Mit den neuesten Erkenntnissen unserer Sicherheitsexperten sind Sie Cyberbedrohungen immer einen Schritt voraus.
Jetzt abonnieren, um Folgendes zu erhalten:
- Die neuen ThreatTank-Episoden sind jetzt erhältlich!
- Top-Trend-Angriffe nach Branche
- Umsetzbare Erkenntnisse und Reaktionsstrategien
- Und vieles mehr!
Eine Einführung in Edgios neue Podcast-Serie: ThreatTank
Tom Gorup: Willkommen bei ThreatTank, einem Podcast über die neuesten Bedrohungsinformationen, Bedrohungsreaktionen und Einblicke in die Bedrohungslandschaft rund um den Globus. Ich bin Ihr Gastgeber, Tom Gorup, Vice President of Security Services bei Edgio.
Zu mir kommen heute Richard Yew, Senior Director of Product Management bei Edgio Security Solutions, und Andrew Johnson, Senior Product Marketing Manager bei Edgio Security Solutions. Willkommen Richard und Andrew.
Hey, danke, dass du mich hier hast.
Andrew Johnson: Danke Tom.
Tom Gorup: Das ist aufregend. Unser erster Drohungs-Tank-Podcast. Und ich habe zwei schwere Schläger wie Sie, und ich habe das Gefühl, dass ich mich mit einem Eisbrecher öffnen muss, eine nette kleine Frage.
Ich habe immer Interviewpartner gefragt. Und wenn ich irgendwie nervös werde, aber ich denke, das ist ein gutes Intro. Ich Frage euch beide und antworte, wenn ihr es habt. Wenn du ein Baum wärst, was wäre dann dein Lieblingstier? Wenn du ein Baum wärst, was wäre dann dein Lieblingstier?
Du weißt, wenn du über Bäume redest, oder? Ich fange an, über Eichel nachzudenken und dann, weißt du, was mich sofort daran erinnert, weißt du, es gibt dieses Schwein in Spanien. Es heißt Ibérico-Schwein. Es ist schwarz. Es produziert den besten Speck oder Schinken, wie auch immer man ihn nennt, in der Welt ist es der teuerste. Es sind wahrscheinlich ein paar hundert Dollar pro Unze.
Also, ich schätze, in diesem Fall ist die Wahl für mich. Denn es macht Gebrauch von allem, was ich fallen lasse und, oh, alles klar.
Tom Gorup: Das ist interessant. Ja. Nein, das ist gut. Das ist gut. Zuerst fragte ich mich, wo willst du damit hin?
Geh und nimm meine Eichel.
Tom Gorup: Ja, ja, ja. Nein, das Schwein, das da rauskommt. Und dann nicht zu erwähnen, dass man für Tausende von Dollar pro Pfund verkauft. Das ist wie ein Wagyu-Schwein.
Andrew Johnson: Das ist ziemlich gut. Mal sehen. Also dachte ich vielleicht aus Sicherheitssicht darüber nach, was ich als Tier nicht will, wenn ich selbst ein Baum wäre, ich weiß nicht, vielleicht will ich keinen Pilz. Ich will nichts, das… keinen Specht oder etwas will, das mich aufpickt und ein Loch in mich macht.
Hey, Alter, ich werde dich hier aufhalten. Hey, Pilz ist kein Tier, das habe ich zuletzt überprüft. Was ist das? Oh, vielleicht ist es das. Nachdem wir uns den letzten von uns angeschaut haben, wird Pilz zum Tier.
Andrew Johnson: Das ist es, was ich nicht will. Also, ich müsste sagen, vielleicht ein paar Vögel oder so was, die gehen, nachdem sie auf mir gelandet sind.
Tom Gorup: Wieder, nutze es. Das ist gut. Eine der Antworten, die ich auf diese Frage beantwortete, war, dass ein Hai war. Und als ich fragte, warum sie so sind, würde mich der Hai nie stören. Okay. Spricht ein wenig in die Persönlichkeit dort, aber ich mag, wie ihr beide ein Tier ausgewählt habt, von dem ihr wisst, dass es für andere Tiere nützlich ist.
Das ist ziemlich cool. Ja. Spricht viel. Wir reden heute nicht über Tiere oder Bäume.
Wird KI die Skills Lücke im Bereich Cybersicherheit überbrücken?
Tom Gorup: Wir werden drei [Cybersicherheit] Prognosen für das Jahr 2024 untersuchen. Es gibt einen Blogbeitrag auf Edgios Blog, in dem wir wieder über drei Vorhersagen sprechen. Erstens: KI, die die Lücke im Bereich Cybersicherheit überbrückt, dann Sicherheitskultur und die Zunahme von Angriffen. Wir werden es nicht in dieser Reihenfolge tun, aber das sind die drei Vorhersagen. Also, direkt in KI zu springen. Ich meine, im Moment wird die Prognose hier noch einmal wiederholen, dass KI die Lücke im Bereich Cybersicherheit im Jahr 2024 überbrücken wird. Wir werden eine Menge davon sehen.
