Get Cyber Resilient Ep 107 | ZT in der hybriden Arbeitswelt mit Aaron Robinson, Head of Presales und Security Specialist bei Citrix
Diese Woche ist Aaron Robinson, Head of Presales und Security Specialist bei Citrix, bei uns zu Gast.
In dieser Folge sprechen wir über die Zunahme des Nullvertrauens in einer hybriden Arbeitswelt. Aaron erzählt, was er von seinen Kunden hört, und gibt Ratschläge für Unternehmen und Cyber-Führungskräfte, wie sie die Sicherheit mit der Erfahrung der Mitarbeiter in Einklang bringen können, sowie Tipps für sicheres Remote-Arbeiten.
Die Get Cyber Resilient Show Episode #107 Mitschrift
Garrett O'Hara: Willkommen zum Get Cyber Resilient Podcast, ich bin Garrett O'Hara. Heute sprechen wir mit Aaron Robinson, dem Leiter des Vorverkaufs und Sicherheitsspezialisten von Citrix. Aaron ist seit fast 20 Jahren in der IT-Branche tätig und konzentriert sich darauf, wie Technologie Geschäftsergebnisse ermöglicht. Sein Ziel ist es, die Art und Weise, wie Menschen arbeiten, zu verändern, indem er die Erfahrung der Mitarbeiter neu gestaltet und die Produktivität und das Engagement steigert, ohne die Sicherheit zu beeinträchtigen. Aaron und ich sprechen über den Aufstieg von Zero Trust in einer hybriden Arbeitswelt und er hat eine großartige [lacht] Kneipenanalogie für Zero Trust. Wir sprechen mit Aaron über das, was er von seinen Kunden hört, über Ratschläge für Unternehmens- und Cyber-Führungskräfte, wie sie die Sicherheit mit der Erfahrung der Mitarbeiter in Einklang bringen können, und über Tipps für sichere Fernarbeit.
Zurück zum Gespräch.
Willkommen zum Get Cyber Resilient-Podcast, ich bin Garrett O'Hara. Heute haben wir Aaron Robinson, den Leiter des Presales bei Citrix, zu Gast. Wie geht es Ihnen heute, Aaron?
Aaron Robinson: Ja, es läuft sehr gut. Danke, dass ich heute in der Sendung sein darf.
Garrett O'Hara: Ein absolutes Vergnügen, ein absolutes Vergnügen. Wir sind uns noch nie begegnet, also, ja, es ist wirklich schön, Sie hier zu haben, und ja, ich freue mich auf das Gespräch heute. Aaron, die erste Frage, die wir so gut wie jedem stellen, ist: Wie bist du dahin gekommen, wo du heute bist? Sie sind also offensichtlich Leiter des Presales bei Citrix, aber ich nehme an, Sie haben einen langen Weg dorthin hinter sich?
Aaron Robinson: Ja, so ungefähr. Ich begann meine IT-Karriere also als Helpdesk-Mitarbeiter bei CSC, dem heutigen DXC. Ein paar Jahre später kam ich zur Lösungsarchitektur, die mir sehr gut gefiel, und entwarf Lösungen für viele verschiedene Kunden. Und dann ergab sich die Gelegenheit, bei Citrix als Presales Engineer einzusteigen. Ich bin jetzt seit etwas mehr als sieben Jahren bei Citrix und habe mich in dieser Zeit dem Presales-Team angeschlossen. Es ist ein fantastisches Unternehmen, für das man arbeiten kann, ein fantastisches Team. Und dann hatte ich das Glück, in das Presales-Team für den Süden zu wechseln. Ich bin seit etwa zweieinhalb Jahren bei Citrix. Das hat mir sehr gut gefallen, und dann bekam ich die Möglichkeit, Leiter des Presales bei Citrix zu werden, und das mache ich jetzt seit etwa zweieinhalb Jahren.
Garrett O'Hara: Fantastisch. Wir werden über Zero Trust sprechen. Das ist eines der Themen, über die wir sprechen werden, aber wir werden mit Zero Trust beginnen. Ein sehr, sehr beliebtes Thema, würde ich sagen, heutzutage. Ich denke, dass auf vielen der Konferenzen zur Cybersicherheit immer mehr über dieses Thema gesprochen wird. Ihr macht eine besondere Art von Version davon, also bin ich gespannt auf eure Kommentare oder Gedanken über den Aufstieg von Zero Trust in einer hybriden Arbeitswelt?
Aaron Robinson: Ja, das ist ein interessanter Bereich. Zero Trust wird also für die meisten Unternehmen heute zu einer Notwendigkeit. Untersuchungen zeigen, dass bis 2023 60 % der Unternehmen die meisten VPNs zugunsten von Zero Trust Network Access abschaffen werden. Der Grund dafür ist, dass Arbeitnehmer und Studenten heute ständig mobil sind, sie sind nicht mehr an das Büro gebunden. In der Regel arbeiten sie an bis zu drei verschiedenen Orten pro Woche und das alles, während sie mit zwei bis drei verschiedenen Geräten arbeiten. Und sie beziehen auch persönliche Geräte in ihr Arbeitsleben ein. Wir brauchen also neue Sicherheitssysteme oder, oder, oder, oder Rahmen, um das wirklich unterzubringen und zu integrieren.
Die Anwendungen haben begonnen, sich in die Cloud zu verlagern, wo sie nicht mehr vor Ort, sondern in einer Art "Ayaz"-Lösung in der Cloud betrieben werden, so dass sie sich außerhalb des traditionellen Rahmens befinden, den die meisten Unternehmen heute haben. All dies beginnt mit der Nutzung der Software, denn Software ist ein Service, so dass diese intern entwickelte Anwendung nicht mehr benötigt wird. Und dann haben sie etwas aus dem Regal genommen und müssen dem Softwareanbieter, der die SAS-Anwendung zurückgibt, vertrauen. Und in den meisten Fällen stellen wir fest, dass die herkömmliche Sicherheit in unseren Unternehmen, sei es das VPN oder das Unternehmensinternet, das vom Büro ausgeht, der SAS-Anwendung nur ein minderwertiges Qualitätsniveau bietet, so dass sie einfach direkt ins Internet gehen kann.
