Diskuterar säkerhet, Ransomware och vad säkerhetsteam bör tänka på med Jerry Hsieh

Av Michelle Burrows, CMO, Splashtop

säkerhet och ransomware

Jerry Hsieh har varit i framkant inom IT-riskbedömning och säkerhet under de tjugo år av sin karriär, senast som Senior Director of Security and Compliance på Splashtop , där han har tjänstgjort i en mängd olika IT- och säkerhetsroller för senaste tio åren. För inte så länge sedan pratade han med Splashtop CMO Michelle Burrows om vad som drev hans tidiga intresse för säkerhet och hur han tänker om att hålla systemen säkra, särskilt med ökningen av mycket publicerade säkerhetsöverträdelser under de senaste månaderna.

Michelle Burrows: Jerry, tack för att du var med. Medan säkerheten har varit över nyheterna sent, tenderade det att vara nästan en eftertanke tidigare. Hur blev du intresserad av säkerhet först?

Jerry Hsieh: Du har helt rätt - jag har fokuserat på säkerhet länge och för många år sedan tenderade företag att inte tänka på säkerhet särskilt mycket. Jag hade en alarmerande upplevelse redan 2003 och det slutade med att mitt intresse för säkerhet och riskbedömning stärktes.

Michelle Burrows: Det låter olycksbådande, berätta mer.

Jerry Hsieh: Företaget jag arbetade för var ett av offren för en SMTP DDoS -attack som slutade med att ta bort företagets e -posttjänster, inklusive stora företag och det jag var med på den tiden. Jag minns tidpunkten så tydligt eftersom det sammanföll med mitt bröllop och var anledningen till att jag inte riktigt kunde trivas på grund av det som hände på kontoret.

Det visade mig också först och främst effekten av något sådant. Vi hade arbetat med ett företag som gjorde e -postfiltrering för att skydda företag som mitt och andra från en sådan attack och de slutade stängas av på grund av denna attack.

Jag såg också en annan incident direkt som inträffade när en produktfil kategoriserades som ett virus efter att AV-leverantören uppdaterade definitionen. IT och ingenjörsteamet tillbringade oräkneliga nätter och försökte lösa händelsen eftersom varje system påverkades och vi hade mycket arbete att göra för att städa upp filer, arbeta med vår antivirusleverantör och fixa definitionerna av vad som var definieras som en attack.

Michelle Burrows: Wow, jag antar att ditt bröllop skulle avbrytas skulle vara ett minnesvärt sätt att ta reda på alla saker som inte ska göras på säkerhetsarenan. Berätta om andra tidiga erfarenheter du hade med säkerhet.

Jerry Hsieh: Jag arbetade med ett annat företag inom halvledarindustrin som säkerhetsingenjör. På den tiden arbetade vi mest med säkerhet för att stoppa patentintrång. Företaget anställde många säkerhetspersoner eftersom vi var billigare än ett rum advokater. Denna erfarenhet fick mig att se säkerhet som ett sätt att skydda ett företags immateriella rättigheter.

Michelle Burrows: Just nu verkar det som om vi hör om något säkerhetsbrott eller ransomware -attack nästan dagligen. Vad kan företag göra för att skydda sig själva?

Jerry Hsieh: Jag får frågan om detta och tänker mycket på det. Enligt min mening är den svagaste länken vanligtvis slutanvändaren. De flesta byxor orsakas av ett enkelt fel - en anställd som klickar på en skadlig länk, sparar en skadlig fil, använder ett svagt lösenord eller vidarebefordrar något. En enda användare kan då äventyra hela systemet.

Michelle Burrows: Det är ganska intressant att en anställd av misstag kan göra mycket skada. Jag tror att många tror att de inte kommer att vara sårbara för en sådan här incident eftersom de har en brandvägg. Kan du kommentera det?

Jerry Hsieh: En brandvägg ger människor ofta en falsk känsla av säkerhet. Jag kommer att höra någon säga: "Jag kommer inte att bli offer för en attack eftersom jag har en brandvägg." Vad de inte tänker på är att medan du kan sätta upp alla typer av skydd runt ditt nätverk, kan ett av dina största hot faktiskt vara internt. En brandvägg löser inte dina säkerhetsproblem, särskilt när hackare blir mer och mer kreativa för att locka anställda att klicka på något för att komma in i ditt system.

Michelle Burrows: Om en brandvägg inte är det enda svaret på säkerhetsöverträdelser, vad rekommenderar du?