Wenn du darüber nachdenkst, kannst du, okay. Provokativ hier und schauen Sie sich die Welt der KI an, und sehen Sie, wie jeder hat, ich glaube, ich habe neulich einen Tweet gesehen. AI lässt alle Sterne sehen. Alle sind begeistert und all diese verschiedenen Anwendungsfälle. Vielleicht sehen wir dieses neue Telefon oder Pseudo-Telefon-Kaninchen, Kaninchen R oder so etwas, wie all das verrückte Zeug, das rauskommt. Aber sind wir wirklich der Meinung, dass KI das richtige Mittel ist, um die Lücke effektiv zu überbrücken? Sehen wir, dass das 2024 tatsächlich passiert, oder erhalten wir weitere fünf Jahre Forschung und Entwicklung hinter KI, bevor sie zu dem Punkt kommt, an dem sie bedeutende Auswirkungen auf die Überbrückung dieser Lücke hat?
Nun, weißt du, es hat die Lücke für den Angreifer überbrückt.
Tom Gorup: Ja, das ist ein guter Punkt.
Richard Yew: Ja, ich meine, heutzutage denke ich nur an meinen Job, Hey, ich möchte ein Skript, das ich will, schreiben Sie mir einfach ein Skript, das eine Schleife läuft, die mir hilft, eine Anfrage zu stellen, eine Anfrage zu stellen oder zu bekommen oder eine Anfrage an eine bestimmte URL zu posten und es hundertmal wiederholt zu tun.
Ich meine, offensichtlich sagen Sie KI nicht, dass sie versuchen soll, einen DDoS-Angriff zu erzeugen, aber funktionell erreicht sie dasselbe, oder? Einfach nur um die Geschäftsbedingungen herum. Ich glaube, es wird rote Teams machen… es wird es dir wissen lassen, jeder Laie kann es. Als ob sich jeder entscheiden kann, ich ziehe einfach meinen schwarzen Hut auf, den ich bei mir habe, und fange an, damit zu spielen.
Natürlich gibt es auch viele Vorteile für Organisationen, für das blaue Team, für einen Verteidiger.
Ich denke, ich meine, offensichtlich wird es dem Problem helfen. Wird es 2024 schließen? Das ist natürlich. Ich meine, ich weiß nicht. Ich denke natürlich nicht. Aber es beginnt bereits, in Sicherheitssoftware implementiert zu werden.
Weißt du, es hat auch Herausforderungen, ich meine, anstatt sich um falsch positive Dinge zu sorgen, muss man sich irgendwie Sorgen machen über falsche Empfehlungen, die, weißt du, KI-gestützte Software Teams geben wird. Also, ich denke, wissen Sie, das Niveau der Erfahrung wird immer noch extrem wichtig sein.
Tom Gorup: Ja, es ist interessant, wenn ich mir Statistiken wie ISC2 ansehe. Es heißt, es gibt etwa vier Millionen Arbeitskräfteunterschiede, vier Millionen Arbeitskräfteunterschiede. Das ist riesig. Das ist riesig. Und wir sind, ich meine, Colleges pumpen Sicherheitsexperten nicht schnell genug aus, um diese Lücke zu schließen, ganz zu schweigen von dem Wachstum, das im Jahresvergleich stattfinden wird. Also, wisst ihr, KI schließt diese Lücke 2024, wisst ihr, auf der einen Seite, ich höre euch, Richard, wie der Wert, den ich sehe, auch zu eurem Punkt ist: Kann ich schnell Skripte schreiben?
Neulich habe ich iGPT4 gebeten, mir eine HTML-Seite zu schreiben, und das tat es, es hat eine tolle Arbeit geleistet. Dann fing ich an, sie zu ändern und als Nächstes weiterzumachen. Weißt du, ich habe eine ganze Webseite. In ca. 30 Minuten eingebaut. Und ich habe buchstäblich Null-Code geschrieben, um das zu erreichen, aber auch in der Lage zu sein, ihm verschiedene Datensätze zu füttern.
Und ich denke, eine der größten Bedenken, die Menschen mit KI haben, um die Lücke zu schließen, ist Privatsphäre. Wissen Sie, wissen Sie, wir haben gesehen, was war es, es war ein Samsung-Ingenieur, der einige Schemata in KI einarbeitete, aber die Herausforderung war, dass ich das noch niemanden extrahieren sah. Nicht zu sagen, dass es nicht passiert ist, aber es gibt zwei Seiten der Münze.
Ich denke, es ist sehr wichtig, wenn du anfängt, KI zu nutzen, um sowohl gut zu sein, offensichtlich aus Angreifer- als auch Verteidiger-Perspektive, oder? Verbessern Sie Ihren Workflow, oder? Es ist auch wichtig für dich, deine KI zu schützen, aber ich möchte darauf zurückkommen. Über das Schließen der Lücken zu sprechen.
Ich würde sagen, können die Lücken jemals geschlossen werden? Nein, kann es nicht, wie ich sagen werde, kann jemand jemals 100% sicher sein? Ich werde argumentieren, nein, so etwas gibt es für mich einfach nicht. KI, es fügt eine zusätzliche Ebene in unser Tiefenverteidigungskonzept ein, die wirklich hilft. Es sind noch zwei weitere Sets in den Schichten, die aus der Sicht des Verteidigers wirklich helfen, richtig? Schließen und verringern Sie die Wahrscheinlichkeit, dass ein Verstoß oder ein Angriff eintritt. Und ich glaube, es passieren viele Sicherheitsprobleme, wir sagen immer, dass Menschen das schwächste Glied sind, denn, weißt du, wenn du immer und immer wieder die banalen Dinge machst, werden wir selbstgefällig werden, Unfälle passieren usw. Das ist der Zeitpunkt, an dem KI ins Spiel kommen kann.
