Emily Wearmouth [00:00:01] Hallo und willkommen zu einer weiteren Ausgabe des Security Visionaries Podcast, wo wir Experten zu einem breiten Spektrum von Cyberdaten und anderen verwandten Themen befragen. Ich bin Ihre Gastgeberin, Emily Wearmouth, und heute sind zwei erfahrene Gäste zu mir gekommen, John Kindervag und Neil Thacker. Lassen Sie uns also einige Einführungen hinter uns bringen. Ich fange mit dir an, John, weil du meiner Meinung nach einen der beeindruckendsten informellen Titel hast, den wir je in der Serie hatten: „Der Pate von Zero Trust“. Sie haben den Titel bei Forrester aufgegriffen, wo John, zum Wohle der Zuhörer, dem Prinzip des Datensicherheitsansatzes, den wir heute als Zero Trust kennen, den Namen gab. Ich denke, für einen Analysten ist der Titel „Der Pate“ wahrscheinlich der Höhepunkt seiner Karriere. In den letzten Jahren hat er als Evangelist für eine Reihe von Sicherheitsanbietern gearbeitet und ist jetzt der Chef-Evangelist bei Illumio. Willkommen in der Show, John.
John Kindervag [00:00:47] Hey, danke, dass du mich hast.
Emily Wearmouth [00:00:49] Neil Thacker ist eine Stimme, die normale Zuhörer vielleicht wiedererkennen, weil er bereits im September bei unserer Pilotfolge dabei war. Er ist ein praktizierender und sehr beschäftigter CSO, nimmt sich aber trotzdem immer noch die Zeit, einer meiner gefragten Experten für Governance, Compliance, KI und eigentlich alles Mögliche zu sein. Neil ist hier, um uns als praktizierender CISO einen Blick aus den Schützengräben zu gewähren. Er wird uns hoffentlich ein wenig Realität vermitteln können und zeigt, was wirklich passiert, wenn Prinzipien und Ideologien in die Wirtschaft Einzug halten. Können Sie sich vorstellen, worüber wir heute sprechen werden? Ja, es ist das Thema in aller Munde: Zero Trust. Und wir werden direkt eintauchen. Und ich denke, es wäre nachlässig, The Godfather in den Podcast aufgenommen zu haben. John, können wir mit dir anfangen? Ich möchte Sie bitten, uns kurz den Begriff „Zero Trust“ zu erläutern, aber vor allem möchte ich gerne erfahren, was Sie bei Forrester zur ursprünglichen Idee des Zero Trust-Ansatzes inspiriert hat.
John Kindervag [00:01:36] Bevor ich also nach Forrester kam, war ich ein Praktizierender. Ich war Sicherheitsingenieur und Netzwerkingenieur, Sicherheitsarchitekt, Pentester und Firewalls. Von Anfang an hatte ich dieses Vertrauensmodell, bei dem Schnittstellen eine Vertrauensstufe von 0 bis 100 zugewiesen wurden. Und so ging die Null, die am wenigsten vertrauenswürdige Schnittstelle, an das öffentliche Internet und die 100, die vertrauenswürdigste Schnittstelle, an das interne Netzwerk. Und dann hatte jede andere Schnittstelle eine andere Nummer. Aber das könnte weder Null noch 100 sein und nicht gleich sein. Und diese Vertrauensniveaus bestimmen die Politik. So brauchten Sie beispielsweise keine Ausgangsregel, wenn Sie von einer hohen Vertrauensstufe auf eine niedrige Vertrauensstufe wechselten. Und ich habe immer versucht, diese einzubauen, weil ich Angst vor der Datenexfiltration hatte und in Schwierigkeiten geraten würde, weil der Hersteller nicht sagt, dass man das so machen muss. Ich denke, die Logik besagt, dass jemand, der reinkommt, auch wieder rauskommt. Und eine Tür zu haben, die, wissen Sie, nur in eine Richtung öffnen muss, ist albern. Und so ist Zero Trust meine Reaktion auf dieses kaputte Vertrauensmodell. Dieses Vertrauen ist eine menschliche Emotion. Und es muss raus aus der digitalen Welt. Es hat keinen Bezug zu Paketen. Menschen sind keine Pakete. Sie können das Konzept des Vertrauens nicht anwenden. Vergessen Sie also das Wort Vertrauen. Das ist am einfachsten. Ersetzen Sie es durch Validierung, wo Signale validiert werden, damit wir Vertrauen darin haben, den Zugriff auf eine Ressource zuzulassen.
Emily Wearmouth [00:03:14] Und ich weiß, wir sprechen jetzt alle über Zero Trust, aber es ist schon eine Weile her, seit Sie die ursprüngliche Idee hatten. Wie war die Reaktion damals, als Sie es zum ersten Mal erfunden haben?
John Kindervag [00:03:22] Nun, es war alles andere als begeistert. Tatsächlich sagten die Leute mir, ich sei völlig verrückt. Das würde niemals irgendwohin führen. Andere Dinge, die ich in einem öffentlichen Podcast nicht sagen würde. Wissen Sie, 11 Jahre später, 2010, habe ich den ersten Bericht geschrieben. Elf Jahre später erließ der Präsident eine Durchführungsverordnung dazu, die alle US-Bundesbehörden dazu aufforderte, es zu übernehmen. Und mittlerweile ist daraus eine globale Bewegung geworden. Ich hätte also nie gedacht, dass das passieren würde. Und viele Leute sagten mir ausdrücklich, dass das niemals passieren würde und dass ich buchstäblich einer der verrücktesten Menschen auf dem Planeten sei.
