AwinguruTalks è un podcast e un video blog in cui parliamo con i leader di pensiero della tecnologia, esperti e decision-maker. In esso, esploriamo un'ampia varietà di argomenti - tra cui lo stato attuale e il futuro della tecnologia aziendale, la sicurezza IT e il lavoro remoto.
Nel nostro primo episodio, Arnaud Marliere, chief marketing officer di Awingu, parla con l'autore ed esperto di sicurezza informatica Dr. Chase Cunningham. Chase ha oltre due decenni di esperienza nel panorama della sicurezza informatica, e ha lavorato per oltre 13 anni come esperto presso la National Security Agency o NSA degli Stati Uniti. Nel suo ultimo libro chiamato "Guerra cibernetica - verità, tattiche e strategie"esplora "concetti strategici e verità per aiutare voi e la vostra organizzazione a sopravvivere sul campo di battaglia della guerra cibernetica".
Il dottor Cunningham è anche conosciuto come 'Dr. Zero Trust', come uno degli attuali leader di pensiero di questo concetto di sicurezza depredata - un'idea a cui noi di Awingu prestiamo molta attenzione, poiché crediamo che sia il futuro necessario della sicurezza informatica. Nei prossimi 30 minuti, esploreremo quell'idea Zero Trust, parleremo del libro di Chase, della guerra cibernetica e discuteremo dove il mondo della sicurezza informatica si sta evolvendo per le aziende - e come ci si dovrebbe adattare.
Episodio 1 - Il dottor Chase Cunningham
Chase, tu sei "Mister Zero Trust", quindi dobbiamo assolutamente parlare di Zero Trust. Non è nuovo come idea o concetto - va avanti già da un paio d'anni. Puoi spiegare, in breve, qual è l'idea dietro l'Zero Trust?
La storia dell'Zero Trust risale al 2003, ed è lì che questo gruppo chiamato Jericho Forum ha avuto un'idea sulla sicurezza deperimetrata. Si sono chiesti come sarebbe stata la sicurezza nell'era dell'cloud ed erano in anticipo sui tempi. Andando un po' avanti fino al 2010, dove un analista di Forrester chiamato John Kindervag ha preso l'idea della sicurezza deperimetrata e ha detto: "è un termine di marketing scadente, chiamiamolo Zero Trust - è più sexy".
Ma a quel tempo, si trattava davvero di firewall, e NAC e segmentazione nella rete - mentre ora dove ci siamo spostati verso un modello di sicurezza che è intorno all'utente, il punto finale gli accessi. Il lato "zero" di esso è dove si stanno rimuovendo i pezzi di configurazione predefiniti che causerebbero compromessi - le condivisioni, gli accessi, i privilegi eccessivi, tutte queste cose - in modo da poter mantenere le cose il più vicino possibile allo "zero".
Quindi, fondamentalmente, non è perché ci si autentica con le credenziali giuste che tutto ciò che si fa da lì in poi dovrebbe essere considerato "sicuro" in quanto tale, giusto?
Giusto, ed è qui che le VPN sono parte del problema. Un sacco di volte quando si guarda la VPN, dà accesso alle risorse aziendali; ma in realtà, mi aprirà solo i cancelli una volta entrato. Dopo il tunnelling attraverso la mia VPN, posso toccare tutti i tipi di cose. Questo è in contrasto con soluzioni come SDN e SDP: anche se entro, e anche se ho delle "credenziali", non mi permette di manovrare all'interno di quell'infrastruttura. Questo è ciò a cui si sta cercando di arrivare.
Quello che stai dicendo è che SDN e SDP sono davvero due delle basi componenti in un Architettura ZT? Potresti spiegarlo?
Quando si guarda allo stato attuale della ZT, penso che sia tutto su endpoint sicuri, dispositivi mobili gestiti, perimetri definiti dal software, buona identità e gestione degli accessi, autenticazione a più fattori, ecc. E mentre ci sono altri componenti che si può andare più giù nella tana del coniglio con lì, penso che se si dice che cosa sono le cose immediate di base "post-COVID" che è tipo di dove siamo in questo momento.