Sie hören wahrscheinlich dieses Zitat von dieser sehr berühmten Person, die Autos und Raketen herstellt und sich eignet, aber es ist wahr, und es gilt auch für die Sicherheit, wie wenn man nur eine Menge repetitiver Dinge machen muss, sogar Protokollanalysen, wissen Sie, die Leute haben einen Mangel an Aufmerksamkeit und das ist verständlich. Wir sind doch alle Menschen, oder? Ich denke also, dass KI hier sehr nützlich sein wird, um die Lücke zu schließen. Aber, weißt du, das vorausgesetzt, dass die KI die Arbeit erledigt, die du wolltest, so wie ein Roboter in einer Fabrik nicht plötzlich die Arbeiter schnappt, sie auf die Autos wirft und sie zerschmettert. Richtig?
Tom Gorup: Noch nicht. Das ist interessant. Wenn ich also an den Workflow denke, also an den Analyst-Workflow, dann kommt ein Alarm und es gibt viele Fragen im Zusammenhang mit diesem speziellen Alarm. Richtig. Ist das normal? Ist es üblich? Was sollte ich suchen, wenn ich diese Art von Angriff auf diese bestimmte Art von System?
Hey, es ist ein Windows-Rechner oder ein Apache-Server. Gibt es bestimmte Dinge, nach denen ich suchen sollte, um festzustellen, ob dieser Angriff erfolgreich war oder nicht? Ich denke, die Chance, die wir haben, besteht möglicherweise darin, auch die Zugangsbarriere zu senken, richtig? Wenn wir also über das Schließen der Lücke sprechen, bedeutet das nicht unbedingt, dass KI die Lücke schließt, aber vielleicht ermöglicht uns KI, unsere Reichweite zu erweitern, für wen wir für diese Art von Rollen einstellen. Die Zukunft, über die ich mich freue, ist eine, in der wir weniger für das technische Fachwissen zu einem bestimmten Produkt oder einer bestimmten Technologie einstellen, sondern eher für Neugier und Kommunikationsfähigkeiten. Also jemand, der die richtige Frage auf die richtige Art und Weise stellen kann, um die Antworten zu erhalten, die er sucht, nicht nur aus den Daten, sondern auch aus der KI.
Andrew Johnson: Ich denke, der letzte Teil, den Sie erwähnt haben, ist wirklich gut, wenn es darum geht, anders zu denken, nur um diese Lücke bei Sicherheitsexperten sogar fast zu schließen. Wissen Sie, wenn Sie Kreativität anstreben, vielleicht Leute mit anderen technischen Fähigkeiten, wie vom Helpdesk oder vielleicht Business Intelligence-Analysten oder Menschen, die sehr wohl mit Daten arbeiten.
Aber auch ein paar Dinge, die du vorhin gesagt hast, Tom, wo du weißt, wenn es einen Vorfall gibt und die KI vielleicht empfehlen kann, weißt du, zumindest in ein paar Bereichen zu schauen. Als ob ich an mein Leben und viele meiner Arbeit denke, ist die Regel von 80/20. Also, weißt du, wenn ich nicht all diese Überlegungen aufspüren muss, oder wenn ich vielleicht die einfachsten Überlegungen für mich habe, spart das eine Menge Zeit. Ich nehme an, dass wir das in Zukunft in vielen Lösungen und Systemen sehen werden.
Ja, weißt du, ich möchte auf die 4 Millionen Joblücke in der Sicherheit doppelklicken, dass dies ein sehr wichtiger Punkt ist. Weißt du, wenn man sich das Durchschnittseinkommen anschaut und es einfach extrapoliert, dann ergibt es sich auf etwa 200 Milliarden Dollar, weißt du, was lustig genug ist, laut einem Bericht von einer dieser Sicherheitsfirmen, oder?
Diese 200 Milliarden tatsächlich sind es 213 Milliarden genau so groß wie Cybersicherheitsmärkte, und es ist daher verständlich, dass Unternehmen, die Sie kennen, versuchen, diese Lücken zu schließen, wenn wir über Sicherheitsanbieter, Dienstanbieter oder sogar Organisationen sprechen.
Und stellen Sie sich vor, wie billig Sie heutzutage KI einsetzen können, um bestimmte Funktionen zu erreichen, die potenziell viele Einsparungen bedeuten.
Tom Gorup: Ich, ja, 100 Prozent. Ich sehe auch eine Gelegenheit, die du erwähnt hast, Andrew, ist wie, ich glaube, du hast es auch getan. Richard ist in der Lage, Ihre Kontrolle innerhalb der KI selbst anzuwenden.
Wenn Sie also intern einen Standardprozess für einen Brute-Force-Angriff oder Ransomware-Angriff haben, können Sie eine KI trainieren. Was alle diese speziellen Fragen beantworten werden. Sie können eine konsistente Reaktion im gesamten Unternehmen erzielen. Es ist eine der größten Herausforderungen, die CISOs haben, die ich kenne, dass sie all diese Richtlinien schreiben, all diese Dokumentation, und niemand liest sie.
Weißt du, du gehst am Ende des Jahres durch die Compliance, und jeder ist gezwungen, es zu lesen, aber setzt sich irgendjemand hin und liest es? Stellen Sie sich vor, Sie hätten eine KI, der Sie diese Fragen stellen könnten. Also anstatt und Sie haben immer noch die Dokumentation, aber die KI ist auf diese Dokumentation geschult.