Emily Wearmouth [00:04:00] Warum hat sich das Ihrer Meinung nach durchgesetzt?
John Kindervag [00:04:03] Weil es logisch Sinn macht, und auch weil viele Early Adopters, die wirklich große Schwierigkeiten hatten, ihr Netzwerk zu sichern, es ausprobiert und es anderen Leuten erzählt haben und es anderen Leuten erzählt haben und anderen Leuten gesagt haben, dass es so ist funktioniert. Und so bewährte es sich im Schützengraben. Ich meine, ich habe zwei Jahre lang Primärforschung betrieben, bevor ich den ersten Bericht veröffentlichte. Ich habe Prototypenumgebungen erstellt. Ich habe mit Regierungsbehörden zusammengearbeitet. Deshalb hatte ich nie Zweifel daran, dass es funktionieren würde, dass es die richtige Strategie war. Denn Zero Trust ist in erster Linie eine Strategie, die auf den höchsten Ebenen jeder Organisation wie dem Präsidenten in den Vereinigten Staaten Anklang findet. Und dann mit handelsüblicher Standardtechnologie taktisch umsetzbar sein. Ich wusste also immer, dass ich sicherstellen musste, dass die Strategie von der Taktik entkoppelt war. Strategien ändern sich nicht. Die Taktik wird mit der Zeit immer besser. Rechts. Ja. Also kehren Neil und ich vor langer Zeit in ein Hotel in London zurück. Richtig, Neil?
Neil Thacker [00:05:13] Ja. Ich glaube, wir haben uns 2012 zum ersten Mal getroffen. Es ist also beängstigend, dass das jetzt 12 Jahre her ist. Und ich habe von dem Begriff gehört. Ich habe von Ihrer Definition von Zero Trust gehört. Und wir hatten eine Diskussion. Ich glaube, es war beim Mittagessen während der Konferenz. Und ja, wir haben darüber gesprochen, wie Zero Trust angewendet werden kann. Und damals war es eine Firewall, es war IPS. Ich erinnere mich, dass ich über IPS gesprochen und mir den Kontext rund um IPS und diese oder diese Tools angesehen habe, diese neuen Funktionen, die implementiert wurden, wie Echtzeit-Netzwerkbewusstsein, bei dem versucht wurde, verschiedene Vertrauensvariablen zu berücksichtigen. Genau. Auf den Punkt gebracht, richtig, in Bezug darauf, wie Sie Richtlinien definieren und wie Sie Richtlinien basierend auf den Vertrauensstufen anpassen sollten. Aber es war interessant, denn zu dieser Zeit wohnte Tom Cruise in diesem Hotel. Und wahrscheinlich handelt es sich dabei um eine tolle Analogie, denn es waren Menschen in der Nähe des Hotels, im Hotel, die im Hotel übernachteten oder Konferenzen im Hotel abhielten. Und dann hatte Tom Cruise im obersten Stockwerk etwa 6 oder 7 Zimmer, die ineinander geschoben waren. Er hatte also sein Fitnessstudio und natürlich seine Wohnung, in der er wohnte, während er „Mission Impossible“ drehte. Und ich denke, das ist eine großartige Analogie, nicht wahr, im Hinblick auf Nullvertrauen und die Tatsache, dass Leute in diesem Hotel waren, aber diesen Personen gegenüber wurde überhaupt kein Vertrauen ausgeübt, nicht wahr? Das Betreten dieser Stockwerke war ihnen nicht gestattet. Es gab sehr strenge Sicherheitsvorkehrungen, um den Zugang zu diesen Bereichen vollständig zu beschränken. Also ja, das war das erste Mal, dass wir uns trafen. Und seitdem verfolge ich dich. In den letzten 12 Jahren haben sich Organisationen dem Zero-Trust-Prinzip verschrieben und es eingeführt.
Emily Wearmouth [00:06:39] Neil, darf ich ehrlich fragen, wie war Ihre erste Reaktion auf das Zero-Trust-Konzept? Wurde es sofort als etwas Erstaunliches und Umsetzbares angepriesen, das alle Antworten enthielt? Oder gab es von Anfang an Skepsis? Wie ist es anfangs gelaufen?