Jerry Hsieh: Jag rekommenderar tre områden att uppmärksamma:

  1. Slutanvändarutbildning / medvetenhetsutbildning-För mig är detta en av de viktigaste sakerna att fokusera på och sedan jag gick med i Splashtop skickar jag ständigt påminnelser om säkerhetsrisker. Jag ser till att alla ser budskapet och alla anställda vet hur viktigt det är att vara vaksam. Det hjälper att vår VD, Mark Lee, följer upp med meddelanden till vårt företag som betonar vikten av säkerhet och att det är allas ansvar. När människor vet att det är något som är viktigt för VD tenderar de att vara mer uppmärksamma.
  2. Säkerhetspolicy - Många företag har säkerhetspolicyer, men de bör ha rutiner för att ständigt övervaka och testa det. Att ha en politik är ett bra första steg, men att genomdriva den är ännu mer kritiskt.
  3. Kontinuerlig penetrationstestning - Kontinuerlig integration och kontinuerlig leverans/distribution (CI/CD) har antagits av många företag. Det är viktigt att ständigt "testa" ditt nätverk, applikationer för att se om det finns sårbarheter under programutvecklingslivscykeln (SDLC).

Michelle Burrows: Jag är säker på att när du berättar för människor vad du gör för att leva, kan vissa känna att de behöver "bekänna" sin egen dåliga praxis. Vilken tveksam praxis ger dig mest paus eller oro?

Jerry Hsieh: Jag brukar inte få någon att berätta om vad de gör som kanske är en bra metod. Jag har funnit att de flesta inte vet vad cybersäkerhet är i praktiken. De ser det på TV eller i en film och ser hur en "bad guy" med ett enda kommando tar ner ett helt system. Och då kanske de också tror att de är säkra från detta på grund av sin brandvägg. Vad de inte förstår är att ”bad guy” kan vara en enda användare i ditt företag. Få dataintrångsincidenter orsakas av anställda som går i skurk. Vad företag verkligen behöver anta är en "trust no one" -filosofi. “Lita på ingen” är en av de viktigaste Zero Trust Access (ZTA) -principerna som jag ser antas mer och mer allmänt.

Den andra missuppfattningen som vissa människor har om cybersäkerhet är att det är något som du kan "avsluta". Cybersäkerhet är något som aldrig ”görs” och det finns alltid utrymme för förbättringar.

Michelle Burrows: Just nu är det mycket uppmärksamhet kring säkerhet - från VD till investerare till styrelser. Vad ska företagen vara mest bekymrade över?

Jerry Hsieh: Företag måste oroa sig för ett antal områden.

  1. De måste göra en noggrann och ärlig riskbedömning. När ditt företag attackeras skadar det ditt varumärke och urholkar förtroendet hos dina kunder, anställda och till och med din styrelse. Du måste regelbundet utvärdera din risk.
  2. Övervaka varje programvara, tjänsteleverantör och hårdvara i ditt nätverk. Många avdelningar tävlar ofta om IT: s tid och vill ta in de "senaste och bästa" verktygen för allt från kundundersökningar till marknadsföring och från smidig utveckling till kostnadsspårning. Men varje leverantör, mjukvara eller hårdvara kan vara sårbar för en attack. Du måste ständigt övervaka dina sårbarheter och se till att anställda uppdaterar sin programvara och/eller att IT -teamet proaktivt gör korrigeringar genom att skicka ut uppdateringar proaktivt.
  3. Gör din forskning. Det finns nu miljontals produkter där ute och att hålla koll på dem och de buggar de kan introducera för ditt system är ett oändligt jobb. Ditt säkerhetsteam måste ständigt övervaka och undersöka sårbarheter.
  4. Vet att attackvektorn har förändrats. Hackare har blivit mycket smartare genom åren och har förändrat hur de attackerar. Även om ett farligt e -postmeddelande kan ha varit uppenbart för bara några år sedan, är dessa e -postmeddelanden anpassade för att göra det mer troligt att få någon att klicka. Du måste testa dina anställda hela tiden så att säkerheten alltid är högst i sinnet.

Michelle Burrows: Nyligen kom det ett tillkännagivande om VPN: er som en inkörsport för en attack. Enligt din uppfattning, varför är VPN (virtuella privata nätverk) särskilt sårbara?

