ThreatTank -エピソード1-2024サイバーセキュリティの予測

Edgioの新しいポッドキャストシリーズの紹介: ThreatTank

Tom Gorup:最新の脅威インテリジェンス、脅威対応、世界中の脅威状況に関する洞察をカバーするポッドキャスト、ThreatTankへようこそ。 あなたのホストのトム・ゴラップエドジオのセキュリティサービス担当副社長

そして今日私に加わっているのはEdgioセキュリティソリューションのプロダクト管理のシニアディレクターRichard YewとEdgioセキュリティソリューションのシニアプロダクトマーケティングマネージャAndrew Johnsonである。 ようこそリチャードとアンドリュー

Richard Yew:ねえ、ここに呼んでくれてありがとう。

Andrew Johnson :ありがとうTom。

（トム・ゴラップ）ワクワクするね 最初の脅威タンクポッドキャスト 2人のヘビーヒッターがいてアイスブレーカーを開けないといけない気がする

よく面接の人に聞いてた 緊張しているように見えるけどこれは良いイントロだと思う 二人に聞いてみよう分かったら答えろ もしあなたが木だったら、あなたの好きな動物は何だろうか。 もしあなたが木だったら、あなたの好きな動物は何だろうか。

（リチャード・ユー）木について語るとき知ってるよね？ エイコーンのことを考え始めるとすぐに思い出すのはスペインに豚がいること イベリコ・ブタと呼ばれてる 黒だ 最高のベーコンやハムを生産している世界で一番高価なんだ 1オンスあたり数百ドル

だから、この場合私は私のための選択を推測する。 私が落としたものを利用するから

トム・ゴラップ：興味深いね ええ いや、それは良い。 それは良かった まず「これでどこに行くんだ?」

リチャード・ユー(Richard Yew)私のドングリを持って行って

（トム・ゴラップ）そうそうそう いや、豚はそれを使い果たしている。 そして、ポンドあたり数千ドルで販売することは言うまでもない。 和牛豚みたいだな。

Andrew Johnson :それはかなりよい。 見てみよう だから私は安全保障の観点から考えていましたもし私自身が木だったら菌類は欲しくないかもしれない 私は…キツツキがほしいと思わないか、または私に穴を開けることを行っている何かがほしいと思わない。

リチャード・ユー:おい、おい、おい、ここで止めよう。 ねえ真菌は動物ではない、最後にチェックした。 それは何？ ああ、そうかもしれない。 『Last of Us』を観た後、真菌は動物になる。

アンドリュー・ジョンソン：それは私が望んでいないことだ。 鳥か何かを言わなければならない着地した後に去っていく

（トム・ゴラップ）また使って それは良かった その質問に答えてもらった答えの一つはサメだ なぜ「サメは私を困らせない」と聞くと オーケー。 性格について少し話してくれるけど、二人とも、他の動物に役立つ動物を選んだのが好きなんだ。

なかなかカッコイイね ええ たくさん話す。 今日は動物や木の話をしているのではなく

AIはサイバーセキュリティスキルのギャップを埋めるのか?

（トム・ゴラップ） 2024年までの3つのサイバーセキュリティの予測を掘り下げていく Edgioのブログには、3つの予測について再び話しているブログ記事がある。 1つは、サイバーセキュリティスキルのギャップを埋めるAI、次にセキュリティ文化、攻撃の増加。 この順番ではやらないが、これらが3つの予測である。 そこでAIに飛び込んで AIが構築しているという予測は2024年のサイバーセキュリティスキルのギャップを埋めるものだと繰り返し述べる たくさん見るわ

それを考えてみると、わかった。 AIの世界を見てみてみんなが知っているのを見ると先日ツイートを見たと思う AIは皆に星を見てもらう。 誰もが興奮していて、これらすべての異なるユースケース。 新しい携帯電話や擬似電話のウサギウサギウサギRとかそういう意味の何かが出てくるとか しかし、AIがそのギャップを効果的に埋める場所だと本当に思っているのだろうか? 2024年にそれが実現するのか、それともAIがそのギャップを埋めるために意味のある影響を与えるまでに、AIの背後にさらに5年間の研究開発が行われるのか。

