Von Michelle Burrows, CMO, Splashtop
Jerry Hsieh stand in den über zwanzig Jahren seiner Karriere an vorderster Front der IT-Risikobewertung und -Sicherheit, zuletzt als Senior Director of Security and Compliance bei Splashtop, wo er in den letzten zehn Jahren verschiedene IT- und Sicherheitsfunktionen innehatte. Vor nicht allzu langer Zeit sprach er mit Michelle Burrows, CMO von Splashtop, darüber, was sein frühes Interesse an Sicherheit geweckt hat und wie er über die Sicherheit von Systemen denkt, insbesondere angesichts der Zunahme vielbeachteter Sicherheitsverletzungen in den letzten Monaten.
Michelle Burrows: Jerry, danke, dass Sie bei uns sind. Während Sicherheit in letzter Zeit in den Nachrichten war, wurde sie in der Vergangenheit fast als nachträglicher Gedanke betrachtet. Wie haben Sie sich zuerst für Sicherheit interessiert?
Jerry Hsieh: Sie haben völlig recht – ich habe mich lange auf Sicherheit konzentriert, und vor vielen Jahren neigten Unternehmen dazu, nicht viel über Sicherheit nachzudenken. Ich hatte 2003 eine alarmierende Erfahrung, die letztendlich mein Interesse an Sicherheit und Risikobewertung festigte.
Michelle Burrows: Das klingt bedrohlich, bitte erzähle mir mehr.
Jerry Hsieh: Das Unternehmen, für das ich gearbeitet habe, war eines der Opfer eines SMTP-DDoS-Angriffs, der letztendlich dazu führte, dass Unternehmens-E-Mail-Dienste lahmgelegt wurden, darunter große Unternehmen und das, mit dem ich zu der Zeit zusammen war. Ich erinnere mich so genau an den Zeitpunkt, weil er mit meiner Hochzeit zusammenfiel und der Grund dafür war, dass ich mich nicht wirklich amüsieren konnte wegen dem, was im Büro vor sich ging.
Es hat mir auch aus erster Hand gezeigt, wie sich so etwas auswirkt. Wir hatten mit einem Unternehmen zusammengearbeitet, das E-Mail-Filterung durchführte, um Unternehmen wie meine und andere vor einem Angriff wie diesem zu schützen, und am Ende wurden sie aufgrund dieses Angriffs geschlossen.
Ich habe auch einen weiteren Vorfall aus erster Hand gesehen, der sich ereignete, als eine Produktdatei als Virus eingestuft wurde, nachdem der AV-Anbieter die Definition aktualisiert hatte. Die IT und das Technikteam verbrachten unzählige Nächte damit, wach zu bleiben und zu versuchen, den Vorfall zu lösen, da jedes einzelne System betroffen war und wir eine Menge Arbeit vor uns hatten, um Dateien zu bereinigen, mit unserem Antiviren-Anbieter zusammenzuarbeiten und die Definitionen dessen zu korrigieren, was als Angriff definiert wurde.
Michelle Burrows: Wow, ich schätze, wenn Ihre Hochzeit unterbrochen wird, wäre das eine denkwürdige Art, herauszufinden, was man im Sicherheitsbereich nicht tun sollte. Erzählen Sie mir von anderen frühen Erfahrungen, die Sie mit Sicherheit gemacht haben.
Jerry Hsieh: Ich habe bei einem anderen Unternehmen in der Halbleiterindustrie als Sicherheitsingenieur gearbeitet. Zu dieser Zeit haben wir an der Sicherheit gearbeitet, hauptsächlich um Patentverletzungen zu verhindern. Das Unternehmen stellte eine Menge Sicherheitspersonal ein, da wir günstiger waren als ein Raum voller Anwälte. Aufgrund dieser Erfahrung betrachte ich Sicherheit als eine Möglichkeit, das geistige Eigentum eines Unternehmens zu schützen.
Michelle Burrows: Im Moment scheint es, als ob wir fast täglich von einer Sicherheitsverletzung oder einem Ransomware-Angriff hören. Was können Unternehmen tun, um sich zu schützen?
