Sicherheit zu einem strategischen Vorteil umgestalten

Clarke (00:05):
Also, Merritt, vielen Dank, dass Sie heute bei uns sind.

Merritt (00:08):
Danke für die Einladung.

Clarke (00:09):
Würden Sie uns bitte etwas über Ihren Hintergrund erzählen? Was führte Sie zu AWS und was machen Sie in Ihrer jetzigen Funktion?

Merritt (00:15):
Ja. Ich bin nun seit fast vier Jahren bei AWS. Ich kam von der US- Regierung und war im Auftrag des amerikanischen Volkes für die Sicherheit zuständig. Ich habe dort in allen drei Bereichen gearbeitet. Ich bin zur Sicherheit gegangen, weil ich das Gefühl hatte, dass wir diesen wichtigen Fragen gegenüberstehen und dass wir nicht wissen, wie wir mit ihnen umgehen sollen. Also habe ich Jura studiert, unter anderem, weil ich wusste, dass dies einer der wichtigsten Punkte ist, die wir hier haben. Und ich habe auch das Gefühl, dass diese Fragen wichtiger sind, als herauszufinden, was diese eine Bedrohung zu dieser einen Zeit ist oder wer diese eine Akteur oder was auch immer ist. Das hat dazu geführt, dass ich in Bereichen gearbeitet habe, die für eher unattraktiv gehalten werden. Also die Dinge, die auf der Infrastrukturebene angesiedelt sind, die aber hinter den Kulissen eine große Rolle spielen. Und ich glaube, das ist es, warum ich wirklich hier gelandet bin.

Clarke (01:08):
Das ist eine großartige Geschichte. Könnten Sie mir ein wenig mehr über die Arbeit des CISO und seinen Zweck im größeren Rahmen von AWS erzählen?

Merritt (01:17):
Ja. Ich bin also Prinzipal im Office of the CISO. Das CISO (Chief Information Security Officer) bei AWS ist ähnlich wie in jedem anderen Unternehmen, nicht wahr? Steve Schmidt, mein Chef, kümmert sich nicht nur um die interne Sicherheit, also darum, wie AWS sich selbst schützt, sondern auch darum, wie wir die Sicherheit von allem, was wir als Unternehmen liefern, sicherstellen. Und das ist eine wirklich interessante Reihe von Ergebnissen, die man in Betracht ziehen sollte, denn man denkt darüber nach, wie man Leitplanken setzt und es seinen Mitarbeitern ermöglicht, minimale Reibungen zu haben und selbst Entwicklungsteam zu sein. Und dann versuchen Sie auch noch, Ihre Entwicklungsteams dazu zu bringen, das Sicherste auf dem einfachsten und sichersten Weg zu tun. Das ist also der Punkt, an dem meine Rolle mir wirklich ein gewisses Maß an Einfühlungsvermögen und Glaubwürdigkeit ermöglicht, wenn ich mit Kunden spreche. Etwa die Hälfte meiner Arbeit verbringe ich damit, unsere Sicherheit hier bei AWS zu verbessern, und die andere Hälfte verbringe ich damit, mit Kunden zu sprechen. Manchmal handelt es sich dabei um öffentliche Reden, aber häufig auch um Gespräche von CISO zu CISO, um Gespräche mit Sicherheitsgruppen, um herauszufinden, wie man deren Unternehmensreife fördern kann. Und sehr oft ist die Sicherheit einer dieser Schlüsselfaktoren, die es ihnen ermöglicht, in einem breiteren, schnelleren und reiferen Tempo voranzukommen. Ich denke, die Kehrseite der Medaille ist, dass die Sicherheit oft als Hemmschuh empfunden wird. Und ich denke, das reicht einfach nicht aus. Nicht nur, weil die Sicherheitsteams erwachsen werden müssen und nicht mehr nein sagen sollten. Sondern auch, weil man heutzutage, insbesondere in der Cloud, in dem Moment, in dem man mit der Entwicklung von irgendetwas beginnt, seine Identität, seine Berechtigungen und die Art und Weise, wie man es in Bezug auf den Rest seiner Architektur und den Rest des Internets konstruiert, artikuliert. Alles, was Sie bauen, hat also spezifische Sicherheitseigenschaften. Das bedeutet, dass wir die Sicherheit in unsere Gespräche einbeziehen müssen. Und das bedeutet, dass wir mit unseren Kunden darüber sprechen müssen, wie wir das tun.

Clarke (03:23):
Ok. Ich kann mir vorstellen, dass dies in den Gesprächen mit den CISOs Ihrer Kunden auch auf Ihre anderen Verantwortungsbereiche übergreift, weil ich mir vorstellen kann, dass ein CISO sagen könnte: „Ich liebe Produkt X oder Y, aber ich wünschte, es könnte dies“. Das fällt unter den Sicherheitsbereich, für den Sie auch verantwortlich sind. Wie gelangt eine Kundenanfrage aus einem solchen Gespräch zurück zu den Produktteams für Sicherheitsservices, damit sie tatsächlich in eine Funktion umgesetzt werden kann?

