den Punkt zu kommen, an dem er alle Möglichkeiten verstehen kann, wie die Software, die er baut, umgangen werden kann. Es ist eine endlose Herausforderung, aber auch unendlich faszinierend.
Mark: Vielen Dank für dieses Gespräch, Sebastian. Und danke, dass du unserem Sicherheitsbeirat beigetreten bist, um Splashtop dabei zu unterstützen, die Sicherheit der von uns gelieferten Produkte kontinuierlich zu verbessern.
Sebastian: Ich schätze die Sicherheitseinstellung von Splashtop. Wie mein derzeitiges Unternehmen, Nutanix, ist Splashtop bestrebt, in die Zukunft zu schauen und proaktiv mit Sicherheitsrisiken umzugehen. Das ist der einzig verantwortungsvolle Ausgangspunkt, um herauszufinden, wie wir die sichersten Lösungen für unsere Kunden entwickeln können.