Dank Ian Thornton-Trump, CISO bei Cyjax, konnte Aviva Zacks von Safety Detectives alles über die Bedrohungsnachrichtendienste seines Unternehmens erfahren.
Sicherheitsdetektiv: Wie haben Ihre Erfahrungen beim kanadischen Militär und der kanadischen Polizei Ihre Karriere im Bereich Cybersicherheit geprägt?
Ian Thornton-Trump: Es begann damit, in einer Kultur der Sicherheit zu sein und die Grundregeln der Sicherheit zu erlernen. Ich entwickelte mich langsam im Bereich der Cybersicherheit: sicherlich die Grundideen der Segmentierung von Informationen, der Klassifizierung von Informationen und der Bildung der Risikomodelle für die unbefugte Offenlegung dieser Informationen wurde wichtig. Meine militärische Karriere begann ungefähr zu der Zeit, als die Datenverarbeitung fast neu war. Das grundlegende Verständnis der Bedeutung von Sicherheit war mir schon in jungen Jahren tief verwurzelt.
SD: Was unternimmt Ihr Unternehmen, um Cyberthreats einzudämmen?
IT: Ich glaube, dass der beste Cyberangriff derjenige ist, der dir nie passiert. Arbeiten im Bereich der Bedrohungsinformationen, Cyjax.com ist ein erstklassiges Cyber Threat Intelligence-Unternehmen, das hervorragend vorhersagen kann, was mit einer Organisation geschehen kann, die im Internet exponiert ist, was gezielt eingesetzt werden kann und was der Bedrohungsakteur möglicherweise anstrebt. Wenn Sie also all diese Informationen verwenden und sie auf die Bedrohungsmodelle einer Organisation anwenden, erhalten Sie eine ziemlich gute Vorstellung davon, wie Sie Ihre Organisation mit den von uns erstellten Intelligence-Produkten verteidigen können. Durch dieses Angebot werden die Sicherheitsausgaben effektiver, indem sie gegen die geeigneten Arten von Bedrohungen gerichtet werden, denen das Unternehmen wahrscheinlich ausgesetzt ist.
SD: Welche Branchen nutzen Ihre Dienste?
IT: Derzeit arbeiten wir mit Organisationen aus den Bereichen Finanzdienstleistungen, Pharma, öffentlicher Sektor und Polizei in Großbritannien zusammen.
SD: Wie bleibt Ihr Unternehmen der Konkurrenz voraus?
IT: Wir schauen uns an, was unsere Kunden brauchen. Wir arbeiten aktiv mit unseren Kunden zusammen, um Bereiche zu verbessern, die ihrer Meinung nach wertvoll sind. In gewisser Hinsicht sind wir sehr kundenorientiert, wenn es darum geht, zu entwickeln und auf ihre Anforderungen zu reagieren. Insgesamt denke ich jedoch, dass wir uns ansehen, was sowohl in der Geopolitik als auch in der Cybersphäre geschieht, und einen Kontext für Bedrohungsakteure und Bedrohungen bereitstellen. Als Ergebnis dieser umfassenden Analyse erwarten wir häufig Cyberaktivitäten, die sich aus diesen geopolitischen Bewegungen ergeben. Ich glaube, dass das, was in der physischen Welt passiert, die Cyberwelt beeinflusst - manchmal erheblich. Die Situation funktioniert auch in beide Richtungen: Wir können sehen, dass Cyber-Aktivitäten in der geopolitischen Arena zu treibenden Ergebnissen führen. Wir sehen die Beziehungen zwischen den Vereinigten Staaten, China, dem Iran, Nordkorea und Russland sicherlich als die Hauptpunkte globaler Auseinandersetzungen und Wettbewerbe, die sich natürlich fast gleichzeitig im Cyber abspielen. Manchmal sehen wir eine große Ankündigung oder eine große Änderung der Politik, die von nationalstaatlich geförderten Cyber-Kräften und anderen Cyberkriminellen schnell bestätigt wird. Alle Angriffe und Betrügereien im Zusammenhang mit der COVID-19-Pandemie sind ein perfektes Beispiel dafür.
SD: Was sind heute die schlimmsten Cyberthreats da draußen?
IT: Die Interpretation des „schlimmsten Falls“ basiert immer darauf, was Ihre Organisation „hat“ und was sie möglicherweise offengelegt hat. Für die Mehrheit der Unternehmen und Organisationen ist Ransomware daher der wahrscheinlichste Angriff. In letzter Zeit hat Ransomware mit der zusätzlichen Wendung, Daten zu exfiltrieren und als Geiseln zu halten, um eine Lösegeldzahlung zu fördern, damit die gestohlenen Informationen nicht öffentlich veröffentlicht werden, diese Bedrohung auf ein neues Niveau gebracht. Aber auch hier ist die Definition von „das Schlimmste“ fließend, da einige Unternehmen sehr markensensibel sind. So haben wir zum Beispiel einige Anwaltskanzleien gesehen, die massive Datenverletzungen erlitten haben und infolgedessen den Betrieb einstellen mussten. Die als „Panama Papers“ bekannte Datenverletzung ist ein wirklich gutes Beispiel für das „schlechteste“ Ergebnis, das in diesem Bereich möglich ist.