Ora si applica tutto questo attraverso il browser, si potrebbe fare attraverso altre soluzioni, ma questo è un po' il pezzo di base come è oggi.
Sempre più venditori stanno applicando ZT, SDP e altro gergo nei loro discorsi, e Immagino che le imprese sono sempre più cercando attivamente per soluzioni che sono abilitati all'interno di questa filosofia. È qualcosa che si può riconoscono pure, vedendo questo cambiamento che sta avvenendo nel mercato?
Sì, penso che il mercato stesso si sia abbastanza allineato sullo ZT che è il futuro stadio per le infrastrutture di sicurezza. La ragione è che c'è stata una tale crescita all'interno degli Stati Uniti (dal DOD alle banche all'assistenza sanitaria) e ci sono stati gruppi di lavoro formulaici intorno a questa filosofia. Ma poi, d'altra parte, ricevo un sacco di conversazioni e chiamate con persone in Europa, Australia e Giappone - così tutta questa cosa è diventata una specie di punto di rimbalzo globale per ciò che la sicurezza sembra nel futuro. E questo accade perché ha senso, perché si basa su una strategia, non solo su "più" tecnologia.
Parliamo un po' di Awingu in un contesto ZT. È una soluzione che è progettato per permettere davvero BYOD, tra gli altrima in modo sicuro. Tutto funziona attraverso il browser, noi aggregare diversi tipi di applicazioni e fare disponibili in HTML5, tutto è disponibile in modo sicuro in un browser attraverso un canale criptatoeccetera. MFA è costruito-inc'è ovviamente niente che gira localmente sul dispositivo - anche se il vostro dispositivo viene compromessoconosci la tua sicurezza perimetro è molto più isolato. Come vedi Awingu nel Zero Fiducia paesaggio e filosofia?
Abbiamo coperto Awingu in alcune delle nostre ricerche, e penso che Awingu rappresenti lo stato futuro di ciò verso cui stiamo puntando in termini di sicurezza informatica. Si adatta alla scatola del tipo di soluzione in cui si può tranquillamente dire che si sta impacchettando la sicurezza, è qualcosa che è nativo per l'esperienza dell'utente, è in esecuzione all'interno del browser (soprattutto tramite HTML5) e si mette l'utente in questo senza spingere nuove macchine a loro, senza VPN e altre cosiddette soluzioni. Basta dire "ecco il tuo browser, ecco la tua cosa, vai e fai operazioni sicure". E c'è un sacco di innovazione in corso in quello spazio. In altre parole, penso che nel contesto di Zero Trust una soluzione come Awingu abbia molto senso.
Sicuramente. I dipartimenti IT hanno il capacità di sostituire VPN con un modo diverso di lavorare. È un approccio diverso per risolvere lo stesso uso-casi, ma l'utente-centrico e con semplicità e la sicurezza al centro.
Se si guarda a cinque o dieci anni fa rispetto a oggi, vedi grandi cambiamenti o è anche focalizzato sul "mantenere le cose semplici e gli hacker che trovano i modi semplici per entrare?
Si tratta ancora di semplicità. Sapete, ero un 'red teamer', ed essendo dalla parte del red teamer non devi cercare di fare cose super folli. La maggior parte delle volte, anche se si guarda a quello che sta succedendo, il phishing è molto utile, perché il phising provoca i click e ottengono le credenziali e questo tipo di cose. O il ransomware è un grosso problema, perché l'antivirus non ha fermato quel tipo di problema. Quindi non è che ci sia bisogno di soluzioni davvero complesse, si tratta davvero della soluzione giusta applicata nel modo giusto per negare tutte le basi con cui le persone causano i compromessi.
Quindi... posso semplificare e dire che gli esseri umani sono in genere l'anello più debole? Non sono di per sé gli strumenti che stiamo usando, ma forse sono i processi che sono troppo complessi, o le persone non seguono i processi, o stiamo usando la tecnologia giusta ma non lo stiamo distribuendo correttamente. Si riduce alla semplicità e all'esperienza dell'utente?
