ThreatTank -第1 – 2024集網路安全預測

Edgio的新播客系列簡介：ThreatTank

Tom Gorup：歡迎收聽ThreatTank，這是一個播客，內容涵蓋最新的威脅情報，威脅響應以及全球威脅形勢的見解。 我是您的主持人，Edgio安全服務副總裁Tom Gorup。

今天的與會者還有Edgio Security Solutions產品管理高級總監Richard Yew和Edgio Security Solutions高級產品行銷經理Andrew Johnson。 歡迎Richard和Andrew。

李察耀：嘿，謝謝你們邀請我來這裡。

Andrew Johnson：謝謝Tom。

Tom Gorup：這很令人興奮。 我們的第一個威脅坦克播客。 我有兩個像你們這樣的高強度擊球手，我覺得我需要用一個破冰船，一個很好的小問題。

我曾經問過面試對象。 當我覺得有點緊張時，我認為這是一個很好的開端。 所以，我會問你們兩個問題，當你們得到答案時就會回答。 如果您是一棵樹，您最喜歡的動物是什麼？ 如果您是一棵樹，您最喜歡的動物是什麼？

李察耀：你知道，當你談論樹木時，對吧？ 我開始思考一下橡果，然後，你知道，立即提醒我的是，西班牙有這隻豬。 它被稱為伊貝里科豬。 它是黑色的。 它生產的培根或火腿是世界上最好的，無論你叫什麼，它都是最昂貴的。 每盎司可能只有幾百美元。

所以，我想在這種情況下，我會選擇這種做法。 因為它利用了我掉的任何東西，哦，好的。

Tom Gorup：很有趣。 是的。 不，這很好。 好極了。 首先，我想，你要怎麼做呢？

Richard Yew：去吧，帶我的acorn去吧

Tom Gorup：是的，是的。 不，這只豬就吃了。 更不用說每磅售賣數千美元。 這就像和牛豬。

Andrew Johnson：很好。 讓我們來看看。 所以，我也許從安全的角度來考慮，如果我自己是一棵樹，我不知道，也許我不想要真菌。 我不想…任何不想要木核桃的東西，或是想要把我弄個洞的東西。

李察耀：嘿，夥計，我要在這裡阻止你 嘿，真菌不是動物，最後我檢查了一下。 那是什麼？ 噢，也許是這樣。 在我們觀察最後一個人之後，真菌變成了動物。

安德魯·約翰遜：這是我不想要的。 所以，我不得不說一些鳥類或是在它們降落到我身上後離開的東西。

Tom Gorup：再次利用。 好極了。 我回答的一個問題是一隻鯊魚。 當我問他們為什麼會這樣，鯊魚永遠不會打擾我。 好的。 我對這裏的性格有了一些解釋，但我喜歡你們兩個人選擇一種你知道的動物，對其他動物有用。

太酷了。 是的。 說話很多。 所以，我們今天不是在談論動物或樹木。

AI是否會彌補網路安全技能差距？

Tom Gorup：我們將深入探討2024年的三個[網路安全]預測。 在Edgio的部落格上有一篇部落格文章，我們再次談論三個預測。 其中之一是人工智慧彌補網路安全技能差距，然後是安全文化和攻擊的增加。 我們不會按這種順序進行，但這是三個預測。 因此，直接進入人工智慧。 我的意思是，現在再次預測，我要重申，人工智慧正在構建，將在2024年彌合網路安全技能差距。 我們會看到很多這種情況。

現在，思考一下，你可以得到，好吧。 這裏充滿了激情，看看人工智慧的世界，看看每個人都有，我想我有一天看到了一條推文。 AI讓每個人都能看到星星。 每個人都很興奮，所有這些不同的使用案例。 你知道，我們可能會看到新的電話或假電話兔子，兔子R，或是類似於這種效果的東西，就像所有這些瘋狂的東西出來了。 但我們是否真的認為人工智慧是有效彌合差距的關鍵所在？ 我們是否真的看到了2024年發生的情況，還是在人工智慧在彌合這一差距方面產生了有意義的影響之前，我們又獲得了五年的研發時間？