Jerry Hsieh: Ich werde danach gefragt und denke viel darüber nach. Meiner Meinung nach ist das schwächste Glied normalerweise der Endnutzer. Die meisten Sicherheitslücken werden durch einen einfachen Fehler verursacht — ein Mitarbeiter klickt auf einen schädlichen Link, speichert eine schädliche Datei, verwendet ein schwaches Passwort oder leitet etwas weiter. Ein einzelner Benutzer kann dann das gesamte System kompromittieren.
Michelle Burrows: Das ist ziemlich interessant, dass ein Mitarbeiter versehentlich viel Schaden anrichten kann. Ich denke, viele Leute glauben, dass sie nicht anfällig für einen solchen Vorfall sind, weil sie eine Firewall haben. Können Sie dazu etwas sagen?
Jerry Hsieh: Eine Firewall vermittelt den Menschen oft ein falsches Sicherheitsgefühl. Ich höre jemanden sagen: „Ich werde nicht Opfer eines Angriffs, weil ich eine Firewall habe.“ Was sie nicht berücksichtigen, ist, dass, während Sie alle Arten von Schutz um Ihr Netzwerk herum aufbauen können, eine Ihrer größten Bedrohungen tatsächlich intern sein kann. Eine Firewall löst Ihre Sicherheitsprobleme nicht, besonders wenn Hacker immer kreativer werden, um Mitarbeiter dazu zu verleiten, auf etwas zu klicken, um in Ihr System zu gelangen.
Michelle Burrows: Wenn eine Firewall nicht die einzige Antwort auf Sicherheitsverletzungen ist, was empfehlen Sie dann?
Jerry Hsieh: Ich empfehle, auf drei Bereiche zu achten:
Schulung von Endbenutzern/Sensibilisierung — Für mich ist dies einer der wichtigsten Punkte, auf den ich mich konzentrieren sollte, und seit ich Splashtop angefangen habe, erinnere ich ständig an Sicherheitsrisiken. Ich stelle sicher, dass jeder die Botschaft sieht und alle Mitarbeiter wissen, wie wichtig es ist, wachsam zu sein. Es hilft, dass unser CEO, Mark Lee, weitere Nachrichten an unser Unternehmen sendet, in denen betont wird, wie wichtig Sicherheit ist und dass jeder dafür verantwortlich ist. Wenn die Leute wissen, dass es etwas ist, das für den CEO wichtig ist, neigen sie dazu, mehr Aufmerksamkeit zu schenken.
Sicherheitsrichtlinien — Viele Unternehmen haben Sicherheitsrichtlinien, aber sie sollten über Praktiken verfügen, um diese ständig zu überwachen und zu testen. Eine Richtlinie zu haben ist ein guter erster Schritt, aber sie durchzusetzen ist noch wichtiger.
Kontinuierliches Penetrationstesten - Kontinuierliche Integration und kontinuierliche Bereitstellung/Deployment (CI/CD) wurden von vielen Unternehmen übernommen. Es ist wichtig, Ihr Netzwerk und Ihre Anwendungen ständig zu „testen“, um festzustellen, ob während des Software Development Lifecycle (SDLC) Schwachstellen entstehen.
Michelle Burrows: Ich bin sicher, dass, wenn Sie den Leuten erzählen, was Sie beruflich machen, einige das Gefühl haben, dass sie ihre eigenen schlechten Praktiken „beichten“ müssen. Welche fragwürdige Praxis gibt Ihnen am meisten zu denken oder Anlass zur Sorge?
Jerry Hsieh: Normalerweise lasse ich mir von niemandem erzählen, was er tut, was vielleicht eine bewährte Methode ist oder auch nicht. Ich habe festgestellt, dass die meisten Menschen nicht wissen, was Cybersicherheit in der Praxis ist. Sie sehen es im Fernsehen oder in einem Film und sehen, wie ein „Bösewicht“ mit einem einzigen Befehl ein ganzes System lahmlegt. Und dann denken sie vielleicht auch, dass sie aufgrund ihrer Firewall davor sicher sind. Was sie nicht verstehen, ist, dass der „Bösewicht“ ein einzelner Nutzer in deinem Unternehmen sein könnte. Wenige Datenschutzverletzungen werden durch abtrünnige Mitarbeiter verursacht. Was Unternehmen wirklich anwenden müssen, ist die Philosophie „Vertraue niemandem“. „Vertraue niemandem“ ist eines der wichtigsten Zero-Trust-Access-Prinzipien (ZTA), das sich meiner Meinung nach immer mehr durchgesetzt hat.
