Get Cyber Resilient Ep 54 | Der Schnittpunkt von Cybersicherheit und Politik - mit Dmitri Alperovitch
Dmitri Alperovitch ist diese Woche zu Gast im GCR-Podcast. Gründer und ehemaliger CTO von CrowdStrike, Executive Chairman von Silverado Policy Accelerator und ein Mann, der unter anderem vom MIT Technology Review als "Top 35 Innovators Under 35" und vom Fortune Magazine als "40 under 40" ausgezeichnet wurde.
In dieser ganz besonderen Folge sprechen Gar und Dmitri darüber, wie es ist, an der Schnittstelle zwischen Cybersicherheit und Politik einen Platz in der ersten Reihe zu haben, über die Bedeutung von Vorschriften zum Schutz von Kunden, den Anstieg von Ransomware und die imaginäre "neue Normalität" für Cybersicherheit.
Die Get Cyber Resilient Show Episode #54 Transkript
Garrett O'Hara: Willkommen zum Get Cyber Resilient Podcast. Ich bin Gar O'Hara, und heute ist Dmitri Alperovitch bei mir, der Gründer und ehemalige CTO von CrowdStrike. Derzeit ist er geschäftsführender Vorsitzender von Silverado Policy Accelerator und allgemein eine weltweit angesehene Persönlichkeit im Bereich der Cybersicherheit.
Seine lange Liste von Auszeichnungen umfasst die Top 35 Innovatoren unter 35 des MIT Technology Review, die 40 unter 40 des Fortune Magazine für einflussreiche Persönlichkeiten in der Wirtschaft und die Top 100 Leading Global Thinkers der Foreign Policy. In dieser Folge sprechen wir darüber, wie es ist, in der ersten Reihe zu sitzen, wenn sich die Geschichte an der Schnittstelle zwischen Cybersicherheit und Politik abspielt, über die Bedeutung von KYC-Vorschriften (Know Your Customer), Ransomware, Attribution, die imaginäre neue Normalität für Cybersicherheit, nationale und internationale Ansätze für Cybersicherheit und den Wert von Audits für die Öffentlichkeit.
Es ist eine vollgepackte Folge, und angesichts von Dmitris weltweitem Einfluss im Bereich der Cybersicherheit sind wir sehr dankbar, dass wir die Zeit mit ihm verbringen konnten. Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient Podcast. Ich bin Gar O'Hara. Heute ist Dmitri Alperovitch bei mir, geschäftsführender Vorsitzender von Silverado Policy Accelerator und, wie viele wissen, Mitbegründer und CTO von CrowdStrike. Und auch Vorstandsmitglied in vielen, vielen Organisationen. Guten Morgen Dmitri, wie geht es Ihnen heute?
Dmitri Alperovitch: Großartig. Danke, dass ich dabei sein durfte.
Garrett O'Hara: Wir beginnen immer mit einer kleinen Biografie. Und ich schätze, viele Leute werden natürlich wissen, [lacht], wer Sie sind. aber es wäre schön, von Ihnen zu hören, wie Sie mit Silverado dorthin gekommen sind, wo Sie heute sind.
Dmitri Alperovitch: Auf jeden Fall. Ich bin seit mehr als 25 Jahren im Bereich Cybersicherheit tätig, sowohl in kleinen als auch in großen Unternehmen, bevor ich CrowdStrike gründete. Ich war bei McAfee, das wir an Intel verkauft haben, und blieb für ein paar Jahre bei Intel, etwa ein Jahr lang. Auf die Idee, CrowdStrike zu gründen, kam ich durch ein entscheidendes Ereignis, nämlich den Hack von Google im Jahr 2010 aus China. tatsächlich 29, 2009, und, war es, im Jahr 2010 enthüllt.
Aber es war das erste Mal, dass ein Staat in aller Öffentlichkeit gegen ein privates Unternehmen vorging. Heute, 11 Jahre später, scheint es verrückt zu sein, wenn wir jeden Tag von neuen Geschichten darüber lesen. Aber damals war das etwas Unerhörtes, und es gab eine Menge, ich erinnere mich bis heute, Verwirrung über die Zuordnung. Es gab Leute, die Fragen dazu stellten und sagten: "Das ist ein Botnetz, das kann nicht aus China sein." Sie wissen, dass "Nationalstaaten so etwas nicht tun."
Das waren buchstäblich die Argumente, die einige Leute zu dieser Zeit vorbrachten. Aber ich war an dieser Untersuchung beteiligt und nannte sie schließlich Operation Aurora. Und mir wurde klar, dass dies ein Wendepunkt war und dass sich in Zukunft alles ändern würde. Wenn man es mit einem nationalstaatlichen Akteur zu tun hat, der nicht nur über unglaubliche Ressourcen verfügt, sondern auch in der Lage ist, nicht-cybertechnische Fähigkeiten zu nutzen, Leute zu bestechen oder zu erpressen, um Zugang zu Netzwerken zu erhalten.
Und das Wichtigste ist, dass man in der Lage ist, Organisationen sehr präzise anzusprechen und wirklich wie ein Hund mit einem Knochen nicht loszulassen, bis sie in der Lage sind, hineinzukommen. Dies stellte ein völlig neues Bedrohungsmodell dar, das die Branche bisher nicht kannte. Und das hat mich schließlich dazu gebracht, CrowdStrike mitzugründen. Wir haben zunächst versucht, uns auf die Lösung dieses sehr wichtigen Problems zu konzentrieren, weil wir dachten, dass wir das schaffen könnten. Dann würde alles andere leicht werden. Und, und, es erwies sich als eine ziemlich gute Idee, wissen Sie, jetzt, 10 Jahre später.
Garrett O'Hara: Ja.
Dmitri Alperovitch: Und letztes Jahr, nachdem ich ein großartiges Unternehmen aufgebaut und an die Börse gebracht hatte, war es für mich der richtige Zeitpunkt, mich zurückzuziehen, denn dem Unternehmen geht es jetzt phänomenal gut. Und ich möchte mich in der nächsten Phase meines Lebens darauf konzentrieren, etwas zurückzugeben. Und ein Teil davon ist, dass ich die Tatsache ausnutze, dass ich in Washington D.C. lebe, dass ich schon immer ein unglaubliches Interesse an der Politik hatte und versucht habe, das Land in die richtige Richtung zu bewegen, aber nie die Zeit hatte, mich wirklich Vollzeit damit zu beschäftigen. Und jetzt habe ich den Luxus, das zu tun.
Und genau das ist es, was den Silverado ausmacht. Es geht darum, herauszufinden, wie wir die Wettbewerbsfähigkeit Amerikas und seiner Verbündeten im 21. Jahrhundert in dieser Zeit des erneuten Großmachtwettbewerbs stärken können. Wie können wir sicherstellen, dass wir aus Sicht der Regierung das Richtige tun, um Innovationen zu fördern und das Richtige für unsere nationale Sicherheit zu tun? Und wir arbeiten wirklich auf drei spezifischen Säulen. Es wird niemanden überraschen, dass dies immer noch ein Thema ist, das mir sehr am Herzen liegt und immer wichtiger wird, wenn es um die nationale Sicherheit geht.