Richard Yew：嗯，你知道，它確實彌補了攻擊者的缺口。

Tom Gorup：是的，這是個好地方。

李察耀： 是的，我的意思是，現在我只是想想我的日常工作，嘿，我想要執行一個我想要執行的腳本，嘿，我只是寫一個執行循環的腳本，幫助我發出請求，或獲取請求或發布請求，只是特定URL，然後重複執行一百次。

我的意思是，很明顯，您並不告訴AI嘗試發動DDoS攻擊，但它在功能上也實現了同樣的效果，對吧？ 只需了解條款和條件。 我想，這將會使紅色球隊成爲…這將使你知道，任何外行人都能做到。 就像任何人都可以決定的那樣，你知道什麼，我只要戴上我隨身攜帶的黑色帽子，然後開始玩耍。

顯然，對於組織，藍隊和防守者來說，還有很多好處。

安德魯·約翰遜：我想，我的意思是，它顯然會幫助解決問題。 它是否將在2024年結束？ 當然。 我的意思是，我不知道。 我想當然不是。 但它已經開始在安全軟體中實施。

你知道，它也有挑戰，我的意思是，除了人們擔心誤報之外，你還必須擔心誤報，因為人工智慧支援的軟體將為團隊提供錯誤的建議。 所以，我認為，經驗水平仍然是非常重要的。

Tom Gorup：是的，我看一些像ISC2這樣的統計數據很有趣。 它表明，大約有400萬勞動力缺口，400萬勞動力缺口。 這是巨大的。 這是巨大的。 我的意思是，學院沒有足夠快地抽出安全專業人員來填補這一空白，更不用說年復一年的增長。 所以，你知道，人工智慧在2024年彌合了這一差距，你知道，一方面，我聽到你，Richard，像我看到的價值一樣，對你來說，我能快速編寫腳本嗎？

有一天我請iGPT4給我寫一個HTML頁面，它做得很好。 然後我開始要求它進行調整並繼續下一步。 你知道，我有一個完整的網頁。 大約30分鐘內即可完成。 我寫了零代碼來實現這一點，但也能夠為它提供各種數據集。

我認為人工智慧彌合這一鴻溝的人們最大的顧慮之一是隱私，你知道，我們看到，這是什麼，這是三星工程師在人工智慧中加入了一些原理圖，但挑戰是我還沒有看到任何人從中提取出來。 不是說它沒有發生，但這一硬幣有兩面。

Richard Yew：我認為當你開始使用人工智慧時，這很重要，顯然從攻擊者的角度和防守者的角度來看，對吧？ 增強您的工作流程，對吧？ 保護人工智慧對您來說也很重要，但我想回頭談談這一點。 討論如何彌補差距。

我想說，我的意思是，是否可以彌合這些差距？ 否，就像我所說的那樣，某人是否能獲得100％的安全？ 我會爭辯說，沒有，對我來說沒有這種東西。 AI，它的作用是在我們的縱深防禦概念中增加了一個額外的層面，這確實很有幫助。 從防守者的角度來看，這是另外兩套鞋款，對嗎？ 關閉並盡可能降低漏洞和攻擊發生的概率。 而且，我相信，很多安全問題都會發生，我們總是說人是最薄弱的環節，因為，如果你一次又一次地做平凡的事情，我們會自滿，意外會發生，等等 這是AI可以進入的時候。

你可能會聽到這位著名人物的引述，他製造汽車和火箭，並借給自己，但這是真的，在安全方面也是真的，就像你只需要做很多重複的事情，甚至是記錄分析，你知道，人們的注意力有誤，這是可以理解的。 我們都是人類，對吧？ 因此，我認為這是人工智慧在彌合差距方面非常有用的地方。 但是，你知道，只要AI正在做你想要的工作，就像工廠裡的機器人不是，你知道的，突然抓住工人，把他們扔到汽車上，你知道的，然後把他們打碎。 對吧？

Tom Gorup：還沒有。 真有意思。 所以，當我想到工作流時，分析員工作流就會出現一個警報，並且圍繞該特定警報有很多問題。 對。 這是否正常？ 這是常見的嗎？ 對於這種針對這種特定類型系統的攻擊，我應該注意什麼？