Das andere Missverständnis, das einige Leute über Cybersicherheit haben, ist, dass es etwas ist, das man „abschließen“ kann. Cybersicherheit ist etwas, das niemals „abgeschlossen“ ist, und es gibt immer Raum für Verbesserungen.
Michelle Burrows: Im Moment wird viel Wert auf Sicherheit gelegt — vom CEO über Investoren bis hin zu Aufsichtsräten. Worüber sollten sich Unternehmen am meisten Sorgen machen?
Jerry Hsieh: Unternehmen müssen sich über eine Reihe von Bereichen Gedanken machen.
Sie müssen eine gründliche und ehrliche Risikobewertung durchführen. Wenn Ihr Unternehmen angegriffen wird, schadet es Ihrer Marke und untergräbt das Vertrauen Ihrer Kunden, Mitarbeiter und sogar Ihres Vorstands. Sie müssen Ihr Risiko regelmäßig bewerten.
Überwachen Sie jedes Stück Software, Dienstleister und Hardware in Ihrem Netzwerk. Viele Abteilungen kämpfen häufig um die Zeit der IT und möchten die „neuesten und besten“ Tools für alles von Kundenumfragen bis hin zu Marketing und von agiler Entwicklung bis hin zu Kostenverfolgung einführen. Aber jeder Anbieter, jedes Software- oder Hardwareteil könnte anfällig für einen Angriff sein. Sie müssen ständig Ihre Schwachstellen überwachen und sicherstellen, dass die Mitarbeiter ihre Software aktualisieren und/oder das IT-Team proaktiv Patches durch das Versenden von Updates bereitstellt.
Machen Sie Ihre Recherche. Es gibt jetzt Millionen von Produkten da draußen, und mit ihnen Schritt zu halten und die Fehler, die sie in Ihr System einführen könnten, ist eine endlose Aufgabe. Ihr Sicherheitsteam muss ständig Schwachstellen überwachen und recherchieren.
Wissen Sie, dass sich der Angriffsvektor geändert hat. Hacker sind im Laufe der Jahre viel schlauer geworden und haben ihre Angriffsweise geändert. Während eine gefährliche E-Mail vor ein paar Jahren noch offensichtlich war, sind diese E-Mails jetzt personalisiert, um die Wahrscheinlichkeit zu erhöhen, dass jemand darauf klickt. Sie müssen Ihre Mitarbeiter ständig testen, damit die Sicherheit immer im Vordergrund steht.
Michelle Burrows: Kürzlich gab es eine Ankündigung, dass VPNs ein Einfallstor für Angriffe sind. Warum sind Ihrer Meinung nach VPNs (Virtual Private Networks) besonders anfällig?
Jerry Hsieh: Ja, VPNs waren in letzter Zeit viel häufiger ein Einfallstor für Systemangriffe.
Meiner Meinung nach werden VPNs aus mehreren Gründen häufiger für Ransomware-Angriffe verwendet:
VPN ist eine alte Technologie und wurde in den späten Neunzigern eingeführt. Wenn es eine bestimmte Technologie schon so lange gibt, ist es wahrscheinlicher, dass es einen Konstruktionsfehler oder einen herstellerspezifischen kritischen Softwarefehler gibt, da wir damals nicht alles wussten, was wir heute verstehen. Zum Beispiel habe ich 1999 mein erstes VPN eingerichtet und mich dabei ausschließlich auf Befehle verlassen und einigermaßen benutzerfreundliche Benutzeroberflächen (UIs) verwendet. Ich denke an diese Erfahrung zurück und es hat sich nicht viel geändert und eine Fehlkonfiguration durch jemanden ist sehr wahrscheinlich.
Ein VPN hängt davon ab, dass Ihre IT-Abteilung es korrekt konfiguriert. Ich sehe oft, dass VPNs ausgenutzt werden, weil es keinen Standardweg gibt, um Zugriff einzurichten, zu betreiben und zu verteilen. Jede IT-Abteilung wird es auf eine Weise konfigurieren, die für sie sinnvoll ist, und das birgt Risiken.