Wenn wir also mit vielen Geschäftsanwendern sprechen und versuchen, einige ihrer Herausforderungen in Bezug auf die Endanwendererfahrung zu verstehen, denn das ist ein weiterer großer Schwerpunkt, mit dem ich spreche, stellen wir fest, dass sie tatsächlich die Verbindung zu Dingen wie VPNs trennen, um auf bestimmte Anwendungen zugreifen zu können. Ob es sich nun um Firmensanktionen oder eine Anwendung handelt, die von der Organisation selbst bereitgestellt wird, oder um eine Anwendung, die sie selbst über Shuttle IT gekauft haben, um produktiv zu sein. Der Grund, warum wir Zero Trust für so wichtig halten, liegt darin, dass sich die Bedrohungen weiterentwickeln und immer stärker automatisiert werden, und ich denke, dass Zero Trust der Schlüssel dazu ist, diese Abweichungen im Verhalten der Menschen vorherzusagen und zu verhindern, dass sich diese Bedrohungen in Unternehmen ausbreiten.
Garrett O'Hara: Ja, diese Abweichungen sind eine interessante Sache. Ich habe mit einigen Sicherheitsverantwortlichen gesprochen, die Dinge wie die Analyse des Endbenutzerverhaltens und, Sie wissen schon? Das haben wir schon vor COVID gemacht, aber als [lacht] COVID aufkam, sind natürlich alle Muster, die sich aufgebaut hatten, einfach explodiert, weil sie keinen Sinn mehr machten. Bis zu einem Punkt, an dem die Leute an drei Orten und mit verschiedenen Geräten arbeiteten, aber es ist ein völlig anderes Muster, als wenn man um 8.30 Uhr im Büro ankommt und um 5.00 Uhr von denselben IP-Bereichen aus wieder geht usw. Haben Sie gesehen, dass Sie das auf dem Radar haben, wie die Endnutzermuster, ich glaube, man nennt es Lebensmuster, aussehen? Was macht Aaron zum Beispiel jeden Tag? Wie hat sich das mit der Einführung von COVID geändert? Und die Arbeit von zu Hause aus ist einfach viel normaler geworden.
Aaron Robinson: Ja. Es handelt sich um zwei Bereiche, zwei Schlüsselbereiche für uns in Bezug auf die Gespräche, die wir auf dem Markt führen. Bei der ersten geht es speziell um die Sicherheit: Wie verhalte ich mich standardmäßig, wenn ich mit unserer IT und den Produktsystemen interagiere? Und wenn dieses Verhalten abweicht, wie können wir dann automatisierte Maßnahmen ergreifen, um dieses Verhalten zu unterbinden, wenn wir es für unangemessen halten?
Garrett O'Hara: Jepp.
Aaron Robinson: Aber wir haben festgestellt, dass das Pendel ein wenig zu weit in die andere Richtung ausschlägt, wenn es darum geht, Dinge zu blockieren, die sich wirklich auf die tägliche Erfahrung der Endbenutzer auswirken. Wie können wir also Prozesse und Dinge einrichten, die es den Nutzern ermöglichen, sich selbst zu verbessern? Ein sehr einfaches Beispiel, über das ich mit Kunden spreche, ist, wenn Sie von zu Hause aus arbeiten und sich spät in der Nacht einloggen, was für Sie untypisch ist. Anstatt diesen Zugang einfach zu sperren, weil er außerhalb des definierten normalen Paradigmas liegt, das wir in diesem Gespräch abgebildet haben, könnten wir eine zusätzliche Authentifizierungsebene senden oder Ihnen nur einen sehr viel eingeschränkteren Zugang zu dieser bestimmten Ebene gewähren, also.
Und auf der anderen Seite geht es mehr um die Leistung der Plattform. So können wir feststellen, wie es funktioniert und was für den Benutzer, der von zu Hause aus arbeitet, normal ist, anstatt z. B. das Produktivitätsniveau zu messen.
Garrett O'Hara: Ja. Es ist witzig, dass die Verfolgung der Produktivitätsebenen, der BOSS, gerade wegen COVID [lacht] anfängt, sich zu entwickeln, das ist irgendwie gruselig. Ich habe mehr und mehr darüber nachgedacht, dass es Überschneidungen mit BOSS gibt, wo, Sie wissen schon, diese Art von Produktivitätsüberwachung? Ich meine, es gibt ziemlich große Überschneidungen zwischen dem und der Analyse des Endbenutzerverhaltens, wissen Sie? Es gibt definitiv einen Anwendungsfall für die Sicherheit, aber ein Großteil der gesammelten Telemetriedaten könnte man durchaus wiederverwenden und, Sie wissen schon, "Arbeitet Garrett [lacht], oder hat er sich mitten am Tag für ein Nickerchen verpisst?" Oder, was auch immer. Ich denke, es ist interessant, das zu beobachten.
Aaron Robinson: Ja, das ist es auf jeden Fall, und ja, das hören wir auch ein bisschen aus der Praxis, ja.
Garrett O'Hara: Auf jeden Fall. Bei der Arbeit, die Sie machen, nehme ich an, dass Sie in Ihrer Funktion mit vielen verschiedenen Organisationen sprechen und viel Zeit vor Ort verbringen, um Gespräche mit Sicherheitsverantwortlichen zu führen. Ich bin sehr daran interessiert, ein Gefühl dafür zu bekommen, was die neuesten Trends im Bereich der Sicherheit sind, und sogar die Herausforderungen, die Sie in unserer Branche bei Ihren Kunden sehen?
Aaron Robinson: Ja, also ist Cybersicherheit als Ganzes im Moment wahrscheinlich das wichtigste Thema für jeden Kunden, mit dem wir heute sprechen. Ich meine, es gibt ein paar Trends, die sich daraus ergeben, aber es ist nicht überraschend, denn ich habe gestern Abend einige Berichte gelesen, und, wissen Sie, 67 000 Cyberverbrechen wurden in Australien zwischen 2020 und 2021 gemeldet. Das kostet Privatpersonen, aber auch Organisationen, schätzungsweise 33 Milliarden Dollar. Wir sehen also, dass dies in vielen Unternehmen und bei vielen Kunden, mit denen wir sprechen, mehr zu einem Geschäftsrisiko wird und nicht nur im Fokus der IT steht. Und die Vorstände geben ihren Führungskräften in diesen Unternehmen nun Anreize, in diesem Bereich der Cybersicherheit und Risikominderung proaktiver zu sein.
