Katika mkutano wa Black Hat Europe mnamo Desemba, niliketi na mmoja wa wachambuzi wetu wakuu wa usalama, Paul Stringfellow. Katika sehemu hii ya kwanza ya mazungumzo yetu tunajadili utata wa kutumia zana za usalama wa mtandao, na kufafanua vipimo vinavyofaa vya kupima ROI na hatari. Jon: Paul, shirika la watumiaji wa mwisho linaelewaje kila kitu kinachoendelea? Tuko hapa kwenye Black Hat, na kuna teknolojia nyingi tofauti, chaguo, mada na kategoria. Katika utafiti wetu, kuna mada 30-50 tofauti za usalama: usimamizi wa mkao, usimamizi wa huduma, usimamizi wa mali, SIEM, SOAR, EDR, XDR, na kadhalika. Walakini, kwa mtazamo wa shirika la watumiaji wa mwisho, hawataki kufikiria juu ya vitu 40-50 tofauti. Wanataka kufikiria kuhusu 10, 5, au labda hata 3. Jukumu lako ni kupeleka teknolojia hizi. Je, wangependa kulifikiriaje, na unawasaidiaje kutafsiri utata tunaouona hapa kuwa usahili wanaoutafuta? Paul: Ninahudhuria hafla kama hizi kwa sababu changamoto ni ngumu sana na inabadilika haraka. Sidhani kama unaweza kuwa CIO wa kisasa au kiongozi wa usalama bila kutumia wakati na wachuuzi wako na tasnia pana. Si lazima katika Black Hat Ulaya, lakini unahitaji kujihusisha na wachuuzi wako kufanya kazi yako. Tukirudi kwenye hoja yako kuhusu wachuuzi 40 au 50, uko sahihi. Idadi ya wastani ya zana za usalama wa mtandao katika shirika ni kati ya 40 na 60, kulingana na utafiti unaorejelea. Kwa hiyo, unaendeleaje na hilo? Ninapokuja kwa matukio kama haya, napenda kufanya mambo mawili—na nimeongeza la tatu tangu nilipoanza kufanya kazi na GigaOm. Moja ni kukutana na wachuuzi, kwa sababu watu wameniomba. Mbili, nenda kwa mawasilisho fulani. Tatu ni kuzunguka eneo la Expo nikizungumza na wachuuzi, hasa wale ambao sijawahi kukutana nao, ili kuona wanachofanya. Niliketi katika kikao jana, na kilichonivutia ni kichwa: “Jinsi ya kutambua vipimo vya usalama wa mtandao ambavyo vitaleta thamani kwako.” Hilo lilivutia umakini wangu kutoka kwa maoni ya mchambuzi kwa sababu sehemu ya kile tunachofanya katika GigaOm ni kuunda metriki ili kupima ufanisi wa suluhisho katika mada fulani. Lakini ikiwa unatumia teknolojia kama sehemu ya shughuli za SecOps au TEHAMA, unakusanya vipimo vingi ili kujaribu na kufanya maamuzi. Moja ya mambo waliyozungumza kwenye kikao ni suala la kutengeneza metrics nyingi kwa sababu tuna vitendea kazi vingi kiasi cha kelele. Unaanzaje kujua thamani? Jibu refu kwa swali lako ni kwamba walipendekeza kitu ambacho nilidhani ni mbinu nzuri sana: rudi nyuma na ufikirie kama shirika kuhusu metriki ni muhimu. Unahitaji kujua nini kama mfanyabiashara? Kufanya hivyo hukuruhusu kupunguza kelele na pia kunaweza kupunguza idadi ya zana unazotumia kutoa vipimo hivyo. Ukiamua kuwa kipimo fulani hakina thamani tena, kwa nini uhifadhi zana inayotoa? Ikiwa haifanyi chochote isipokuwa kukupa kipimo hicho, kiondoe. Nilifikiri hiyo ilikuwa mbinu ya kuvutia sana. Ni karibu kama, “Tumefanya mambo haya yote. Sasa, wacha tufikirie juu ya kile ambacho bado ni muhimu. Hii ni nafasi inayoendelea, na jinsi tunavyoishughulikia lazima ibadilike pia. Huwezi kudhani kwamba kwa sababu ulinunua kitu miaka mitano iliyopita, bado kina thamani. Labda una zana zingine tatu ambazo zinafanya kitu kimoja kwa sasa. Jinsi tunavyokabili tishio