Aber die anderen beiden sind auch sehr wichtig. Die zweite Säule ist der Handel und die industrielle Sicherheit. Wie treffen wir als Nation zusammen mit unseren Verbündeten die richtigen Entscheidungen, um wirtschaftlichen Wohlstand durch Handel und strategische Investitionen zu fördern? Und der dritte Bereich ist das, was wir Öko-Sec nennen. Der Schnittpunkt zwischen ökologischer und wirtschaftlicher Sicherheit. Wie können wir in dieser Zeit des Klimawandels die Innovation wieder in Schwung bringen? Wie finden wir Wege, um die Auswirkungen des Klimawandels und die Auswirkungen auf unsere Ökologie auf eine Art und Weise abzuschwächen, die uns auch weiterbringt und unsere wirtschaftlichen Interessen fördert?
Das sind also die drei Dinge, an denen wir arbeiten, und unser Ziel ist es, mit den politischen Entscheidungsträgern in Washington und anderswo zusammenzuarbeiten, um sicherzustellen, dass wir als Regierung das Richtige tun, um den Ball voranzubringen. Für Ihre australischen Zuhörer ist es vielleicht interessant zu wissen, dass einer der Personen, mit denen wir eng zusammenarbeiten und die auch den Vorsitz in unserem Strategischen Rat innehaben, Ihr ehemaliger Premierminister Malcolm Turnbull ist.
Auch hier ist die Arbeit der Verbündeten sehr, sehr wichtig für uns. Es gibt keine Möglichkeit, dass Amerika in diesem erneuten, wie ich glaube, neuen Kalten Krieg mit China erfolgreich sein kann, wenn es dies allein tut. Wir brauchen Verbündete. Australien ist ein wichtiger Verbündeter unseres Landes, und wir müssen Wege finden, so zusammenzuarbeiten, dass die Interessen beider Länder und die Interessen unserer anderen Freunde gefördert werden. Und Malcolm war einfach eine fantastische Ressource. die uns helfen, über diese Fragen nachzudenken.
Garrett O'Hara: Und wissen Sie, [unhörbar 00:07:06] Malcolm kommt aus einer Art technologischem Hintergrund. Und, wissen Sie, als jemand, der sich damit beschäftigt hat, ist er wahrscheinlich eine besonders gute Wahl für die Arbeit in diesem Bereich.
Eines der Dinge, zu denen ich Kommentare aus den USA und wahrscheinlich auch weltweit gehört habe, ist die Tatsache, dass es manchmal eine gewisse Distanz zu den Menschen in der Politik gibt. Es handelt sich dabei in der Regel um ältere Menschen, die keine Digital Natives sind und die die Technologie oder die Bedrohungen manchmal nicht auf einer intrinsischen Ebene verstehen. Was halten Sie als jemand, der versucht, die Politik zu beeinflussen, davon? Wie dringt man zu Menschen durch, die möglicherweise den Ernst der Lage oder die Auswirkungen von Dingen wie Cybersicherheit nicht wirklich verstehen?
Dmitri Alperovitch: Wissen Sie, ich glaube, die Dinge haben sich sehr verändert, zumindest in den USA. Ich bin mit der politischen Landschaft Australiens nicht so vertraut. Aber in den USA haben wir viele neue Leute, die in die Politik gegangen sind, Leute, die... es ist erstaunlich für mich, das zu sagen, aber jünger sind als ich.
Garrett O'Hara: [lacht].
Dmitri Alperovitch: die im Kongress sitzen, die sicherlich Digital Natives sind. Viele, viele von ihnen haben in den Kriegen im Irak und in Afghanistan gedient und sich nach ihrem Ausscheiden aus dem Militär entschieden, sich weiterhin im öffentlichen Dienst zu engagieren. Sie haben also durchaus Verständnis für diese Probleme.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: Und selbst Menschen, die schon älter sind, brauchen nur eine Zeitung in die Hand zu nehmen oder die Fernsehnachrichten anzuschauen und von Cyberproblemen zu hören, von Hacks wie SolarWinds und anderen, die wir in den letzten Monaten beobachtet haben, um zu verstehen, dass dies eine große Sache ist. Sie verstehen vielleicht nicht alle Details oder die richtigen Lösungen, und hier kommen wir ins Spiel, um zu helfen, Kontakte zu knüpfen und Bildung zu vermitteln, aber vor allem politische Vorschläge zu unterbreiten, die unserer Meinung nach hilfreich sein können, um uns zu einem besseren Ort zu bringen.
Garrett O'Hara: Auf jeden Fall. Eines der Dinge, die Sie angesprochen haben, ist das Konzept "Kenne deinen Kunden", das es in der Finanzbranche in vielen verschiedenen Ländern gibt, und wir beginnen, einen Vorstoß in diese Richtung in der Technologie zu sehen. Und, um den Kontext zu verdeutlichen, einige der Angriffe auf SolarWinds oder Holiday Bears, wie Sie und einige Leute in der Branche es nennen, nutzten die Cloud-Infrastruktur in den USA, auf die die US-Behörden nicht wirklich zugreifen konnten, weil sie sich auf einer Art souveränem Boden in Amerika befindet.
Wie sehen Sie die Arbeit von know your customer für Technologieunternehmen? Und, gibt es Probleme? Gibt es irgendwelche Dinge, über die wir nachdenken sollten?
Dmitri Alperovitch: Ja, das ist eine gute Frage. Ich denke also, dass KYC, also "Kenne deinen Kunden", mehrere Schlüsselrollen bei der Eindämmung der Bedrohungslage spielt. Eine, und ich denke, die wichtigste, ist eigentlich nicht einmal spezifisch für das Internet, sondern bezieht sich auf Kryptowährungen. Wenn man sich die heutigen Cyber-Bedrohungen ansieht, ist Ransomware mit Abstand die größte Gefahr. Wenn man sich anschaut, was heute passiert - ich hasse es fast, diesen Begriff zu verwenden -, dann befinden wir uns inmitten einer Pandemie, aber wir haben es heute wirklich mit einer weltweiten Ransomware-Epidemie zu tun.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: Und das Traurigste ist, dass es die Schwächsten, die Organisationen unter uns, sind, die zum Opfer fallen. Krankenhäuser, Schulbezirke, kleine Unternehmen, die durch einen einzigen Ransomware-Angriff in den Ruin getrieben werden könnten. Und die Situation wird immer schlimmer, denn die Lösegeldzahlungen, die sie fordern, belaufen sich inzwischen auf einen zweistelligen Millionen-Dollar-Betrag. Das ist wirklich überall ein großes Problem.
Und der Hauptgrund für die explosionsartige Zunahme von Ransomware-Fällen hat mit Kryptowährung zu tun. Wenn es keine Kryptowährung gäbe, wenn es keine anonyme Möglichkeit gäbe, dass diese kriminellen Gruppen bezahlt werden und diese Angriffe orchestrieren können, hätten wir dieses Problem nicht. Es ist kein Zufall, dass Ransomware nach der Erfindung von Bitcoin zu einer großen Bedrohung geworden ist. Vor der Kryptowährung gab es sicherlich vereinzelte Fälle von Ransomware, aber damals musste man eine Nachricht hinterlassen, in der es hieß: "Bitte überweisen Sie das Geld auf dieses Bankkonto."
Wie Sie sich vorstellen können, wäre das für die Strafverfolgungsbehörden ziemlich einfach nachzuvollziehen, und, und, und sie haben, und sie haben. Und diese Personen würden erwischt werden, oder die Zahlungen würden unterwegs gestoppt werden. Es war also bei kriminellen Gruppen nie beliebt, weil sie es nicht durchführen konnten, bevor sie nicht eine Möglichkeit hatten, pseudo-anonym Zahlungen zu sammeln.