嘿，這是Windows機器或Apache伺服器。 我是否應該查找某些事情來確定此攻擊是否成功？ 我認為我們的機會可能是降低進入的障礙，對吧？ 因此，當我們談論縮小差距時，這並不一定意味著AI可能填補了差距，但也許AI允許我們擴大我們在招聘這些職位的人員的範圍，而我感到興奮的是，我們在特定產品或技術方面的技術專業知識方面聘用的員工更少，而是為了好奇心和溝通技巧而招聘的員工。 因此，可以用正確的方式提出正確的問題，以獲得他們所需的答案，不僅是從數據，甚至是從AI那裡獲得。

安德魯·約翰遜：我認為您提到的最後一部分非常好，可以用不同的思維方式，甚至可以接近填補安全專業人員中的這一空白。 您知道，僱用創意員工，可能會讓具有其他技術技能的員工，例如幫助臺的員工，或者商業智能分析師或人員非常樂於處理數據。

此外，你剛纔說過的一些東西，Tom，你知道，如果發生了事故，AI可能會推薦，你知道，至少要看看幾個方面。 就像我想起我的生活和許多工作就像80/20規則一樣。 所以，如果我不需要跟蹤所有這些考慮因素，或者如果我有可能最簡單的考慮因素，這將節省大量時間。 因此，我想我們將在未來的許多解決方案和系統中看到這一點。

Richard Yew：是的，你知道，我想雙擊安全領域的4萬個工作缺口，這是一個非常重要的問題。 你知道，如果你只是看看平均收入，然後推斷它，你知道的，它大約有200億美元，根據其中一家保全員公司的一份報告，這很有趣，對吧？

事實上，這200億，具體而言，它是網路安全市場規模的213億，你知道，你所認識的公司，比如當我們談論安全提供商，服務提供商甚至組織時，他們正在努力填補這些差距，這是可以理解的。

想像一下，您現在可以以多麼便宜的方式執行人工智慧來實現某些功能，而這些功能可能會節省大量成本。

Tom Gorup：我，是的，百分之百 我也看到了你提到的機會，安德魯，我想你也做到了。 Richard能夠在AI中實際應用您的控制。

因此，如果您在內部擁有暴力攻擊或勒索軟體攻擊的標準流程，則能夠培訓AI。 每個人都會回答這些特定問題。 您可以在整個組織中保持一致的響應。 我知道CISO面臨的最大挑戰之一是他們編寫所有這些準則，所有這些文檔，沒有人閱讀。

你知道，你在年底完成了合規性，每個人都被迫閱讀它，但實際上有沒有人坐下來閱讀它？ 現在，想像一下，如果您有AI，您可以向其提出這些問題。 因此，您仍然擁有文檔，但AI接受了有關該文檔的培訓。

當情況出現時，無論是安全分析師還是首席財務官，都可以向AI提出問題。 嘿，這次事件的下一步是什麼？ 我們接下來要做什麼？ 人工智慧就可以成為你的雪帕。

李察耀：很有趣。 對不起。 這是我在繼續之前的最後一個笑話。

但是，我保證沒有人會攻擊HTML並刪除阻止按鈕的組件，這樣您就可以在合規培訓師中單擊“下一步”，“下一步”和“下一步”。

Tom Gorup：沒錯。 是的，合規培訓。 這是另一個… 我們稍後將討論文化，以及如何調整文化。 所以，我最後一次錯過了。 Richard，您之前提到的這一點是利用人工智慧的GPT攻擊者。 您有wolf GPT，wormGPT，fraudGPT，所有這些類型的LLM都專注於“嘿，我該如何使自己更容易成為一個壞人？”

我的看法是，如果你不是作為防守者，你怎麼能有機會對抗進攻者，罪犯，利用這種能力的攻擊者。 理查德，我覺得你會有一個很好的戰爭比喻。 它就像是一架F15戰鬥機，而我不知道，就像沃爾索格或其他東西，你知道，就像你做不到，那兩架戰鬥機不能打狗。 這不會因為Warthog而結束，你知道我的意思嗎？