Neil Thacker [00:06:54] Ich war ein Fan der Prinzipien. Ich war ein absoluter Fan der Prinzipien. Ich habe dies viele Jahre lang erlebt. Dabei geht es nicht nur darum, sich auf eine IP-Adresse zu verlassen, um beispielsweise den Zugriff auf Dienste zu sichern. Es müssen viele verschiedene Bedingungen erfüllt werden. Ich war schon immer ein großer Fan der Art mit den fünf Ws. Wenn Sie anfangen, etwas zu bauen, müssen Sie das Wer, Was, Wo, Wann, Wo, Wie besser verstehen und diese Prinzipien anwenden. Dies ist die Kipling-Methode, die natürlich auch außerhalb der Sicherheit seit vielen, vielen Jahren verwendet wird. Ich war schon immer ein großer Fan davon, diese Dinge zu nutzen, aber auch davon, wie wir die von uns umgesetzten Richtlinien besser verstehen. Ich habe mein damaliges Team, ein Team von Sicherheitsabteilungen, stets herausgefordert, wann immer sie eine Richtlinie oder Bedingung aufstellten, damit sie verstanden, was es tatsächlich richtig machte und welchen Nutzen es für die Organisation brachte. Und wenn wir über Dinge wie eine Bedrohung von innen oder von außen sprachen, müssen wir das berücksichtigen. Und in diesen Fällen muss es eine Form von Nullvertrauen geben. Ich war ein großer Fan der Prinzipien, aber natürlich schaue ich mir auch an, wie wir sie durch Elemente von Menschen, Prozessen und Technologie umsetzen können.
Emily Wearmouth [00:08:00] Und John, jetzt, wo Sie es schon lange in der Praxis sehen und es so ist, als ob Ihr Baby in die Schule gegangen wäre, wie fühlt es sich an zu sehen, dass die Anbieter Zero Trust auf viele verschiedene Arten interpretieren und den Begriff für ihre Zwecke passend machen. Sie haben nicht unbedingt Ihre Ideologie übernommen, Ihr Branding übernommen und es aufgeklebt, viele Dinge, die sie vielleicht bereits tun, oder sie haben die Bedeutungen so manipuliert, dass sie zu ihnen passen. Wie fühlt sich das an?
John Kindervag [00:08:29] Nun ja, manchmal kann es ein bisschen frustrierend sein, aber ich betrachte diese Leute als Kraftmultiplikatoren für das Konzept, weil es noch viele andere Dinge gibt Dort werden die Leute landen, zu sich kommen und vielleicht von irgendetwas davon erfahren, und vielleicht hört sich das gut an, vielleicht auch nicht. Irgendwann wird ihnen klar: „Oh, das ist doch bloß ein Teil des Puzzles, oder?“ Aber es gibt noch viele andere Dinge, die sie sich ansehen können. Es gibt Leitlinien von NIST, es gibt Leitlinien von CISA. Ich wurde zum Mitglied eines Unterausschusses des Präsidenten namens NSTAC ernannt, dem Unterausschuss des National Security Telecommunications Advisory Council des Präsidenten für Zero Trust und den Identitätszugriff von Trusts. Was, klingt das nicht nach einer Regierung, einem Ausschuss? Aber wir haben im Februar 2022 einen Bericht an Präsident Biden veröffentlicht. Und das war ein gemeinsamer Bericht, an dem Personen aus dem privaten und öffentlichen Sektor beteiligt waren. Und das ist einzigartig, weil alles andere eine Art Perspektive ist. Das war also eine Zusammenarbeit. Ich würde sagen, dass dieser Bericht etwas ist, das jeder lesen sollte, weil er maßgeblich dafür ist, was Zero Trust ist. Rechts. Und so ist es auch die Grundlage für die Arbeitsgruppe Cloud Security Alliance Zero Trust, der ich angehöre. Und wenn wir das als Grundlage nutzen, kann jeder mit dem Aufbau beginnen. Wir haben viel zu viele Jahre damit verbracht, darüber zu reden, was es ist, und nicht genug Zeit damit, es zu tun. Und so hoffe ich, dass die nächste Phase des Null-Vertrauens darin besteht, es einfach richtig zu machen. Nehmen Sie das Nike-Motto und machen Sie es einfach.
Emily Wearmouth [00:10:12] Eines der Dinge, die ich von Anbietern gehört habe, die den Begriff „Zero Trust“ kritisierten, war die Aussage, dass Zero Trust einfach die neueste Art sei, darüber zu sprechen und zu verkaufen was im Wesentlichen Identitäts- und Zugriffsmanagement ist. Ich werde euch beide fragen. Ich fange mit Ihnen an, John. Ist das fair? Glauben Sie, dass es auf diese Weise genutzt wird, und wenn ja, warum ist das problematisch?
John Kindervag [00:10:32] Nun, es wird auf diese Weise verwendet, aber es ist falsch. Rechts. Identität ist ein wichtiges Signal, das wir konsumieren können. Identität wird also in der Politik im Zero Trust konsumiert. Aber es ist nicht gleichbedeutend mit Nullvertrauen, oder? Da sind die Identitätsanbieter natürlich klugerweise darauf aufgesprungen. Aber jetzt sehen wir so viele Kompromisse bei Identitätssystemen. Nicht nur, dass einige der großen Identitätsanbieter selbst kompromittiert werden, sondern wir haben auch eine MFA-Müdigkeit, bei der man immer wieder „Ja, ja, ja“ drückt, weil man in eine MFA-Schleife gerät und es einem einfach egal ist. Wir sehen viele Möglichkeiten, die Identität zu umgehen. Identität ist immer fungibel, oder? Immer, immer, immer fungibel in digitalen Systemen. Es ist auch in menschlichen Systemen fungibel. In digitalen Systemen ist es jedoch höchst fungibel, das heißt, es ist leicht, es zu umgehen oder zu manipulieren. Und wissen Sie, wenn man es genau betrachtet, widerlege ich das Konzept, dass Identität Nullvertrauen bedeutet, immer mit zwei Worten. Snowden und Manning, wie ich sie nenne, sind die beiden berühmtesten Persönlichkeiten im Bereich Cybersicherheit. Ich nenne sie, wie die Beyoncé und Rihanna des Cyber. Rechts. Weil sie Ein-Wort-Menschen sind. Und sie waren vertrauenswürdige Benutzer auf vertrauenswürdigen Systemen. Sie hatten das richtige Patch-Level. Sie verfügten über die richtigen Endpunktkontrollen. Sie verfügten über eine wirklich leistungsstarke MFA, viel leistungsfähiger als die, die wir im privaten Sektor verwenden. Aber sie sind wirklich schwer zu bedienen, sehr umständlich und verursachen viel Reibung. Aber niemand schaute nach der Authentifizierung auf ihre Pakete und fragte, was sie im Netzwerk und im umgangssprachlich als High-Side-Netzwerk der Bundesregierung bezeichneten Netzwerk tun. Sobald Sie sich in diesem Netzwerk authentifiziert haben, erhalten Sie Zugriff auf alles in diesem Netzwerk. Ich habe also mit einem Anwalt gesprochen, der in den Manning-Fall verwickelt war, und er sagte, als das zum ersten Mal auf meinen Schreibtisch kam, fragte ich: Wie könne ein PFC in einer vorgeschobenen Operationsbasis im Irak Zugang zu geheimen Kabeln des Außenministeriums in Washington, D.C. haben? Und er sagte: „Nachdem ich alle mir vorgelegten Beweise gelesen hatte, habe ich endlich verstanden, was Nullvertrauen bedeutet.“ Also, ja, Identität wird in der Politik verbraucht. Es ist nicht unwichtig, aber es ist auch nicht maximal wichtig. Hier geht es um den Aufbau eines Systems, nicht um den Einsatz einer Technologie.
Emily Wearmouth [00:13:02] Also Neil, was könnten einige der anderen Faktoren sein? Und um nur ein wenig auf das zurückzukommen, was John dort gesagt hat: Ich habe immer an „Zero Trust“ gedacht, oder es wird oft als Kurzformel verwendet: „Verifizieren, dann vertrauen“ statt „vertrauen, sie verifizieren“. Aber es hört sich so an, als würden wir davon reden, etwas zu verifizieren und dann etwas anderes zu verifizieren. Und etwas später noch einmal überprüfen.
John Kindervag [00:13:19] Wenn Sie dieses „Vertrauen, aber überprüfen“-Ding verwenden, dann heißt es „Überprüfen und niemals vertrauen“, wenn Sie dort noch etwas anderes brauchen. Rechts. Ja. Aber vertrauen Sie, aber überprüfen Sie. Wenn Sie sich die Geschichte ansehen, hat Ronald Reagan das nie gesagt. Er benutzte ein russisches Sprichwort und sagte es auf Russisch. Weißt du, mein Russland, ich konnte diesen Satz nie sagen, aber er war so etwas wie über Nacht, nicht bewiesen. Ich und meine russischen Freunde weisen darauf hin, dass der springende Punkt dabei ist, dass es sich nur auf Russisch reimt, richtig. Und, und dann sagte er, und das bedeutet natürlich: Vertrauen, aber Kontrolle. Und es war ein Witz und alle haben gelacht. Es war also im wahrsten Sinne des Wortes ein Witz, den Ronald Reagan gemacht hat, und wir haben ihn ernst genommen. Also würde ich mit Leuten reden. Was? Sichere Cybersicherheitsstrategie und es wird vertrauen, aber überprüfen. Warum sagst du das? Weil Ronald Reagan es gesagt hat. Ja. Der große Cybersicherheitsexperte Ronald Reagan sagt, das sei der Fall. Das war, glaube ich, bevor die erste Schadsoftware entwickelt wurde, also war es einfach Wahnsinn, dass die Leute einfach auf solche Abwege gerieten, weil jemand anderes es gesagt hatte. Es ist der Wahnsinn der Menschenmassen.
Emily Wearmouth [00:14:26] Ja, absolut. Was sind also Neal und welche Signale sehen Sie als CISO, die Ihnen bei der Entscheidungsfindung rund um den Zugriff helfen?
Neil Thacker [00:14:33] Ich meine, ich stimme zu, Identität ist ein Teil davon, eine entscheidende Kontrolle. Dann müssen Sie jedoch beispielsweise sicherstellen, dass Sie über eine Geräteabdeckung verfügen, da das Gerät ein weiterer Bestandteil davon ist. Es geht um das Netzwerk, und wenn wir über Cloud-Dienste sprechen: Wenn Sie ein Netzwerk verwenden, dann verwenden Sie möglicherweise das Internet. Es geht ums Rechnen. Es geht um Aspekte der Aktivität. Es ist die Anwendung, auf die Sie zugreifen. Es gibt natürlich Elemente rund um die Aktivität selbst und dann die Speicherung und Daten. Es gibt also so viele verschiedene Elemente oder Komponenten. Ich meine, diese sind in gewisser Weise in mehreren Frameworks definiert, die es sein müssen. Jedes davon muss ein Konsum und/oder ein Maß an Vertrauen sein. Rechts. Was den Ausbau angeht. Und ich denke, hier müssen Organisationen wirklich damit beginnen, sich damit auseinanderzusetzen. Und ich gebe ein Beispiel. Ich habe einen Vortrag gehalten und über die verschiedenen Reifegrade und die Einführung von Zero Trust gesprochen. Und es war jemand im Publikum, der sozusagen die Hand hob und sagte: „Nun, ich habe null Vertrauen, weil ich ein VPN und eine Zugriffskontrolle habe, ich habe ACLs.“ Und meine Antwort war: Nun ja, okay, Sie haben hier vielleicht ein, ein oder zwei Grundlagen, aber Sie müssen die vielen anderen Komponenten berücksichtigen, richtig. Und das sollte dabei eine Rolle spielen. Ich stimme John vollkommen zu. Und es ist absolut entscheidend, dass wir über die bloße Identität hinausgehen, da sie die Kontrolle ist, die das Vertrauen in unsere Organisationen bestimmt.