Und die KYC für Kryptowährungsbörsen, die im Dezember letzten Jahres vom Finanzministerium vorgeschlagen wurde, und an deren Umsetzung jetzt gearbeitet wird, sind der Schlüssel zur Eindämmung dieser Epidemie und machen es für Kriminelle viel schwieriger, Geld zu bekommen. Und das Ergebnis ist, dass sie Anreize haben, diese Angriffe weiter zu orchestrieren.
Das ist also die Nummer eins. Die zweite war eine wirklich interessante Idee, und als ich sie zum ersten Mal sah, wurde sie vom Weißen Haus buchstäblich am letzten Tag der Trump-Administration veröffentlicht, so dass die meisten Leute sie nicht bemerkten, aber als ich sie sah, hatte ich von dieser Idee noch nie gehört, und ich dachte: "Wow, das ist wirklich sehr innovativ."
Was also passiert ist, ist, dass während SolarWinds oder Holiday Bear Operation, wie ich es nenne, sowie bei den Exchange-Hacks vor ein paar Monaten, aber auch bei vielen anderen Angriffen, wir gesehen haben, dass die Gegner erkannt haben, dass, wenn sie Infrastruktur in den USA von US-Cloud-Anbietern, US-Hosting-Anbietern kaufen oder stehlen, dies die amerikanische Reaktion verlangsamen wird. Das wird sie nicht aufhalten, aber es wird für die US-Geheimdienste und sogar die US-Strafverfolgungsbehörden sehr viel schwieriger sein, Zugang zu dieser Infrastruktur zu erhalten.
Wenn es sich um eine Bedrohung durch ausländische Nachrichtendienste handelt, müssen sie ein so genanntes FISA-Bewilligungsverfahren durchlaufen, das eine Reihe von bürokratischen Schritten umfasst, die den Prozess verlangsamen. All das macht es den Gegnern leichter, sich schneller zu bewegen und die Fähigkeit der amerikanischen Regierung zu verlangsamen, zu reagieren, Informationen auszutauschen und Erkenntnisse über die Geschehnisse zu gewinnen.
Und die Gegner haben dies eindeutig zur Kenntnis genommen und nutzen es aus. Eine Möglichkeit, darauf zu reagieren, ohne die bürgerlichen Freiheiten weiter zu verletzen, was sicherlich die meisten Amerikaner ablehnen würden, besteht darin, diese Akteure vom Ausland, vom heimischen Boden ins Ausland zu vertreiben. Und dieser Vorschlag, von Cloud-Anbietern zu verlangen, dass sie ihre Kunden bei der Registrierung neuer Konten überprüfen, ist sehr interessant, weil es dadurch für ausländische Geheimdienste sehr viel schwieriger wäre, Konten von Briefkastenfirmen und dergleichen bereitzustellen und sie für solche Angriffe zu nutzen.
Das würde es nicht unmöglich machen, sie könnten immer noch Wege finden, es zu tun, aber es würde die Kosten erheblich erhöhen, bis zu dem Punkt, an dem es sich für sie wahrscheinlich nicht mehr lohnen würde, es zu tun. Also eine sehr interessante Idee. Wie Sie sich vorstellen können, sind die Cloud-Unternehmen darüber nicht begeistert. und wir werden sehen, was passiert. Aber es war eine sehr innovative Art, ein Problem anzugehen.
Garrett O'Hara: Auf jeden Fall. Und Sie haben hier auf die Idee der Zusammenarbeit hingewiesen. Ich meine, Ransomware ist, wie Sie sagen, absolut im Trend, es ist ein nationales Thema in Australien, und beide Seiten der politischen Kluft erstellen Papiere darüber, wie man es angehen kann. Es ist ein wenig politisiert worden. Sehr, sehr wenig, würde ich sagen, denn ich denke, jeder erkennt, wie wichtig es ist, dieses Problem zu lösen. Es ist eine, Sie wissen schon, eine, eine bedeutende Auswirkung auf unsere Wirtschaft.
Wie sehen Sie den nationalen gegenüber dem internationalen Ansatz und die Zusammenarbeit, die wir vermutlich brauchen? Aber auch das Verhältnis zwischen Regierungen und privaten Unternehmen, wenn es um das Problem der Ransomware geht, aber wahrscheinlich auch um allgemeinere Probleme der Cybersicherheit.
Dmitri Alperovitch: Nun, wie bei fast jedem Cybersicherheitsproblem ist die Lösung nicht national, sie ist international. Und wenn wir dieses Problem in den Griff bekommen wollen, müssen wir unbedingt unsere Partnerschaften mit Verbündeten nutzen. Wenn ich mir einige der erfolgreicheren Operationen der US-Regierung im Bereich der Zerschlagung von Botnetzen anschaue, dann haben sie seit Ende der 2000er Jahre Botnetze zerschlagen. Viele dieser Operationen waren nicht erfolgreich, weil sie in einer technischen Operation versuchten, ein Botnetz auszuschalten, und die kriminellen Gruppen dann drei Monate später die Operationen wieder aufnahmen, das Botnetz umrüsteten und neu aufbauten.
Ein paar Jahre später erkannte man dies und beschloss, die technischen Takedowns mit Strafverfolgungsmaßnahmen zu kombinieren, im Idealfall mit Verhaftungen. wie sie es in vielen Fällen getan haben. Aber, in Ermangelung dessen, mit der Möglichkeit, die Infrastruktur physisch abzuschalten, also in einem Fall, von dem ich weiß, dass sie das wollten... In der Ukraine haben wir mit der Ukraine und den Strafverfolgungsbehörden zusammengearbeitet und waren in der Lage, Schlüsselserver auszuschalten, die wir in einem bestimmten Botnetz verwendet haben, das Peer-to-Peer war, aber über zentrale Befehlsserver verfügte, die der Gegner verwendet hatte, um [unhörbar 00:16:37] die Kontrolle über dieses Peer-to-Peer-Netzwerk zu behalten.
Das war entscheidend für den Erfolg des Takedowns. All diese Dinge erfordern also Zusammenarbeit, sie erfordern die Inanspruchnahme zahlreicher Befugnisse, die über die nationalen Befugnisse der Strafverfolgungsbehörden hinausgehen. Sie erfordert auch die Zusammenarbeit mit dem Privatsektor. Wie CrowdStrike waren auch wir an einer Reihe dieser Botnet-Takedowns beteiligt, indem wir unsere technischen Experten für die eigentliche Planung und Durchführung der Botnet-Takedowns zur Verfügung stellten und den Strafverfolgungsbehörden erlaubten, diese mit ihren Behörden durchzuführen.
Man muss also herausfinden, wie man die Industrie hier mit ins Boot holen kann, und zwar nicht nur als Zuschauer oder Beobachter, sondern wirklich als Hauptakteur bei der Planung und Durchführung dieser Art von Maßnahmen.
Garrett O'Hara: Auf jeden Fall. Und, wissen Sie, es gibt eine ganze Diskussion darüber, wie man darauf reagieren sollte. Eines der Dinge, die mir durch die Arbeit von Silverado in den Sinn gekommen sind, wissen Sie, wir haben über die Reaktion und die Takedowns gesprochen, es ist technisch, es ist die Strafverfolgung, im Allgemeinen gibt es eine Art von wirtschaftlichen Anreizen in vielen Ländern, in denen es vielleicht keine Beschäftigungsmöglichkeiten gibt, es gibt soziale Probleme, die Menschen dazu bringen, Dinge zu tun, die für uns abscheulich und furchtbar sind.
Aber sie sind getrieben, weil es ihnen an Geld und Möglichkeiten mangelt. Wie kann die Politik Ihrer Meinung nach dazu beitragen und vielleicht mehr Präventivmaßnahmen auf sozioökonomischer Ebene ergreifen, um - in einer idealen Welt - einige der Anreize und die Triebkräfte zu beseitigen, die Menschen dazu bewegen, diese Organisationen zu gründen, die diese Anschläge verüben? Und das ist wahrscheinlich weniger eine Sache der Nationalstaaten, sondern eher der reinen Wirtschaft und der kriminellen Organisationen.
Dmitri Alperovitch: Ja, ich bin in dieser Hinsicht nicht allzu optimistisch.
Garrett O'Hara: Ja. Ja, ja.
Dmitri Alperovitch: Kriminalität hat es schon immer gegeben, und solange wir organisierte Gesellschaften haben, wird es sie auch immer geben. Wenn wir über die Art von Geld sprechen, die diese kriminellen Gruppen machen, Sie wissen schon, zig Millionen Dollar bei einem einzigen Lösegeldfall, und sie können diese jeden Tag ausführen, dann ist die Zugkraft dieses Geldes kein sozioökonomischer Köder, richtig? das ist nicht jemand, der in Armut lebt und nur überleben will, das ist jemand, der einen Ferrari fahren will, das ist jemand, der...
Garrett O'Hara: Ja.
Dmitri Alperovitch: . .. um eine Yacht zu kaufen.
Garrett O'Hara: Ja.
Dmitri Alperovitch: Das... Das ist ein ganz anderes Problem. Es gibt sicherlich arme Menschen, die sich mit Internetkriminalität beschäftigen. Aber wenn man sich viele dieser [inaudible 00:19:04], viele dieser transnationalen kriminellen Organisationen anschaut, dann tun sie das nicht, weil sie arm sind, sondern weil sie wissen, dass sie enorme Geldsummen verdienen können.
Und viele von ihnen befinden sich in Ländern, die mit den Vereinigten Staaten verfeindet sind, wie Russland, China und Nordkorea, und sie werden von den Nationalstaaten, in denen sie sich aufhalten, unterstützt und in vielen Fällen auch gefördert.
Garrett O'Hara: Auf jeden Fall. Und Sie sprachen, es ist jetzt viele Jahre her, AusCERT's 2013, wissen Sie, wenn es darum geht, zu diesem Zeug, in der Regel ist es die Art der Asymmetrie, die in Bezug auf die Investitionen Bemühungen und die Rendite der Investitionen besteht. Wie Sie schon sagten, geht es in diesem Stadium um mehrere zehn Millionen Dollar. Ihr Vortrag liegt fast ein Jahrzehnt zurück. Haben Sie gesehen, wie sich diese Gleichung verändert hat? Und, wenn ja, was?
Dmitri Alperovitch: Ja, das habe ich. Ich glaube, dass wir als Branche endlich die richtige Einstellung dazu gefunden haben, wie wir diese Probleme angehen sollten. Viele Jahre lang, buchstäblich Jahrzehnte lang, haben wir den Ansatz verfolgt, den größtmöglichen Zaun um unsere Netze zu errichten und zu versuchen, Menschen davon abzuhalten, in die Netze einzudringen. Und das hätte nie funktioniert, weder in der physischen noch in der Cyberwelt. Fähige Gegner werden immer einen Weg finden, sie zu umgehen, sie werden eine Leiter mitbringen, sie werden jemanden im Inneren bestechen, damit er sie hineinlässt, sie werden irgendeine Schwachstelle finden, von der Sie nicht einmal wissen, um zu versuchen, hineinzukommen.
Und der bessere Ansatz, den die Menschen nach den Google-Hacks und einigen anderen Ereignissen, an denen ich beteiligt war, zu schätzen gelernt haben, ist die Annahme, dass sie dabei sind, richtig? Nehmen wir an, Sie sind in eine Mentalität eingedrungen, in der Sie den größten Teil Ihrer Bemühungen, nicht alle, aber den größten Teil, darauf verwenden, sie in Ihrem Netzwerk zu finden, sie zu jagen und sie so schnell wie möglich zu vertreiben, richtig? Und alles dreht sich um Schnelligkeit, Schnelligkeit des Handelns, Schnelligkeit der Entdeckung, Schnelligkeit der Untersuchung, Schnelligkeit der Reaktion.
Und spülen und wiederholen. Das soll nicht heißen, dass wir nicht in Perimeterlösungen investieren sollten, wir sollten nicht in die Prävention investieren, aber die Investitionen sind heute völlig aus dem Ruder gelaufen. Wir verwenden 90 % unserer Bemühungen und unseres Geldes darauf, Dinge zu verhindern. Und nur die verbleibenden 10 % versuchen, die Fehler bei der Prävention zu erkennen und darauf zu reagieren. Das muss völlig umgedreht werden. Ja, investieren Sie in die Vorbeugung, 10, 20 % Ihres Budgets, Ihrer Zeit und Ihres Personals, 80 % in die Erkennung und die Reaktion, und zwar schnell.
Und so gewinnt man. Das ist es, was ich von den besten Organisationen da draußen sehe, die sich täglich mit diesen Eindringversuchen von hochentwickelten Akteuren, Nationalstaaten und anderen auseinandersetzen.
Garrett O'Hara: Und wissen Sie, diese Angriffe, die täglich stattfinden, Holiday, [lacht], Holiday Bear, ist ein ziemlich großes Beispiel. Oder SolarWinds, wie viele Menschen es kennen. Sehen Sie das als eine neue Normalität an? Ich vermute, dass Sie jemand sind, der sich im Hintergrund mit Dingen beschäftigt hat, und dass das, was für jemanden wie Sie vielleicht wie eine große Gleichgültigkeit aussah, kein Angriff war. aber vielleicht liege ich da falsch.
Sehen Sie, was im Dezember passiert ist, und ist das, was sich wie ein Unterschied anfühlt, tatsächlich ein Unterschied? Ist das eine neue Normalität? Wie die ausgeklügelten Angriffe, die wir beobachten?
Dmitri Alperovitch: Nun, das ist schon seit Jahren die neue Normalität. Natürlich haben wir, wir haben nur nicht genau darauf geachtet. aber wissen Sie, Angriffe wie NotPetya, der zerstörerischste Angriff in der Geschichte, waren hauptsächlich auf die Ukraine gerichtet, so dass nur wenige internationale Unternehmen betroffen waren. Ich arbeite mit einigen von ihnen zusammen. Und es war ein Angriff auf die Lieferkette. Sie kamen durch die Kompromittierung eines Software-Updates für eine Steuersoftware, die sie in der Ukraine verwenden, herein. Es hat viele weitere Angriffe gegeben, und die Chinesen haben die Lieferkette über viele Jahre hinweg ausgehebelt. sie Sicherheitssoftware-Updates genutzt haben, erinnern sich die Leute vielleicht an CCleaner-
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: . .. Sie wissen schon, ein Tool, ein Sicherheitstool, dessen Update kompromittiert und zur Verbreitung von bösartigem Code verwendet wurde. Es gab sehr ausgeklügelte Einbrüche bei Juniper, die nun schon fast acht Jahre zurückliegen. Ich glaube, sie hatten den Quellcode für Juniper-VPNs verändert, um sich Zugang zu Netzwerken zu verschaffen. Das ist also nicht neu. Die meisten Menschen haben einfach nicht genau darauf geachtet. Das Ausmaß und die Raffinesse dieses Angriffs waren bemerkenswert, aber er war nicht beispiellos.