Diese großen Gespräche werden also immer ganzheitlicher über den Kundenstamm, mit dem wir sprechen.
Garrett O'Hara: Hm.
Aaron Robinson: Ich schätze, dass sich aus den beiden Gesprächen, die auf Vorstandsebene geführt wurden, einige der wichtigsten Dinge ergeben haben. Wir sehen, dass sich Organisationen auf Strategien zur Schadensbegrenzung konzentrieren, wie die Essential Eight, die von der australischen Regierung gerade aufgrund von Cybervorfällen entwickelt wurde.
Garrett O'Hara: Jepp.
Aaron Robinson: Regierungsbehörden und kritische Infrastrukturen zum Beispiel konzentrieren sich darauf, wie sie diese drei Reifegrade erreichen können, um dieses kleine Ziel zu erreichen, das jetzt eine Standardanforderung ist.
Der andere Bereich, über den wir viel mit unseren Kunden sprechen, ist die Anwendungssicherheit, die sich zu einem wichtigen Thema entwickelt hat, und die Integration dieser Sicherheit direkt in die Anwendung oder die Verstärkung der Anwendungssicherheit, die der Anwendung vorgelagert ist. Denn die Anwendungen werden immer mehr zum Brennpunkt der automatisierten Angriffe. Sie denken also an BOSS oder Cross-Scripting und Steuern und solche Dinge. Denn wenn Entwickler all diese Anwendungen entwickeln, bleibt eine Menge Open-Source-Software und -Tools übrig, und dann tauchen darin Schwachstellen auf, wie die, die wir heute auf dem Markt gesehen haben. Und die Leute sind in der Lage, diese recht schnell auszunutzen. Und wenn die Leute dann weggehen und sich nicht an die Best Practices halten, z. B. bei der Entwicklung der Anwendungskette, sind sie sich manchmal nicht einmal der Schwachstellen bewusst, die in der Anwendung stecken, bis es zu spät ist.
Das ist also ein weiterer wichtiger Trend, den wir dort beobachten. Aber ich denke, das Wichtigste für mich und das Thema der heutigen Diskussion und das, was ich auf dem Markt am meisten höre, ist die Zero Trust Sicherheit. Ich vergleiche das gerne mit einer Kneipe und spreche das in drei Schritten an. Die drei Schritte, die ich mit einer Kneipe in Verbindung gebracht habe, lauten also: "Was ist das? Sie müssen sich also an der Tür ausweisen, bevor Sie eintreten können und zeigen, dass Sie vertrauenswürdig sind. Der nächste Punkt ist, dass Sie sich im Lokal angemessen verhalten müssen.
Garrett O'Hara: Hm.
Aaron Robinson: Und drittens haben je nach Berechtigungsnachweis oder Zugangsstufe, die Sie erhalten haben, nur bestimmte Personen Zugang zum VIP-Bereich.
Garrett O'Hara: Das ist eine sehr coole Analogie. Können Sie diese Analogie für uns etwas ausführlicher erläutern?
Aaron Robinson: Ich beschreibe es gerne so: Wenn man zum ersten Mal in eine Kneipe kommt, muss man sich hinter dem Samttau aufstellen, und der Türsteher geht auf und ab, um sich zu vergewissern, dass man nicht betrunken ist, dass man angemessen gekleidet ist, und dann lässt er einen eintreten. Das ist also das Erste, was wir aus der Zero-Trust-Perspektive tun, bevor wir Ihnen Zugang gewähren. Als Nächstes hältst du dem Türsteher deinen Ausweis hin, er schaut ihn sich an, und wenn er dir nicht traut oder dein Foto ein bisschen alt ist oder du nicht ganz so aussiehst, wie du behauptest, dann stellt er dir ein paar Fragen. Das ist also der zweite Faktor, oder [unhörbar 00:11:45], mit dem ich es in Verbindung bringe.
Sobald man das passiert hat, darf man in die Bar oder den Nachtclub gehen, aber die Sicherheitsvorkehrungen enden dort nicht. Wenn du also in die Bar oder den Nachtclub gehst, gibt es dort eine ganze Reihe von Türstehern, die die Menge und das Publikum und vor allem dich beobachten, um sicherzustellen, dass du dich amüsierst. Sie können also auf Ihre Anwendungen zugreifen und Ihre Arbeit erledigen, ohne etwas Bösartiges zu tun, das eine Störung verursachen könnte. Auf der Bar tanzen, sich zu sehr betrinken und solche Sachen. Und wenn du etwas Böses tust, das von den Türstehern gesehen wird, schnappen sie dich, werfen dich hinten raus und du darfst nicht wieder rein. Und genau das tun wir auch bei den Zero-Trust-Kontrollen, die wir haben. Sobald Sie in der Organisation sind, werden Sie von uns ständig beobachtet und überprüft. Und wenn Sie sich dann weiterhin gut benehmen, sind Sie herzlich willkommen. Wenn Sie aus der Reihe tanzen, sperren wir Ihren Zugang und werfen Sie aus dem Netz.
Und dann, um die Analogie noch ein wenig auszudehnen, gibt es natürlich Hochsicherheitsbereiche oder private Bereiche, zu denen einige Nutzer Zugang haben müssen, wie z. B. der VIP-Bereich in einem Nachtclub oder einer Bar. Wenn du also in den VIP-Bereich gehst, trägst du vielleicht ein Armband, das der Türsteher kontrolliert und sagt: "Ja, du darfst rein." Und das sind die gleichen Prinzipien, die wir auch in unserem Zero Trust Network anwenden. So ermöglichen wir Benutzern, die auf eine bestimmte sensible Anwendung zugreifen müssen, wenn sie bestimmte Kriterien erfüllen, den Zugriff auf diese Anwendung, unabhängig davon, ob sie im Büro oder von zu Hause aus arbeiten. Ich vergleiche Zero Trust Network Access also damit, wenn Leute in einen Nachtclub oder eine Bar gehen.