John Kindervag [00:15:51] Nun, keine Entscheidung, Vertrauen oder Nichtvertrauen. Ich muss dich vom T-Wort abbringen. Ein vierbuchstabiges Wort in „Zero Trust“, Mann. Es ist ein Wort mit vier Buchstaben. Aber hier ist die Sache. Das fehlt, oder? Sie haben die Kipling-Methode erwähnt. Wer was, wann, wo, warum und wie. Und tatsächlich haben Sie erwähnt, dass Sie das Warum weggelassen haben, als Sie das gesagt haben. Ich dachte, wir hätten es nicht getan. Warum ist die erste Frage. Warum machen wir das? Nun, warum machen wir Cybersicherheit? Was ist ein Cyber und warum sollten wir ihn schützen? Erstens haben wir dem Geschäft, in dem wir tätig sind, einen falschen Namen gegeben. Aber zweitens besteht der einzige Grund für Sicherheit darin, etwas zu schützen. Rechts? Bei Zero Trust geht es also um das grundlegende Konzept, nicht um die Technologie, sondern um die schützende Oberfläche. Was schütze ich? Damit beginnen wir im Fünf-Schritte-Modell. Und das ist im NSTAC-Bericht dokumentiert. Deshalb habe ich eine einfache Reise in fünf Schritten erstellt, der jeder folgen kann. Definieren Sie die Schutzoberfläche. Was schützen Sie? Die Dinge, die Sie schützen, werden als Dash-Elemente bezeichnet und stehen für Datenanwendungsressourcen oder -dienste. Sie fügen einen DAAS-Elementtyp in eine einzelne Schutzoberfläche ein und bauen dann Ihre Schutzoberfläche oder Ihre Zero-Trust-Umgebung jeweils aus einer Schutzoberfläche heraus auf. Auf diese Weise wird Zero Trust zu drei inkrementellen Dingen. Sie tun es einzeln, iterativ einen nach dem anderen. Und dann unterbrechungsfrei. Sie können höchstens eine Schutzfläche nach der anderen vermasseln. Das größte Problem besteht meiner Meinung nach darin, dass die Leute versuchen, alles auf einmal zu erledigen. Und das ist unmöglich. Es ist eine zu große Herausforderung. Anschließend bilden Sie die Transaktionsflüsse ab. Wie funktioniert das System als System zusammen? Wissen Sie, die NSA hat erst letzte Woche neue Leitlinien zur Segmentierung und zur Bedeutung der Segmentierung innerhalb von Zero Trust herausgegeben. Und sie bezeichneten Datenflusszuordnungen als eines der Schlüsselelemente neben Mikrosegmentierung, Makrosegmentierung und softwaredefinierter Vernetzung. Daher müssen Sie verstehen, wie das System funktioniert. Und dann können Sie im dritten Schritt herausfinden, welche Technologie die richtige ist. Uns wurde beigebracht, mit der Technologie zu beginnen, denn so verkaufen Anbieter, oder? Sie verkaufen Technologie und wir brauchen sie. Rechts. Denn sie stellen die Dinge bereit, auf die wir die Politik drängen, aber sie an sich bieten keine Sicherheit. Sie müssen verstehen, warum Sie es tun. Und dann ist Schritt vier die Erstellung der Richtlinie. Und Schritt fünf besteht darin, die Wartung zu überwachen. Achten Sie darauf, dass Sie es nicht einfach liegen lassen, sondern ständig betrachten und es sich aufbauen und mit der Zeit immer besser werden lassen.
Neil Thacker [00:18:29] Und es ist ein Zyklus, oder? Es ist so, dass du das wiederholst. Und ich denke, hier kann Technologie durchaus dabei helfen, neue Angriffsflächen zu identifizieren, die man dann schützen muss, oder? Ihre Schutzfläche muss ständig erweitert werden oder je mehr Vermögenswerte Sie entdecken, desto mehr Vermögenswerte.
John Kindervag [00:18:45] Nun, ich hoffe, es kostet mich nicht, dass sich meine Schutzoberfläche nicht ständig ausdehnt. Ich hoffe, dass es relativ bleibt. Ich meine, es wird im Hinblick auf die Datenmenge, die beispielsweise in einer bestimmten Datenbank gespeichert wird, größer, aber ich möchte der Schutzoberfläche keine weiteren Elemente hinzufügen. Rechts? Ich möchte versuchen, die Oberfläche von der übrigen Angriffsfläche zu trennen, abzukoppeln oder zu segmentieren. Ich muss mich also nicht einmal darum kümmern, oder? Wenn man sich die veröffentlichten Richtlinien der NSA ansieht, wird dort zunächst von einem Datendiebstahl bei einem Einzelhändler gesprochen, dann wird in einer Fußnote auf den Datendiebstahl bei Target eingegangen. Und wissen Sie, jeder sagt gerne, dass der Target-Verstoß im Jahr 2013 meiner Meinung nach der Beginn der Cybersicherheit in der modernen Welt ist. Ich teile die Welt in BT und AT auf. Wir befinden uns im Jahr 11 AT nach dem Ziel, oder? Denn Target war das erste Mal überhaupt, dass der CEO aufgrund einer Tat entlassen wurde, nämlich einer Datenschutzverletzung. Und wenn es in Ihrem Unternehmen zu einer Datenschutzverletzung kommt, verfügen Sie über Richtlinien, die dies zulassen. Du bist kein zufälliges Opfer. Sie sind ein unwissender Mitverschwörer aufgrund einer schlechten Politik. Also erwähnen sie das und reden über die HVAC-Sache und die HVAC, die nicht das Problem war. Das Problem bestand darin, dass Target das HVAC-Steuerungssystem in dasselbe Netzwerk wie die Karteninhaberdatenumgebung integriert hatte, was einen klaren Verstoß gegen den PCI DSS darstellt. Ich meine, ich bin ein sich erholender QSA. Ich gehörte zur ersten Generation von QSAs, die die PCI-Zertifizierung erhielten. Sie hätten also niemals, niemals, wissentlich ein derartiges System in die Datenumgebung des Karteninhabers integriert? Das wäre ein klarer Verstoß.
Emily Wearmouth [00:20:32] Sie sprechen über „vor Target“ und nach „Target“. Ich denke, das ist eine wirklich schöne Art, die Welt aufzuteilen. In dieser nach Target-Welt. Wir erleben null Vertrauen, und zwar durch Dinge wie Bidens Executive Order. Wir erleben, dass „Zero Trust“ nicht einfach nur ein Begriff oder eine Ideologie ist, die von der Technologie-Community angenommen wird. Es ist ein Gespräch, das innerhalb von Organisationen bis auf Vorstandsebene geführt wird. Und ich frage mich: Wie sehr denken Sie beide, dass das nützlich ist? Denn Unternehmen denken über die richtigen Dinge nach, und viele dieser Dinge schaffen durch Missverständnisse oder vielleicht durch die Erwartung, dass es eine Technologie gibt, die dieses Problem sofort lösen kann, neue Herausforderungen.
Neil Thacker [00:21:08] Ich bin also Mitglied einer Gruppe, dem Cyber Collective, und wir haben etwa 300 Mitglieder. Und ich habe ihnen einige Fragen gestellt. Also tatsächlich gestellt, zu John. Und tatsächlich ging es bei einer dieser Fragen um die Betrachtung der Net-Zero-Trust-Architektur. Und jetzt sehen wir eine immer stärkere Betonung dieses Themas im Hinblick auf Zero Trust und die Frage, wie man eine Architektur aufbauen kann, um Zero Trust anzuwenden. Und eine der Fragen, die eingingen, war: Wie sehen wir das und den Übergang? Wie sehen und steigern wir den Wert unserer Unternehmen durch die Einführung von ZTNA und insbesondere durch die Betrachtung, wie wir uns über Netzwerke hinaus bewegen? Die Prinzipien sind also Prinzipien, die mehr oder weniger wirksam werden, je mehr wir uns von Netzwerken entfernen. Aber wenn ich Netzwerke sage, meine ich traditionelle Netzwerke. Wir wissen nicht, dass Netzwerke in Cloud-Diensten usw. immer noch existieren. Aber so höre ich diese Diskussion, vielleicht sogar auf Vorstandsebene, darüber, wie Organisationen möglicherweise alle einen Wandel durchmachen, entweder durch oder durch Netzwerk- oder Sicherheitstransformation. Und ich denke, es wäre gut, das vielleicht etwas besser zu verstehen. Befinden wir uns diesbezüglich in dieser Evolutionsstufe?