Garrett O'Hara: Ja. Ich denke an einen physischen Angriff, den wir sehen können, oder? Ich kann mir vorstellen, dass eine Bombe ein Gebäude in die Luft jagt oder dass jemand einen anderen angreift. Das ist ein Bild, das ich in meinem Kopf malen kann. Aber wenn es um Cyber geht, geht es um Einsen und Nullen, es ist etwas abstrakt. Haben Sie das Gefühl, dass das auf einer gewissen Ebene Teil des Problems ist? Dass es im Hintergrund bleibt und die Menschen das Ausmaß und den Umfang dessen, was tatsächlich passiert, nicht vollständig begreifen.
Denn manchmal hat man das Gefühl, dass im Hintergrund ein regelrechter Cyberkrieg tobt. Aber als Bürger laufen wir herum, trinken unseren Kaffee und haben das Gefühl, dass alles in Ordnung ist.
Dmitri Alperovitch: Ja, ich glaube nicht, dass wir uns in einem Cyber-Krieg befinden. Ich glaube eigentlich nicht an das Konzept des Cyberkriegs. Ich denke, es gibt einen Krieg, in dem Cyber eine Rolle spielt, aber...
Garrett O'Hara: Ja.
Dmitri Alperovitch: . .. Ich denke, dass es schwierig ist, die Vorstellungskraft der Menschen im Cyberspace zu erfassen. Und manchmal ist es interessant zu sehen, was die Phantasie bestimmter Leute anregt. Sie hatten diese großen Angriffe auf Holiday Bear, den SolarWinds-Angriff und die Exchange-Hacks geschahen innerhalb eines sehr kurzen Zeitraums voneinander. Und ich habe kürzlich einen Artikel in [Laffer 00:24:49] geschrieben, in dem ich argumentiere, dass es sich bei der Holiday Bear-Kampagne eigentlich um eine traditionelle Spionagekampagne handelte, die auf ziemlich verantwortungsvolle Weise durchgeführt wurde, dass sie, obwohl sie Zugang zu über 18.000 Opfern hatten, diesen Zugang zu 99 % dieser Netzwerke freiwillig abschalteten. Sie versuchten nicht, irgendetwas Zerstörerisches zu tun, sondern hatten es in erster Linie auf Regierungsnetzwerke abgesehen, um IT- und Sicherheitsunternehmen zu finden, die sie für ihre Angriffe auf Regierungsnetzwerke nutzen konnten.
Also die Dinge, die man von einem Staat erwarten würde, der anspruchsvolle Spionage betreibt. Im Gegensatz zu den chinesischen Exchange-Hacks, bei denen jeder auf der Welt, der Exchange verwendete, für diese Angriffe anfällig war, nicht nur sein Netzwerk kompromittierte, sondern auch diese Web-Shells hinterließ, die oft nicht passwortgeschützt oder mit Standardpasswörtern geschützt waren, die dann später von anderen, z. B. kriminellen Gruppen, zur Ausführung von Ransomware-Operationen gegen diese Opfer verwendet werden konnten.
Völlig leichtsinnig, sehr gefährlich. Und doch erregt der Holiday Bear So- SolarWinds-Hack die Aufmerksamkeit aller, wir sprechen noch Monate später darüber.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: . .. Exchange Hacks, die in unserem kollektiven Gedächtnis allmählich an Bedeutung verlieren. In der Presse wird nicht viel darüber berichtet. und ich glaube, das liegt zum Teil an den Zielen. Bei SolarWinds waren es sexy Ziele, es waren Sicherheitsunternehmen wie FireEye und andere, die ins Visier genommen wurden. Regierungsbehörden, Justizministerium, Finanzministerium, sehr, sehr sexy Zeug. Im Gegenzug gibt es Hunderttausende von Opfern, aber viele von ihnen sind kleine Denkfabriken, Schulbezirke, usw. Und das ist nicht sexy.
Garrett O'Hara: Was halten Sie von der Arbeit des FBI, das proaktiv eingreift und Web-Shells entfernt?
Dmitri Alperovitch: Ich habe es geliebt.
Garrett O'Hara: Ja.
Dmitri Alperovitch: Ich fand es unglaublich kreativ. die Leute, die sich die Hände reiben, wie "Oh mein Gott, sie hätten etwas tun können." Nun, zunächst einmal war das, was sie getan haben, technisch sehr, sehr einfach. Es ist buchstäblich eine [inaudible 00:26:55] Get-Anfrage an einen Webserver mit einem Löschbefehl für eine Datei. Es gibt praktisch keine Möglichkeit, es wirklich zu vermasseln. Und sicherlich war das, was die Chinesen ursprünglich getan haben, indem sie diese Server kompromittierten, viel gefährlicher.
Und sie dann den Ransomware-Akteuren zu überlassen, ist völlig inakzeptabel. Wenn wir uns also über die äußerst geringe, wenn nicht sogar völlige Unwahrscheinlichkeit, dass das FBI es vermasselt haben könnte, aufregen, dann scheint mir das das falsche Thema zu sein. aber nein, ich fand es großartig. das FBI hat solche Dinge schon früher getan. Wie ich bereits erwähnt habe, haben sie Botnet-Takedowns durchgeführt, indem sie [unhörbare 00:27:44] Kill-Befehle bei den Opfern installiert haben, die sie dann versenkt haben.
Aber wir sind noch einen Schritt weiter gegangen und haben die Malware, in diesem Fall eine Web-Shell, von diesen Systemen entfernt. Natürlich können sie das nur in den USA und mit den Strafverfolgungsbehörden tun. Aber ich fand, dass es ein großer Schritt nach vorn war. Und sie taten es nur als letztes Mittel, als letztes Mittel. Sie haben versucht, die Leute zu benachrichtigen, bei denen sie diese Probleme festgestellt haben, und einige von ihnen konnten sie beheben.
Und erst als sie diese Möglichkeit ausgeschöpft hatten, beschlossen sie, den nächsten Schritt zu tun und eine gerichtliche Anordnung zu erwirken, die in rechtlicher Hinsicht sehr raffiniert war, denn es handelte sich eigentlich um einen Durchsuchungsbefehl, der ihnen den Zugriff auf eine Vielzahl von Rechnern erlaubte. In diesem speziellen Fall durchsuchten sie diese Rechner nicht wirklich, sondern führten den Löschbefehl auf ihnen aus, aber in rechtlicher Hinsicht gibt es natürlich keine Befugnis dazu. Sie mussten also einen Durchsuchungsbefehl ausstellen.
Garrett O'Hara: Ja, clever. Und, und ein gutes Ergebnis. Das deutet auf einige Dinge hin, die auf Regierungsebene geschehen, denke ich. In Australien gibt es ein Gesetz über kritische Infrastrukturen (National Critical Infrastructure Bill), das zur Zeit ausgearbeitet wird. Und ich weiß, dass Biden einiges zu bieten hat, z.B. den 100-Tage-Plan zum Schutz der Energieinfrastruktur in den USA. Wie wird sich das Ihrer Meinung nach entwickeln? Ich meine, wir... wir sind... In Australien gibt es Diskussionen über die proaktive Unterstützung von Regierungen mit C-, Sie wissen schon, D-Agenturen und, und Einrichtungen, die unter das Gesetz fallen.