那麼，還有其他想法嗎？ 因為我認為，我們可以花一整天的時間在人工智慧上，但最終。 我確實認為，如果目前的防衛者沒有使用它，如果企業不想找到方法來提高效率，彌補技能差距，甚至是承擔日常工作負載，那麼您就無法有效抵禦那些無限制地利用此功能，而不必擔心數據洩露的攻擊者。

就像他們並不關心這一點。 有時我想自己是個好人。 你知道，它有其缺點，對吧？ 你已經被這種束縛了。 嘿，我們總是說，我們必須得到，我們必須始終正確，但攻擊者只需要一次正確。

Tom Gorup：沒錯。 他們沒有任何限制。 對。

安德魯·約翰遜：他們的優勢已經在前沿 比如，我不能相信這些wormGPT和其他東西。 這些服務在2021年推出，我認為您可以開始購買這些服務。 我的意思是，你知道，很多其他人。 嗯，我只會談談自己。 直到去年這一年出現了爆炸，才真正使用生成性人工智慧。 但對的，對手是早期的採用者。

Tom Gorup：當我們看到經濟發生了某種轉變時，它也打開了機遇。 人們正在尋找新的賺錢方法。 你知道，你看到了多少個垃圾電話，多少個欺詐和簡訊？

而且他們越來越好了。 而GPT可能會認為，任何為善而造的善都可以用於邪惡。

勒索軟體，DDoS和零日攻擊是否會繼續上升？

Tom Gorup：下一個預測是攻擊增加，這是一種廣泛的攻擊，但我們將重點放在三個方面：勒索軟體攻擊，分布式拒絕服務攻擊和零日攻擊。

我們看看2023年，尤其是上一季度，醫療保健業一再遭受勒索軟體攻擊。 我們看到了幾個零日，但真正的問題是，它是否會繼續增長？ 這種增長是什麼樣的？ 它是否被媒體所沖動？ 問題不一定像看起來那麼大。 我的意思是，這是一種挑釁性的問題。

葉錫安(譯文)：我對此可能有爭議的意見。 當我們看這些攻擊時，我猜我可能只是小行道，你知道，當我們看這些攻擊時，對吧？ 我覺得有媒體報道說的不是，我們實際上看到的是，即使是這樣，比如說，我們談論DDoS攻擊的上升，對吧？

DDoS攻擊總是在發生，背後有細微的差別，但這是什麼類型的，對吧？ 我們是從2016年開始的。 2015 DNS提供商遭遇重大網際網路中斷。 我的意思是，這就是Mirai殭屍網路。 這主要是Layer3，Layer4，000，000個數據包每秒攻擊，顯然帶寬很大，對吧？

它是帶寬，高帶寬量。 但現在我們看到的是我認為的早些時候，去年年底，我認為，我不相信我們已經在2024年了。 我們談論的是2022。 我們談論的是匿名蘇丹QNet的崛起應用程式攻擊的興起

我們談論的是應用程式Layer7，HTTP泛洪，對吧？ 從創紀錄的20多個請求，每秒百萬個請求到現在，我們看到的Google每秒300萬個請求是什麼？ 這是各種漏洞。 因此，我也認為這次攻擊是週期性的。

就像，它們永遠不會消失。 比如，DDoS攻擊，勒索軟體的攻擊很高，因為很明顯比特幣的定價在高峰。 你知道，在這個例子中，這更多的是地緣政治不穩定。 您知道，在過去幾年中，我們看到國家贊助的DDoS攻擊，甚至上升 黑客型DDoS攻擊你知道，所以我想，更像是，我們每年都在研究哪些攻擊是時尚的，但明年它可能是另一種時尚。 然後一年後，我們將回到2022年，2022年的其他功能再次出現。

安德魯·約翰遜：是的。 我不知道是不是這樣，尤其是醫療保健稅。 我的意思是，我認為這是一部分炒作，但不幸的是，我認為這只不過是。 今天的情況比過去更悲慘和更糟。 我，你知道，我想過去的黑客可能，你知道，至少有報道說，他們有一些道德，你知道，像那些現在似乎在窗戶外面攻擊整形外科診所，威脅要洩露病人的照片除非支付贖金或是像病人一樣的蹲下。