Sai, ho avuto un cambiamento di pensiero negli ultimi due anni. Ero solito pensare che le persone fossero il problema, e non lo penso più. Quello che penso davvero ora è che noi, le persone, abbiamo tipicamente reso la sicurezza qualcosa per gli ingegneri della sicurezza, non per l'utente medio. Quindi ciò di cui abbiamo bisogno sono soluzioni che stanno di fronte all'utente medio che onestamente non possono 'rovinare'. Che non facciano altro che fare il loro lavoro, operando in un ambiente sicuro, e poi non ci si debba preoccupare.
E se riusciamo a farlo - si è parlato molto di democratizzare la sicurezza e questo tipo di cose - stiamo facendo in modo che non debbano preoccuparsi di operare nel modo giusto. Ed è a questo che vogliamo arrivare.
Quindi, in realtà, se facciamo delle soluzioni che sono abbastanza semplici, fondamentalmente che soddisfare il giusto livello di esperienza utente per l'utente giusto, allora vedremo molte meno violazioni entrare?
Sì, e questo è uno dei motivi per cui parlo molto con la gente di cose che forse funzionano attraverso il browser, come roba di isolamento del browser, sicurezza containerizzata, questi tipi di applicazioni, dove l'utente - sa come usare un browser - quindi metti tutti i tuoi controlli di sicurezza lì, e spingili attraverso quello e poi, non preoccuparti di altro. Questo è ciò che vuoi: vuoi facilità d'uso, proprio come tutto il resto. La sicurezza non dovrebbe essere super difficile, dovrebbe essere solo: "fai il tuo lavoro". A meno che tu non sia un ingegnere della sicurezza. Allora è difficile, allora è tutto un altro livello.
Un sacco di cose riguardano comportamento dell'utente: fare cose semplice e mutevole comportamento. Introdurre cose che non sono molto complesse da organizzare, come MFA. Ma cambiare il comportamento degli utenti per rendere assicurarsi che sappiate che adottano quei nuovi coseQuesto è ciò che dovete fare. Ad un livello più alto che tipo, di consiglio darebbe a voi sapete le imprese, istituzioni pubbliche, eccetera su come assicurare il loro operazioni e in particolare il loro spazio di lavoro?
Penso che l'infrastruttura dovrebbe essere il più possibile "sicura" a livello aziendale. In secondo luogo, utenti ed endpoint il più sicuri possibile. E la regione tra questi due è solo uno spazio contestato e poi essere in grado di spingere i controlli verso l'endpoint, l'utente, che permette loro di operare in un modo che è per natura sicuro senza problemi di default. Inoltre, spingendoli attraverso quei canali e facendo in modo che non abbiano altra scelta che operare in quel modo. Ed è a questo che si sta cercando di arrivare.
Non vogliamo una sicurezza opzionale, non vogliamo che la gente debba scegliere quello che è meglio. Quando è facile e quando è confezionato e quando è spinto fuori a quelle persone che ora sono remote - voglio dire, con COVID-19 100% del mondo ora è fuori dal perimetro. Smettete di provare a fare le vecchie cose che stavate facendo e passate a questo nuovo approccio.
Quindi stai dicendo: "uccidete la password", "uccidete la VPN" e adottate questa filosofia Zero Trust per la vostra sicurezza informatica. Penso che sia un ottimo consiglio.
Chi sta facendo questo hacking di cui hai parlato? Voglio direci devono essere diversi gruppi con diversi obiettivi per fare questoo è c'è davvero uno specifico obiettivo per questi hacker?
Beh, dipende. Ho messo alcune cose nel mio libro sulla storia dell'APT e su ciò a cui mirano le diverse organizzazioni in termini di hacking. C'è una differenza tra il tipo di attività dello stato nazionale (che è la grande sorta di roba strategica in cui gli Stati Uniti e altri paesi sono impegnati per ottenere un vantaggio strategico) e c'è il lato criminale. Quindi, in questo momento, molto di ciò che si sta vedendo è una sorta di chiunque, ovunque possa trovare un nuovo punto d'appoggio, lo sta usando. Potrebbe essere una APT che sta solo cercando di ottenere un punto d'appoggio per usarlo in seguito per qualcosa, o potrebbe essere un'organizzazione criminale che sta solo cercando di fare le sue operazioni criminali.