Garrett O'Hara: Das ist eine tolle, tolle Analogie. Sehr, [lacht] sehr cool. Ich stelle mir vor, wie ich in einer Bar in Dublin sitze, total besoffen vom Guinness und denke: Ja, niemand, niemand sollte mir in einem Pub vertrauen. So ein Typ ist er definitiv nicht. Ja, das ist interessant, und Sie erwähnten die Anwendungssicherheit und die Schwachstellen in der Lieferkette, und ich nehme an, wir schließen daraus [unhörbar 00:13:39], wissen Sie? Wenn, du weißt schon, wenn ich die Lücken hier ausfüllen müsste [lacht], weißt du? Ich denke, das ist etwas, über das wir in letzter Zeit viel gesprochen haben, nämlich die riesige Menge an Open-Source-Bibliotheken, die es gibt und die von einer Person genutzt und gepflegt werden, die irgendwo auf der Welt in einer Wohnung sitzt und die Arbeit freiwillig macht. Ich produziere ein paar coole kleine Codes, die, wenn sie gut sind, an einer Vielzahl von Orten landen.
Und was mich umhaut, ist, dass es keine Q&A gibt, die man bei seiner Versicherung anrufen kann, es gibt nichts, verstehst du? Die Leute verwenden den Code einfach weiter und los geht's. Ich denke auch, und das sage ich als sehr fauler Ex-Entwickler, dass viele Leute einfach auf Stack Exchange springen, wenn sie ein Problem lösen wollen [lacht] und buchstäblich den Code kopieren, einfügen und, und, und? Man macht sich nicht so viele Gedanken, wie man es vielleicht manchmal tun sollte, über das, was das bedeutet. Gibt es notwendigerweise irgendwelche Schwachstellen? Es gibt eine Deadline: "Lasst uns das Ding rausbringen und zum Laufen bringen." Und hinterher stellt man möglicherweise fest, dass Sack Exchange, so gut es auch sein mag, nicht die unfehlbare Quelle der Wahrheit ist.
Was rekonstruieren Sie in Bezug auf die Versorgungskette? Für Sie ist offensichtlich [unhörbar 00:14:49] passiert, ich glaube, das Ministerium für Heimatschutz in den USA hat kürzlich gesagt, dass es 10 Jahre dauern wird, bis wir [unhörbar 00:14:58] aufräumen können. Er wird die Zukunft in Bezug auf andere Bibliotheken ausspielen, und ich nehme an, das ist eine große Frage, aber wie würde eine Organisation das überhaupt verstehen? Führen Sie mit Ihren Kunden Gespräche darüber, wie sie diese Bibliotheken auspacken können?
Aaron Robinson: Ja, wir sprechen also nicht mit ihnen darüber, wo diese Bibliotheken sein könnten, sondern wir verfolgen einen anderen Ansatz, wenn es darum geht, Sicherheit in die Anwendung einzubauen, die man bereitstellt. Und dann, wenn Sie sie an die Anwendung weiterleiten, müssen Sie Sicherheitskontrollen einrichten, um sie zu schützen. Wenn Sie also eine potenzielle Schwachstelle in Ihrer Anwendung haben, sind wir in der Lage, diesen Angriff oder diese [unhörbare 00:15:36] Injektion oder etwas Ähnliches zu verhindern, bevor er tatsächlich in das Netzwerk und dann in die Anwendung gelangt. Wir können das auf verschiedene Weise tun, zum Beispiel über die traditionelle Anwendung, bei der der Benutzer kommt und sich in der App anmeldet. Oder wir können es auch durch Dinge wie Service Mesh und APR-Schutz tun.
Das sind also die Bereiche, über die wir mit unseren Kunden im Detail sprechen, anstatt uns speziell auf die offenen Bibliotheken zu konzentrieren. Außerdem sprechen wir mit ihnen über die Frage, ob sie offene Bibliotheken in all ihren Anwendungen und Entwicklungen verwenden sollten. Ist das sinnvoll, vor allem, wenn Sie versuchen, einen Sicherheitsrahmen um diese Anwendungen herum aufzubauen? Dass Sie etwas verwenden, das Sie von einem vertrauenswürdigen Anbieter beziehen können, der die Historie, die Anmeldung, den Prüfpfad, die Überwachung und all diese Dinge auch im Backend bereitstellt.
Garrett O'Hara: Nein, das macht auf jeden Fall Sinn. Das ist witzig, denn ich glaube, wenn die Leute an Zero Trust denken, dann denken sie oft eher an Zero Trust Network Access als an den kompletten philosophischen Ansatz von Zero Trust. Aber was könnt ihr mit den Diensten, die ihr bei ZTNA betreibt, machen?
Aaron Robinson: Ja. Es gibt also eine Menge, was wir in diesem Bereich tun können. Ich denke also, dass es Unternehmen, die das Citrix ZTNA-Framework nutzen, letztlich ermöglicht, sich von der Verwaltung der Geräte zu lösen und sich auf das zu konzentrieren, was für das Unternehmen am wichtigsten ist. Aus unserer Sicht bedeutet dies, dass die Sicherheit der Anwendung am Endpunkt und der Daten gewährleistet ist. Und es ist interessant, dass ich diese Frage oft stelle, wenn ich mit Nachrichtenleuten, Sicherheitsleuten und Cyber-Kunden spreche. Ich stelle diese Frage manchmal absichtlich, um zu provozieren, aber ich frage sie dann: "Warum ist es Ihnen wichtig, das Gerät zu verwalten?" Oder: "Warum ist das für Sie gerade in der heutigen Zeit wichtig?" In der Regel herrscht dann ein paar Sekunden lang betretenes Schweigen, bevor sie versuchen, das Ganze irgendwie zu rechtfertigen, was interessant ist.
Es ist wirklich interessant zu hören, wie sie darüber stolpern, warum sie dieses Gerät verwalten müssen, wenn man mit DOT beginnen kann, indem man Sicherheitsprinzipien wie Zero Trust Network Access anwendet. Es kann auch ein sehr kosteneffizienter Weg für die Sicherheit sein, sorry es kann auch ein sehr effektiver Weg sein, um Sicherheit über ungesicherte Netze zu bieten.