Und wenn die Umstände eintreten, kann eine Person, ob Sicherheitsanalyst oder CFO, Fragen an die KI stellen. Hey, was ist der nächste Schritt in diesem Vorfall? Was tun wir als Nächstes? Und KI kann auf diese Weise dein Sherpa sein.
(Richard Yew) es war lustig. Wie ja, es tut mir leid. Das ist mein letzter Witz, bevor wir weitermachen.
Aber ich garantiere Ihnen, niemand würde HTML hacken und die Komponente entfernen, die die Schaltflächen blockiert, sodass Sie einfach in Ihrem Compliance-Trainer auf „Weiter“, „Weiter“, „Weiter“ klicken können.
Tom Gorup: Genau. Nun, Compliance-Training. Das ist eine ganz andere… Wir werden gleich über Kultur sprechen und wie das angepasst ist. Also, das letzte Mal, das ich verpasst habe. Dieser Punkt, Richard, du hast vorhin darüber gesprochen, war, dass Angreifer GPT nutzen, KI nutzen. Sie haben Wolf GPT, wormGPT, betrüdGPT, all diese Arten von LLMS konzentriert sich auf „Hey, wie mache ich es einfacher, ein böser Kerl zu sein?“
Ich sehe es so an, wenn Sie nicht als Verteidiger benutzen, wie haben Sie überhaupt eine Chance gegen eine Straftat, einen Täter, einen Angreifer, der die Fähigkeit nutzt? Richard, ich habe das Gefühl, dass du eine gute Kriegsanalog hast. Es ist wie ein F15-Kampfjet gegen ein Warzenschwein oder so, wie du es nicht kannst, die beiden können keinen Hundekampf haben. Das endet nicht gut mit dem Warzenschwein, weißt du, was ich meine?
Also, gibt es noch andere Ideen dazu? Weil ich denke, ich meine, wir könnten den ganzen Tag mit KI verbringen, aber letztendlich. Ich sehe es so, als ob Verteidiger es heute nicht nutzen, wenn Unternehmen nicht versuchen, Effizienzsteigerungen zu erzielen, Qualifikationslücken zu überbrücken oder gar alltägliche Workloads zu bewältigen, werden Sie nicht effektiv sein, sich gegen Angreifer zu verteidigen, die diese Fähigkeit ohne Einschränkungen nutzen und keine Angst vor Datenverlusten haben.
Als ob sie sich um nichts von dem kümmern. Manchmal schätze ich, ein guter Kerl zu sein. Weißt du, es hat seine Nachteile, oder? Du bist schon auf diese Weise gekrümmt. Hey, wir sagen immer, wir müssen immer Recht haben, aber der Angreifer muss nur einmal Recht haben.
Tom Gorup: Es ist wahr. Und sie haben keine Grenzen. Richtig.
Andrew Johnson: Und sie sind am Ende. Ich kann diese WurmGPTs und andere Dinge nicht glauben. Diese waren 2021 da, ich glaube, Sie könnten damit beginnen, diese Dienstleistungen zu kaufen. Ich meine, du weißt schon, viele andere Leute. Nun, ich rede einfach über mich selbst. Ich habe die generative KI erst im letzten Jahr genutzt, als sie irgendwie in die Luft gesprengt ist. Aber ja, die Gegner sind Early Adopters.
Tom Gorup: Und es eröffnet auch Chancen, da wir sehen, wie sich die Wirtschaft verändert. Die Leute suchen nach neuen Wegen, um Geld zu verdienen. Weißt du, wie viele Spam-Anrufe, wie viele Betrug, SMS siehst du?
Und sie werden ein bisschen besser. Und GPT soll wahrscheinlich denken, dass alles Gute, das für das Gute geschaffen wurde, auch für das Böse verwendet werden kann.
Werden wir weiterhin eine Zunahme von Ransomware, DDoS und Zero-Day-Angriffen beobachten?
Tom Gorup: Die nächste Prognose ist also ein Anstieg der Angriffe, und es ist eine Art breiter Pinsel und Angriffe, aber wir konzentrieren uns auf, sagen wir, drei: Ransomware-Angriffe, Distributed Denial Service-Angriffe und Zero-Day-Angriffe.
Wir sehen uns 2023 an, vor allem im letzten Quartal, das Gesundheitswesen wurde gerade immer wieder mit Ransomware-Angriffen heimgesucht. Wir haben mehrere Nulltage gesehen, aber die eigentliche Frage ist, wird es weiter wachsen? Wie sieht dieses Wachstum aus? Wird es von den Medien gepumpt? Es ist nicht unbedingt ein so großes Problem, wie es aussieht. Ich meine, das ist die Art provokativer Frage.
Richard Yew: Ich habe eine kontroverse Meinung dazu. Weißt du, wenn wir uns diese Angriffe ansehen, bin ich wohl nur pedantisch, oder? Ich habe das Gefühl, dass es das gibt, was die Medien berichteten, nicht, und es gibt das, was wir tatsächlich sehen, sogar damit, zum Beispiel, dass wir über den Anstieg von DDoS-Angriffen sprechen, oder?
Es gibt Nuancen dahinter, wissen Sie, DDoS-Angriffe passieren immer, aber was für eine Art, richtig? Weißt du, wir gehen von 2016. 2015 der große Internetausfall, weil ein DNS-Anbieter getroffen wurde. Ich meine, das war Mirai Botnet. Das war hauptsächlich Layer 3, Layer 4, weißt du, Millionen Pakete pro Sekunde Angriff, offensichtlich ist die Bandbreite riesig, oder?
