網路風險問答與重新思考軟體生產

與網路安全專家塞巴斯蒂安·古德溫討論 Splashtop 的安全諮詢委員會、網路風險和重新思考軟體生產

作者：Mark Lee，Splashtop 首席執行官兼聯合創始人

Splashtop 最近公佈了我們在 2020 年 12 月宣佈的安全 諮詢委員會的新成員：塞巴斯蒂安·古德溫。 Sebastian 是網路安全研究員、主講人、企業顧問、加州大學伯克利分校資訊學院的兼職教授和 Nutanix 的首席資訊安全官 （CISO）。 他在説明全球 2000 強公司大規模管理網路風險方面擁有 20 多年的經驗。

塞巴斯蒂安最近與Splashtop首席執行官馬克·李（Mark Lee）討論了他加入Splashtop安全諮詢委員會的原因，為什麼他對安全問題充滿熱情，以及他如何看待在這個勒索軟體攻擊和其他網路安全威脅增加的時代發展的安全形勢。

馬克·李： 塞巴斯蒂安，我們很高興您成為我們安全諮詢委員會的一員。 我相信您是通過我們的一位投資者首先發現 Splashtop 的，對嗎？

塞巴斯蒂安·古德溫： 是的，沒錯。 他知道我的背景，並且 Splashtop 正在尋找安全顧問，因此將我們聚集在一起是有意義的。

馬克： 您在網路安全方面擁有豐富的專業經驗，目前在Nutanix擔任首席資訊安全官和SADA（Google Cloud Premier Partner and Solution Provider）的董事會成員，以及您過去在Palo Alto Networks，Robert Half，PeopleSoft和IBM等公司擔任的安全相關領導職務。 您可以鳥瞰公司如何應對網路風險。 總的來說，您認為當今組織在安全性方面的表現如何？

塞巴斯蒂安： 如今，企業面臨著前所未有的網路安全風險。 正如最近的新聞報導所強調的那樣，勒索軟體是一個巨大的威脅。 攻擊者已經意識到，他們可以通過攻擊在不同行業和市場中廣泛使用的軟體來獲得槓桿作用。 公司需要重新思考如何生產軟體，以更好地維護安全性並保持客戶的信任。

馬克： 你能說說更多關於公司需要如何「重新思考」他們如何生產軟體嗎？

塞巴斯蒂安： 確定。 重新思考意味著在一端的安全性和另一端的業務敏捷性之間找到適當的平衡。 在向客戶快速交付新產品和功能方面投入鉅資可能意味著減少對安全性的投資。 但是，投資於安全性需要時間，並且會降低敏捷性和保持競爭力的能力。

關鍵是要找到正確的位置，以便您能夠為客戶提供所需的改進產品和功能，同時使您的產品盡可能安全。

馬克： 客戶期望他們能夠快速獲得最新、最強大的功能，但他們可能沒有意識到使用未經徹底審查的軟體的風險。 你看到這種情況發生了變化嗎？

塞巴斯蒂安： 這都是網路風險意識更大轉變的一部分。 顯然，任何親身經歷過攻擊的公司或個人都瞭解良好網路安全實踐的重要性，即使他們意識到這一點為時已晚，無法避免攻擊的影響。 那些尚未遭受網路攻擊的人分為兩類：要麼致力於主動保護自己和公司，要麼讓自己成為容易的目標。 攻擊可能會使他們失去業務。

馬克： 像我們這樣的軟體公司可以做些什麼來幫助保護我們的客戶免於成為網路安全的受害者？

塞巴斯蒂安： 首先要非常考慮安全性，並設計預設安全的軟體產品。 例如，將雙因素身份驗證設置為通過公共網路對服務進行身份驗證的預設值。

採取零信任姿態，這意味著不信任任何人或任何事。 假設所有內容最終都會被破壞，並努力限制您的爆炸半徑 - 安全行業術語，描述給定攻擊的波紋範圍。 例如，如果網路上的某個用戶的設備遭到入侵，惡意軟體將無法傳播到該使用者之外以感染網路上的任何其他設備。

馬克： 您致力於教公司如何改進其網路安全實踐。 你能談談你工作的這一方面嗎？

塞巴斯蒂安： 我認為組織能夠有效地衡量和管理其網路風險至關重要，這樣他們才能主動保護自己的業務。 我提供説明的一種方式是作為獨立的網路安全演講者和首席執行官和董事會的顧問。 在安全諮詢委員會任職就是此角色的一個例子。 我還教授我為加州大學伯克利分校創建的研究生課程，在那裡我幫助未來的技術和商業領袖更加擅長從執行和董事會層面評估和管理網路風險。

馬克： 您顯然對管理網路風險充滿熱情。 這種激情從何而來？

塞巴斯蒂安：嗯，從我記事起，我就對電腦很感興趣。我在很小的時候就自學了編程，那是在 2400 波特調製解調器和萬維網興起的時代。我一直對黑客以及黑客所涉及的創造力和技能著迷。想想看。你必須首先深入了解一個系統是如何構建成以某種方式工作的，然後你必須想辦法讓該系統做它不應該做的事情。

這是一個迷人的謎題和挑戰。一個有趣的故事：在高中的時候，當我能夠繞過電腦系新部署的全盤加密軟體時，我差點被開除。唯一救了我的是我的一位老師隨便向“任何可以破解不可破解加密的學生”發出了挑戰。謝天謝地，我逃脫了驅逐。

馬克： 我們很高興您決定繼續努力防止攻擊，而不是加入有害駭客的陰暗面！

塞巴斯蒂安： 我也是！ 但我認為欣賞駭客的技能水準很重要。 當我為我的團隊雇用安全人員時，我確保他們瞭解完整的技術堆棧。 一個擅長編寫代碼的應屆大學畢業生需要大量的培訓才能理解他們正在構建的軟體的所有方式可以被規避。 這是一個無窮無盡的挑戰，但它也無窮無盡地令人著迷。

馬克： 非常感謝這次談話，塞巴斯蒂安。 感謝您加入我們的安全諮詢委員會，説明 Splashtop 不斷提高我們交付的產品的安全性。

塞巴斯蒂安： 我很欣賞 Splashtop 的安全態度。 與我現在的公司 Nutanix 一樣，Splashtop 致力於展望未來並積極應對安全風險。 這是弄清楚如何為我們的客戶構建最安全的解決方案的唯一負責任的起點。