Garrett O'Hara: Jepp.
Aaron Robinson: Aus unserer Sicht eröffnen die Unternehmen im Moment überhaupt keine neuen Büros, wenn wir mit ihnen sprechen.
Garrett O'Hara: Jepp.
Aaron Robinson: Wenn überhaupt, dann versuchen sie, ihre Immobilien zu verkleinern, aber sie haben Tausende von Zweigstellen eröffnet, und sie werden nicht an jedem Standort Firewalls in Unternehmensqualität installieren. Es ist eine Herausforderung, diese Geräte zu verwalten und zu sichern, die sich an den Standorten befinden, die immer mit ihrem Netzwerk verbunden sind, oder?
Wollen Sie also wirklich, dass das Gerät, das [inaudible 00:18:39] zurück ins Büro kommt, das vielleicht ungesperrt auf dem Schreibtisch eines Mitarbeiters liegt und vollständig mit Ihrem Netzwerk verbunden ist, ungehinderten Zugang hat, sobald das VPN eingerichtet wurde? Zero Trust leistet also einen wichtigen Beitrag zur Sicherheit in diesem Bereich. Es erlaubt also nur dieser einen Anwendung eine direkte Verbindung zurück zu Ihrem Unternehmen oder zu diesem Crowd-Host und dieser Anwendung. Der Vorteil dabei ist, dass es sich nicht nur um eine vom Benutzer initiierte Verbindung handelt, sondern um eine Verbindung von Ihrem Unternehmen zu einem zentralen Abschlusspunkt, so dass auch auf diese Weise ein hohes Maß an Sicherheit gewährleistet ist.
Ich denke, aus meiner Sicht ist es ganz einfach eine höhere Sicherheitsstufe als die traditionellen Sicherheitsmethoden, die für die Fernarbeit gelten.
Garrett O'Hara: Jepp.
Aaron Robinson: Und es ist für den Endnutzer weitgehend transparent. Und ich denke, das ist der Schlüssel, um ein hohes Maß an Sicherheit mit der Benutzerfreundlichkeit in Einklang zu bringen, denn wie ich bereits in unserem Gespräch erwähnt habe, werden die Benutzer, wenn die Sicherheit zu aufdringlich oder zu hinderlich ist, aktiv nach Möglichkeiten suchen, sie zu umgehen, um ihre Arbeit zu erledigen. In der Regel versuchen sie aber nicht, böswillig zu sein, sondern sind einfach nur frustriert über die Abläufe und wollen ihre Arbeit erledigen, also.
Garrett O'Hara: Es ist so lustig, das zu beobachten, nicht wahr? Die absolute Explosion der Schatten-IT, aber auch die Möglichkeit für jemanden in der Personalabteilung oder im Marketing, einfach eine Kreditkarte einzuwerfen und Zugang zu Dingen zu erhalten, die möglicherweise das geistige Eigentum des Unternehmens oder personenbezogene Daten oder was auch immer preisgeben. Aber der Versuch, die Zahnpasta wieder in die Tube zu kriegen, ist manchmal schwierig, wissen Sie? Wenn es erst einmal in der Öffentlichkeit steht und die Leute auf den Punkt kommen, weißt du? Sie suchen nach Möglichkeiten, ihre Arbeit zu erledigen und sie besser zu machen, so dass es oft keine böswillige Absicht gibt, aber ich glaube nicht, dass die Leute vollständig verstehen, was es bedeutet, wenn sie Tools von Drittanbietern verwenden, um ihre Arbeit so schnell wie möglich zu erledigen.
Übrigens, ich werde deine "Eröffnung von Tausenden von Zweigen eines." klauen. Ich hoffe, das ist in Ordnung? Das werde ich klauen [lacht], diese Phrase, was auch immer.
Aaron Robinson: Ja, genau. Das gefällt mir.
Garrett O'Hara: Ja, aber es spiegelt so gut wider, wie die Menschen heute arbeiten, wissen Sie? Das ist das Komische, wir haben ein Büro, wir gehen dorthin, aber ehrlich gesagt ist das Einzige, was es jetzt bietet, eine Verbindung zum Internet. Es ist eigentlich egal, wo wir sind, weißt du? Die, die Einrichtung für unsere Maschinen in, in [inaudible 00:21:04] wie, es ist absolut, wissen Sie, mobil. Das Büro erfüllt keinen Zweck, so dass es keinen zusätzlichen Schutz bietet, außer dem Schutz vor den Elementen [lacht], was wahrscheinlich der einzige Schutz ist, den es im Moment bietet, und einem schönen Drucker. Aber ja, wir sind im Vergleich zu vor 15, 20 Jahren, wo die Erfahrung war, Sie wissen schon, hineinzugehen und wahrscheinlich ein bisschen unbekümmerter zu sein, wenn ich ehrlich bin, wissen Sie? Wenn man sich in dieser Umgebung befindet, weil sie im Gegensatz zu zu Hause geschützt ist. Ihr Jungs...
Aaron Robinson: Das wollte ich gerade noch ergänzen. Sie fügen einen interessanten Punkt zum Büro hinzu, Sie wissen schon, wenn man dort hineingeht, wo es früher all diesen zusätzlichen Schutz gab und, Sie wissen schon? Einer der Vorteile dieser Zero-Trust-Technologie und der neuen Technologien besteht meiner Meinung nach darin, dass sie es den Kunden ermöglichen, die IT-Komplexität in ihren Rechenzentren und Büros zu reduzieren. Und es kann auch eine beträchtliche Kostenersparnis sein, vor allem, weil sie weniger Büroraum und weniger Sicherheitsausrüstung im Büro benötigen und Cloud-Dienste in Anspruch nehmen können, die eine bessere Sicherheit bieten als der derzeitige Rahmen, den sie haben.
Garrett O'Hara: Ja, es geht alles in die richtige Richtung, was die Benutzerfreundlichkeit und die Sicherheit angeht, auf jeden Fall. Könntest du darüber sprechen und es ist, du, es ist etwas, woran ich, wenn ich an Citrix denke, oft denke, aber wie Desktop als Service, ich weiß, dass ihr eine Menge Sachen macht, aber, weißt du, irgendwie von, von [lacht], der Nutzung deiner, deiner Sachen über die Jahre. Um ein Gefühl dafür zu bekommen, wie Organisationen den Zugriff auf virtualisierte Anwendungen schützen?