Richard Yew:確かに攻撃者のギャップを埋めた

（トム・ゴーラップ）そうだいい点だね

リチャード・ユー： うん、私は意味する、今日私はちょうど私の日の仕事のことを考えている、ねえ、私は私が望むスクリプトを実行したい、ちょっと私にループを実行するスクリプトを書いて、私が要求をするのを助けてくれる特定のURLへの要求または投稿要求を百回繰り返し行う。

つまり、明らかにAIにDDoS攻撃を起こすようには言わないが、機能的には同じことを達成するだろう? ただ利用規約の周りをスカート。 私はそれが赤いチームを作ることになると思う…それはあなたがそれを知ることになるだろう;素人なら誰でもそれをすることができる。 誰もが決められるように、私は黒い帽子をかぶって、それをいじっていく。

もちろんブルーチームやディフェンダーにも多くのメリットがある

Andrew Johnson:明らかにそれは問題を助けることになると思う。 2024年に閉店するのか? もちろんだ 知らないけど もちろんそうは思わない しかし、それはすでにセキュリティソフトに実装され始めている。

それにも課題があるんだ。人々が誤検出を心配する代わりに、AIに支えられたソフトウェアがチームに与える誤った推奨事項を心配しなければならない。 だから、経験のレベルは、まだ非常に重要だと思う。

Tom Gorup: ISC2のような統計を見ると面白い。 約400万人の労働力のギャップがあり、400万人の労働力のギャップがあると述べている。 それはでかい。 それはでかい。 大学ではセキュリティの専門家が不足していてそのギャップを埋めるのは言うまでもなく年々の成長 AIが2024年にそのギャップを埋めるのは一方でリチャード私が見た価値と同じようにスクリプトを素早く書けるか？

先日、iGPT4にHTMLページを書いてもらったところ、それは素晴らしい仕事をした。 それから私はそれを微調整して次に動くように頼み始めた。 私はウェブページを全部持ってる 約30分で構築された。 文字通りゼロのコードを書いてそれを達成しただけでなく、様々なデータセットを与えることもできた。

AIがこのギャップを埋めることで人々が抱える最大の懸念の一つはプライバシーだと思うサムスンのエンジニアがAIに回路図を入れたんですが課題はまだ誰もそれを抽出していないこと 起きていないとは言わないがコインには表裏がある

Richard Yew:攻撃者の観点とディフェンダーの観点の両方でAIを使い始めるのはとても重要だと思う。 ワークフローを強化する AIを守ることも大事だが、話を戻したい。 ギャップを埋めることについて話すために。

私はこう言います「ギャップは閉じられるのか？」 いや、私が言うように、誰かが100%安全になることはできないだろうか? いやそんなものはないと主張する AIは、多層防御の概念に追加のレイヤーを追加して、本当に役立つ。 ディフェンダーの観点からは、レイヤーのもう2つのセットが本当に役立つだろう？ 侵入と攻撃が発生する可能性をできるだけ小さくする。 安全保障上の問題はたくさん起こると思うし人間は一番弱いと言うのはいつも平凡なことを何度も何度も繰り返していると私たちは満足し事故が起こるなど これがAIの登場である。

車やロケットを作って自分を貸す有名人の言葉を聞くかもしれないがそれは真実でありセキュリティにおいても真実であり繰り返しやログの分析をする時など人々は注意を怠って理解できる 俺たちは人間だろ? そこで、このギャップを埋めるのにAIはとても役立つと思う。 でもAIが望む仕事をしていれば工場のロボットが突然労働者をつかんで車の上に投げつけて粉砕しないように そうだろう?

（トム・ゴラップ）まだだ それは興味深い 分析者のワークフローを考えると、アラートが入ってきて、そのアラートを取り巻く多くの質問がある。 そうだな これは正常なのか? 普通なの? この種のシステムへの攻撃のために何を探すべきか?

おい、WindowsマシンかApacheサーバか。 この攻撃が成功したかどうかを判断するために私が探すべき特定のものがあるか? 私たちが持つチャンスは、潜在的には、参入障壁を下げることだと思う。 ギャップを埋めるという話は必ずしもAIがそのギャップを埋めるという意味ではなくAIがそのような役割を担う人材を増やすことを可能にしてくれるかもしれないし私が期待している未来は特定の製品や技術に関する技術的な専門知識ではなく好奇心やコミュニケーションスキルを求める人材を採用することだ つまり、データだけでなくAIからも、探している答えを得るために、正しい質問を正しい方法で尋ねることができる人。

Andrew Johnson:最後に触れた部分は、セキュリティの専門家のギャップを埋めることに近づくことができるという点で、考え方が違う点で本当に良いと思う。 創造性で雇うとか他の技術的スキルを持った人を助けたりビジネスインテリジェンスのアナリストや人はデータを扱うのにとても慣れている

しかし、あなたがさっき言ったことのいくつかは、もし事件があってAIが推奨できるなら、少なくともいくつかの分野を見てみよう。 自分の人生を思い浮かべているように、仕事の多くは80/20のルールのようなものだ。 だからもし私がこれらの考察を全て追いかける必要がなくても、あるいは私にとって最も簡単な考察があるなら、それは時間を大幅に節約する。 だから、私たちは将来、多くの解決策やシステムでそれを目にするだろうと思う。

Richard Yew:ええ、知っているかな、私はセキュリティにおける400万人の仕事のギャップをダブルクリックしたい、これは非常に重要なポイントである。 平均収入を見て推定すると2000億ドルに達したとさ証券会社の報告書によれば面白いだろう？

2000億というのはサイバーセキュリティ市場の大きさだけで2,130億ということになりセキュリティプロバイダーやサービスプロバイダーや組織といった企業がこのギャップを埋めようとしていることは理解できる

そして今のAIを安価に実行してある機能を実現することで大きな節約になる可能性があることを想像してみて

トム・ゴラップ:私は100%だ 私はまた、あなたがあまりにも言及していた機会を見る、アンドリュー、私はあなたもそれをやったと思う。 リチャードはAI自体の中であなたのコントロールを実際に適用することができる。

つまり、ブルートフォース攻撃やランサムウェア攻撃の標準的なプロセスが内部にある場合、AIを訓練できる。 皆がその特定の質問に答えるだろう。 組織全体で一貫した対応が可能 CISOが抱える最大の課題の一つはガイドラインやドキュメントを書いて誰も読まないこと

年末にコンプライアンスを通過すると誰もがそれを読まざるを得なくなるでも実際に座って読む人はいるのか？ 想像してみてくださいAIがあればその質問に答えることができ だから、あなたはまだドキュメントを持っているが、AIはそのドキュメントでトレーニングされている。

そして、状況が発生したとき、セキュリティアナリストであろうとCFOであろうと、人はAIに質問することができる。 ねえ、この事件の次のステップは何? 次に何をすべきか？ そしてAIはそのようにしてあなたのシェルパになることができる。

Richard Yew:面白かったよ。 「うん、ごめん」とか。 これが私の最後のジョークだ先に進む前に

しかし、あなたが知っている、私は保証するHTMLをハックし、からボタンをブロックするコンポーネントを削除しないようにあなたのコンプライアンス・トレーナーの次、次、次をクリックすることができる。

（トム・ゴラップ）その通り まあコンプライアンス訓練だ それは全く別の… 文化については後で話す 最後に逃したのは 先ほどお話ししたように、AIを利用したGPTの攻撃について。 ウルフGPT、ワームGPT、詐欺GPT、これらすべての種類のLLMが「ねえ、どうすれば悪者になりやすくなるのか?」に焦点を当てている。

私が見ているのはディフェンダーとして使わないならどうやって攻撃者や攻撃者に対抗できるか リチャード、戦争に例えられるような気がする F15戦闘機とワーソグみたいなもんだお前には無理だあの2人は犬との戦いは無理だ ウォーソグとはうまくいかないだろう

他に何かアイデアは? なぜなら一日中AIの研究に費やすことができるからです最終的には 防御側が今日それを使用していないかのように見える。企業が効率性を高めたり、スキルのギャップを埋めたり、日常的なワークロードを引き受けたりする方法を見つけようとしなければ、データ侵害の恐れなしにこの機能を最大限に活用している攻撃者に対する防御に効果的ではないだろう。

彼らは何も気にしていないように たまにはいい奴だと思う デメリットがあるんだろ? 君はもうそのように松葉杖をついている。 ねえ、私たちはいつも言う、私たちは取得しなければなりません、私たちは常に正しいでなければなりませんが、攻撃者はちょうど1回正しい必要がある。

トム・ゴラップ：本当だよ 限界もない そうだな

アンドリュー・ジョンソン:彼らは血の海に沈んでいる ワームGPTとか信じられない これらは2021年に発売されたので、これらのサービスを購入し始めることができると思う。 他にもたくさんの人がいる 自分の事だけ話すわ 生成型AIは昨年爆発的に普及するまで使われていなかった だが敵は早期採用者だ

（トム・ゴラップ）経済の変化を見て機会を開くこともできる 人々はお金をもうける新しい方法を捜している。 スパムコール数詐欺メール数メール数は?

少しずつ良くなってきている そしてGPTはおそらく、善のために作られたものはすべて悪のためにも使われると考えるためである。

ランサムウェア、DDoS、ゼロデイ攻撃の増加は今後も続くのか？

Tom Gorup:次の予測は攻撃の増加であり、一種の広範な攻撃ではあるが、3つに焦点を当てよう。ランサムウェア攻撃、分散型拒否サービス攻撃、ゼロデイ攻撃。

2023年、特に前四半期を見ると、ヘルスケアはランサムウェア攻撃で何度も非難された。 ゼロ日が何度も見られたが、本当の問題は、それは成長し続けるのか? 成長とはどのようなものか？ マスコミにはポンピングされているのか? それは必ずしもそれがように見えるほど大きな問題ではない。 それは挑発的な質問だ

リチャード・ユー(Richard Yew)これについては議論の余地があるかもしれない。 私たちが見ている時たぶん私はただの小児性愛者だと思うあの攻撃を見ている時ね? メディアが報道したものではなく実際に目にするものがあるように感じますたとえそれがあってもDDoS攻撃の台頭について話しているよね？

その背後にはニュアンスがあり、DDoS攻撃は常に起きているが、どんな種類の攻撃だろうか。 2016年のことだ 2015 DNSプロバイダがヒットしたため、大きなインターネット停止。 あれはMiraiボットネットだった それは主にレイヤー3、レイヤー4、あなたが知っている、何百万パケット/秒攻撃、明らかに帯域幅が巨大であるだろうか?

広帯域で広帯域で でも最近では去年の初めや終わりに始まって2024年になるなんて信じられない 2022年の話だよな そして、匿名スーダン、QNET、アプリケーション攻撃の増加について話している。

アプリケーションLayer7、HTTPフラッドのことを話している。 記録的な20以上のリクエスト数毎秒百万のリクエスト数から今の「いいね」へと進むとGoogleからの毎秒3億のリクエスト数は何だろうか？ そしてそれは様々な悪用である。 だから、この攻撃は周期的だと思う。

彼らは決して消えない ある時点ではDDoS攻撃ランサムウェアは非常に高かったなぜなら明らかにビットコインの価格が急騰していたから 地政学的な不安定さが原因だ ここ数年国家が後援するDDoS攻撃や ハクティビストDDoS攻撃毎年どの攻撃が流行しているかを見ているようなものだと思うが来年は別の流行になるかもしれない そして翌年にはまた2022年のようにリセットして2022年にはまた別のものが流行している

アンドリュー・ジョンソン:そうだね。 特に医療税のようなものかどうかは分からない 誇大宣伝の一部だと思うが残念ながらただの話だと思う これは今までよりも悲しく、さらに悪いことだ。 過去のハッカー達は倫理観を持っていて整形外科医の診療所を攻撃し身代金が支払われない限り患者の写真を公開すると脅している

最近医療システムが危うくなって病院のネットワークは基本的に患者を送り込み経路を変えなければならなかった

Richard Yew:では攻撃者を見せたくないんだね?

規則に従わなくても常に境界線を押している 通常私たちが見るものは3つだ。 お金で人を攻撃している金融機関のようにお金を攻撃している 今、彼らは何年も境界を広げて、教育に行き、学校を攻撃している。

数年前に大学が閉鎖されたとの報告がある 私達は詳細を提供できる;あなたはそのための引用を知っている。 でも学校は閉鎖されたシステム全体が文字通り閉鎖されたから そうだろう? そして今、あなたが知っているように、そして我々は境界が押されているのを観察している、実際には2025年の終わりか早い、実際には、ごめん、2022年の終わりと2023年の初めに。

ええ もう1年先を考えてる 病院が攻撃されたと話しているのに紛争地帯で始まったんだ でも優先順位が高くて病院は日常的にハッキングされてる それは時々生死の問題でトムがブログで言ったように救急車を別の救急治療室に移動させなければならない状況の話をしているようなものだ

アンドリュー・ジョンソン： それは、ええ、私が意味する、あなたが何かを期待することができないと思う特に、これらの攻撃を行うことを強制されている人々がいる場合それは、あなたが知っている、ランダムな国の何人かのティーンエイジャーがこれらをやっているだけでなく、あなたが知っている、おそらく、

Richard Yew:想像が好きになるようなもので、問題は新たな攻撃のようなものだよね。 今年は他にどんな境界線が押し出されるのか？

Tom Gorup:いい質問だね。 同意するから Q4を打って救急車が迂回されて救急サービスがさらに病院に迂回されているのを見て 命を危険にさらしてる 彼らが次に行くことができる方向に制限はない。 実は何年も前によくfbiと仕事をしてた

特に私がいつも目立っていたのは性的強要事件だった男が利用していた4年間この少女と彼女は18歳でやっと私が終わったと言った 14歳だったから多くの人が倒れて壊れているのを示しているだけだ

最近別の仮想身代金があったのを見た これをまだ見たことがあるかどうかは分からない彼らが個人にメールを送っていた典型的な10代の若者にメッセージを送って彼らを説得して多分どこかに隠れるためにどこかに隠れるためにどこかに隠れるためにどこかに隠れるためにどこかに誘拐されたと両親にメールを送った

つまり、それはただのワイルドな方向性だ。 これは興味深い質問です攻撃者の十字線はどこに移動したのか？ たぶん金に追われることが多い そうだろう? 金はどこだ?

アンドリュー・ジョンソン：もちろん ええ 狂ってる

Richard Yew:他にもゼロデイ攻撃がある はい。 それは実際に注目に値する。 統計を見てみると CVEの成長のように、私はいつも前年比を追跡している。 2024年の予測はまだ無いが2023年だ 23,000以上のCVEで、10%以上の成長で、それ以前は25%以上のCVEの成長があった。それは、CVEが指数関数的に成長しているように、対処する指数関数的な問題を物語っている。 聴衆の中に、セキュリティの人員と予算で実際に2桁の成長を遂げているセキュリティ組織があるかどうか疑問に思う。誰もが、四半期ごとのように、予算と人員が10%増えるのを好むだろう。 でもそれを観察してきた

および。 面白い 最初の話題に結びつくような腕組みのレースに戻るんだ AI、それは重要ですが、ゼロ日の上昇のために、CVEだけでなく、クリティカルゼロ日も私たちが以前考えていたように、Logs4j、Springs4Shell、Confluence、これらはすべて、オーケーのようなものだった。 重大度が高い重大度が9以上で年に一度 今では四半期に複数回

(トム・ゴラップ)ええ 大きな課題は多くの企業が直面しているゼロ日への対応だと思う ゼロ日の存在。 彼らはいつもそこにいた 歴史的なものを見てみると バッシュバグ 発見される20年ほど前にあったと思う。 時々 CVEの台頭を見て 私は「わかった脆弱性を報告するのはもっとうまくやっている」と思った 脆弱性がまだラベルを付けていないのは、そうではないにしても、たくさんあるだろうか? まだ発見されていない。 明らかにそれはゼロデイの会話ですがCVEの増加はこれらの報告の方が良い仕事をしていることを示しているが緊急パッチ管理プロセスにどう効果的に対応するかといったような良い仕事をしていない

そんなに早くパッチを展開できるのか? それとも支援が必要なのか? それに加えて、私は仮想パッチが好きだ。 私はいつもそれを低いぶら下がった果実の機会として私達が行く間、根本的な問題を解決しようとするよりもむしろすべての事をパッチしようとするのではなく、私達が行っている間にこの穴をプラグすることを見る。

危険だろ? log4jは実際に機能する前にどれだけのパッチが展開されたか? 3人だったと思う 私は、3番目の1つは、最終的に知っていると思う2週間で穴を閉じ、私は12月中旬に信じている。

（トム・ゴーラップ）ああそれは惨めだ

アンドリュー・ジョンソン：混乱が多い

（トム・ゴーラップ）ああそれは惨めだ でもゼロ日が台頭してきてAIの話が出てくると思う私たちはその大きな役割を果たすと思う

まだ見てないと思う つまり、コードをチェックインする前に行うように、防御のためにAIが使用されているのを見ている。 副操縦士のようなことができるチェックインの脆弱性がないことを確認する 他にも、SASTやDASTタイプのツールなど、AIを利用し始めているものがある。

攻撃者がAIを活用して脆弱性を発見することを期待している。 特にオープンソースプロジェクトでは。 簡単なことだ

Richard Yew:でも最終的にはワークフローを見てみると ディフェンダーの観点からはブラックボックステストやホワイトボックステストをするときは、今日では動的なアプリケーションセキュリティタスクとして非常に高速であることを知っているだろう?

脆弱性をスキャンしてパッチを当てるように指示している そして明らかに攻撃者があなたのリポジトリにアクセスできるなら、彼らも同じことをすることができる。 レポにアクセスさせる必要すらない テストをしているなら実行中のソフトウェアと最高の脆弱性にぶつかるだけだ

何だと思う? ブルーチームから見たスキャンとは攻撃者の視点から見た偵察ですマイターの攻撃フレームワークを見ると本質的には攻撃を開始するための偵察だ だから、あなたはいつもあなたが使用するすべてのツールとプロセスについて考える。

攻撃者がどうやってあなたに対してそれを使うことができるか考えてみてくださいそれを認識することは非常に重要です私たちはいつもあなたが知っている、それは黒い帽子をかぶって攻撃者のように考えるのは良いことだと言う。 それは安全なワークフローの実装に大いに役立つと思う特にセキュリティ、ICD、DevSecOps、最近のワークフローで。

セキュリティ文化の変化

（トム・ゴラップ）これは素晴らしい 時間は過ぎた 最後のトピックは文化について だから皆さんに知ってもらいたいのは数秒から数分で何を変える必要があるかについての見方を教えてほしい 予測というよりはむしろ、今日のビジネスを見て、彼らが直面している問題。 リソースの制約から話したことはすべて、攻撃者がより効果的になり、ゼロデイ脆弱性が発見された。 ではビジネスとは何か…何を見る必要があるのか? CISOは何をしているのか・・・2024年以降の考え方をどう変える必要があるのか。 このような消防訓練を毎週停止するために何を変える必要があるか？

Andrew Johnson:最近読んだことの1つは、Gartnerの統計によると、サイバーセキュリティのリーダーの約25%が2年以内にまったく異なる役割を追求するようになるだろう。 ５０％が転職する 主に仕事のストレスが原因だ

CISOが大変な仕事だと知ってるが警備の仕事も多い つまり 人を入れ替える計画がもっと必要だと思うセキュリティの背景を持たない開発者をセキュリティに引き入れることは責任を共有すること

多くの組織やセキュリティ担当者が大量のソリューションを管理している。 だから緊急事態が発生した時はいつも一人の人に会いに行くかもしれない つまり、プロセスの面で、誰もがセキュリティの一部であるという文化の中で、もっと重要なのだ。 助けになるかも

Richard Yew:それが好きだね。 セキュリティ・リーダーの観点から見てみると 管理しなければならない他の仲間と横方向に管理しなければならない だから、それで、それで、あなたは、そのように、管理しなければならない。 そうだろう? 文化を確立することはとても重要だと思う

横方向から上方向に見ているとしたら 期待の設定は非常に重要で、私たちはいつもジョークを聞くことがあります、あなたが知っているように、違反が起こるたびにCISOは解雇される。 だからCISOは産業界に好転を遂げている。 もうこんなことにはならないだろ?