imebadilika, na jinsi tunavyokabili usalama imebadilika. Tunahitaji kurejea kwenye baadhi ya zana hizi na kuuliza, “Je, tunahitaji hii tena?” Jon: Tunapima mafanikio yetu kwa hili, na, kwa upande mwingine, tutabadilika. Paul: Ndiyo, na nadhani hiyo ni muhimu sana. Nilikuwa nikizungumza na mtu hivi karibuni kuhusu umuhimu wa automatisering. Ikiwa tutawekeza kwenye mitambo otomatiki, je, tuko bora sasa kuliko tulivyokuwa miezi 12 iliyopita baada ya kuitekeleza? Tumetumia pesa kununua zana za kiotomatiki, na hakuna hata moja inayokuja bila malipo. Tumeuzwa kwa wazo kwamba zana hizi zitatatua matatizo yetu. Jambo moja ninalofanya katika jukumu langu la CTO, nje ya kazi yangu na GigaOm, ni kuchukua ndoto na maono ya wachuuzi na kuyageuza kuwa ukweli kwa kile ambacho wateja wanauliza. Wachuuzi wana matarajio kwamba bidhaa zao zitabadilisha ulimwengu kwa ajili yako, lakini ukweli ni nini mteja anahitaji kwa upande mwingine. Ni aina hiyo ya uimarishaji na uelewa—kuwa na uwezo wa kupima kile kilichotokea kabla ya kutekeleza jambo fulani na kile kilichotokea baadaye. Je, tunaweza kuonyesha maboresho, na je uwekezaji huo ulikuwa na thamani halisi? Jon: Hatimaye, hii ndiyo dhana yangu: Hatari ndicho kipimo pekee ambacho ni muhimu. Unaweza kugawanya kuwa hatari ya sifa, hatari ya biashara au hatari ya kiufundi. Kwa mfano, utapoteza data? Je, utahatarisha data na, kwa hivyo, kuharibu biashara yako? Au utafichua data na kukasirisha wateja wako, ambayo inaweza kukupiga kama tofali nyingi? Lakini basi kuna upande mwingine – unatumia pesa nyingi zaidi kuliko unahitaji, ili kupunguza hatari? Kwa hiyo, unaingia kwenye gharama, ufanisi, na kadhalika, lakini je, hivi ndivyo mashirika yanavyofikiri juu yake? Kwa sababu hiyo ni njia yangu ya shule ya zamani ya kuitazama. Labda imesonga mbele. Paul: Nadhani uko kwenye njia sahihi. Kama tasnia, tunaishi katika chumba kidogo cha mwangwi. Kwa hivyo ninaposema “tasnia,” ninamaanisha kidogo ninachokiona, ambacho ni sehemu ndogo tu ya tasnia nzima. Lakini ndani ya sehemu hiyo, nadhani tunaona mabadiliko. Katika mazungumzo ya wateja, kuna mazungumzo mengi zaidi kuhusu hatari. Wanaanza kuelewa usawa kati ya matumizi na hatari, wakijaribu kubaini ni hatari ngapi wanayostarehekea. Hautawahi kuondoa hatari zote. Haijalishi ni zana ngapi za usalama unazotumia, daima kuna hatari ya mtu kufanya jambo la kijinga ambalo litahatarisha biashara katika udhaifu. Na hapo ni kabla hata hatujaingia kwa mawakala wa AI kujaribu kufanya urafiki na maajenti wengine wa AI kufanya mambo hasidi—hayo ni mazungumzo tofauti kabisa. Jon: Kama uhandisi wa kijamii? Paul: Ndio, sana. Hiyo ni show tofauti kabisa. Lakini, kuelewa hatari kunazidi kuwa kawaida. Watu ninaozungumza nao wanaanza kutambua kuwa inahusu udhibiti wa hatari. Huwezi kuondoa hatari zote za usalama, na huwezi kukabiliana na kila tukio. Unahitaji kuzingatia kutambua ambapo hatari halisi ziko kwa biashara yako. Kwa mfano, ukosoaji mmoja wa alama za CVE ni kwamba watu hutazama CVE iliyo na alama 9.8 na kudhani kuwa ni hatari kubwa, lakini hakuna muktadha unaoizunguka. Hawazingatii ikiwa CVE imeonekana porini. Ikiwa haijatokea, basi kuna hatari gani ya kuwa wa kwanza kukutana nayo? Na ikiwa unyonyaji huo ni mgumu sana hivi kwamba hauonekani