Hai fatto cadere il acronimo APT - puoi spiegare questo brevemente?
APT è fondamentalmente la Advanced Persistent Threat di cui si sente parlare sempre nei notiziari. Ciò che in realtà deriva da un gruppo di colonnelli dell'aeronautica militare che si sono seduti e hanno detto: "Beh, cosa significa veramente se uno stato nazionale sta per provare ad hackerare un altro stato nazionale?" Hanno inventato questo termine. La minaccia persistente che continuerà a perseguire organizzazioni che hanno grandi finanziamenti, grandi risorse e che mirano ad attività di livello strategico nazionale.
L'hai descritto bene nel tuo anche il libro - Consiglio a chiunque sia interessato di leggere soprattutto quei capitoli. È interessante vedere come diverse nazioni hanno obiettivi diversi e diversi tecniche che applicano.
Parlando di sicurezza informatica e di guerra, se facciamo uno zoom sulle imprese: quali direbbe che sono oggi le principali minacce, se può riassumerle in poche parole?
Beh, penso che ci sia un capitolo nel mio libro sul cercare di superare ciò che i cattivi stanno tipicamente cercando e poi il vero nocciolo della questione è non rendere questo facile per loro. Nella mia mente, e questo si basa sulla storia e l'esperienza, se potete sbarazzarvi della password - questa è una delle cose più importanti. Inoltre, se potete sbarazzarvi delle VPN, anche questo è molto importante.
E se si può effettivamente lavorare intorno alle configurazioni di default e spingere la propria organizzazione a una posizione intorno al mantra Zero Trust, si sta eliminando molto di ciò che l'avversario ha bisogno per fare quelle attività compromettenti. Questo è il motivo per cui stavo davvero spingendo la storia di questo: perché c'è un sacco di roba nei media e nelle notizie sull'IA e questi hack pazzi e quant'altro. Tuttavia, la maggior parte di ciò che si vede è sfruttamento basato su queste cose molto semplici. Non qualche "mega super hack alimentato dall'IA".
Parliamo di 'uccidere la password'. Perché dovremmo uccidere le password?
Bene, quindi, ho pubblicato una ricerca su questo, ma è stata sostenuta da altre organizzazioni che hanno pubblicato la ricerca. Quindi, abbastanza interessante, all'incirca ci sono 15 miliardi di credenziali compromesse in questo momento, attualmente disponibili. Ci sono solo 7 miliardi di persone sul pianeta, quindi questo significa, fondamentalmente, che tutti hanno almeno una password compromessa. Perché dovreste considerarvi 'sicuri' quando sfruttate qualcosa che garantite a qualche livello sia compromesso? E non intendo categoricamente non avere mai una password da nessuna parte, perché questo non funzionerà. Ma usando sistemi in cui si ha l'autenticazione a più fattori (MFA) e la biometria basata sulla password, tutte queste altre cose, non dovrebbe essere così difficile.
Mia figlia di dieci anni sa come fare l'MFA per Fortnite. Quindi è qualcosa che dovremmo essere in grado di impostare e utilizzare. E non è così difficile. È abbastanza un 'difference-maker' per le organizzazioni che se puoi farlo, cambia il gioco.
Tu tocchi l'AMFche esiste in diversi gusti, ma è sul mercato da molti, molti, molti anni. E credo che si tratti anche di utente-esperienza e le persone sono riluttanti a usare l'MFA perché lo vedono come una seccatura, anche se il beneficio di sicurezza è molto più alto. Quali sono, per lei, le principali tendenze se si guarda al panorama degli MFA o, per estensione, sicurezza nel processo di autenticazione?