John Kindervag [00:22:12] Nun, Cybersicherheit ist absolut ein Thema auf Vorstandsebene, und ich habe mit vielen Vorstandsmitgliedern gesprochen. Ich habe mit Generälen und Admiralen gesprochen, ich habe mit hochrangigen Regierungsvertretern auf der ganzen Welt gesprochen. Und sie verstehen dies leichter als Technologen, weil Technologen in ihrer Technologieblase gefangen sind. Sie verstehen die Strategie. Es passieren ein paar Dinge. Erstens müssen Vorstände über diese Dinge Bescheid wissen, denn ich habe oft erlebt, dass andere Führungskräfte versuchten, Cybersicherheitsprobleme vor Vorständen und CEOs zu verbergen, weil sie dadurch schlecht dastanden. Und dann gibt es einen Datenverstoß und alle werden gefeuert. Ganz ehrlich, Neil, ich wäre heute kein CIISO, weil du der Typ bist, der unter den Bus geworfen wird und der dann mit der Zeit immer wieder einen Rückzieher macht. Und dann landen Sie vielleicht im Gefängnis. Wir wissen nicht, wer im Gefängnis landen wird. Aber sicherlich gab es einige Verurteilungen wegen Betrugs und andere Dinge, die der CISO-Community widerfahren sind. Es ist ein gefährlicher Ort, weil Sie nur dazu da sind, für etwas gefeuert zu werden, über das Sie möglicherweise die Kontrolle hatten oder auch nicht, weil Sie kein Budget hatten. Sie haben nicht dem CEO Bericht erstattet, wie alle CISOs dem CEO Bericht erstatten sollten. So erhält der CEO ungeschminkte Informationen. Aber auch das andere ist wie beim NIST: NIST ist keine Cybersicherheits- und Standardisierungsorganisation, oder? Daher sollten Sie in Großbritannien niemals NIST machen. Es hat für Sie keinen Wert, weil Sie nicht Teil des zivilen US-Bundesbehördensystems sind. NIST ist nur dazu da, den zivilen Behörden der US-Bundesregierung Orientierungshilfe zu geben. Und ehrlich gesagt gibt es viele Dinge, die mir egal sind. Rechts? Rechts. Weil sie in der Regel für kleine Agenturen entwerfen, die ihnen zuhören. Den großen Agenturen ist das egal. Dem Verteidigungsministerium ist es egal. Und deshalb würde ich die Zuhörer auf das konzentrieren, was wir bei der Cloud Security Alliance tun, weil wir es entkoppeln. Und wir sagen nicht, dass es Standards gibt. In der Cybersicherheit sollte es keine Standards geben. Wir brauchen keine Standards, denn Standards sorgen für Interoperabilität. Und die Interoperabilität wird jetzt durch APIs erreicht. Also Standards, alles was sie tun, ist Innovation zu hemmen. Daher würde ich sagen, dass Standards mittlerweile eine wirklich schlechte Sache sind. Das ist das Problem mit Normungsgremien, denn es gibt so viele Kompromisse, dass sie für die Endbenutzer nicht wirklich wertvoll sind.
Neil Thacker [00:24:43] Ja. Ich denke, mein Punkt ist, dass es darum geht, vielleicht das Beste aus einigen dieser Dinge herauszuholen, wie zum Beispiel das Erlernen von Beispielen dazu. Ich denke, es gibt etwas, was ich sehe, und es sind ganz, ganz interessante Aspekte, wenn wir uns Dinge wie die Zero-Trust-Architektur rund um den Punkt der Richtliniendurchsetzung ansehen. Rechts. Ich denke, dass viele Unternehmen heute versuchen, die Richtliniendurchsetzungspunkte zu standardisieren, die Prinzipien zu nutzen und sicherzustellen, dass sie darin einen Wert erkennen. Rechts. Aber ja, ich stimme zu, man muss das Beste aus dem nehmen, was da draußen ist. Aber meistens ist es auch das, was Sie selbst lernen. Das Einzigartige an Ihrer Organisation ist, was sie tut. Das macht tatsächlich einen Unterschied, oder? Das ist für mich die Empfehlung.
John Kindervag [00:25:23] Nun, ich werde ein britisches Wort für Sie verwenden, da Sie beide Briten sind. Jede Zero-Trust-Umgebung muss auf den Schutz der Schutzoberflächen zugeschnitten sein. Es tut mir leid, dass Sie das nicht können. Wir können nicht in die 90er Jahre zurückkehren und Referenzarchitekturen haben, bei denen wir nur die IP-Adressen in unsere IP-Adressen ändern müssen und die Pakete einfach fließen. So haben wir es früher immer gemacht. Und das ist ein Konzept des 20. Jahrhunderts und das ist es, was die Menschen wollen. Zeig mir einfach, was ich tun soll. Und es hat nie funktioniert, weil wir diese Netzwerke für das Unternehmen aufgebaut haben. Und das Unternehmen sagte: „Mensch, Sie haben mir viele runde Löcher gegeben, aber ich habe eckige Stifte bekommen.“ Und wir sagten, dass der Verkäufer uns zum Glück ein kostenloses Taschenmesser gegeben hat, sodass wir die Ecken schnitzen und es an das anpassen können, was wir gebaut haben, denn wir sind die Wichtigsten. Und aus diesem Grund hatte das Unternehmen eine sehr schlechte Meinung davon. Und Cybersicherheit hemmt das Geschäft und sagte: „Hey, ich habe eine Kreditkarte, ich gehe in die Cloud.“ Ich werde Schatten-IT machen, all das Zeug, was sie hätten tun sollen, weil wir dumm waren, wissen Sie, wir versuchten, sie in unsere Welt zu zwingen, anstatt uns an ihre Welt anzupassen. Und ich sah, dass ich, als ich einige der primären Recherchen zum Thema Zero Trust durchführte, ein Forschungsprojekt durchführte, bei dem ich IT-Leiter und Unternehmensleiter einige der wichtigsten Dinge stapeln ließ, und ich bekam eine ganze Liste von Dingen aus verschiedenen Bereichen Menschen. Und die drei obersten Prioritäten für Unternehmensleiter waren die Steigerung des Umsatzes, die Steigerung der Rentabilität und die Unterbindung der Datenexfiltration. Das Stoppen der Datenexfiltration war die einzige technologische Sache, die es auf die Liste schaffte. Das waren die drei obersten Prioritäten der IT-Führungskräfte. Damals waren es ungefähr die Antiviren-Erkennungsraten. Wie viele Prozent der Phishing-Angriffe in meinen Phishing-Tests habe ich verhindert, dass solche Dinge passiert sind? Und es war ihnen egal, den Umsatz und die Rentabilität zu steigern oder den Datenabfluss zu stoppen, also die großen strategischen Ziele eines Unternehmens, nicht wahr? Wenn Sie weder Ihren Umsatz steigern noch Ihre Rentabilität erhöhen und keine Datenschutzverletzungen verhindern, dann machen Sie Ihren Job nicht richtig. Deshalb vertiefen wir uns zu sehr ins Detail und verstehen die Mission nicht.