Merritt (03:51):
Wie Sie wissen, entwickeln, implementieren und verteilen die Serviceteams ständig neue Funktionen. Es ist also nicht wirklich eine Herausforderung, mit dem Schritt zu halten, was sie beschlossen haben oder was sie anbieten konnten. Es geht tatsächlich mehr darum, wie wir das Problem lösen. Wenn wir die Probleme nicht auf die richtige Art und Weise lösen, dann ist das natürlich ein Thema, das ich mit auf unsere Seite nehme und an dem ich arbeite. Aber ein Großteil meiner Arbeit besteht darin, erstens herauszufinden, was der Kunde wirklich will, und zweitens, wie ich ihm helfen kann, die nächste Reifestufe zu erreichen, oder wie ich ihn zu einem besseren Ergebnis führen kann. Und die andere Frage ist, wie wir das machen. Ich glaube, die Kunden erwarten von einem Gespräch mit mir vor allem eines: „Wie bringt Ihr Team das in Einklang?“ Denn ich glaube nicht an Nullsummenspiele, aber ich glaube, dass es wichtig ist, echte Empathie zu haben. 

Clarke (04:51):
Sehr gut ausgedrückt. Wenn Kunden also fragen: „Wie macht AWS dies oder das?“ Das sind die häufigeren „Wie macht AWS ...?“-Fragen. Aus der Perspektive der Sicherheit, sind das die Fragen, die Sie von Kunden bekommen?

Merritt (05:07):
Der bei weitem größte Bereich ist die Innovation. „Wie schaffen es Ihre Entwicklungsteams, innovativ zu sein, und wie pflegt Ihr Sicherheitsteam eine Beziehung zu Ihren Entwicklungsteams, die nicht in Konflikt mit ihnen gerät?“ Und ich denke, das ist ein wirklich bemerkenswerter Aspekt unserer Arbeit. Denn man kann über das rasante Innovationstempo, das wir unverdrossen verfolgen, sagen, was man will, aber manchmal bedeutet das, dass wir Veröffentlichungen in einem wirklich rasanten Tempo herausbringen oder dass es den Leuten schwerfällt zu verstehen, was neue Dinge eigentlich bedeuten. Aber letztendlich ist das, was wir tun, in der Natur einiger dieser Mechanismen, wie ein Zwei-Pizza-Team, das Sicherheitsresonanz hat, nicht wahr? Unter einem Zwei-Pizza-Team – was nur andeuten soll, dass Sie gewissermaßen absichtlich isoliert sind, um eine schnelle Geschäftsentscheidung zu treffen – unter diesem Zwei-Pizza-Team gibt es also einige Geschäftsentscheidungen, die die Sicherheit betreffen. Daher werden nur wenige wissen, wie die Komponenten unter der Haube funktionieren. Das betrifft die Elemente der Sicherheit, mit denen wir arbeiten. Worüber wir hier wirklich sprechen, ist die Art und Weise, wie wir die Sicherheit in die von uns angebotenen Produkte integriert haben. Es geht also nicht so sehr um die Beziehung zu ihnen als Sicherheitsteam, das den Auftrag hat, dieses Boot zu reformieren. In Wirklichkeit geht es um die Frage: „Wie haben Sie Ihr Unternehmen in ein Unternehmen verwandelt, das Sicherheit als Teil des Produkts, das Sie verkaufen, lebt und atmet?“

Clarke (06:38):
Das macht absolut Sinn. Wenn ich also mit Kunden spreche, ist eine der häufigsten Fragen, die sie mir stellen, und ich kann mir vorstellen, dass auch Sie mit der gleichen Frage konfrontiert werden: „Ich verstehe den Wert von DevSecOps. Ich verstehe, wie wichtig es ist, Ressourcen für die technische und betriebliche Sicherheit sowie für alle anderen Sicherheitselemente einzusetzen. Aber wie baue ich tatsächlich eine Weltklasse-Sicherheitsorganisation auf, wie AWS sie hat?“

Merritt (07:05):
Ja. Ich denke, diese Frage kann in vielerlei Hinsicht gestellt werden, oder? Es könnte sein: „Ich weiß nicht, ob wir jemals unseren Notfallplan geübt haben“ oder „Ich weiß nicht, ob wir einen Notfallplan haben.“ Und ich denke, dass ein großer Teil davon mit den Kontrollen zusammenhängt, die den Lebenszyklus Ihrer Vermögenswerte begleiten. Ich wollte eigentlich Infrastruktur sagen, aber das ist etwas, das man durch diesen Prozess aufbaut, oder? Von Ihren Schutz-, Aufdeckungs- und Abhilfe-Maßnahmen. Und eines der Elemente, auf das wir offensichtlich immer wieder zurückkommen, ist die Automatisierung. In unserem Team, dem AWS-Sicherheitsteam, schließen wir beispielsweise nie ein Trouble-Ticket, bevor wir nicht eine Abhilfemaßnahme geskriptet haben, sofern sie geskriptet werden kann. So etwas wie Automatisierung klingt wie ein Lippenbekenntnis, bis man es auf beobachtbare Weise umsetzt. