ThreatTank -第1集- 2024期网络安全预测

介绍Edgio的新播客系列: ThreatTank

Tom Gorup：欢迎使用ThreatTank，这是一个播客，涵盖最新的威胁情报，威胁响应以及有关全球威胁形势的见解。 我是主持人，Edgio安全服务副总裁Tom Gorup。

今天和我一起参加的还有Edgio Security Solutions产品管理高级总监Richard Yew和Edgio Security Solutions高级产品营销经理Andrew Johnson。 欢迎理查德和安德鲁。

Richard Yew:嘿,谢谢你让我来这里。

Andrew Johnson：谢谢Tom。

Tom Gorup:这是令人兴奋的。 我们的第一个威胁坦克播客。 我有两个像你们一样的重击球手，我觉得我需要一个破冰船，一个很好的小问题。

我曾经问面试受访者。 当我看起来有点紧张的时候，我认为这是一个很好的介绍。 所以,我要问你两个,当你得到它的时候,只是回答。 如果您是一棵树，您最喜欢的动物是什么？ 如果您是一棵树，您最喜欢的动物是什么？

Richard Yew:当你谈到树木时,你知道吗? 我开始思考橡子，然后，你知道，什么立刻让我想起，你知道，你知道，西班牙有这只猪。 它叫做伊比利亚猪。 它是黑色的。 它生产最好的培根或火腿,不管你称之为什么,在世界上,它是最昂贵的。 这可能是几百美元每盎司。

所以,我猜在这种情况下,选择我。 因为它利用了我丢下的任何东西,哦,好吧。

Tom Gorup:这很有趣。 是的。 不,这是好的。 好极了。 首先,我想,你要去哪里?

Richard Yew:去拿我的橡子去吧。

汤姆·葛鲁普：是的，是的。 “不,我不会介意的。” 更不用说每磅售出数千美元了。 这就像一只神户猪。

安德鲁·约翰逊：这很好。 让我们来看看。 所以，我从安全的角度来思考我作为动物不想要的东西，如果我自己是一棵树，我不知道，也许我不想要真菌。 我不…任何东西,不会想要一个啄木鸟,或什么东西会把我抓起来,在我身上打个洞。

Richard Yew:嘿,伙计,我要在这里阻止你。 嘿真菌不是动物,最后我检查. 那是什么？ 哦，也许是这样吧。 在我们最后一个观看之后,真菌变成了一种动物。

安德鲁·约翰逊：这就是我不想要的。 所以,我不得不说,也许有些鸟类或一些东西在它们降落在我身上后就离开了。

汤姆·戈鲁普：再次利用。 好极了。 我问这个问题时得到的答案之一是鲨鱼。 当我问他们为什么会这样，鲨鱼永远不会打扰我。 好的。 我对这里的个性有一点点的说法，但我喜欢你们俩挑选一只对其他动物有用的动物的方式。

太酷了。 是的。 说了很多。 所以，我们今天在这里不是在谈论动物或树木。

人工智能能否弥合网络安全技能差距?

Tom Gorup：我们将深入到2024年的三个[网络安全]预测。 Edgio的博客上有一篇博客帖子，我们再次谈论这三个预测。 一个因素-人工智能弥合了网络安全技能差距，安全文化和攻击的增加。 我们不会这样做,但这是三个预测。 因此，直接进入人工智能。 我的意思是,现在这里再次预测,我要重申,人工智能正在建设中,将在2024年弥合网络安全技能差距。 我们会看到很多。

现在，在思考这个问题时，你可以得到，好的。 在这里,看看人工智能的世界,看到每个人都得到,你知道,我想我在前几天看到了一条推文。 人工智能让每个人都能看到星星。 每个人都很兴奋，所有这些不同的用例。 我们或许会看到新的手机或者伪手机兔子，兔子R，或者是有这种效果的东西，就像所有这些疯狂的东西都出来了。 但我们真的认为人工智能是有效弥合差距的所在吗? 我们真的看到这种情况发生在2024年,还是在人工智能之后,我们又获得了五年的研发经验,直到人工智能在弥合这一差距方面产生了有意义的影响?

Richard Yew:嗯,你知道,这当然弥合了攻击者的差距。

Tom Gorup:是的,这是一个好的方面。

Richard Yew： 是的,我的意思是,现在我只是想想我的日常工作,嘿,我想运行一个我想运行的脚本,嘿,只是给我写一个运行循环的脚本,帮助我提出请求,发出或获取请求或发布请求,只是特定的URL ,并重复它一百次.

我的意思是,很明显,你不会告诉AI尝试生成DDoS攻击,但它在功能上达到了同样的效果,对吧? 请绕过条款和条件。 我，我想这是，它将成为红色的球队…它将让你知道；任何外行人都可以做到。 “你知道吗,我要把你的鸡巴插进去,我就要射了,妈妈也要射在你的屁眼里了。”

现在，对于组织，蓝色球队，防守球员来说，显然也有很多好处。

安德鲁·约翰逊：我想，我的意思是，这显然会帮助问题。 它将在2024年关闭吗？ 当然。 “我不知道,我不知道。” 我当然不是。 但它已经开始在安全软件中实施。

你知道,它也有挑战,我的意思是,人们不必担心误报,你必须担心错误的建议,你知道,人工智能支持的软件将给团队。 所以，我想，你知道，经验水平仍然是极其重要的。

Tom Gorup:是的,当我看到ISC2之类的统计数据时很有趣。 它说大约有400万劳动力缺口, 400万人劳动力缺口。 这是巨大的。 这是巨大的。 我的意思是，大学没有足够快地派遣安全专业人员来填补这一空白，更不用说一年比一年增长了。 所以，你知道，人工智能在2024年缩小这一差距，一方面，我听到你，理查德，和我看到的价值一样，对你来说，我能快速写脚本吗？

前几天我要求iGPT4给我写一个HTML页面,它做了一个伟大的工作。 然后我开始要求它调整和移动下一个。 你知道,我有一个完整的网页。 内置约30分钟。 我写了零代码来实现这一点，但也能够为它提供各种数据集。

我认为人工智能弥合这一差距的人们最大的担忧之一是隐私，你知道，我们看到了，这是什么，是一名三星工程师在人工智能中加入了一些原理图，但挑战是我还没有看到任何人提取这些原理图。 不是说它没有发生,但这枚硬币有两面。

Richard Yew:我认为当您开始使用人工智能时,这一点非常重要,显然从攻击者和防守者的角度来看,对吧? 增强您的工作流程，对吧？ 保护您的人工智能对您也很重要，但我想回过头来谈谈。 谈谈弥补差距。

我想说,我的意思是,差距永远可以弥补吗? 不,它不能,就像我要说的,某人能永远100%安全吗? 我会争辩说,没有,只是没有这样的事情对我。 AI，它的作用是在我们的纵深防御概念中添加了额外的一层，这确实很有帮助。 从防守者的角度来看，这是另外两个层次的设置真的很有帮助，对吧？ 关闭并尽可能减少漏洞和攻击发生的可能性。 而且，我相信，很多安全问题都会发生，我们总是说人是最薄弱的环节，因为，如果你反复做平凡的事情，我们就会自满，事故也会发生等等 这是人工智能可以进入的时候。

你可能会听到这个非常著名的人的这句话，他制造汽车和火箭，并为自己带来好处，但这是真的，在安全方面也是如此，就像当你只需要做很多重复的事情，甚至日志分析，你知道，人们的注意力失去了，这是可以理解的。 不管怎样，我们都是人类，对吧？ 因此,我认为人工智能在缩小差距方面将非常有用。 但是，你知道，人工智能正在做你想要的工作，就像一个工厂里的机器人不会突然抓住工人，把他们扔在车顶上，你知道，把他们砸碎。 对吗？

汤姆·戈鲁普：还没有。 真有意思。 所以，当我想到工作流，分析师工作流时，会出现一个警报，围绕该特定警报有很多问题。 对。 这是正常的吗？ 它是常见的吗? 对于这种对这种特定类型的系统的攻击，我应该寻找什么？

嘿，这是一台Windows计算机或Apache服务器。 我是否应该寻找某些事情来确定此攻击是否成功？ 我认为，我们可能有机会降低进入门槛，对吧？ 因此,当我们谈到缩小差距时,这并不一定意味着人工智能可能会填补差距,但也许人工智能可以让我们拓宽我们为谁招聘这些职位,我兴奋的未来是,我们在特定产品或技术方面的技术专业知识招聘较少,而是为了好奇心和沟通技巧而招聘。 因此,某人可以以正确的方式提出正确的问题,以获得他们正在寻找的答案,不仅从数据,甚至从AI中获得这方面的答案。

Andrew Johnson：我认为您提到的最后一部分在不同的思维方面非常好，只是为了能够接近填补安全专业人员的这一空白。 您知道，以创造性的方式聘用员工，或许聘请具备其他技术技能的员工，例如帮助台的员工，或许是商务情报分析师或其他人员，他们非常乐于处理数据。

还有，你之前说过的一些东西，汤姆，你知道，如果发生了事故，人工智能也许可以推荐，你知道，至少看看几个方面。 就像我想到我的生活,我的很多工作就像80/20规则。 所以，如果我不必追踪所有这些考虑因素，或者如果我有最简单的考虑因素，它可以节省大量时间。 因此，我假设我们将在未来的许多解决方案和系统中看到这一点。

Richard Yew：是的，我想双击400万安全工作差距，这是一个非常重要的问题。 你知道，如果你只看平均收入，并推断它，你知道，它得到了大约2000亿美元，根据这些安全公司的一份报告，这是足够有趣的，对吧？

实际上，这两千亿，具体来说就是2130亿网络安全市场的规模，所以可以理解的是，当我们谈论安全提供商，服务提供商，甚至组织时，它们都在试图填补这些空白。

想象一下，您现在运行AI来实现某些功能的成本有多低，这可能会为您节省大量成本。

汤姆·葛鲁普：我，是的，百分之百。 我还看到了一个机会，您也提到过，Andrew，我想您也做到了。 Richard能够在人工智能中实际应用您的控件。

因此，如果您内部有一个标准流程来应对暴力攻击或勒索软件攻击，则能够训练人工智能。 每个人都将回答这些特定问题。 您可以在整个组织中保持一致的响应。 我知道首席信息官面临的最大挑战之一是他们编写所有这些指南,所有这些文档,没有人阅读它。

你知道，你在年底经历了合规，每个人都被迫阅读它，但有人真的坐下来阅读它吗？ 现在,想象一下,如果你有一个人工智能,你可以问这些问题。 而不是你仍然有文档,但人工智能是受过关于文档的培训。

当情况出现时，无论是安全分析师还是首席财务官，一个人都可以向人工智能提问。 嘿，这次事件的下一步是什么？ 我们接下来要做什么？ 人工智能可以通过这种方式成为您的Sherpa。

Richard Yew:这很有趣。 “对不起,我不会介意的。” 这是我在继续之前的最后一个笑话。

但是,你知道,我保证你没有人会破解HTML并删除阻止按钮的组件,这样你就可以在合规性培训师中点击”下一步”，”下一步”和”下一步”。

汤姆·戈鲁普：没错。 好了，合规培训。 这是一个整体… 我们稍后将讨论文化，以及如何调整文化。 所以,我最后一次错过了。 Richard，您之前谈到的这一点是攻击者利用GPT利用人工智能。 你有WOLF GPT，WORMGPT，欺诈GPT，所有这些LLM都专注于”嘿，我如何使它更容易成为一个坏人？”

我看它的方式是如果你不使用作为一个防守者,你如何站在一个机会来对抗一个进攻,一个罪犯,一个利用这种能力的攻击者。 理查德,我觉得你会有一个很好的战争类比。 这就像是F15战斗机而不是像，我不知道，像Warthog或其他东西，你知道，像你不能，这两个不能有狗的战斗。 “你知道我是什么意思吗?”

那么,还有什么其他的想法呢? 因为我想,我的意思是,我们可以花一整天的时间在人工智能上,但最终。 我认为，如今维权者并未使用它，如果企业没有尝试寻找提高效率的方法，弥合技能差距，甚至没有承担当今日常的工作负载，那么您就无法有效地抵御利用此功能的攻击者，而不会担心数据会受到损害。

就像他们不关心任何这一切。 有时候我猜是一个好男人。 你知道,它有它的缺点,对吧? 你已经是这样的人了。 嘿,我们总是说,我们必须做到,我们必须始终做到正确,但攻击者只需要一次做到正确。

汤姆·戈鲁普：这是真的。 他们没有任何限制。 对。

安德鲁·约翰逊：他们正处在流血边缘。 就像,我不能相信这些蠕虫GPT和其他东西。 这些服务在2021年已经推出，我认为您可以开始购买这些服务。 我的意思是,你知道,很多其他人。 “嗯,我不会介意的。” 直到去年年初，才真正使用生成型AI。 但是，对手是早期采用者。

汤姆·戈鲁普：当我们看到经济的转变时，它也开辟了机会。 人们正在寻找新的方式来赚钱。 你知道,你看到多少垃圾电话,多少骗局,短信?

他们正在变得更好。 而GPT可能是认为任何为善而创造的好东西也可以用于邪恶。

我们是否会看到勒索软件，DDoS和零日攻击继续上升？

Tom Gorup：下一个预测是攻击会增加，这是一种广泛的刷式攻击，但我们将重点关注三个：勒索软件攻击，分布式拒绝服务攻击和零日攻击。

我们看看2023年，尤其是上一个季度，医疗保健部门一再遭受勒索软件攻击。 我们看到了一些零天,但真正的问题是,它会继续增长吗? 这种增长是什么样的？ 它是否被媒体吸收？ 它不一定像看起来那么大的问题。 我的意思是，这是一个挑衅性的问题。

尤(译文)：我可能对此有争议。 当我们观察这些攻击时，我猜也许我只是个愚蠢的人，你知道，当我们观察这些攻击时，对吧？ 我觉得媒体报道的是什么，不是，我们实际上看到了什么，例如，我们谈论的是DDoS攻击的兴起，对吗？

这背后有细微差别，DDoS攻击总是在发生，但这是什么样的攻击，对吧？ 你知道,我们从2016年开始。 2015 DNS提供商遭遇重大互联网中断。 我的意思是，这是Mirai僵尸网络。 这主要是第3层，第4层，每秒攻击数百万个数据包，显然带宽是巨大的，对吧？

带宽，高带宽容量。 但如今我们看到的是我想象的早期，去年年底，我想，我不能相信我们已经到了2024年了。 我们谈论的是2022年。 我们正在谈论匿名苏丹的兴起，QNet，应用程序攻击的兴起。

我们谈论的是应用程序Layer7，HTTP洪水，对吧？ 从创纪录的20多个请求，每秒百万个请求到现在，我们正在看Google每秒3亿个请求？ 这是有各种漏洞的。 所以，我也认为这种攻击是周期性的。

就像他们永远不会离开。 你知道，有一次，比如DDoS攻击，勒索软件真的很高，因为比特币的定价显然在飙升。 你知道，就像现在，在这种情况下，这更多的是因为地缘政治的不稳定。 您知道，在过去的几年中，我们看到了由国家发起的DDoS攻击甚至有所增加 黑客DDoS攻击你知道的，所以我想，我想，这更像是，我们每年都在关注哪些攻击是时尚的，但明年可能是时尚的另一种攻击。 然后，一年后，我们将回到2022年的样子，2022年的其他事情又开始流行了。

安德鲁·约翰逊：是的。 我不知道是不是,特别是与喜欢的医疗保健税。 我的意思是,我认为这是部分炒作,但不幸的是,我认为它只是. 这种情况今天比以往更加悲惨和糟糕。 我，你知道，我认为过去的黑客可能在哪里，你知道，至少有报道说，他们有一些道德，你知道，那些似乎是在窗口外攻击整形外科医生诊所，威胁要释放病人的照片，除非支付赎金，或者像病人那样擅自占用。

你知道，我想最近医疗系统出现了一种妥协，他们的医院网络基本上，他们不得不实际派遣病人，改变他们的病人路线，这很漂亮，很混乱。

Richard Yew:所以,你不想向你展示攻击者,对吧?

他们不必遵守规则，而且他们在不断推进边界。 所以，通常我们看到的是三件事，对吧？ 你在用金钱攻击人，你知道，你在攻击金钱，就像金融机构一样。 现在他们已经扩大边界多年了，去教育，他们攻击学校，对吧？

你知道，有报道说大学在几年前就关门了。 我们可以提供详细信息；您知道这方面的报价。 但学校关门是因为整个系统实际上刚刚被锁定。 对吗？ 现在，你知道，我们观察到边界正在被推进，就像实际上在2025年末或2023年初一样，对不起，2022年末和2023年初。

是的。 我已经在考虑提前一年了。 我们谈论的是医院受到攻击，它是从战区开始的，对吧。 但它设定了优先地位,现在医院经常被黑客攻击。 有时是生死，你知道，就像汤姆，你在你的博客中提到的，你知道，这就好像我们在谈论他们的情况，救护车因为问题不得不被转移到另一个更远的急诊室。

Andrew Johnson： 这是,是的,我的意思是,我只是不认为你可以期待任何更好的,特别是当有人被迫做这些攻击它不只是,你知道,一些青少年在一些随机的国家做这些,但,你知道,可能是国家赞助的,真的,他们,他们真的需要这些钱来继续他们的业务。

Richard Yew:所以,这有点像想象来喜欢,那么这个问题就像是当谈到新兴攻击时,对吧? 这是什么样的，今年还会推进哪些其他界限？

Tom Gorup:这是一个好问题。 因为我同意。 我的意思是,在第四季度,看到救护车被转移,急救服务被转移到更多的医院。 就像这样，生命处于危险之中。 他们下一步可以走哪个方向是没有限制的。 其实，我几年前常常与联邦调查局一起处理过很多案件。

其中一个,特别是,总是突出我的是一个性骚扰案件,这个家伙正在利用…嗯,四年来,这个女孩和她18岁,当她终于说我做了。 你知道，因为她14岁了，它只是显示了很多人以这种方式跌倒和破碎，他们不会表现出无限。

我最近看到另一个虚拟赎金。 我不知道你是否见过这样的消息,他们会发短信给一个人,通常是一个青少年,说服他们,可能通过一些邪恶的方式去躲藏在某个地方,比如在森林里或去藏匿,然后发短信给他们的父母,他们已经被绑架了,他们需要在某个地方汇款。

所以，我的意思是，这只是一个野生的方向，有些人将会走向这个方向。 这是一个有趣的问题，比如，这些攻击者的十字准线移动到哪里？ 也许,你知道,它常常跟随钱。 对吗？ 那么钱在哪里呢?

安德鲁·约翰逊：是的。 是的。 真疯狂。

理查德·尤：还有你提到的其他攻击，你知道，零日上升。 是的。 这实际上是值得注意的。 你知道，就像我们看一个统计数据，对吧。 你知道，我总是跟踪年复一年的增长，就像CVE增长一样。 我，我们还没有2024年的预测，但你知道，2023年。 CVE超过23，000个，即增长超过10%，在此之前，CVE的增长超过25%，您知道，它说明了处理CVE正呈指数级增长的问题。 我想知道这里的受众中是否有任何安全组织在安全人员和预算方面确实有两位数的增长，我敢肯定每个人都会像每个季度一样增加大约10%的预算和人员。 但这正是我们一直观察到的。

和。 真有意思。 你知道，军备竞赛，它又回到了第一个话题，对吧？ AI很重要，但也因为零天的增加，不仅仅是CVE，还有我们过去想到的关键零天，比如Logs4j，Springs4Shell，Confluence，所有这些东西过去都是这样的，好的。 我们看到了几个主要问题，严重程度高，严重程度分为9分及以上，就像每年一次，两次。 现在每季度都有多次。

Tom Gorup:嗯，是的。 这是一个巨大的挑战，我认为很多企业都要面对零天的响应，对吧？ 零天的存在。 他们一直在那里。 当我们看到一些历史的,例如。 BashBug。 我认为它在发现前20年就在那里。 所以有时我看CVE的崛起. 我想，好的，我们在报告漏洞方面做得更好。 我确信有那么多的漏洞,如果不是更多的漏洞,只是没有标签给他们,对吗? 他们还没有被发现。 显然，这是零日对话，但随着时间的推移，CVE的增加表明我们在报告这些问题方面做得更好，但我们在如何有效应对紧急修补程序管理流程方面做得还不够好。

您真的能快速推出一个修补程序吗？ 或者您是否需要一些支持？ 最重要的是，我喜欢虚拟修补程序。 我总是把它看作是一个低垂的机会来堵塞这个洞,而我们去解决根本问题,而不是试图修补整个事情,这可能是昂贵的。

这是有风险的，对吧？ 我的意思是Log4j，在实际工作之前，有多少修补程序已经推出？ 我想这是第三次。 我想第三个终于你知道的，在两个星期内关闭了一个洞，我相信是在12月中旬。

汤姆·戈鲁普：是的，这是悲惨的。

安德鲁·约翰逊：很多中断。

汤姆·戈鲁普：是的，这是悲惨的。 但在零天的兴起中，我想你们提到了AI，我想我们将在其中发挥很大作用。

我不认为我们还没有看到这一点。 我的意思是,我们看到AI被用于防御,就像在你签入代码之前这样做。 您可以执行类似copilot这样的操作，确保在检入时没有漏洞。 还有其他类似SAST和DAST类型的工具正在启用，这些工具正在开始使用AI。

我希望看到攻击者利用人工智能来发现漏洞。 特别是在开源项目中。 我的意思是,这很容易。

Richard Yew：但我的意思是，最终，当您查看工作流程时，对吧？ 从Defender的角度来看，当您进行黑箱测试或白箱测试时，您知道，如今，我们的动态应用程序安全任务相当快，对吧？

它真的是扫描漏洞并告诉您修补它。 显然，如果攻击者能够访问您的回购单，他们也可以执行同样的操作。 我的意思是,他们甚至不需要让你访问你的回购. 如果他们正在进行测试，他们只会碰到您运行的软件和最严重的漏洞。

嗯,你猜怎么办? 从蓝色团队的角度来看，这是从攻击者的角度来看的重建，如果我们只是看看MITRE的攻击框架，您知道，这本质上是一个允许我们发起攻击的重建。 因此，您总是会思考您使用的所有工具和流程。

想一想攻击者如何利用它来对付您，这一点非常重要，您知道，我们总是会说您知道，再次戴上黑帽并像攻击者一样思考是件好事。 我认为这对实施安全工作流有很大帮助，尤其是在安全，ICD，DevSecOps，如今的工作流方面。

改变安全文化

汤姆·戈鲁普：这是很棒的。 随着时间的推移，我们也在不断发展。 所以我们这里的最后一个话题是更多关于文化的话题。 所以我希望你们每个人都能让你们知道，几秒钟，一分钟，无论你们想做什么，都能给出你们对可能需要改变的看法。 所以预测较少,但看看当今的企业,他们面临的问题。 我们谈论的一切，从资源限制，攻击者将获得更有效的零日漏洞被发现。 那么，什么是企业…他们需要了解什么？ 首席信息官是什么…他们需要如何改变他们的心态，进入2024年及以后？ 要停止每周进行这些消防演习，需要改变哪些方面？

Andrew Johnson:嗯,我刚刚读到的一件事是Gartner的一份统计报告,我认为其中说大约25%的网络安全领导者将在两年内担任完全不同的角色。 50%的人将更换工作。 主要是由于工作中的压力。

我们知道，CISO是一项非常困难的工作，但许多安全工作也是如此。 我的意思是说。 我认为，在轮换人员方面需要有更多的计划，让没有安全背景的开发人员进入安全领域是一项更多的共同责任。

许多组织和安全人员正在管理大量的解决方案，对吧？ 所以，当有紧急情况时，你可能每次把他们烧掉都要去找一个人。 所以，这更多地体现在过程中，也体现在一种文化中，每个人都是安全的一部分。 我认为可能会有所帮助。

Richard Yew:我很喜欢。 我想，如果我们从安全领导者的角度来看，对吧？ 你知道,你必须管理,你必须与你的同事横向管理。 所以你看，然后你就必须管理，比如， 对吗？ 但我认为建立文化是非常重要的。

如果我们从横向和上方的角度来看待它，对吧？ 期望设置非常重要，我们总是听到笑话：每当发生违规事件时，首席信息官就会被解雇。 这就是为什么CISO在行业中有这样的转变. 我肯定不会再像这样发生了,对吧?