你知道，我想最近醫療保健系統出現了一種妥協，他們實際上不得不送病人，改變病人的路由，這很漂亮，很混亂，真的。

李察耀：那麼，你不想向你展示攻擊者，對吧？

他們不需要遵守規則，並且不斷突破界限。 所以，我們通常看到的是三件事，對吧？ 你是用金錢攻擊人們，你是在攻擊金錢，就像金融機構一樣。 現在，他們已經擴展了多年的界限，進入教育領域，他們正在攻擊學校，對吧？

你知道，有報道說大學在幾年前關閉了。 我們可以提供詳細資訊；您知道這些資訊的報價。 但學校關閉是因為整個系統實際上被鎖定了。 對吧？ 現在，你知道，我們觀察到邊界被推到了，比如2025年末或早，對不起，2022年末和2023年初。

是的。 我已經在想一年前了。 我們談論的是醫院受到攻擊，然後又說一次，它是從戰爭地區開始的。 但它確立了先例，現在醫院經常受到黑客攻擊。 有時是生死，就像Tom，你在部落格中提到的，就像我們在談論他們的情況，因為問題，救護車不得不轉到另一個更遠的急救室。

Andrew Johnson： 是的，我的意思是，我認為你不能期望更好的，特別是當有人被迫進行這些攻擊時，你知道，不僅僅是一些在某個隨機國家的青少年做這些，而且，你知道，可能是國家贊助的，他們真的需要這筆錢來繼續他們的業務。

Richard Yew：所以，這有點像想象，那麼問題就像新興的攻擊，對吧？ 今年還會有哪些其他邊界被推進？

Tom Gorup：這個問題很好。 因為我同意。 我指的是，擊中Q4人，看到救護車被改道，急救服務被改道到更多醫院。 這就使生命處於危險之中。 他們下一個方向沒有任何限制。 事實上，幾年前，我經常在聯邦調查局處理過很多個案件。

特別是，我最突出的一件事是一個性勒索案件，這個傢伙利用了…好吧，四年來，這個女孩，她18歲，最後說我已經完成了。 所以，自從她14歲以後，它只是顯示了很多人都這樣跌倒和破裂，他們不會無限制。

我最近看到另一筆虛擬贖金。 我不知道你是否看過這個，他們會發簡訊給一個個人，通常是一個十幾歲的人說服他們，可能是通過一些邪惡的方式去隱藏某個地方，比如在森林裡或躲藏，然後給他們的父母髮簡訊說他們被綁架了，他們需要把錢寄到某個地方。

所以，我的意思是，這是很野性的，一些人會走的方向。 這是一個有趣的問題，比如這些攻擊者的十字線移到了哪裡？ 也許，你知道，它通常是跟着錢. 對吧？ 那麼錢在哪裡呢？

安德魯·約翰遜：沒錯。 是的。 太瘋狂了。

理查德·葉：還有你提到的其他攻擊，你知道的，零天上升。 是的。 這實際上是值得注意的。 你知道，就像我們看一下統計數據，對吧。 您知道，我總是逐年跟蹤，例如CVE增長。 我，我們還沒有2024年的預測，但你知道，2023年。 CVE超過23,000，10，000，000，000，000，000，25 000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000，000 我想知道在座的安全組織中，如果安全人數和預算實際上有兩位數的增長，我相信每個人都會像每個季度一樣獲得10％的預算和人數。 但這就是我們觀察到的。

和。 真有意思。 你知道，軍備競賽，它回到了第一個話題，對吧？ AI，這很重要，但也因為零天的增加，這不僅僅是CVE，而且也是關鍵的零天，我們過去認為，像我們有Logs4j，Springs4Shell，共通，所有這些東西過去都是這樣的，好吧。 我們看到了幾個主要的問題，高嚴重，嚴重性分數為9分或更高，例如一年一次，兩次。 現在每季都要進行多次。

Tom Gorup：嗯，是的。 我認為很多企業都面臨著一個巨大的挑戰，那就是對那些零日的響應，對吧？ 零天的存在。 他們一直都在那裡。 當我們看看一些歷史的歷史，比如。 BashBug。 我想它在被髮現之前就存在了20年。 所以有時我會看到CVE的興起。 我想，好的，我們在報告漏洞方面做得更好。 我確信有那麼多甚至更多的漏洞還沒有標籤，對吧？ 它們還有待發現。 顯然，這是零日對話，但隨著時間的推移，CVE的增加表明我們在報告這些問題方面做得更好，但我們的工作卻不是很好，例如，我們如何有效地響應緊急修補程序管理流程？