Penso che si stia muovendo in uno spazio in cui tutto è costruito intorno all'utente e all'identità. Se si torna indietro storicamente e si guarda a dove era la sicurezza dieci anni fa, era intorno ai firewall e alla rete. E ora si tratta davvero dell'utente, dell'identità e dell'accesso ed è verso questo che stiamo continuando a progredire. Quindi questa evoluzione significa che la sicurezza sarà più focalizzata su ciò che fa l'utente finale, l'analisi comportamentale, questo tipo di cose. Non deve essere così difficile come si potrebbe pensare per le persone di adottare questo e fortunatamente ci stiamo muovendo in uno spazio in cui le banche e l'assistenza sanitaria si stanno anche muovendo verso autenticazioni a più fattori, quindi la maggior parte delle persone stanno diventando più familiari con. se voglio entrare nel mio conto bancario, "devo impostare MFA o 2FA", o almeno lo hanno visto da qualche parte.
Se consideriamo Awingu come una piattaforma di soluzioni, abbiamo incorporato Capacità MFA. Sono super facili da attivare dal punto di vista dell'amministratore: basta farla scorrere per aprirla e i tuoi utenti sono abilitati con l'MFA. E se il sapore incorporato non è abbastanza buono o vuoi qualcos'altro, bene, potete connettervi a tutta una serie di anche soluzioni MFA di terze parti in quel mix.
Ma quello a cui volevo arrivare è che ancora, in alcuni casi, quando presentiamo la tecnologia a amministratori, si ha una sorta di contraccolpo. Anche se è super facile attivarlo e basta, l'amministratore è come: "Sì, ma i miei utenti - e in particolare gli utenti anziani - non vogliono usare l'MFA perché pensano che sia un dolore. Vogliono solo mettere il nome utente e la password della cache, e va bene". Come possono colmare questo divario, e come possono educare, o forse prendere i loro utenti finali nel viaggio della sicurezza?
Sì, faccio un sacco di workshop su questo con le persone e una cosa di cui ho parlato con loro è la tua auto, giusto, l'auto che guidi ha una cintura di sicurezza, e ha un airbag. E ti ci vogliono, cosa, tre secondi in più per entrare in macchina e allacciare la cintura? Tuttavia, la sopravvivenza statistica di un incidente d'auto indossando una cintura di sicurezza è esponenzialmente più alta che non indossandola. Quindi vale la pena impiegare quei tre secondi in più per agganciarsi? È la stessa cosa con le password e l'MFA. Se vuoi mantenere il tuo lavoro, se vuoi mantenere il tuo business attivo e funzionante e non vuoi rischiare una compromissione, prendi il numero x di secondi in più per un blip che appare sul tuo telefono e clicca su 'autentica'.
Per qualsiasi persona logica, a parte il fatto di essere stata davvero indirizzata a non avere un cambiamento in atto, non c'è modo di sostenere che questo abbia senso e devo ancora imbattermi in un'organizzazione che, una volta che la affronti da questo punto di vista, non dica "ok, ho capito".
Se mettiamo il 'Bring Your Own Device' (BYOD) in quel mix... Sai, VPN in un mondo BYOD sembra essere una partita piuttosto difficile.
Sì. Voglio dire, dovremmo vivere in un mondo che è BYOD. Onestamente, è lì che c'è il risparmio per l'impresa. Perché, come CEO, dovrei comprare alla gente dei portatili quando ne hanno già uno a casa? Non sarebbe meglio se potessi semplicemente dire: "Fai il tuo lavoro, usa la tua macchina, ti metterò dei controlli davanti e finché accedi alle risorse aziendali, mi assicurerò che tu sia protetto. Se stai facendo cose nella natura selvaggia di internet, è il tuo dispositivo - impazzisci. Questa è la tua cosa".
Se noi, non zoomando su specifici fornitori di VPN, basta guardare alle notizie degli ultimi dodici mesi, probabilmente tutti i principali fornitori hanno avuto le loro sfide. C'è un contesto in cui direbbe Ok, usare una VPN va ancora bene, o dovremmo semplicemente eliminare del tutto la VPN?