Das Gesundheitswesen, einige der Universitäten, Sie wissen schon, diese Art von... Energie natürlich. wo die Regierung befehlen kann und sozusagen proaktiv helfen kann, "" je nachdem, was als Bedrohung für die Nation wahrgenommen wird. Sie kennen den FBI-Fall, ein guter Schachzug. Wie sehen Sie die weitere Entwicklung und die Möglichkeit, dass sie nicht gut verläuft? Oder fühlen Sie sich mit dieser Art von Vorgehen der Regierung wohl?
Dmitri Alperovitch: Ich bin zufrieden mit dem, was das FBI in diesem speziellen Fall getan hat. aber ich sage euch, in Amerika sind wir viel allergischer auf staatliche Hilfe als ihr. wir erinnern uns immer noch an den berühmten Satz von Ronald Reagan: "Es gibt kein erschreckenderes Wort in der englischen Sprache, als zu hören, dass ich von der Regierung komme und helfen soll."
Garrett O'Hara: [lacht].
Dmitri Alperovitch: Also, in Amerika findet das einen sehr starken Widerhall. Ich weiß, dass die Amerikaner in Europa und Australien das ganz anders sehen. aber wir hatten schon immer diese Kultur des Individualismus, in der wir angesichts unserer Geschichte, in der wir gegen die Briten gekämpft haben, um das Land zu gründen, der Regierung und potenziellen [unhörbar 00:30:19]
Noch problematischer ist jedoch, dass die Regierung ihre große Inkompetenz im Bereich Cyberspace unter Beweis gestellt hat. nicht das FBI, sondern andere Teile der Regierung. Wissen Sie, es ist kein Zufall, dass die Regierung durch den SolarWinds-Hack kompromittiert wurde. Wir haben Fälle wie den OPM-Bruch und andere gesehen, die für die Sicherheit verheerend waren. Wenn die Industrie also von der Regierung hört, was die Industrie tun sollte, um ihr Netz zu schützen, erscheint dies vielen als höchst heuchlerisch und als Menschen, die in einem Glashaus leben und mit Steinen werfen.
Ich glaube also, dass es, wenn es um kritische Infrastrukturen geht, in der Industrie und zumindest in Amerika einen großen Widerstand gibt, der sagt: "Warten Sie eine Sekunde und zeigen Sie, dass Sie tatsächlich in der Lage sind, dies gut zu tun, bevor ich Sie in mein Netzwerk lasse und Sie Auswirkungen auf mein Geschäft haben werden." Und da sind wir noch nicht so weit gekommen wie Sie in diesem Bereich.
Garrett O'Hara: Ja. Es wird interessant sein, zu sehen, wo das landet. Eine andere Sache, über die Sie gesprochen haben, ist die Idee von Audits durch Dritte bei der Software von Anbietern. Und, wissen Sie, die Idee, die Ergebnisse von Pen-Tests, von, Sie wissen schon, Sicherheitsaudits von Software zu veröffentlichen. Und als ich das las, dachte ich, das ist wirklich eine sehr, sehr clevere Idee. Aber man erhält diese, möglicherweise das Ergebnis von "trickle down"-Sicherheit, bei der ein Anbieter, der sich um Bundes- oder Regierungsverträge bemüht, geprüft werden muss und die Ergebnisse des Pen-Tests veröffentlichen muss, so dass gute Sicherheit erzwungen wird.
Aber auch Privatunternehmer, kleinere Unternehmen, die dieselben SAS-Plattformen oder Sicherheitslösungen kaufen, werden von diesen Audits profitieren. d- d- d- Glaubst du, dass das etwas ist, was passieren wird? Ist das eine realistische Erwartung, dass wir diese Art von... Und ich weiß, dass dies in gewissem Maße bereits geschieht, aber wo sehen Sie die Entwicklung?
Dmitri Alperovitch: Ja, die Regierung arbeitet an einer Durchführungsverordnung, die Regierung Biden. die hoffentlich in den nächsten Tagen, vielleicht sogar Wochen, veröffentlicht werden. und, und sie werden genau hinschauen, und das mussten sie natürlich, nach Holiday Bear, bei der Frage der Lieferkette.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: Wenn man diese kritische Unternehmenssoftware an die Regierung verkauft, wie es SolarWinds und viele andere taten, Software, die mit administrativen Rechten im Netzwerk läuft, Software, die vielleicht ein Cloud-System ist, das Zugang zu hochsensiblen Daten hat, vielleicht Software, die den Quellcode berührt, dann kann man irgendwie definieren, was kritisch bedeutet.
Hierfür müssen höhere Standards gelten als für einen Verkäufer, der M&Ms an die Cafeteria verkauft. einer Agentur. Und der traditionelle Ansatz, den die Regierung immer verfolgt hat, war, zu sagen: "Nun, hier ist, wissen Sie, eine Enzyklopädie von Vorschriften, die wir von Ihnen brauchen, um zu erfüllen. Und, und wir werden Sie dabei prüfen." Und dieser auf die Einhaltung von Vorschriften ausgerichtete Ansatz hat uns nicht sicherer gemacht, sondern die Situation sogar noch verschlimmert.
Meine gute Freundin Heather Atkins, die bei Google für die Sicherheit zuständig ist und mit der ich in den Aurora-Tagen zusammengearbeitet habe, hatte damals einen tollen Spruch, der auch heute noch gilt: "Compliance ist der Tod der Sicherheit. Sobald Sie Sicherheit von einer Risikomanagement-Entscheidung zu einer Checkliste machen, "Ja, das habe ich gemacht. Nein, das habe ich nicht getan." So fängt man an, den Kampf zu verlieren. Und mit dem, was ich vorgeschlagen habe, und wir werden sehen, wie viel davon angenommen wird, konzentriert man sich nicht auf Checklisten, sondern auf echte Ergebnisse.
Garrett O'Hara: Jepp.
Dmitri Alperovitch: Sie erzwingen Sicherheitstests, realistische Tests durch Pen-Tests, vielleicht durch Code-Audits, durch zertifizierte Drittanbieter dieser kritischen Software-Anbieter, und zwar regelmäßig, so dass Sie tatsächlich wissen, wie sie einer Infiltration durch eine fähige Firma widerstehen können, die zum Beispiel eine echte gegnerische Handelsgrafik nachahmt.
Und dann dachte ich, es wäre gut, noch einen Schritt weiter zu gehen und diesen Bericht nicht nur der Regierung zur Verfügung zu stellen, sondern die Unternehmen zu zwingen, ihn zu veröffentlichen, damit jeder davon profitieren kann, wenn er sich ansieht, wie gut sie auf diese Angriffe reagieren. Übrigens besteht ein Teil der Motivation für die Veröffentlichung darin, dass diese Unternehmen dadurch ermutigt werden, ihre Ergebnisse sehr schnell zu verbessern.
Sie können sich vorstellen, dass Sie ein Unternehmen beauftragen, Ihre Software zu überprüfen, und dabei zwangsläufig auf Probleme stoßen werden. Jedes Stückchen Software hat Probleme. Wenn Sie wissen, dass Sie diesen Bericht in einem Monat der Regierung vorlegen oder ihn veröffentlichen müssen, raten Sie mal. Sie werden sich beeilen, um diese Probleme so schnell wie möglich zu beheben, damit der Anbieter Sie erneut testen und Ihnen ein gutes Zeugnis ausstellen kann, damit der Bericht zeigt, dass Sie in guter Verfassung sind.