您是否真的能快速部署修補程序？ 或者您是否需要一些支援？ 最重要的是，我喜歡虛擬修補。 我總是把這看作是一次低落的果實機會，在我們去解決問題的過程中堵住這個漏洞，而不是嘗試修補整個問題，這可能會很昂貴。

風險很大，對吧？ 我的意思是，Log4j年，在實際工作之前，部署了多少個修補程序？ 我想這是三個。 我想第三個終於知道了，在兩周內就打破了洞，我相信是在12月中旬。

Tom Gorup：是的，這很可憐。

Andrew Johnson：很多破壞。

Tom Gorup：是的，這很可憐。 但在零天的上升中，我想你們提到了人工智慧，我想我們將在其中發揮很大的作用。

我認為我們還沒有看到這種情況。 我的意思是，我們看到AI被用於防禦，就像在您簽入代碼之前那樣。 您可以執行copilot等操作，確保該檢入沒有漏洞。 還有其他一些工具，如SAST和DAST類型的工具正在啓用，這些工具開始使用AI。

我希望看到攻擊者利用AI來發現漏洞。 尤其是在開源項目中。 我的意思是，這很簡單。

Richard Yew：但我的意思是，最終，當你看一看工作流程時，對吧？ 從防守者的角度來看，當你進行黑盒測試或白盒測試時，你知道，現在我們的動態應用程式安全任務速度相當快，對吧？

它確實會掃描漏洞並告訴您修補它。 顯然，如果攻擊者能夠訪問您的回購，他們也可以這樣做。 我的意思是，他們甚至不需要讓你訪問你的回購。 如果他們在進行測試，他們只會攻擊您正在執行的軟體和最嚴重的漏洞。

嗯，猜猜怎麼樣？ 我們從藍色團隊的角度來看，這是從攻擊者的角度來看，如果我們只看一下Mitre的攻擊框架，就像這實際上是一種允許我們發起攻擊的重建。 因此，您始終考慮您使用的所有工具和流程。

想想一下攻擊者如何利用它來對付你，一定要認識到，我們總是說你知道，戴黑色帽子，像攻擊者一樣思考是很好的。 我認為，這對實施安全工作流有很大幫助，尤其是在安全性，ICD，DevSecOps，當今的工作流方面。

不斷變化的安全文化

Tom Gorup：這是很棒的 我們的時間已經過去了。 我們最後一個主題是文化。 所以我希望大家每個人都能在幾秒鐘，一分鐘內了解一下您想要做什麼，就可能需要改變的問題給出您的觀點。 這不是預測，而是看看當今的企業，他們面臨的問題。 我們所討論的一切，包括資源限制，攻擊者獲得更有效的零時差漏洞。 什麼是企業…他們需要關注什麼？ CISO是什麼…他們需要如何改變他們在2024年及以後的思維模式？ 要停止每周進行這些消防演習，需要做些什麼？

Andrew Johnson：我最近讀到的一件事是Gartner的統計數據，我想它說，大約25％的網路安全領導者將在兩年內擔任完全不同的角色。 50％的人將改變工作。 主要歸因於工作中的壓力。

我們知道，CISO是一項非常困難的工作，但許多安全工作也是如此。 我的意思是。 我認為，在人員輪換方面需要有更多的計劃，讓沒有安全背景的開發人員進入安全領域是更多的共同責任。

許多組織和安全人員管理著數以噸計的解決方案，對吧？ 因此，當發生緊急情況時，每次你都可能會去找一個人把他們燒掉。 因此，它更多地體現在流程和文化上，大家都是安全的一部分。 我想可能會有所幫助。

李察耀：我喜歡這個。 我認為，如果我們從安全領導者的角度來看，對吧？ 你知道，你必須管理，你必須與你的同事橫向管理。 你看，然後你必須，比如，管理。 對吧？ 但我認為建立文化是非常重要的。