しかし、それは本当に期待に語っている。 プロダクトマネージャーとして期待を持たなければならないステークホルダーの期待を持たせることは私の仕事の中で最も重要なことの一つだ しかし取締役会や仲間たちと期待を共有するのは驚きだと知っているよね？ 100%の警備なんてありえない エリック・コール博士からこれを聞いたことがあるポッドキャストだ 「どうやって携帯を100%安全にするんだ?」 火場に投げ入れたんだろ? 100%のセキュリティは0%の機能を意味するため。

警備員として独断的になることはできない。 セキュリティ、あなたの最初の仕事はビジネスを運転することである。 セキュリティとはスーパーカーのブレーキを強くするようなものだ。 それはビジネスが堅くブレーキをかけることを可能にする。 なぜあなたは、ハードブレーキをする必要があるのか? 早く行きたいから それが全体のポイントである、従ってペッグがビジネスにどのように影響するか考え始めなさい。

もしあなたが100%のセキュリティになりたければ、攻撃時に全てをブロックするという100%の保証を得たいなら。 ブラックリスト0,0,0ゼロスラッシュゼロ 君は元気だ 一日だけだ KPIは100%達成されているが、それは重要ではない。

ビジネスを加速させ文化を作り出さなければならない 視点を下るように見てみると ここでもセキュリティは最初から セキュリティは、私が以前に使用した別の類推から始まる。 他のポッドキャストで聞いたのはセキュリティとはケーキを作るようなものだということ

ケーキのアイシングじゃない 後付けではない ソフトウェアを計画する最初のステップから始めなければならない特にSaaSショップやWebベースのビジネスならほとんどのビジネスはオンラインでやっているよね？ ケーキの小麦粉のように安全性について考えなければならない。

ケーキを作った日から、そして実際に、あなたが良い仕事をしているなら、あなたはケーキを手に入れたときに小麦粉に気づくべきではない…あなたがケーキを食べるときに小麦粉に気づいた人。 そうだろう? それが安全保障のあり方だ つまり、最初から主導するような独断的なコンプライアンスではなく、始められなければならないし、深く協力したり、組み込みのセキュリティチームや開発チームなどを通じて、セキュリティが初日から正しく行われるようにしなければならない。なぜなら、防げるものは運用チームが知っているようなものであり、運用チームはそれほど時間を費やす必要はないからだ。

（トム・ゴーラップ）効率性もある そして私はそこの小さな引用が好きだ。 100%安全は0%の機能。 いい統計だ 完全に同意する 文化は重要である。 これを組織の基盤にどのように組み込むか？ それが会話の一部になり、「ああ、セキュリティチームを巻き込むようになった」とはならない。

初日から話をするべきだが面白くする必要がある 私が持っているのは、私は、あなたがそのコンプライアンストレーニングを見て、それは退屈だ。 関係ない 時期尚早だ セキュリティを面白くするためには、それを変える必要がある。 10年前のことを覚えている安全について人々に話そうとすると彼らの目は曇ってしまう

すると突然見出しが出てみんなとても興味を持った 逆の方向に戻れると思う 単調なトレーニングなどで再び退屈な人々を始めたら、タイムリーにしよう、関連性を持たせよう。 ここでも、セキュリティがあるビジネスの基盤である、それを構築してみよう。 後付けではない ケーキの一部だけど私もパン屋じゃない

Richard Yew:みんなブラックハットを着て ウェブサイトを見て何がうまくいかないか見て黒い帽子をかぶって ねえ、あなたのための用紙はあるか。 それって私がフォームに入れたもの? APIエンドポイントはどこ?

ねえ、私がそれをスパムしたら何が起こったか。 考え始めるとかハッカーの考え方を入れ始めるとか黒い帽子をかぶって会社の文化として

トム・ゴーラップ：ああ、大好きだよ。 気に入ったよ それで終わりだ でもこれは最高だと思う ThreatTankの第1話。 だから二人とも参加してくれて感謝してる