Es ist Bandbreite, hohe Bandbreite Volumen. Aber heute sehen wir, wie ich glaube, dass wir Anfang letzten Jahres, glaube ich, nicht glauben können, dass wir schon 2024 sind. Wir reden von 2022 richtig. Und wir sprechen über den Aufstieg des anonymen Sudan, QNet, die Zunahme von Anwendungsangriffen.
Wir reden über die Anwendungen Layer7, HTTP Flood, oder? Von einer Rekordzahl von 20 und mehr Anfragen, Millionen Anfragen pro Sekunde zu „gefällt mir jetzt“, was sehen wir uns wie 300 Millionen Anfragen pro Sekunde von Google an? Und das ist mit verschiedenen Exploits. Ich denke also auch, dass dieser Angriff zyklisch ist.
Es ist, als würden sie nie verschwinden. Weißt du, irgendwann war Ransomware bei DDoS-Angriffen sehr hoch, weil die Preise für Bitcoin offensichtlich hoch waren. Weißt du, in diesem Fall ist es eher wegen geopolitischer Instabilität. Weißt du, in den letzten Jahren, und wir sehen eine Zunahme von staatlich gesponserten DDoS-Angriffen oder sogar Hacktivische DDoS-AngriffeWeißt du, also denke ich, es ist eher so, dass wir jedes Jahr sehen, welche Angriffe in Mode sind, aber nächstes Jahr könnte es etwas anderes in Mode sein. Und dann, im Jahr später, gehen wir zurück zu 2022 und etwas anderes in 2022 ist wieder in Mode.
Andrew Johnson: Ja. Ich weiß nicht, ob es ist, besonders mit der Steuer auf das Gesundheitswesen. Ich meine, ich denke, es ist zum Teil ein Hype, aber leider denke ich, es ist einfach. Das ist heute trauriger und schlimmer als bisher. Und ich denke, wo Hacker in der Vergangenheit vielleicht, wissen Sie, zumindest wurde es berichtet, sie haben eine gewisse Ethik, Sie wissen, wie die jetzt aus dem Fenster scheinen, wenn sie plastische Chirurgen-Kliniken angreifen und damit drohen, Fotos von Patienten freizugeben, es sei denn, Lösegeld wird bezahlt oder was ist es, wie von Patienten zu besetzen.
Wissen Sie, ich glaube, vor kurzem gab es einen Kompromiss in einem Gesundheitssystem, und sie hatten, das Krankenhausnetzwerk im Grunde, sie mussten tatsächlich Patienten schicken, ihre Patientenführung ändern, was ziemlich, ziemlich durcheinander ist, wirklich.
Du willst dir also nicht die Angreifer zeigen, oder?
Sie müssen sich nicht an Regeln halten, und sie gehen ständig an Grenzen. Also, normalerweise sehen wir uns drei Dinge an, oder? Du greifst Leute mit Geld an, weißt du, du greifst das Geld an, wie Finanzinstitute. Jetzt haben sie die Grenze seit Jahren erweitert, gehen zur Bildung, greifen Schulen an, oder?
Es gibt Berichte, dass Universitäten vor ein paar Jahren geschlossen wurden. Wir können Ihnen Details zur Verfügung stellen. Sie wissen, dass Sie ein Zitat dafür haben. Aber Schulen wurden geschlossen, weil das gesamte System buchstäblich gerade geschlossen wurde. Richtig? Und nun, wissen Sie, und wir beobachten, wie die Grenze verschoben wird, wie tatsächlich gegen Ende 2025 oder früh, eigentlich, tut mir leid, Ende 2022 und Anfang 2023.
Ja. Ich denke schon ein Jahr voraus. Und wir reden davon, dass Krankenhäuser angegriffen werden und es begann wieder in Kriegsgebieten, richtig. Aber es hat Vorrang und jetzt werden Krankenhäuser routinemäßig gehackt. Manchmal geht es um Leben und Tod, weißt du, wie Tom, du hast in deinem Blog erwähnt, weißt du, es ist, als ob wir über ihre Situationen sprechen, in denen der Krankenwagen wegen Problemen in eine andere weiter entfernte Notaufnahme umgeleitet werden muss.
Andrew Johnson: Es ist, ja, ich meine, ich glaube einfach nicht, dass man etwas Besseres erwarten kann, besonders wenn Leute zu diesen Angriffen gezwungen werden. Nicht nur, weißt du, irgendein Teenager in irgendeinem beliebigen Land, der das macht, sondern, weißt du, wahrscheinlich staatlich gesponsert, dass sie wirklich dieses Geld brauchen, um ihre Operationen fortzusetzen.
Richard Yew: Es ist also so, als würde man sich vorstellen, wie der, dann ist die Frage, wann es darum geht, wie sich auftauchende Angriffe, oder? Wie es ist, welche anderen Grenzen werden dieses Jahr verschoben?
Tom Gorup: Das ist eine gute Frage. Weil ich dem zustimme. Ich meine, das 4. Quartal zu erreichen und zu sehen, wie Krankenwagen umgeleitet werden, Notdienste in weitere Krankenhäuser umgeleitet werden. Als ob das Leben aufs Spiel setzt. Es gibt keine Beschränkung, in welche Richtung sie als Nächstes gehen können. Ich habe vor einigen Jahren oft mit dem FBI gearbeitet.
