Im vergangenen Monat hatte ich die Gelegenheit, an einem Abendessen mit 56 CISOs und CSOs aus verschiedenen Unternehmen aus den Bereichen Banken, Gaming, E-Commerce und dem Einzelhandel teilzunehmen. Wir wechselten uns an den Tischen mit jeweils acht Personen ab und sprachen über die größten Herausforderungen, mit denen die Teilnehmer konfrontiert waren, und über ihre größten Sorgen für die nächste Zeit. Wir sprechen bei Cloudflare jeden Tag mit Kunden, aber diese Veranstaltung war eine einzigartige Gelegenheit, die Gespräche von Kunden (und Nicht-Kunden) untereinander mitzuverfolgen. Der Abend war sehr interessant, doch ein paar Punkte waren für mich dabei besonders aufschlussreich.
Der rote Faden, der sich durch die Diskussionen zog, war: „Wie überzeuge ich meine Geschäfts- und Produktteams davon, die Dinge zu tun, die ich von ihnen verlange“. Erstaunlich wenig wurde über spezifische technische Herausforderungen gesprochen. Niemand äußerte sich zu den neuesten fortschrittlichen Magecart-Skimmern, zum Schutz der neuen GraphQL-APIs, zur Frage, wie man zwei verschiedene Cloud-Anbieter gleichzeitig schützen kann, oder zu den immer größer werdenden DDoS-Angriffen. Das Gespräch drehte sich immer wieder darum, wie schwierig es ist, Menschen dazu zu bringen, das Sichere zu tun oder das Unsichere nicht zu tun.
Das erinnerte mich sofort an einen großen Phishing-Angriff, den Cloudflare im letzten August vereiteln konnte. Der äußerst raffinierte Angriff erfolgte über gezielte Textnachrichten und eine äußerst professionelle Nachahmung unserer Okta-Anmeldeseite. Einzelne Cloudflare-Mitarbeiter sind auf die Phishing-Nachrichten hereingefallen, denn unsere Belegschaft sind schließlich auch nur Menschen. Allerdings konnten wir den Angriff durch unseren eigenen Einsatz von Cloudflare One-Produkten und physischen Sicherheitsschlüsseln, die jeder Mitarbeitende erhält und die für den Zugriff auf alle unsere Anwendungen erforderlich sind, vereiteln. Der Angreifer war in der Lage, sich kompromittierte Benutzernamen und Passwörter zu beschaffen, aber er konnte den Sicherheitsschlüssel nicht umgehen, der für die Anmeldung erforderlich ist. 2023 werden Phishing-Angriffe nur noch häufiger.
Bei den heutigen Sicherheitsherausforderungen geht es oft darum, die richtigen Tools einzusetzen, die verhindern, dass Menschen Fehler begehen können. Zum Auftakt der letztjährigen Security Week sprachen wir über den Wechsel vom Website-Schutz zum Anwendungsschutz. Heute geht es nicht mehr darum, Anwendungen zu schützen, sondern Mitarbeiter zu schützen. Und es geht darum, sicherzustellen, dass sie überall geschützt sind. Erst vor wenigen Wochen hat das Weiße Haus eine neue nationale Cybersicherheitsstrategie veröffentlicht, die alle Behörden anweist „eine Multi-Faktor-Authentifizierung zu implementieren, einen Einblick in ihre gesamte Angriffsfläche zu gewinnen, Autorisierung und Zugriff zu verwalten und Cloud-Sicherheitstools einzusetzen“. In den nächsten sechs Tagen werden Sie mehr als 30 Ankündigungen lesen, die es Ihnen so einfach wie möglich machen werden, genau das zu tun.
Willkommen zur Security Week 2023.