Quindi penso che se si pianifica a lungo termine, dopo che tutta questa sorta di 'cosa di crisi' si è livellata, penso che si uccida categoricamente la VPN. Io consiglio sempre alle persone: lavorate per sbarazzarvi di password e VPN. Tuttavia, per il tempo immediato, se non hai altra scelta, la VPN è meglio di niente. Quindi è una di quelle cose in cui, a lungo termine, si vuole andare oltre la VPN. Pianifica il tuo budget, guarda a quello, spostati in quello stato. Tuttavia, se sei in quello spazio proprio ora dove stai facendo tre anni di innovazione in tre settimane, una VPN è una soluzione vivibile. È meglio di niente.
Perché pensi che sia così difficile per le imprese sbarazzarsi della VPN o passare a il prossimo hype, la prossima generazione di tecnologia?
È qui che torno alla cosa che ho detto un po' prima: abbiamo bisogno di fare soluzioni di sicurezza che siano più facili da usare per tutti e con cui abbiano più familiarità. Le VPN sono ancora qualcosa che devi dire loro di scaricare, devono mettere la giusta configurazione del server, devono usare la password, il nome utente, ecc. È più complicato, ma la gente ha relativamente familiarità con una VPN, anche le 'persone non tecnologiche' capiscono cosa sono le VPN perché sono state vendute nei media, nel marketing e quant'altro. Quindi è un po' più familiare, ma non è migliore per nessun motivo.
Abbiamo già parlato di corona o COVID-19. Abbiamo visto, da un fornitore prospettivaè che ci sono molte aziende che fanno RDP e avere ambienti RDP aperti - che è abbastanza facile da mappa. Allo stesso tempo, quello che abbiamo visto da l'epidemia di corona è che c'è un sacco di più aperto Porte RDP là fuori nel mercato, globalmente. Immagino che questo possa significare solo ci sarà più (o ci hasono già stati molto di più) violazioneche non sono stati ancora identificati. Come esperto di argomenti, cosa vedi come il principale, sapete, problema o il principale tipi di violazioni e focolai da la pandemia ci ha colpito?
Gli ultimi numeri che ho visto riguardavano il phishing, che è aumentato di 600% anno dopo anno. È un numero impressionante. Oltre a questo, il dirottamento RDP e la ricerca di server RDP vulnerabili sono aumentati di 3-400%. La gente sta frugando, cercando di trovare server RDP vulnerabili. Queste due cose, essendo così in aumento, significano che ci sono molti altri compromessi di cui non siamo ancora a conoscenza. La ragione è, naturalmente, perché la gente sta rimescolando per rispondere e mantenere le aziende attive e funzionanti. Ci vorrà un po' prima che trovino effettivamente molti di questi compromessi, ma vi garantisco che accadrà. Esattamente a causa di quello che stai dicendo: la gente ha fatto girare i server per mantenere il business durante Corona.
Discutiamo un'altra cosa. Come esperto di argomenti - Lei ha, dopo tutto, scritto il libro su guerra cibernetica - se avete bisogno di fare previsioni sulla sicurezza informatica paesaggio in un orizzonte da cinque a dieci anniquali pensi che saranno i principali sfide per le organizzazioni che ci precedono. E tu può essere specifico lì.
Penso che saremo ancora in un mondo che, purtroppo, fa molte delle stesse cose. Gli ultimi 30 anni torneranno in una versione diversa per il futuro. Mi dà ancora un po' fastidio, e ci perdo il sonno, che la gente si opponga ai principi di sicurezza. "Perché vogliamo l'MFA?" "Perché vogliamo alternative sicure alle VPN?" È perché c'è ancora questo problema intorno all'"essere a proprio agio". Dove stiamo andando è che questa roba diventerà più onnipresente. Diventerà più integrata nell'esperienza dell'utente e questo aiuterà ad eliminare parte di questo. Ma continueremo ad avere sfruttamenti di questo tipo di cose per il prossimo futuro, semplicemente a causa del problema della cultura. Il fatto che all'uomo non piace cambiare il modo in cui fa le cose, piuttosto che la mancanza di tecnologia.
Quindi pensi che tra 10 anni ora useremo ancora solo il semplice passwords?
Oh signore, spero di no.
Penso che questo lo riassuma perfettamente. Grazie per esserti unito a noi, Chase!
English 
Italian 
German 
Spanish 
French