Es schafft also einen unglaublichen Anreiz, diese Probleme tatsächlich zu lösen und nicht nur zu identifizieren. schnell. Das ursprüngliche Ziel war das, was New York jetzt im Restaurantbereich macht, wo man damit begonnen hat, die Bewertungen der Gesundheitsinspektionen an den Schaufenstern der Restaurants auszuhängen. Und wie von Zauberhand hat sich innerhalb weniger Monate die Qualität der Lebensmittel in New York verbessert, und es gab viel weniger Fälle von Lebensmittelvergiftungen, es... Ich bin mir sicher, dass ein Teil davon auf COVID zurückzuführen ist und darauf, dass die Leute einfach weniger in Restaurants essen.
Aber es ist klar, dass diese Art der öffentlichen Beschämung eine Wirkung hat. Die Menschen hören auf, mit Organisationen zusammenzuarbeiten, von denen sie wissen, dass sie im Bereich der Ernährungssicherheit oder der Cybersicherheit keine gute Arbeit leisten. Und das kann eine große Verbesserung für das gesamte Ökosystem bedeuten.
Garrett O'Hara: Wie soll das wirtschaftlich funktionieren? Eines der Dinge, die wir in Australien haben bzw. hatten, ist die so genannte IRAP-Zertifizierung für die Zusammenarbeit mit Bundesregierungen. Einer der Kommentare dazu war, dass die Kosten für die Prüfung und das Verfahren für kleinere Organisationen unerschwinglich seien. Größere Unternehmen und größere Technologieanbieter konnten dies tun, weil sie über das nötige Kapital und die finanziellen Mittel verfügten, um dies zu finanzieren.
Es hat sie also irgendwie weitergebracht. Aber schichtet das die Anbieter in Regierungen ein, basierend auf den finanziellen Auswirkungen einer Prüfung oder eines Pen-Tests nach diesem Standard und dann auch auf den Kosten für die Behebung? Und ich unterstütze die Idee, ich halte sie für großartig. Aber wie sieht es in der Praxis aus, wenn es darum geht, kleineren Organisationen die Möglichkeit zu geben, sich um Aufträge zu bewerben?
Dmitri Alperovitch: Es ist bedauerlich, aber wenn Sie kritische Software anbieten, die den Quellcode berührt oder, Sie wissen schon, administrative Rechte im Netzwerk hat, wenn Sie sich keinen externen Pen-Test leisten können, dann können Sie sich wahrscheinlich auch keine großartigen Sicherheitsarchitekturen leisten.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: . .. und, und, und in diesem Raum operieren zu dürfen, richtig? Wir haben also Standards, und wenn man am Bau eines Kernkraftwerks beteiligt ist, kann man nicht einfach mit einem Hund kommen und sagen...
Garrett O'Hara: [lacht].
Dmitri Alperovitch: . .. "Nun, ich möchte darauf bieten." Richtig?
Garrett O'Hara: Ja.
Dmitri Alperovitch: Es wird viele Standards geben, die wir wahrscheinlich von Ihnen verlangen werden. Und vielleicht bedeutet es, dass ein kleines Unternehmen nicht in der Lage sein wird, sich zu beteiligen. Aber es gibt Dinge, die viel wichtiger sind, als jedem zu ermöglichen, Teil von etwas zu sein, wenn man wirklich über diese kritischen Unternehmensschwachstellen spricht.
Garrett O'Hara: Und dann haben Sie unter anderem auch über die Kosten für die Sicherheit gesprochen. Und eines der Dinge, über die ich in diesem Podcast viele Gespräche geführt habe, ist die Idee, dass Unternehmen, und wahrscheinlich ganz besonders Start-ups, versuchen, auf den Markt zu kommen und einen Punkt zu erreichen, an dem sie, Sie wissen schon, einen guten Schwung erreicht haben, und dass sie die Kosten für die Sicherheit oft externalisieren können. Sie gehen einfach auf den Markt, sie innovieren schnell, aber die Sicherheit ist eher ein nachträglicher Gedanke, weil man irgendwie damit durchkommt.
Und es könnte einige Fälle geben. Aber, wissen Sie, es ist eine PR-Übung, die Sie hoffentlich durchstehen können. Welche Rolle, wenn überhaupt, sehen Sie in der Regulierung, in Vorschriften oder in der Gesetzgebung, um das Spielfeld so zu ebnen, dass es kein Wettbewerbsvorteil mehr ist, keine Sicherheit zu gewährleisten? Spielt die Politik dabei eine Rolle?
Dmitri Alperovitch: Ja, nein, ich denke, dass wir nicht nur die Lieferanten der Regierung identifizieren müssen, sondern auch andere Sektoren, in denen wir ein viel höheres Maß an Standardsicherheit verlangen wollen. Die Kernkraftindustrie ist ein Beispiel dafür.
Garrett O'Hara: Ja.
Dmitri Alperovitch: Das ist ziemlich offensichtlich. Aber auch viele andere. Luftverkehr als Beispiel. und wir, wenn es eine Bedrohung für das Leben, eine Bedrohung für die nationale Sicherheit gibt, müssen wir viel höhere Standards haben. Aber auch hier geht es nicht um eine Checkliste, die besagt: "Bitte erfüllen Sie diese notwendigen Zertifizierungsanforderungen.
Garrett O'Hara: Mm-hmm [bejahend].
Dmitri Alperovitch: Das ist viel weniger nützlich als ". Lassen Sie uns mit einem sehr fähigen Pen-Test-Team, einem roten Team, kommen, das sein Bestes tun wird, um in Ihr Netzwerk einzudringen. Mal sehen, ob Sie sie identifizieren können. Mal sehen, ob Sie sie daran hindern können, ihre Ziele zu erreichen. Und wenn Sie das können, gut für Sie, es ist mir egal, wie Sie es gemacht haben, das Wichtigste ist das Ergebnis. Aber wenn nicht, dann gibt es eindeutig ein Problem, das Sie lösen müssen."
Garrett O'Hara: Für jemanden, der sich schon seit geraumer Zeit mit Sicherheit beschäftigt, würde mich interessieren, ob Sie bei einem Teil der Ereignisse, die Sie in diesem Gespräch angedeutet haben, dabei waren. Ich wäre sehr daran interessiert, zu erfahren, wie Sie das gemacht haben. Sie haben bei einigen ziemlich historischen Ereignissen in der ersten Reihe gesessen.
Ähm, also das. Aber auch der Übergang vom Leiter der Cybersicherheitsabteilung von Eircode zu einer Person des öffentlichen Lebens. H- Wie ist es Ihnen ergangen?
Dmitri Alperovitch: Nun, glücklicherweise bin ich immer noch ziemlich stark in der Branche engagiert, ich arbeite immer noch mit vielen Unternehmen zusammen. als Vorstandsmitglied und in enger Zusammenarbeit mit dem Managementteam, um das Wachstum des Unternehmens zu unterstützen, wobei einige von ihnen sehr stark in die technische Strategie eingebunden sind usw. So bleibe ich auf dem Boden der Tatsachen und auf dem Laufenden über das, was in der Branche vor sich geht. Aber einen Großteil meiner Zeit verbringe ich jetzt mit Denken, "Okay, Technologie. Das haben wir. Wissen Sie, die Lösungen haben sich dramatisch weiterentwickelt, so dass wir wirklich über phänomenale Möglichkeiten verfügen. Wie stellen wir nun sicher, dass die Menschen sie auf die richtige Art und Weise nutzen, dass die Regierung die richtigen Anreize setzt und die richtigen Vorschriften erlässt, um unsere allgemeine Sicherheit zu erhöhen?"