如果我們從橫向和向上的角度來看，對吧？ 期望設定非常重要，您知道，我們總是會聽到開玩笑說，每當發生違規行為時，CISO就會被解僱。 這就是CISO在業界有如此大的轉變的原因。 我確定這種情況已經不再發生了，對吧？

但是，它確實反映了人們的期望。 作為產品經理，我們必須設定期望，設定利益相關者的期望是我工作中最重要的部分之一，對吧？ 但是，與董事會和同事們一起設定期望，我知道，這是一個驚喜，對吧？ 沒有100％的安全性。 我曾經聽說過這個叫Eric Cole博士的人，這是一個播客，對吧？ 他說，你知道，你如何使手機100％的安全？ 他把它扔進火坑裡，對吧？ 因為100％的安全性意味著0％的功能。

作爲一個保安人員，你不能教條。 安全性，您的首要任務是推動業務發展。 安全性就像超級跑車中的強力剎車一樣，對吧？ 它使企業能夠很難地制動。 為什麼你需要做什麼才能用力剎車？ 因為您想要快速前進。 這就是重點，所以請開始思考聯繫匯率對業務的影響。

這是因爲，如果您想要100％的安全性，那麼您希望100％的安全性保證您將在攻擊中阻止所有安全性。 那麼，你只需進入黑名單零，零，零，零斜線零。 你很好。 只需稱之為一天。 KPI達到了100 %，但這不是重點，對吧？

您必須加快業務的步伐，並將其融入文化之中。 如果你從向下的角度看，對吧？ 同樣，安全性從一開始就開始了。 安全性是從我以前用過的另一個比喻開始的。 如果你在其他一些播客中聽到我說安全就像製作蛋糕。

這不是錦上添花。 這不是事後的想法。 您知道，它必須從規劃軟體的第一步開始，尤其是如果您是SaaS商店，如果您喜歡基於Web的，那麼您的大部分業務都是線上進行的，對吧？ 你必須考慮安全性，就像蛋糕裡的麵粉一樣。

從第一天起，當你做蛋糕的時候，事實上，如果你做得很好，當你拿到蛋糕的時候，你不應該注意到麵粉…當你吃蛋糕的時候，誰會注意到麵粉。 對吧？ 這就是安全性的本質。 因此，它不應該是一種教條自上而下的合規性，就像最初的驅動一樣，它必須啓動，您知道，像這樣，並扎根，也許通過更緊密的協作，嵌入式安全小組或開發小組，確保從第一天起就正確地完成安全，因爲您可以防止的是您所認識的操作小組的工作，他們不需要花費太多的時間。

Tom Gorup：是的，這有很高的效率。 我很喜歡這裡的小引述。 100％的安全性就是0％的功能。 這是一個很好的統計數據。 我完全同意。 文化是重要的。 您如何將其融入組織的基礎？ 因此，這就成了對話的一部分，而不是“哦，我們必須讓安全小組參與進來。”

我們應該從零日開始進行對話，但您需要讓對話變得有趣。 我看到的一件事就是合規培訓，很無聊。 這並不相關。 現在還不及時。 我們需要改變這一點，使安全性更有意義。 我記得10年前試圖與人們談論安全問題的時候，他們的眼睛將會被打消。

突然，它開始成為頭條新聞，每個人都對它非常感興趣。 我想你可以回到另一個方向。 如果我們開始用單調的訓練來打擾人們，那麼讓我們及時，讓它變得相關。 再一次，讓我們將其構建在核心，即安全性所在的業務基礎上。 不是事後考慮的。 這是蛋糕的一部分，但我也不是麵包師。

Richard Yew：所以每個人都需要戴上黑色帽子。 你知道，當你瀏攬網站時，看看什麼可能出錯，戴上你的黑帽。 嘿，有表單給你嗎？ 這是我在表單中加入的嗎？ API端點在哪裡？

嘿，如果我發送垃圾郵件，會發生什麼事？ 你知道，就像開始思考，開始讓黑客心態戴黑帽，你知道，你知道，這是你公司的一種文化。

Tom Gorup：是的，我很喜歡。 我喜歡。 所以我們已經過去了。 但我想說這很棒。 ThreatTank的第一集。 我很感謝你們兩人的參與。