Emily Wearmouth [00:27:42] Ich sehe, wie mein Produzent anfängt, mir wegen des Timings zuzuwinken. Und ich habe eine Frage, die ich Ihnen unbedingt stellen möchte, John: Wenn Sie in der Zeit zurückgehen könnten, würden Sie es immer noch Zero Trust nennen?
John Kindervag [00:27:52] Auf jeden Fall würde ich das tun. Absolut Vertrauen als menschliche Emotion. Und wenn die Leute sagen, Sie würden sagen, die Leute seien nicht vertrauenswürdig, dann sage ich: Nein, bin ich nicht. Ich sage, dass Menschen keine Pakete sind. John ist gerade nicht im Netzwerk. Neil, Emily und ich sind nicht in Netzwerken. Unsere behauptete Identität wird behauptet, um Pakete von einem Gerät zu generieren, und wir sind nicht im Netzwerk. Hören Sie also auf, das, was wir tun, zu anthropomorphisieren. Das ist nicht Tron, Lawnmower Man oder Wreck-It Ralph. Dies ist die reale Welt. Also würde ich es auf jeden Fall tun. Und jeder, der sich wehrt, ich meine, ich sage, Sie wissen nicht einmal, was Vertrauen bedeutet. Definiere es für mich. Und das können sie nicht, weil es sich um ein menschliches Gefühl handelt, das jahrhundertelang nur in der Philosophie, Religion und zwischenmenschlichen Interaktion genutzt wurde, niemals im Geschäftsleben. Und ich weiß, wie es in die Technologie gelangte. Es war ein Unfall. Jemand programmiert mitten in der Nacht etwas in seiner Garage und nannte es einfach eine Vertrauensstufe. Aber nein, lass es weg. Die einzigen Menschen, für die es einen Wert hat, sind die böswilligen Akteure, die es ausnutzen werden, denn Sie brauchen es nicht, um ein Paket von Punkt A nach Punkt B zu verschieben. War das als Antwort genug für Sie?
Emily Wearmouth [00:28:59] Das war absolut der Fall. Meine Leidenschaft ist es, zu lernen, wie Sie alle Fragen beantworten. John. Danke schön. Vielen Dank, euch beiden, dafür.
John Kindervag [00:29:07] Kann ich Neil noch eine Frage stellen, bevor wir gehen?
Emily Wearmouth [00:29:09] Auf jeden Fall. Bitte.
John Kindervag [00:29:11] Hast du Tom Cruise im Hotel gesehen? Ich habe ihn nie gesehen.
Neil Thacker [00:29:14] Nein. Wir nie. Nein, wir haben ihn am Ende nie wirklich gesehen. Nein, das gab es. Ich glaube, es gab einige Versuche von Seiten der Konferenzteilnehmer, aber keiner bekam die Gelegenheit dazu.
John Kindervag [00:29:23] Ich weiß, ich habe versucht, herumzulaufen und bin auf große, stämmige Leute gestoßen, die sagten: „Geh da lang.“
Emily Wearmouth [00:29:30] Zugriff verweigert.
John Kindervag [00:29:31] Null Vertrauen, Baby.
Neil Thacker [00:29:34] Bitte sehr.
Emily Wearmouth [00:29:35] Vielen Dank, dass Sie beide heute bei mir sind. Ich meine, das ist ein äußerst interessantes Thema. Es gibt es jetzt schon eine Weile, John, und ich denke, es wird noch eine Weile so bleiben. Sie haben den Podcast „Security Visionaries“ gehört. Ich war Ihre Moderatorin, Emily Weymouth, und wenn Ihnen diese Episode gefallen hat und wem diese Episode nicht gefallen würde, teilen Sie sie bitte und abonnieren Sie unbedingt den Security Visionaries-Podcast.
John Kindervag [00:29:56] Gib ihm das „Gefällt mir“. Rechts?
Emily Wearmouth [00:29:58] Geben Sie es in die gleiche Richtung. Ja, absolut. Liken und abonnieren. Und werfen Sie einen Blick in den Backkatalog, denn wir haben einige wirklich interessante Themen, die auch Ihnen gefallen könnten. Vielen Dank also an euch beide, John, Neil und ich komme beim nächsten Mal vorbei.
Warum Netskope? 
){kind=icon}