Jerry Hsieh: Ja, VPN har varit en inkörsport för systemattacker mycket mer sent.
Enligt min mening används VPN: er oftare för ransomware -attacker av några skäl:

  1. VPN är gammal teknik och introducerades i slutet av nittiotalet. När en viss teknik har funnits så länge är det mer troligt att det finns en designfel eller leverantörsspecifik kritisk mjukvarufel eftersom vi inte visste allt det vi förstår nu. Som ett exempel skapade jag min första VPN redan 1999, enbart beroende av kommandon och med lite vänliga användargränssnitt (UI). Jag tänker tillbaka på den upplevelsen och inte mycket har förändrats och felkonfiguration av någon är mycket troligt.
  2. En VPN beror på att din IT -avdelning konfigurerar den korrekt. Jag ser ofta att VPN utnyttjas eftersom det inte finns något standard sätt att konfigurera, driva och distribuera åtkomst. Varje IT -avdelning kommer att konfigurera det på ett sätt som det är vettigt för dem och som medför risker.
  3. Hemmadatorer används på ett VPN. Om en anställd arbetar hemifrån och behöver tillgång till filer på jobbet finns det inget enkelt sätt att förhindra att anställda använder ett icke-företagsutfärdat system för att upprätta VPN-åtkomst. Det finns verktyg för att hjälpa till med detta men de tenderar att vara super dyra och resurskrävande.
  4. Du kan mildra punkten ovan med en policy som instruerar dina anställda att de bara kan använda sin arbetsdator för att komma åt VPN. Det introducerar sedan ett annat riskområde - offentliga nätverk. Om någon reser och de ansluter via en VPN via ett offentligt åtkomstnätverk är de i och för sig benägna att attackera.

Michelle Burrows: Vilka alternativ kan företag använda istället för en VPN? Finns det någon nackdel med det alternativet?

Jerry Hsieh: Jag vet att det här låter superpromotivt, men det bästa alternativet är att använda en fjärråtkomstlösning. Och, ja, det inkluderar Splashtop. Splashtop hjälper till att minska riskerna med VPN: er eftersom det gör att du bara kan strömma ditt skrivbord. Det betyder att data i ditt företagsnätverk är skyddade eftersom du bara kan se data. All data finns fortfarande i ditt företagsnätverk.

När jag däremot använder en VPN kan jag börja ladda ner vad jag vill, vilket innebär att hackare kan göra detsamma. När jag använder ett verktyg som Splashtop kan jag visa och använda eller använda filen, men jag kan inte ladda ner den. Jag kan konfigurera det så att endast lokala datorer kan komma åt det.

Eftersom vi pratar om säkerhet erbjuder Splashtop dessutom många andra säkerhetsfunktioner som enhetsautentisering, tvåfaktorautentisering (2FA), enkel inloggning (SSO) och mer. Alla dessa ytterligare säkerhetsfunktioner är saker som en VPN inte kan erbjuda.

Du frågade om nackdelar med fjärråtkomstteknik. Den enda nackdelen är att det finns en inlärningskurva när människor använder lösningar för fjärråtkomst. Men eftersom Splashtop designades ursprungligen för konsumentmarknaden är den tid det tar att lära sig det minimal. Och med minimal, menar jag inom några minuter för den genomsnittliga användaren.

Michelle Burrows: Berätta mer om en VPN mot Splashtop ?

Jerry Hsieh: Ibland hör jag att en skillnad kan vara en fast investering jämfört med prenumerationsmodellen som Splashtop erbjuder när du jämför priser på en VPN och Splashtop. En VPN är en långsiktig investering som vissa människor kan göra en gång. Men de glömmer att VPN -gateways ofta går ner och att investera i en backup -gateway är dyrt. Dessutom kräver en VPN underhåll - för sårbarhet och patchuppgraderingar. Splashtop tar över underhålls- och säkerhetsarbetet. Splashtop är underhållsfritt och tillgängligt tjugofyra timmar om dagen, sju dagar i veckan.

Michelle Burrows: När du inte är besatt av säkerhet, vad gör du för skojs skull?

Jerry Hsieh: Som du säkert har insett har jag inte mycket stillestånd. När jag har ledig tid tycker jag om att spela golf. Min fru är kanske inte galen i min roll, men jag älskar att hålla koll på säkerhetstrender och det arbete jag gör varje dag.

Du kanske är intresserad av:

Frågor och svar om cyberrisker och nytänkande av mjukvaruproduktion

Rollen för VPN och RDP i attacker med utpressningstrojaner

Funderar du på hur du kan tillhandahålla fjärråtkomst till dina anställda på ett säkert sätt? Kontakta Splashtop idag .

Gratis provbanner på bloggbotten