網絡風險問答與重新思考軟件生產

QA 馬克和塞巴斯蒂安

與網絡安全專家 Sebastian Goodwin 討論 Splashtop 的安全諮詢委員會、網絡風險和重新思考軟件生產

作者:Mark Lee,Splashtop 首席執行官兼聯合創始人

Splashtop 最近公開了我們安全諮詢委員會的成員,我們於 2020 年 12 月宣布:Sebastian Goodwin。 Sebastian 是網絡安全研究員、主旨發言人、企業顧問、加州大學伯克利分校信息學院的兼職教授和 Nutanix 的首席信息安全官 (CISO)。他在幫助全球 2000 強公司大規模管理網絡風險方面擁有 20 多年的經驗。

Sebastian 最近與 Splashtop 首席執行官 Mark Lee 討論了他加入 Splashtop 安全諮詢委員會的原因、他為何對安全問題充滿熱情,以及他如何看待在這個勒索軟件攻擊和其他網絡安全威脅增加的時代正在展開的安全形勢。

李馬克: 塞巴斯蒂安,我們很高興你成為我們安全顧問委員會的一員。我相信您首先是通過我們的一位投資者了解到 Splashtop 的,對嗎?

塞巴斯蒂安·古德溫:是的,沒錯。他知道我的背景,而且 Splashtop 正在尋找安全顧問,因此將我們聚集在一起是有意義的。

標記: 您在網絡安全方面擁有豐富的專業經驗,目前擔任 Nutanix 的 CISO 和 SADA(谷歌云高級合作夥伴和解決方案提供商)的董事會成員,以及您過去在 Palo Alto Networks、Robert Half、PeopleSoft 和 IBM 等公司擔任的與安全相關的領導職位。您對公司如何應對網絡風險有一個鳥瞰圖。總體而言,您認為當今組織在安全方面做得如何?

塞巴斯蒂安:當今的企業面臨著前所未有的網絡安全風險。正如最近的新聞報導所強調的那樣,勒索軟件是一個巨大的威脅。攻擊者已經意識到,他們可以通過攻擊在不同行業和市場中廣泛使用的軟件來獲得影響力。公司需要重新思考他們如何生產軟件以更好地維護安全並保持客戶的信任。

標記: 您能否多談談公司需要如何“重新思考”他們如何生產軟件?

塞巴斯蒂安:當然。重新思考意味著在一端的安全性和另一端的業務敏捷性之間找到正確的平衡。大量投資於向客戶快速交付新產品和功能可能意味著在安全方面的投資會減少。但投資於安全性需要時間,並且會降低敏捷性和保持競爭力的能力。

關鍵是要在整個範圍內找到合適的位置,在那裡您能夠為客戶提供他們所需的改進產品和功能,同時使您的產品盡可能安全。

標記: 客戶已經開始期望他們能夠快速獲得最新和最強大的功能——但他們可能沒有意識到使用未經徹底審查的軟件的風險。你看到這種變化了嗎?

塞巴斯蒂安:這是網絡風險意識發生更大轉變的一部分。顯然,任何親身經歷過攻擊的公司或個人都了解良好網絡安全實踐的重要性,即使他們意識到這一點為時已晚,無法避免受到攻擊的影響。那些尚未經歷過網絡攻擊的人屬於以下兩類之一:要么致力於主動保護自己和公司,要么使自己成為容易成為目標的目標。攻擊可能會使他們失去業務。

標記: 像我們這樣的軟件公司可以採取哪些措施來幫助保護我們的客戶免於成為網絡安全受害者?

Sebastian:首先要考慮安全性,並設計默認安全的軟件產品。例如,將兩因素身份驗證設為默認身份驗證以通過公共網絡對您的服務進行身份驗證。

採取零信任的姿態,這意味著不信任任何人或任何事情。假設一切最終都會被破壞,並努力限制您的爆炸半徑 - 安全行業術語,描述給定的攻擊波及範圍。例如,如果網絡上的一個用戶擁有受損設備,惡意軟件就不能傳播到該用戶之外以感染網絡上的任何其他設備。

標記: 您致力於教導公司如何改進他們的網絡安全實踐。你能談談你工作的那個方面嗎?

Sebastian:我認為組織能夠有效衡量和管理他們的網絡風險至關重要,這樣他們才能主動保護他們的業務。我提供幫助的一種方式是作為獨立的網絡安全演講者和 CEO 和董事會的顧問。在您的安全顧問委員會任職就是這種角色的一個例子。我還教授我為加州大學伯克利分校創建的研究生課程,在那裡我幫助未來的技術和商業領袖變得更擅長評估和管理高管和董事會層面的網絡風險。

標記: 您顯然熱衷於管理網絡風險。這種熱情從何而來?

塞巴斯蒂安:嗯,從我記事起,我就對電腦很感興趣。我在很小的時候就自學了編程,那是在 2400 波特調製解調器和萬維網興起的時代。我一直對黑客以及黑客所涉及的創造力和技能著迷。想想看。你必須首先深入了解一個系統是如何構建成以某種方式工作的,然後你必須想辦法讓該系統做它不應該做的事情。

這是一個迷人的謎題和挑戰。一個有趣的故事:在高中的時候,當我能夠繞過電腦系新部署的全盤加密軟體時,我差點被開除。唯一救了我的是我的一位老師隨便向“任何可以破解不可破解加密的學生”發出了挑戰。謝天謝地,我逃脫了驅逐。

標記: 我們很高興您決定繼續努力防止攻擊,而不是加入有害黑客的陰暗面!

塞巴斯蒂安:我也是!但我認為了解黑客的技能水平很重要。當我為我的團隊聘請安全人員時,我確保他們了解完整的技術堆棧。一位擅長編寫代碼的大學畢業生需要大量培訓才能理解他們正在構建的軟件可以被規避的所有方式。這是一個無止境的挑戰,但它也是無止境的迷人。

標記: 非常感謝這次談話,塞巴斯蒂安。感謝您加入我們的安全諮詢委員會,幫助 Splashtop 不斷提高我們交付的產品的安全性。

Sebastian:我很欣賞 Splashtop 的安全態度。就像我現在的公司 Nutanix 一樣,Splashtop 致力於展望未來並積極應對安全風險。這是找出如何為我們的客戶構建最安全解決方案的唯一負責任的起點。

博客底部的免費試用橫幅