Heimcomputer werden mit einem VPN verwendet. Wenn ein Mitarbeiter von zu Hause aus arbeitet und auf der Arbeit Zugriff auf Dateien benötigt, gibt es keine einfache Möglichkeit, den Mitarbeiter daran zu hindern, ein vom Unternehmen ausgestelltes System zu verwenden, um einen VPN-Zugang einzurichten. Es gibt Tools, die dabei helfen, aber sie sind in der Regel sehr teuer und ressourcenintensiv.
Sie können den oben genannten Punkt mit einer Richtlinie abmildern, die Ihre Mitarbeiter anweist, nur ihren Arbeitscomputer für den Zugriff auf das VPN zu verwenden. Das führt dann zu einem weiteren Risikobereich – öffentliche Netzwerke. Wenn jemand reist und sich über ein VPN über ein öffentliches Zugangsnetzwerk verbindet, ist er von Natur aus anfällig für Angriffe.
Michelle Burrows: Welche Alternativen können Unternehmen anstelle eines VPN einsetzen? Hat diese Alternative irgendwelche Nachteile?
Jerry Hsieh: Ich weiß, das klingt sehr selbstfördernd, aber die beste Alternative ist es, eine Fernzugriffslösung zu nutzen. Und ja, das schließt Splashtop ein. Splashtop hilft, die Risiken zu mindern, die in VPNs inhärent sind, da es Ihnen ermöglicht, nur Ihren Desktop zu streamen. Das bedeutet, dass die Daten in Ihrem Unternehmensnetzwerk geschützt sind, da Sie die Daten nur anzeigen können. Alle Daten befinden sich weiterhin in Ihrem Unternehmensnetzwerk.
Im Gegensatz dazu kann ich, wenn ich ein VPN verwende, damit beginnen, alles herunterzuladen, was ich will, was bedeutet, dass Hacker dasselbe tun können. Wenn ich ein Tool wie Splashtop verwende, kann ich die Datei ansehen und bedienen oder verwenden, aber ich kann sie nicht herunterladen. Ich kann es so konfigurieren, dass nur lokale Computer darauf zugreifen können.
Da wir gerade über Sicherheit sprechen, bietet Splashtop außerdem viele andere Sicherheitsfunktionen wie Geräteauthentifizierung, Zwei-Faktor-Authentifizierung (2FA), Single Sign-On (SSO) und mehr. All diese zusätzlichen Sicherheitsfunktionen sind Dinge, die ein VPN nicht bieten kann.
Sie fragten nach Nachteilen der Fernzugriffstechnologie. Der einzige Nachteil ist, dass es eine Lernkurve gibt, wenn Menschen Fernzugriffslösungen übernehmen. Aber da Splashtop ursprünglich für den Verbrauchermarkt entwickelt wurde, ist die Zeit, die benötigt wird, um es zu lernen, minimal. Und mit minimal meine ich innerhalb weniger Minuten für den durchschnittlichen Benutzer.
Michelle Burrows: Erzähl mir mehr über ein VPN im Vergleich zu Splashtop?
Jerry Hsieh: Manchmal höre ich, dass ein Unterschied eine feste Investition im Vergleich zu dem Abonnementmodell sein könnte, das Splashtop bietet, wenn man die Preise eines VPN und Splashtop vergleicht. Ein VPN ist eine langfristige Investition, die manche Menschen einmalig tätigen. Aber sie vergessen, dass VPN-Gateways oft ausfallen und die Investition in ein Backup-Gateway teuer ist. Außerdem erfordert ein VPN Wartung – für Schwachstellen- und Patch-Upgrades. Splashtop übernimmt die Wartungs- und Sicherheitsarbeiten. Splashtop ist wartungsfrei und rund um die Uhr verfügbar, sieben Tage die Woche.
Michelle Burrows: Wenn Sie sich nicht mit Sicherheit beschäftigen, was machen Sie dann zum Spaß?
Jerry Hsieh: Wie Sie wahrscheinlich bemerkt haben, habe ich nicht viel Freizeit. Wenn ich Freizeit habe, genieße ich es, Golf zu spielen. Meine Frau ist vielleicht nicht begeistert von meiner Rolle, aber ich liebe es, mit Sicherheitstrends Schritt zu halten und die Arbeit zu machen, die ich jeden Tag mache.