Aaron Robinson: Ja, das ist eine wirklich gute Frage und etwas, das ich immer über Citrix erzähle, woran die Leute nicht sofort denken, wenn sie an Citrix denken, ist, dass wir ein Sicherheitsunternehmen sind, vom ersten Tag an, seit 30 Jahren, seit unserer Gründung. Der Grund für die Existenz von Citrix und für die Nutzung von DDoS ist, dass es eine unglaublich sichere Möglichkeit für Unternehmen ist, ihre Anwendungen und Daten zu schützen. Sei es über ein beliebiges Gerät oder ein beliebiges Netz. Die Idee dahinter ist, dass Anwendungen im Rechenzentrum oder in der öffentlichen Cloud sicher sind, wo viele Kunden heute damit beginnen, diese Workloads hinter Anwälten der Sicherheit zu installieren. Egal, ob es sich dabei um [unhörbar 00:23:23] handelt, die innerhalb Ihres öffentlichen Cloud-Anbieters oder um Firewalls handelt, die sich speziell in Ihrem Rechenzentrum befinden. Und dann gibt es noch die Sicherheit, die wir auf dem eigentlichen Endpunkt bereitstellen, um sicherzustellen, dass nichts vom Endpunkt in diese virtuelle Anwendung eindringen kann.
Aber wir haben definitiv gesehen, dass sich die Bedrohungen im Laufe der Zeit weiterentwickelt haben, wissen Sie? Bösartige Codes werden immer intelligenter, automatisierte Angriffe kommen immer häufiger vor und konzentrieren sich immer mehr auf den Endpunkt. Das ist wahrscheinlich die Nummer eins der Angriffe, die wir im Moment sehen. Deshalb mussten wir auch unsere Sicherheitskontrollen so anpassen, dass die Kunden darauf vertrauen können, dass Citrix ihre Datendienste schützt. Daher haben wir in unseren DDoS-Service die direkten Vertrauensprinzipien eingebaut, die die Menschen erwarten. Egal, ob es sich dabei um zusätzliche Funktionen wie adaptive Authentifizierung oder kontextabhängigen Zugriff handelt. Wir versuchen, noch einen kleinen Schritt weiter zu gehen, anstatt nur ein explizites Erlauben oder ein explizites Verweigern zuzulassen.
Wir könnten zum Beispiel die Anwendung legen oder darauf zugreifen, aber wir könnten auch so etwas wie eine Sitzungsaufzeichnung machen oder den Bildschirm mit einem Wasserzeichen versehen oder Dinge wie Blockieren, Ausschneiden, Kopieren, Einfügen tun. Oder Sie können sogar kontrollieren, welche Zugriffsebene Sie innerhalb der Anwendung erhalten. Und dann habe ich zu Beginn über die Sicherheitsanalyse oder die maschinelle Analyseplattform gesprochen, die sich darunter befindet, wissen Sie? Wir können Aktionen auslösen, wenn wir Bedrohungen erkennen, während sie auf diese virtuellen Anwendungen zugreifen.
Garrett O'Hara: Ja.
Aaron Robinson: Und dann fügen Sie auch noch zusätzliche Schutzschichten hinzu. So können wir z. B. die Aufzeichnung von Schlüsseln blockieren und die Aufzeichnung von Bildschirminhalten und dergleichen ausschalten, um diesen Angriff wirklich zu unterbinden, wenn er entdeckt wird.
Garrett O'Hara: Interessant. Ja, ja. Es ist ein interessanter Ansatz, und wenn man richtig darüber nachdenkt, ist es fast wie Browser-Isolationssitzungen, bei denen man einen virtuellen Browser in einem Rechenzentrum einsetzen kann, so dass, wenn irgendetwas explodiert, es nicht auf dem Gerät, sondern auf den Endpunkten oder möglicherweise sogar in dem Netzwerk passiert, in dem sich die Organisationen befinden. Oder ist das die Art und Weise, ist das eine gute Analogie, oder verstehe ich es nicht?
Aaron Robinson: Ja. H- h- h- hundertprozentig sehen wir einen großen Nutzen davon. Vor allem in einem virtuellen Desktop, wenn Sie z. B. auf einen Link klicken, kann das ein Zero-Day-Angriff sein, der sich in diesem Browser-Isolationsdienst öffnet.
Garrett O'Hara: Ja.
Aaron Robinson: Und ja, wenn etwas explodiert oder es nicht tun sollte, was, Sie wissen schon, es ist eine riskante Website und sie hat es durch all die zusätzlichen Schutzschichten geschafft, kann sie nicht aus dieser Browser-Isolation herausspringen und in das Unternehmensnetzwerk gelangen. Wie Sie schon sagten, explodiert sie in diesem Container und wird dann gelöscht und weggeworfen.
Garrett O'Hara: Ja.
Aaron Robinson: Wir haben auch die Möglichkeit, das lokal auf dem Gerät des Benutzers über einen eingebetteten Browser zu tun, und das ist genau das gleiche Konzept. Es läuft auch lokal.
Garrett O'Hara: Ja, Sir. Ja, sehr cool. Ich glaube, dass sich im Bereich der Browser in Zukunft noch viel tun wird. Denn ich denke, wenn man darüber nachdenkt, was es heutzutage bedeutet, zu arbeiten, abgesehen von den installierten Produktivitätswerkzeugen, den Büromaschinen, dann wird das immer wichtiger. Ich verbringe die meiste Zeit meines Tages in einem Browser, und das bedeutet etwas anderes als noch vor 15 Jahren. Wenn ich das gesagt hätte, wäre ich wahrscheinlich gefeuert worden, denn [lacht] ja, realistisch betrachtet habe ich wahrscheinlich nur Zeit verschwendet. Aber es ist erstaunlich für mich, dass so viele unserer Tools SAS-Plattformen sind, und wenn ich etwas tun muss, logge ich mich in eine Browseranwendung ein, verstehen Sie? Es ist nicht, es ist, nichts sitzt mehr auf meinem Desktop, also ja, interessanter Platz.