„Je mehr Tools Sie verwenden, desto unsicherer sind Sie.“
Genau das sagte der CISO einer großen Online-Gaming-Plattform. Wenn Sie weitere Anbieter hinzufügen, mag es so scheinen, als würden Sie zusätzliche Sicherheitsebenen schaffen, aber Sie schaffen auch neue Risikoquellen. Erstens bedeutet jeder hinzugefügte Drittanbieter per Definition eine weitere potenzielle Schwachstelle. Die jüngste Datenschutzverletzung bei LastPass ist ein perfektes Beispiel dafür. Die Angreifer verschafften sich Zugang zu einem Cloud-Speicherdienst, bei dem sie Informationen erbeuten konnten, die sie in einem zweiten Angriff für Phishing eines Mitarbeiters nutzten. Zweitens: Mehr Tools bedeuten mehr Komplexität. Mehr Systeme, bei denen Sie sich anmelden müssen, mehr Dashboards, die Sie überprüfen müssen. Wenn Informationen über mehrere Systeme verstreut sind, ist die Wahrscheinlichkeit höher, dass Sie wichtige Änderungen übersehen. Drittens: Je mehr Tools Sie verwenden, desto unwahrscheinlicher ist es, dass sie alle von einer Person verwendet werden können. Wenn Sie die Person, die sich mit dem Tool für Anwendungssicherheit auskennt, und die Person, die sich mit dem SIEM auskennt, und die Person, die sich mit dem Zugriffstool auskennt, benötigen, um sich über jede potenzielle Schwachstelle abzustimmen, wird es wahrscheinlich zu Missverständnissen oder Problemen in der Abstimmung kommen. Komplexität ist der Feind der Sicherheit. Viertens kann das Hinzufügen weiterer Tools ein falsches Gefühl von Sicherheit vermitteln. Das Hinzufügen eines neuen Tools kann den Eindruck erwecken, dass Sie die Tiefenverteidigung gestärkt haben. Aber dieses Tool bietet nur dann Schutz, wenn es funktioniert, wenn es richtig konfiguriert ist und wenn es tatsächlich genutzt wird.
In dieser Woche werden Sie von all den Initiativen erfahren, mit denen wir Ihnen helfen wollen, dieses Problem zu lösen. Wir werden mehrere Integrationen ankündigen, mit denen Sie Zero Trust überall und über mehrere Plattformen hinweg einsetzen und verwalten können – und das alles vom Cloudflare-Dashboard aus. Außerdem erweitern wir unsere bewährten Erkennungsfunktionen auf neue Bereiche, die Ihnen helfen werden, Probleme zu lösen, die Sie bisher nicht lösen konnten, und die es Ihnen ermöglichen, sich von zusätzlichen Anbietern zu verabschieden. Zudem werden wir ein brandneues Migrationstool ankündigen, mit dem Sie ganz einfach von diesen anderen Anbietern zu Cloudflare wechseln können.
Dank Machine Learning können sich Menschen auf das kritische Denken konzentrieren
Überall wird Machine Learning als Modewort in den Mund genommen, im Grunde geht es jedoch stets darum: Computer sind wirklich gut darin, Muster zu finden. Wenn wir sie darauf trainieren, wie ein gutes Muster aussieht, können sie diese wirklich gut erkennen und die Ausreißer identifizieren. Menschen sind auch gut darin, Muster zu erkennen. Aber wir benötigen viel Zeit dafür, und die Zeit, die wir mit der Suche nach Mustern verbringen, lenkt uns von dem ab, was selbst die beste KI oder das beste ML-Modell nicht leisten kann: kritisches Denken. Wenn Sie Machine Learning einsetzen, um diese guten und schlechten Muster zu erkennen, können Sie die Zeit Ihrer wertvollsten Mitarbeiter noch besser einsetzen. Anstatt nach Ausnahmen zu suchen, können sie sich auf die Ausnahmen konzentrieren und ihr Know-how nutzen, um schwierige Entscheidungen darüber zu treffen, was als nächstes zu tun ist.
Cloudflare hat Machine Learning eingesetzt, um DDoS-Angriffe, bösartige Bots und bösartigen Web Traffic abzufangen. Wir konnten dies anders machen als andere, weil wir ein einzigartiges Netzwerk aufgebaut haben, in dem wir unseren gesamten Code in jedem einzelnen Rechenzentrum, auf jedem einzelnen Rechner ausführen. Da wir über ein riesiges globales Netzwerk verfügen, das sich in der Nähe der Nutzer befindet, können wir Machine Learning in der Nähe der Nutzer durchführen, im Gegensatz zu Wettbewerbern, die auf zentrale Rechenzentren angewiesen sind. Das Ergebnis ist eine Machine Learning-Pipeline, die Inferenzen in wenigen Mikrosekunden durchführt. Diese einzigartige Geschwindigkeit ist ein Vorteil für unsere Kunden, den wir jetzt nutzen, um mehr als 40 Millionen Mal pro Sekunde Inferenzen durchzuführen.