Und genau da sehe ich eine große Lücke. Und das ist der Punkt, an dem ich in diesen Tagen mein Bestes gebe, um in einer gemeinnützigen Organisation wirklich etwas zu bewirken.
Garrett O'Hara: Welches war die interessanteste Diskussion, an der Sie in den letzten zwei Jahrzehnten teilgenommen haben, und welches war der interessanteste Raum, in dem Sie waren?
Dmitri Alperovitch: Oh, interessanter Raum? Ich meine, ich war schon in vielen interessanten Räumen.
Garrett O'Hara: Ja. (lacht).
Dmitri Alperovitch: Bei einigen kann ich nicht einmal darüber sprechen.
Garrett O'Hara: Ja, [lacht]. Ja, ja.
Dmitri Alperovitch: Aber, wissen Sie, es, es, offensichtlich die ganze, Erfahrung in den letzten Jahren, als wir diese verheerenden Angriffe gesehen haben. Sie wissen schon, die russische Einmischung in unsere Wahlen und [Otpeti 00:42:07] Angriffe. Die Angriffe auf die Olympischen Spiele in Südkorea, an die sich viele Menschen nicht einmal mehr erinnern, kamen aus Russland. Außerdem ist es sehr, sehr wirkungsvoll. Der nordkoreanische Angriff auf Sony, den ich 2014 als erster öffentlich Nordkorea zugeschrieben habe, wurde von vielen Leuten, die sich die Daten nicht angeschaut und analysiert hatten, in den Wind geschlagen: "Nein, nein, nein, das ist ein Insider."
Ich habe viel darüber nachgedacht, dass es in der Cybersicherheitsbranche Leute gibt, die nichts mit einem Fall zu tun haben, sich aber trotzdem für qualifiziert halten, ohne irgendwelche Daten, um sich als Experten dazu zu äußern, was tatsächlich vor sich geht. Und ich bin mir nicht sicher, ob das in anderen Bereichen der nationalen Sicherheit so häufig der Fall ist.
Garrett O'Hara: Das ist, das ist, das war schon immer interessant. Ich höre nämlich viele Sicherheitspodcasts, und das hört man ständig, wissen Sie? Jeder hat eine Theorie, und es ist fast wie ein Krimi oder wie ein Agatha-Christie-Roman, in dem die Leute versuchen, herauszufinden, wer es getan hat, aber ohne sicher zu sein, dass sie es wissen.
Ähm, eine letzte Frage, Dmitri, um das Ganze abzurunden. Sie sind, wie Sie sagten, immer noch sehr aktiv in der Sicherheitsbranche. Ich wäre sehr daran interessiert, ein Gefühl dafür zu bekommen, wie Sie als Investor, als jemand, der die Cybersicherheitsbranche als Ganzes sieht, welche Bereiche in der IT-Landschaft heutzutage für Sie faszinierend sind? Heute. Und vielleicht das, was Sie als die Zukunft bezeichnen, oder wohin sich das alles entwickelt.
Dmitri Alperovitch: Ich denke, der größte Trend, mit dem wir uns als Branche nicht schnell genug auseinandersetzen, ist dieser ganze Dev-Ops-Wandel und die Verschiebung in der Softwareentwicklung. Wir haben noch nicht ganz begriffen, dass die Ingenieure jetzt das Steuer in der Hand haben. Und die meisten Unternehmen werden immer mehr zu Softwareunternehmen, nicht wahr? Wie Marc Andreessen schon vor einigen Jahren sagte: "Software is eating the world." Ich meine, er hatte absolut Recht.
Ich habe das schon von so vielen CEOs von Fortune-500-Unternehmen gehört, die, Sie wissen schon, Widgets herstellen oder in diesen traditionellen Ziegelstein- und Mörtelgeschäften tätig sind, und sie sagen mir: "Nein, wir sind keine Softwareunternehmen." Ich glaube, für einige von ihnen ist das eher ein erstrebenswertes Ziel [lacht], als dass es heute Realität ist.
Garrett O'Hara: Ja. Ja, ja.
Dmitri Alperovitch: Aber sie alle versuchen, in diesen Bereich vorzudringen. Und das verändert die Rolle des CSO grundlegend, des CSO, der noch sehr neu ist, ich glaube, der erste CSO tauchte erst vor 25 Jahren oder so auf der Bildfläche auf. und erst in jüngster Zeit haben sie begonnen, innerhalb der Organisation viel Macht zu erlangen, so dass sie in der Lage sind, dem Vorstand vorzusprechen und bei der Architektur des Netzes ein Mitspracherecht zu haben.
Jetzt verlieren sie diese Macht, und sie verlieren diese Macht, weil das Netzwerk verschwindet, und COVID hat diesen Trend nur noch beschleunigt, so dass jeder von zu Hause aus arbeiten kann und keine physische Infrastruktur mehr benötigt. Sie können in der Cloud arbeiten. Aber gleichzeitig ist das wichtigste Gut, das Sie schützen, Ihre Software. Und wer ist dafür zuständig? Nicht der CSO, sondern die technischen Leiter, die die Software entwickeln, und die Produktleiter, die diese Software entwickeln.
In dem Maße, in dem der CSO als strategischer Berater involviert ist und versucht, Einfluss zu nehmen, versucht er sicherzustellen, dass die richtigen Kodierungspraktiken angewandt werden, dass, Sie wissen schon, bei diesem Tempo der schnellen Veränderungen, wenn Sie fast täglich neue Versionen herausbringen, dass die richtigen Dinge getan werden, um sicherzustellen, dass Sie nicht die geheimen Schlüssel zu Ihrer Cloud-Infrastruktur herausgeben, die alles gefährden. Und all diese Dinge, um die man sich heutzutage kümmern muss.
Und ich glaube, ein Großteil der Sicherheitsbranche denkt immer noch über die traditionelle Frage nach: Wie schütze ich dieses Netzwerk?
Garrett O'Hara: Jepp.
Dmitri Alperovitch: Und das Netz verschwindet. Die großen Sicherheitsunternehmen, die sich in den nächsten Jahren weiterentwickeln werden, sind diejenigen, die herausfinden werden, wie sie an Entwickler und nicht an CSOs vermarkten können. Und, und, und bieten Lösungen, die die Arbeit des Entwicklers tatsächlich erleichtern. und sie in die Lage versetzen, Software auf sichere Weise zu entwickeln.
Garrett O'Hara: Fantastisch. Damit ist die Zeit hier fast abgelaufen. Bei dieser Frage, der Frage mit der Kristallkugel, lassen wir es also bewenden. Dmitri, vielen Dank, dass Sie sich die Zeit genommen haben, um mit uns zu sprechen. sehr, sehr zu schätzen.
Dmitri Alperovitch: Ich danke Ihnen. Passen Sie auf sich auf.
Garrett O'Hara: Und vielen Dank an Dmitri für dieses Gespräch. Und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient Podcast angehört haben. Stöbern Sie in unserem Episodenkatalog, abonnieren Sie uns und hinterlassen Sie uns eine Bewertung. Bis dahin, bleiben Sie sicher, und ich freue mich darauf, Sie in der nächsten Folge wiederzusehen.