Für alle Organisationen handelt es sich um ein breites Spektrum von Worst-Case-Szenarien, die jedoch in der Regel mit einem technischen Angriff beginnen, bei dem auf die Systeme der Organisation zugegriffen wird. Im Großen und Ganzen geht der Einstieg in das Unternehmen auf die einfachste Art der Manipulation von Personen zurück - „Social Engineering“ -, um sie dazu zu bringen, auf einen Link zu klicken oder kompromittierte Software in ihrer Infrastruktur zu installieren, die nicht autorisierten Zugriff bietet. Social-Engineering-Angriffe sind kein exklusives Szenario, da einige Unternehmen unter dem leiden, was ich als „IT-Zersiedelung“ bezeichne: enormes Wachstum sowohl bei der Einführung von Cloud-Plattformen als auch beim Ausbau ihrer eigenen Infrastruktur durch Fusionen und Übernahmen. Und wenn der Partner bei einer Fusion nicht genügend Sicherheit hat, haben Sie jetzt tatsächlich eine sehr riskante Situation geerbt. Darüber hinaus haben Sie möglicherweise keine ordnungsgemäße Sichtbarkeit dessen, was Sie über diesen Partner dem Internet ausgesetzt haben, und können über ein nicht gepatchtes System oder einen Dienst mit einer Sicherheitsanfälligkeit, die dem Internet ausgesetzt ist, einen einfachen Zugangspunkt erhalten. Die Verletzung von Marriott-Daten, als zwei Reisepunkteprogramme zusammengeführt wurden, ist ein klassisches Beispiel dafür.
Während ein System heute sicher und gepatcht und aktualisiert sein kann, kann ein Sicherheitsforscher morgen eine schwerwiegende Sicherheitslücke aufdecken. Innerhalb von sieben bis zehn Tagen wird es von den Cyberkriminellen, die diese globale Schwäche ausnutzen wollen, schnell übernommen. Und da mittlerweile fast alles mit dem Internet verbunden ist und Cyberkriminalität keine nationalen Grenzen mehr einhält, ist es unerheblich, in welchem Land Sie sich befinden oder welche Systeme Sie haben: Finanziell motivierte Bedrohungsakteure werden nach allem suchen, was auf globaler Ebene kompromittiert werden kann durch die Nutzung der aufgedeckten schrecklichen Verwundbarkeit.
SD: Wohin geht die Cybersicherheit jetzt, wo wir diese Pandemie durchleben?
IT: Wir haben zwei Haupttrends gesehen: Erstens sind massive Infrastrukturinvestitionen erforderlich. Dazu gehören natürlich Sicherheitstools und -dienste, da viele Unternehmen nicht ordnungsgemäß für die Massenarbeit von zu Hause aus und die Herausforderungen einer Pandemie eingerichtet wurden, da die Technologie und die Bandbreite der VPNs von Remotebenutzern immer älter werden. Es gibt also eine große Chance, die richtige Investition zu tätigen, um mit der Fähigkeit Ihrer Mitarbeiter umzugehen, zusammenzuarbeiten und remote zu arbeiten. Ich denke, das wird einen Großteil der Investitionen in den nächsten Jahren antreiben, da wir versuchen, das, was hastig getan wurde, rückgängig zu machen, damit unsere Unternehmen remote arbeiten können.
Der andere große Trend ist natürlich Teil der digitalen Transformation, die wir in den letzten Jahren durchlaufen haben, was in der plötzlichen Erkenntnis gipfelte, dass wir möglicherweise nicht über die notwendige Sicherheit verfügen, um die digitale Technologie zu ermöglichen Transformation ohne erhöhtes organisatorisches Risiko. Wir haben dies bei Organisationen gesehen, die sehr enthusiastisch auf Cloud-basierte E-Mail-Dienste migriert sind, nur um festzustellen, dass sie durch die Nichtaktivierung der Multi-Faktor-Authentifizierung Kontenübernahmen und Kompromissen ausgesetzt waren - wenn das gefährdete Konto ein privilegierter Benutzer ist, Die Ergebnisse können verheerend sein. Im Laufe der Zeit werden wir die Reaktion sowohl von Cyberkriminellen als auch von Advanced Persistent Threat-Gruppen sehen, die von Nationalstaaten unterstützt werden, die Infrastruktur ausnutzen, exponieren und unerbittliche Angriffe gegen Organisationen mit Internetpräsenz durchführen.
Einer der Schlüsselbereiche, auf die wir uns konzentrieren müssen, ist das Schwachstellenmanagement. Dies stellt sicher, dass unsere exponierten Systeme sicher sind, beschränkt aber auch den Zugriff auf diese Systeme. Wenn Sie eine begrenzte geografische Präsenz haben, wenn Kunden und Ihre eigenen Mitarbeiter auf Ihre Systeme zugreifen, warum haben Sie sie dann dem gesamten Internet ausgesetzt? Es scheint nicht klug.
Ich denke, einer der anderen Trends wird darin bestehen, einen Back-to-the-Basics-Ansatz zu verfolgen, bei dem wir hoffen, viele Systeme aufgrund von Kompromissen in der IT-Lieferkette wie SolarWinds Orion strukturell überarbeiten zu können. Wir müssen uns auf die Ebene der Systemarchitektur konzentrieren, damit wir externe Remotebenutzer und externe Kunden ordnungsgemäß aufnehmen, dies auf sichere Weise tun und alle erforderlichen Sicherheitskontrollen anwenden können.
Quelle: https://www.safetydetectives.com/blog/interview-ian-thornton-trump-cyjax/