但是，它确实符合期望。 作为产品经理，我们必须设定期望，设定利益相关者的期望是我工作中最重要的部分之一，对吗？ 但是，与董事会，您的同事一起设定期望，我知道，这是一个惊喜，对吧？ 没有100%的安全性。 我曾经听说过这个叫Eric Cole博士的人，这是一个播客，对吧？ 他说,你知道,你如何使你的手机100%安全? 他把它扔进火坑里，对吧？ 因为100%安全意味着0%的功能。

作为一个安全人员,你不能是教条主义的。 安全性，您的首要任务是推动业务发展。 安全性就像是在超级跑车里有一个强劲的刹车，对吧？ 它允许企业硬刹车。 为什么你需要强力刹车？ 因为你想快速发展。 这就是问题所在，所以开始思考汇率对业务有何影响。

这是因为它只是因为，如果你想实现100%的安全性，你想100%保证你将在攻击时阻止所有的攻击。 嗯,你只需要去黑名单零,零,零斜杠零。 你很好。 只需打电话给它一天。 您已100%实现KPI，但这不是关键所在，对吗？

您必须加快业务发展，必须将其融入文化之中。 你知道，如果你从向下看，对吧？ 同样，安全性从一开始就开始。 安全起源于我以前用过的另一个类比。 如果您在其他播客中听说过我，安全就像做蛋糕一样。

这不是蛋糕上的糖霜。 这不是事后想法。 你知道，它必须从软件规划的第一步开始，特别是如果你是SaaS商店，如果你像一个，你知道，基于Web的，你知道，你做你的大部分业务都是在线的，对吗？ 你必须考虑安全,就像蛋糕里的面粉。

从第一天开始,当你做蛋糕的时候,事实上,如果你做得很好,当你拿到蛋糕的时候,你不应该注意到面粉…当你吃蛋糕的时候,谁会注意到面粉。 对吗？ 这就是安全性应该是怎样的。 因此，它不应该是一种教条式的自上而下的合规性，就像最初的驱动一样，它必须发起，你知道，喜欢，并根深蒂固，你知道，也许通过更紧密的协作，嵌入式安全团队或开发团队，确保从第一天起就能做到安全，因为无论你能阻止的是你的运营团队所知道的东西，他们都不需要花费那么多的时间。

Tom Gorup：是的，这是有效率的。 我喜欢这里的小报价。 100%安全等于0%功能。 这是一个很好的统计数据。 我完全同意。 文化很重要。 您如何将其构建到组织的基础中？ 因此，这将成为谈话的一部分，而不是”哦，我们需要让安全团队参与进来。”

我们应该从零日开始进行对话，但您需要使其有趣。 我有一件事，我有，你看一下合规性培训，这是无聊的。 这是无关紧要的。 这并不及时。 我们需要改变这一点，使安全变得有趣。 我记得10年前，我试图与人们谈论安全问题，他们的眼睛会变得光滑。

然后突然间,它开始成为头条新闻,每个人都对它非常感兴趣。 我想你可以回到另一个方向。 如果我们开始用单调的训练等让人感到无聊,让我们及时做,让我们做相关的事情。 再次强调，让我们将其作为核心，作为我们业务的基础，确保安全。 不是事后想的。 这是蛋糕的一部分,但我是,我也不是面包师。

Richard Yew:所以每个人都需要戴上黑帽。 你知道,当你浏览一个网站的时候,看看可能出错的地方,戴上你的黑帽。 嘿,有一个表格给你吗? 那是我在表格里写的吗? API端点在哪里？

嘿，如果我发送垃圾邮件，会发生什么情况？ 你知道，就像开始思考一样，开始把黑客的心态戴在你的黑帽上，你知道，这是你公司的一种文化。

“是啊,我爱你。” 我喜欢它。 所以我们已经结束了。 但我想说这是伟大的。 ThreatTank的第一集。 所以我很感激你们俩都在上面。