mwituni, je, kuna ukweli gani kwamba mtu atautumia? Ni jambo gumu sana kunyonya kwamba hakuna mtu atakayewahi kulitumia. Ina 9.8, na inaonekana kwenye kichanganuzi chako cha hatari ikisema, “Unahitaji kushughulikia hili.” Ukweli ni kwamba tayari umeona mabadiliko ambapo hakuna muktadha unaotumika kwa hilo—ikiwa tumeiona porini. Jon: Hatari ni sawa na uwezekano unaozidishwa na athari. Kwa hivyo unazungumza juu ya uwezekano na kisha, je, itaathiri biashara yako? Je, inaathiri mfumo unaotumika kwa matengenezo mara moja kila baada ya miezi sita, au ni tovuti yako inayowalenga wateja? Lakini nina hamu kwa sababu huko nyuma katika miaka ya 90, tulipokuwa tukifanya hivi kwa mikono, tulipitia wimbi la kuepusha hatari, kisha tukaenda kwa, “Lazima tusimamishe kila kitu,” ambayo ndiyo unayozungumza. kuhusu, kupitia kupunguza hatari na kuweka kipaumbele hatari, na kadhalika. Lakini kutokana na maendeleo ya Wingu na kuongezeka kwa tamaduni mpya kama vile kasi katika ulimwengu wa kidijitali, inahisi kama tumerudi kwenye mwelekeo wa, “Vema, unahitaji kuzuia hilo lisitokee, funga milango yote, na. kutekeleza uaminifu sifuri.” Na sasa, tunaona wimbi la, “Labda tunahitaji kufikiria juu ya hili kwa busara zaidi.” Paul: Ni hoja nzuri sana, na kwa kweli, ni sawia ya kuvutia unayoibua. Hebu tujadiliane kidogo wakati tunarekodi hii. Unajali nikibishana na wewe? Nitahoji ufafanuzi wako wa kuamini sifuri kwa muda mfupi. Kwa hivyo, uaminifu wa sifuri mara nyingi huonekana kama kitu kinachojaribu kukomesha kila kitu. Hiyo pengine si kweli ya sifuri uaminifu. Uaminifu sifuri ni mbinu zaidi, na teknolojia inaweza kusaidia kuzingatia mbinu hiyo. Hata hivyo, huo ni mjadala wa kibinafsi na mimi mwenyewe. Lakini, siamini kabisa… Sasa, nitajiweka hapa baadaye na kubishana nami mwenyewe. Kwa hivyo, usiamini kabisa… Ukiichukua kama mfano, ni nzuri. Tulichokuwa tukifanya ni uaminifu kamili—ungeingia, na ningekubali jina lako la mtumiaji na nenosiri, na kila ulichokifanya baada ya hapo, ndani ya kiputo salama, kitachukuliwa kuwa halali bila shughuli yoyote mbaya. Shida ni kwamba, wakati akaunti yako imeathiriwa, kuingia kunaweza kuwa jambo pekee lisilo la ubaya unalofanya. Baada ya kuingia, kila kitu ambacho akaunti yako iliyoathiriwa inajaribu kufanya ni hasidi. Ikiwa tunafanya uaminifu kamili, hatuna akili sana. Jon: Kwa hiyo, kinyume cha hilo ni kuwazuia watu wasiingie kabisa? Paul: Hiyo si ukweli. Hatuwezi tu kuwazuia watu kuingia. Uaminifu sifuri huturuhusu kukuwezesha kuingia, lakini si kuamini kila kitu bila upofu. Tunakuamini kwa sasa, na tunaendelea kutathmini matendo yako. Ikiwa utafanya jambo ambalo linatufanya tusikuamini tena, tunafanyia kazi hilo. Ni kuhusu kuendelea kutathmini ikiwa shughuli zako zinafaa au zinaweza kuwa mbaya na kisha kuchukua hatua ipasavyo. Jon: Itakuwa mabishano yenye kuvunja moyo sana kwa sababu ninakubaliana na yote unayosema. Ulibishana na wewe mwenyewe zaidi ya nitaweza, lakini nadhani, kama ulivyosema, mfano wa ulinzi wa ngome – mara tu unapoingia, unaingia. Ninachanganya mambo mawili hapo, lakini wazo ni kwamba mara tu uko ndani ya ngome, unaweza kufanya chochote kama. Hiyo imebadilika. Kwa hiyo, nini cha kufanya kuhusu hilo? Soma Sehemu ya 2, ili upate jinsi ya kutoa jibu la gharama nafuu.