Und einer, besonders, fiel mir immer auf, war ein Sex-Erpressungsfall, in dem dieser Kerl… nun, vier Jahre lang, dieses Mädchen und sie waren 18, als sie endlich sagte, ich sei fertig. Seit sie 14 Jahre alt war, zeigt es nur, dass viele Menschen auf diese Weise fallen und kaputt sind, und sie werden keine Grenzen zeigen.
Ich habe vor kurzem gesehen, dass es ein weiteres virtuelles Lösegeld gab. Ich weiß nicht, ob du das noch gesehen hast, wo sie einer Person, typischerweise einem Teenager, eine SMS schreiben und sie überzeugt haben, wahrscheinlich durch eine ruchlose Art, sich irgendwo zu verstecken, wie in einem Wald oder sich zu verstecken, und dann ihren Eltern schreiben, dass sie entführt wurden und dass sie Geld irgendwo schicken müssen.
Also, ich meine, das ist, es ist einfach wild, die Richtung, die manche Leute gehen werden. Das ist also eine interessante Frage, wo sind die Fadenkreuze dieser Angreifer hin? Vielleicht, weißt du, ist es oft, dem Geld zu folgen. Richtig? Wo ist also das Geld?
Andrew Johnson: Absolut. Ja. Das ist verrückt.
Und da sind noch die anderen Angriffe, die Sie erwähnt haben, der Aufstieg von Null-Tagen. Ja. Das ist wirklich bemerkenswert. Weißt du, wenn wir uns eine Statistik ansehen, richtig. Weißt du, ich verfolge immer von Jahr zu Jahr, wie das CVE-Wachstum. Ich, wir haben noch keine Vorhersagen von 2024, aber wissen Sie, 2023. Mit mehr als 23.000 CVE, das sind mehr als 10 % Wachstum, und davor hatten wir mehr als 25 % Wachstum bei CVE, wissen Sie, es spricht irgendwie auf die exponentiellen Probleme, mit denen man umgehen kann, wie das CVE exponentiell wächst. Ich Frage mich, ob irgendeine der Sicherheitsorganisationen hier, die tatsächlich ein zweistelliges Wachstum in Bezug auf Personal und Budget im Sicherheitsbereich haben, sicher ist, dass jeder ungefähr 10 % mehr Budgets und Headcount haben kann, wie jedes Quartal. Aber das haben wir beobachtet.
Und. Es ist interessant. Weißt du, das Armrennen und es geht zurück zu dem ersten Thema, oder? AI, es ist wichtig, aber auch wegen des Anstiegs von Null Tagen, sind es nicht nur CVEs, sondern auch kritische Null Tage, die wir uns immer vorgestellt haben, wie Logs4j, Springs4Shell, Confluence, weißt du, all diese Dinge waren früher wie, okay. Wir sehen ein paar wichtige, hochkritische, Schweregrad-Score 9 und höher, etwa einmal, zweimal im Jahr. Jetzt ist es mehrmals pro Quartal.
Tom Gorup: Nun ja. Und eine große Herausforderung ist, glaube ich, dass viele Unternehmen auf diese Null-Tage stoßen, richtig? Das Vorhandensein von Null Tagen. Sie waren schon immer da. Wenn wir uns einige der historischen ansehen, wie. BashBug. Ich glaube, es war 20 Jahre, bevor es entdeckt wurde. Manchmal betrachte ich die Zunahme von CVE. Ich denke, okay, wir machen eine bessere Arbeit, wenn wir über Schwachstellen berichten. Ich bin sicher, es gibt so viele, wenn nicht mehr Schwachstellen, die einfach noch kein Etikett haben, oder? Sie müssen noch entdeckt werden. Natürlich ist das das Zero-Day-Gespräch, aber der Anstieg von CVEs im Laufe der Zeit zeigt, dass wir eine bessere Arbeit bei der Berichterstattung über diese leisten, aber wir leisten keine sehr gute Arbeit, wie wir effektiv auf den Notfall-Patch-Management-Prozess reagieren?
Kannst du wirklich so schnell einen Patch ausrollen? Oder benötigen Sie eine gewisse Unterstützung? Darüber hinaus mag ich virtuelles Patching. Ich betrachte das immer als eine niedrig hängende Gelegenheit, dieses Loch zu stopfen, während wir das Wurzelproblem beheben, anstatt zu versuchen, das ganze zu reparieren, was teuer sein kann.
Es ist riskant, oder? Ich meine, Log4j, wie viele Patches wurden bereits eingeführt, bevor es tatsächlich funktionierte? Ich glaube, es waren drei. Ich glaube, der dritte hat in zwei Wochen ein Loch geschlossen, glaube ich Mitte Dezember.
Tom Gorup: Ja, das ist elend.
Andrew Johnson: Eine Menge Störungen.
Tom Gorup: Ja, das ist elend. Aber in der Zeit von Null Tagen, denke ich, dass Sie KI erwähnt haben, denke ich, dass wir einen großen Teil davon spielen werden.
Ich glaube, das haben wir noch nicht gesehen. Ich meine, wir sehen, wie KI für die Verteidigung benutzt wird, wie das, bevor du Code eincheckst. Sie können Dinge wie Copilot tun und sicherstellen, dass keine Schwachstellen beim Check-in vorhanden sind. Es gibt noch andere Tools wie SAST- und DAST-Tools, die bereits mit KI beginnen.
Ich erwarte, dass Angreifer KI nutzen, um Schwachstellen zu erkennen. Besonders bei Open-Source-Projekten. Ich meine, das ist einfach.