Aaron Robinson: Das ist auch wichtig, denn nur weil es sich um eine SAS-Anwendung handelt, geben wir die Kontrolle vollständig an den Anbieter ab? Oder wollen wir jetzt anfangen, die Teile der Anwendung zu kontrollieren, die wir dem Benutzer zur Verfügung stellen können? Es handelt sich also um CASB-ähnliche Funktionen in Bezug auf, Sie wissen schon, ein sehr einfaches Beispiel dafür könnte sein, dass Sie jemanden in der Personalabteilung haben, der zum Beispiel LinkedIn nutzen muss. Wir werden das also zulassen, aber wir wollen nicht, dass der Rest der Organisation während der Arbeitszeit nach Jobs sucht, verstehen Sie? Man beginnt damit, die Kontrolle darüber abzugrenzen, was sie in bestimmten Cyberspace-Anwendungen tun können.
Garrett O'Hara: Ja. Es ist interessant, wenn man das im Flug sieht, wo man Dinge tun kann wie, ich weiß nicht, wie persönliches G, G, wie nennt man das? Google Drive, aber lassen Sie, Sie wissen schon, den Zugriff auf Unternehmen usw. zu. Also ein ziemlich aufregender Ort hier. Ein kleiner Schwenk und eine interessante Frage, aber Sie wissen schon, für Unternehmensleiter, wenn es um das Gleichgewicht zwischen Sicherheitsprotokollen und wahrscheinlich Prozessen und der Erfahrung der Mitarbeiter geht, was traditionell eine Herausforderung ist, weil wir alle es verstehen, wissen Sie? Je sicherer man ist, desto mehr Reibung gibt es oft, damit die Leute ihrem Tag nachgehen können.
Der zweite Teil der Frage lautet: Welche Erfahrungen haben Sie damit gemacht, dass die Mitarbeiter das Gefühl haben: "Wir haben es verstanden." Verstehen Sie? "Wir wissen, dass wir [unhörbar 00:28:16] und uns neu authentifizieren müssen, weil es der Sicherheit dient." oder wehren sie sich irgendwie? Aber, ja, haben Sie einen Ratschlag für Unternehmensleiter, um das Gleichgewicht zwischen Sicherheitsprotokollen und Mitarbeitererfahrung zu finden?
Aaron Robinson: Ja. Die meisten Unternehmen sind der Meinung, dass es sich um ein hohes Maß an Sicherheit oder um die Erfahrung der Mitarbeiter handeln muss. Sie glauben nicht, dass es ein Gleichgewicht gibt, das man erreichen kann. Aber die Wahrheit ist, dass, wenn man dieses Gleichgewicht nicht hinbekommt, die Leute einfach versuchen, einen Weg zu finden, um es zu umgehen. Wie ich bereits sagte, verstehen sie, dass es mehrere Faktoren geben muss und dass sie die richtigen Protokolle befolgen müssen. Manchmal sind Menschen einfach frustriert und finden einen Weg. Wie man so schön sagt: "Das Leben findet einen Weg." Die Menschen werden einen Weg finden. Es gibt eine Reihe von Sicherheitskontrollen, die Sie haben. Ich denke also, dass die Sicherheit eng mit der IT-Abteilung und den Geschäftsbereichen zusammenarbeiten muss, um die richtige Balance zu finden. Und sie müssen sich über den Sicherheitsrahmen, den sie in ihrem Unternehmen haben, wirklich im Klaren sein. Und dann den Geschäftsbereichen und der IT ein gewisses Maß an Kontrolle zurückgeben, um diesen Rahmen einzuhalten.
Und ich denke, es ist dann die Aufgabe der Sicherheitsorganisationen, diese neue Anwendung, die sie einführen wollen, diesen neuen Prozess, den sie bereitstellen wollen, dieses neue Ergebnis, an dem sie arbeiten, zu überprüfen, um sicherzustellen, dass es den Sicherheitsrichtlinien entspricht, Sie wissen schon, dem Risiko-, Governance- und Compliance-Rahmen, mit dem die Organisation einverstanden ist. Und sie müssen das auch rechtzeitig tun. Sie können nicht wochenlang darauf warten, eine Antwort zu erhalten. Und wenn die Person, die den Antrag gestellt hat, die richtige Due-Diligence-Prüfung durchgeführt und die richtigen Rahmenbedingungen und Vorlagen befolgt hat, sollte dies ein ziemlich automatisierter und nahtloser Prozess werden. Denn das Letzte, was Sie wirklich wollen, ist Sicherheit und, und wir hören diesen Witz ständig, wenn wir mit Kunden sprechen, ist, wissen Sie, "Ich muss zum Büro von, nein, um das genehmigt zu bekommen."
Garrett O'Hara: Jepp.
Aaron Robinson: Sie wollen also wirklich sehen, dass das Sicherheitsteam die Organisation unterstützt und sie nicht daran hindert, ihre Ziele zu erreichen.
Garrett O'Hara: Jepp. Ja, ich stimme Ihnen vollkommen zu. Ich denke, dass diese Entwicklung, um Ihren Begriff zu verwenden, das Amt des, nein, definitiv. Ich denke, dass Sicherheit und Führung heutzutage mehr und mehr zu einer Art Navigation durch die Politik werden und, Sie wissen schon, die Abteilung oder das Büro von, ja, Sie wissen schon? Herausfinden, wie man zu geschäftlichen Ergebnissen kommt, ja, ich denke, das ist definitiv eine Veränderung.
Und unsere letzte Frage bezieht sich auf die Zeit, in der Sie offensichtlich, wie Sie sagten, in gewisser Weise diszipliniert sind, ein Sicherheitsunternehmen seit 30 Jahren oder Sie wissen schon, das war sicherlich eine große Überlegung für Sie. Und Sie sind auch dafür bekannt, dass Sie in der Lage sind, Dinge aus der Ferne zu tun, Desktops zu virtualisieren und so weiter. Aber was würden Sie als Tipps für IT-Teams betrachten, die sich auf die Suche nach sicheren Remote-Arbeitsplätzen begeben, wissen Sie? Die Leute, die digitale Transformationsprojekte durchführen und versuchen, sich in eine Position zu bringen, in der sie im Falle von COVID, 21 oder der nächsten Pandemie oder anderen Ereignissen, die in ihrem Unternehmen vorkommen, über die nötige Widerstandsfähigkeit verfügen, weil sie bereits auf sichere Remote-Arbeit setzen. Aber welche Tipps würden Sie den IT-Teams geben?