Diese Woche konzentrieren wir uns einen ganzen Tag lang darauf, wie wir diese Machine Learning-Pipeline nutzen, um neue Modelle zu erstellen, mit denen Sie neue Muster wie Betrug und API-Endpunkte entdecken können.
Unser Informationsstand ist Ihr Informationsstand
Im Juni kündigten wir Cloudforce One an, den ersten Schritt unseres Teams für Bedrohungsanalysen, das die Erkenntnisse, die wir aus der Beobachtung von nahezu 20 % des Internet-Traffics gewinnen, in umsetzbare Erkenntnisse umwandeln soll. Seitdem haben uns unsere Kunden gebeten, mehr aus diesen Erkenntnissen zu machen und ihnen einfache Schaltflächen und Produkte an die Hand zu geben, mit denen sie die entsprechenden Maßnahmen in ihrem Namen ergreifen können. In dieser Woche werden Sie mehrere Ankündigungen über neue Möglichkeiten lesen, wie Sie die einzigartigen Cloudflare-Bedrohungsdaten einsehen und Maßnahmen ergreifen können. Wir werden auch mehrere neue Berichtsansichten ankündigen, z.B. die Möglichkeit, mehr Daten auf Kontoebene zu betrachten, sodass Sie einen einzigen Blick auf die Sicherheitstrends in Ihrem gesamten Unternehmen werfen können.
Damit es für Menschen schwieriger wird, Fehler zu begehen
Jedes Produkt-, Entwicklungs- oder Geschäftsteam möchte seine eigenen Tools verwenden und so schnell wie möglich vorankommen. Aus gutem Grund! Jede Sicherheitsmaßnahme, die erst im Nachhinein eingeführt wird und zusätzliche Arbeit für diese Teams verursacht, wird nur schwer von den internen Mitarbeitern akzeptiert werden. Das kann zu Situationen wie dem jüngsten T-Mobile-Hack führen, bei dem eine API, die nicht für die Öffentlichkeit bestimmt war, offengelegt, entdeckt und ausgenutzt wurde. Sie müssen die Teams dort abholen, wo sie stehen, indem Sie die Tools, die sie bereits verwenden, sicherer machen und sie vor Fehlern bewahren, anstatt ihnen zusätzliche Aufgaben zu übertragen.
Wir machen es nicht nur einfacher, unsere Produkte für Anwendungssicherheit und Zero Trust umfassender einzusetzen. Wir zeigen Ihnen auch auf, wie wir neue Funktionen hinzufügen, die verhindern, dass Menschen die Fehler machen, die sie immer machen. Sie werden erfahren, wie Sie es unmöglich machen können, auf einen Phishing-Link zu klicken, indem Sie automatisch die Domains blockieren, die diese hosten, wie Sie verhindern können, dass Daten Regionen verlassen, die sie nie verlassen sollten, wie Sie Ihren Nutzern Sicherheitswarnungen direkt in den Tools geben können, die sie bereits verwenden, und wie Sie automatisch Schatten-APIs erkennen können, ohne dass Ihre Entwickler ihren Entwicklungsprozess ändern müssen. All dies, ohne dass Sie Ihre internen Teams davon überzeugen müssen, ihr Verhalten zu ändern.
Wenn Sie dies lesen und ein Teil Ihrer Arbeit darin besteht, ihre Organisation zu sichern, denke ich, dass wir Ihnen bis zum Ende der Woche die Arbeit erleichtert haben werden. Mit den neuen Tools und Integrationen, die wir veröffentlichen, können Sie Ihre Infrastruktur vor einer größeren Anzahl von Bedrohungen schützen und gleichzeitig die Anzahl der Drittanbieter, auf die Sie sich verlassen, reduzieren. Noch wichtiger ist, dass Sie die Anzahl der Fehler reduzieren können, die die großartigen Menschen, mit denen Sie arbeiten, machen können. Ich hoffe, das erleichtert Ihnen die Arbeit!