Aber ich meine, wenn man sich den Workflow anschaut, richtig? Aus Sicht des Verteidigers sind wir, wenn Sie Ihren Black-Box-Test oder White-Box-Test durchführen, heutzutage ziemlich schnell mit dynamischen Aufgaben zur Anwendungssicherheit.
Es sucht wirklich nach Schwachstellen und fordert Sie auf, sie zu patchen. Und wenn der Angreifer Zugang zu Ihrem Repo bekommt, kann er das auch tun. Ich meine, sie müssen dir nicht mal Zugang zu deinem Repo verschaffen. Wenn sie diesen Test durchführen, treffen sie einfach Ihre laufende Software und die größte Schwachstelle.
Nun, ratet mal was? Was wir als Scan aus blauer Teamperspektive sehen, ist eine Aufklärung aus Angreiferperspektive. Wenn wir uns nur das Angriffsgerüst VON MITRE anschauen, wissen Sie, als ob dies im Wesentlichen eine Aufklärung ist, die es uns ermöglicht, den Angriff zu starten. Sie denken also immer an alle Tools und Prozesse, die Sie verwenden.
Denken Sie darüber nach, wie der Angreifer es gegen Sie einsetzen könnte. Es ist sehr wichtig zu erkennen, dass wir immer sagen, dass es gut ist, wieder einen schwarzen Hut anzuziehen und wie ein Angreifer zu denken. Ich denke, dass das bei der Implementierung sicherer Workflows sehr hilfreich sein wird, insbesondere im Bereich Sicherheit, ICD, wissen Sie, DevSecOps, wissen Sie, heutzutage Workflow.
Neue Sicherheitskultur
Tom Gorup: Das war es, das ist großartig. Und wir sind über die Zeit gekommen. Unser letztes Thema hier war also mehr über Kultur. Also würde ich mich freuen, wenn jeder von euch euch ein paar Sekunden, eine Minute, wissen würde, was auch immer ihr wollt, um eure Sichtweise darauf zu geben, was wahrscheinlich geändert werden muss. Also weniger eine Vorhersage, sondern wenn man sich die heutigen Unternehmen ansieht, mit welchen Problemen sie konfrontiert sind. Alles, worüber wir gesprochen haben, von den Ressourcenbeschränkungen bis hin zu effektiveren Zero-Day-Schwachstellen, die entdeckt werden. Was sind also Unternehmen… was müssen sie sich ansehen? Was tun CISOs… wie müssen sie ihre Einstellung bis ins Jahr 2024 und darüber hinaus ändern? Was muss sich ändern, damit wir diese Feuerübungen nicht mehr wöchentlich durchführen?
Andrew Johnson: Nun, eine Sache, über die ich kürzlich gelesen habe, ist ein Gartner-Statistik, von dem ich glaube, dass es besagt, dass 25 % der Cybersicherheitsexperten innerhalb von zwei Jahren völlig andere Rollen übernehmen werden. 50 % werden den Arbeitsplatz wechseln. Hauptsächlich auf Stress in ihrer Arbeit zurückzuführen.
Und wir wissen, dass der CISO eine sehr schwierige Aufgabe ist, aber viele Sicherheitsjobs sind es auch. Also meine ich. Ich denke, dass es mehr Planung geben muss, was die Rotation von Leuten angeht, vielleicht Entwickler in Sicherheit zu bringen, die nicht über den Sicherheitsgrund verfügen, ist eher eine gemeinsame Verantwortung.
Viele Unternehmen und Sicherheitsleute verwalten tonnenweise Lösungen, oder? Also, wenn es einen Notfall gibt, gehen Sie vielleicht jedes Mal zu einer Person, wenn sie ausbrennt. Es geht also mehr um Prozesse und um eine Kultur, in der jeder Teil der Sicherheit ist. Ich denke, könnte helfen.
(Richard Yew) Ich liebe das. Ich denke, nun, wenn wir es aus der Perspektive eines Sicherheitsführers betrachten, richtig? Weißt du, du musst dich aufhalten, du musst dich seitlich mit deinen Gleichaltrigen beschäftigen. Also siehst du, und dann musst du dich so gut wie niederschlagen. Richtig? Aber ich denke, es ist sehr wichtig, Kulturen aufzubauen.
Wenn wir es aus einer lateralen und oberen Perspektive betrachten, richtig? Die Erwartungshaltung ist sehr wichtig. Wir hören immer Witze, dass, weißt du, immer wenn ein Verstoß passiert, CISOs gefeuert werden. Aus diesem Grund hat CISO eine solche Trendwende in der Industrie. Ich bin sicher, dass es nicht mehr so passiert, oder?
Aber es entspricht wirklich den Erwartungen. Wir müssen die Erwartungen als Produktmanager festlegen. Die Erwartungen eines Stakeholder zu setzen, ist einer der wichtigsten Teile meiner Arbeit, oder? Aber Erwartungen mit dem Vorstand zu setzen, mit Ihren Kollegen, die es gibt, und ich weiß, ich weiß, es ist eine Überraschung, oder? Es gibt keine 100%ige Sicherheit. Weißt du, ich habe das mal von diesem Kerl namens Dr. Eric Cole gehört, es ist ein Podcast, oder? Er sagt, wie, weißt du, wie du dein Handy zu 100% sicher machen kannst? Er hat es in eine Feuerstelle geworfen, oder? Denn 100 % Sicherheit bedeutet 0 % Funktionalität.