Aaron Robinson: Ja. Meine drei wichtigsten Tipps und die drei, über die ich normalerweise mit Kunden spreche, sind, dass die Technologie nur ein Teil des Puzzles ist, um sichere Fernarbeit zu ermöglichen. Aber ich denke, darauf aufbauend und da es sich hier um einen technischen Vortrag handelt, sollten Sie eine sichere Strategie für die Fernarbeit entwickeln und Zero Trust ist der Zielstandard. Und ich denke, das muss in jeder Strategie enthalten sein, die man zu vermitteln versucht.
Garrett O'Hara: Jepp.
Aaron Robinson: Man sollte immer daran arbeiten, den Benutzerzugang so weit wie möglich zu vereinfachen. Wie auch immer die Strategie für die Fernarbeit aussehen mag, es muss ein einziger Ort sein, an dem sie auf alle ihre Anwendungen zugreifen können, der aber auch flexibel sein muss, um der Art und Weise gerecht zu werden, in der sie arbeiten möchten. Sei es durch die Integration mit dem Desktop oder durch ein Portal, in dem sie alle ihre Anwendungen unterbringen können. Und die Sicherheit, die sich dahinter verbirgt, muss intuitiv sein. Die Benutzer wollen nicht 30 verschiedene Authentifizierungsstufen durchlaufen müssen, um ihre Arbeit zu erledigen. Der nächste Punkt, den ich anspreche, und das ist der Punkt, an dem wir uns ein wenig von der Technologie entfernen. Aber Sie müssen eine Kultur schaffen, in der sich alle Mitarbeiter wirklich wohlfühlen, auch wenn sie von zu Hause aus und per Fernzugriff arbeiten. Dies gilt nicht nur für die tägliche Interaktion mit ihren Vorgesetzten, ihren Mitarbeitern und ihren Kollegen, sondern auch aus der Perspektive der Unternehmensverantwortung und - ich würde sagen - des Sicherheitsrisikos und der Governance.
Es ist also nicht nur die Aufgabe der IT-Abteilung, sondern sie muss auch Zeit für die Zusammenarbeit mit dem Unternehmen aufwenden. Die beste Person, mit der man zusammenarbeiten sollte, ist in der Regel die Personalabteilung, denn sie kann einem am besten helfen. Sie wissen, dass Manager lernen müssen, wie sie ihre Mitarbeiter, die aus der Ferne arbeiten, führen und bedienen können, und die Manager brauchen eine Schulung, bevor sie von zu Hause aus arbeiten können. Auch die Arbeitgeber müssen sich wohlfühlen, was ist das neue angemessene Maß an, "Wann kann ich von zu Hause aus arbeiten? Wie kann ich von zu Hause aus arbeiten?" Was ist akzeptabel und was nicht. Und der letzte Punkt ist für mich, dass man wirklich anfangen sollte, über die Rolle nachzudenken, und Sie haben das in der Art und Weise, wie Sie die Frage gestellt haben, angesprochen. Welche Rolle spielt die Technologie für die Zukunft der Arbeit? Und ist das, was wir heute tun, anpassungsfähig, um den Anforderungen von morgen gerecht zu werden?
Zero Trust ist im Moment sehr flexibel und anpassungsfähig in der Art und Weise, wie wir alle unsere verschiedenen Anwendungen einbringen und sie mit Sicherheit versehen, und es extrahiert dies vom Gerät und macht es einem Benutzer sehr einfach, Dinge aus dem Regal zu holen, wie z. B. ein anderes Gerät aus dem Regal, dieses hohe Sicherheitsniveau zu erhalten und dann produktiv zu sein. Und der Grund, warum ich dieses spezielle Beispiel anführe, ist, dass wir im Moment einen Mangel an Chips haben.
Garrett O'Hara: Hm.
Aaron Robinson: Wenn die Benutzer von zu Hause aus arbeiten und ein Gerät ausfällt, wie bekommen sie dann ein neues Gerät? Können sie einfach ein [unhörbar 00:34:02] Gerät nehmen, es in das Netzwerk einstecken, ihre Anwendungen abrufen und los geht's? Solange sie, Sie wissen schon, zum Beispiel die Sicherheitsprüfungen erfüllen. Oder müssen sie Däumchen drehen, bis sie ein wiederverwendetes Gerät von der Organisation erhalten? Oder bis, Sie wissen schon, ein Mangel an Chips auftritt, was machen sie dann?
Das sind also die Dinge, über die sie sich Gedanken machen müssen, wenn sie sich mit diesen Fernstrategien befassen: Wie fügen sie sich in unsere Zukunftspläne ein, und wie bereiten wir uns auf diese Zukunft vor, und was könnte sie erfordern? Can, wie anpassungsfähig und leicht zu aktualisieren ist es? Also.
Garrett O'Hara: Fantastischer Rat. Und das Einzige, dessen wir uns absolut sicher sein können, ist, dass die Zukunft kommen wird, und sie wird uns wahrscheinlich überraschen, wie sie es in den letzten Jahren immer wieder getan hat. Aaron, schön, dass Sie heute bei uns sind. Ich weiß es wirklich sehr zu schätzen, dass Sie sich die Zeit genommen haben und uns auf der Grundlage Ihrer Erfahrungen Einblicke gewährt haben. Also, vielen Dank.
Aaron Robinson: Nein, ich habe mich wirklich gefreut, hier zu sein, danke für die Einladung.
Garrett O'Hara: Vielen Dank, Aaron, dass Sie bei uns waren, und wie immer vielen Dank, dass Sie sich den Get Cyber Resilient Podcast angehört haben. Stöbern Sie im Backkatalog der Episoden und mögen Sie, abonnieren Sie und hinterlassen Sie uns bitte eine Bewertung. Bis dahin bleiben Sie sicher und ich freue mich darauf, Sie in der nächsten Folge zu sehen.