Als Sicherheitsperson können Sie nicht dogmatisch sein. Sicherheit, Ihre erste Aufgabe ist es, das Geschäft voranzutreiben. Sicherheit ist wie eine starke Bremse in einem Supersportwagen, oder? Es ermöglicht einem Unternehmen, hart zu bremsen. Warum musst du, was brauchst du, um hart zu bremsen? Weil du schnell gehen willst. Das ist der ganze Punkt. Denken Sie also darüber nach, wie sich der Haken auf das Geschäft auswirkt.
Wie es ist, weil es so ist, weil, wenn Sie, wenn Sie 100% Sicherheit sein wollen, wollen Sie 100% Garantie haben, dass Sie alles auf der, beim Angriff blockieren. Nun, du gehst einfach auf die schwarze Liste Null, Null, Null, Null Slash Null. Und du bist gut. Nenn es einfach einen Tag. Sie sind 100 % KPI erreicht, aber das ist nicht der Punkt, oder?
Man muss das Geschäft beschleunigen, man muss es in eine Kultur integrieren. Und wenn man so aussieht, als würde man aus der Perspektive gehen, oder? Auch hier beginnt die Sicherheit von Anfang an. Die Sicherheit beginnt mit einer anderen Analogie, die ich schon mal verwendet habe. Wenn du mich in einem anderen Podcast gehört hast, ist, dass Sicherheit wie Kuchen machen ist.
Das ist kein Sahnehäubchen auf dem Kuchen. Das ist kein Nachdenken. Sie müssen vom ersten Schritt der Planung einer Software ausgehen, besonders wenn Sie ein SaaS-Shop sind, wenn Sie wie ein Web-basierter sind, wissen Sie, Sie machen den Großteil Ihres Geschäfts online, oder? Du musst an Sicherheit denken, wie das Mehl im Kuchen.
Wie schon von Tag eins, wenn man den Kuchen macht, und wenn man wirklich gut arbeitet, sollte man das Mehl nicht bemerken, wenn man einen Kuchen bekommt. Wer hat das Mehl bemerkt, wenn man den Kuchen isst. Richtig? Und so sollte Sicherheit sein. Es sollte also keine dogmatische Top-down-Art von Compliance sein, wissen Sie, wie anfangs gesteuert, muss sie initiiert werden, wissen Sie, und verwurzelt sein, vielleicht durch engere Zusammenarbeit, eingebettete Sicherheitsteams oder Entwicklungsteams, stellen Sie sicher, dass die Sicherheit vom ersten Tag an richtig ausgeführt wird, denn was Sie verhindern können, ist Dinge, die Ihr Betriebsteam kennt, sie müssen nicht so viel Zeit aufwenden.
Tom Gorup: Ja, da ist Effizienzgewinne. Und ich liebe das kleine Zitat dort. 100 % sicher ist 0 % Funktionalität. Das ist eine gute Statistik. Und ich stimme voll und ganz zu. Kultur ist wichtig. Wie bauen Sie dies in die Grundlage Ihres Unternehmens ein? Das wird also Teil des Gesprächs und nicht ein „Oh, wir müssen das Sicherheitsteam einbeziehen“.
Wir sollten das Gespräch von Tag Null an führen, aber du musst es interessant machen. Das Einzige, was ich habe, ich habe, wenn man sich dieses Compliance-Training ansieht, ist langweilig. Das ist nicht relevant. Es ist nicht rechtzeitig. Wir müssen das ändern, um die Sicherheit interessant zu machen. Ich erinnere mich, wie vor 10 Jahren versucht wurde, mit Leuten über Sicherheit zu reden, und ihre Augen werden glasig.
Plötzlich fing es an, Schlagzeilen zu machen, und alle interessierten sich dafür. Und ich denke, du kannst gleich wieder in die andere Richtung gehen. Wenn wir wieder anfangen, Menschen mit monotonen Trainings zu langweilen und so weiter, dann machen wir es rechtzeitig, machen es relevant. Und noch einmal, lassen Sie uns das im Kern aufbauen, der Grundlage unseres Unternehmens, wo Sicherheit ist. Kein Nachdenken. Es ist Teil des Kuchens, aber ich bin auch kein Bäcker.
Also müssen alle anfangen, ihren schwarzen Hut anzuziehen. Weißt du, wenn du auf einer Website surfst, siehst, was schief gehen könnte, zieh deinen schwarzen Hut auf. Hey, gibt es ein Formular für dich? Ist das etwas, das ich in das Formular gesteckt habe? Wo ist der API-Endpunkt?
Hey, was ist passiert, wenn ich das Spam? Du weißt schon, wie anfangen zu denken, eine Hacker-Einstellung zu setzen, deinen schwarzen Hut zu tragen und das als Unternehmenskultur in deinem Unternehmen zu tun.
Tom Gorup: Ja, ich liebe es. Ich liebe es. Wir sind also weit vorbei. Aber ich würde sagen, das war großartig. Erste Folge von ThreatTank. Ich weiß es zu schätzen, dass ihr beide dabei seid.
Mit den neuesten Erkenntnissen unserer Sicherheitsexperten sind Sie Cyberbedrohungen immer einen Schritt voraus.
Jetzt abonnieren, um Folgendes zu erhalten:
- Die neuen ThreatTank-Episoden sind jetzt erhältlich!
- Top-Trend-Angriffe nach Branche
- Umsetzbare Erkenntnisse und Reaktionsstrategien
- Und vieles mehr!
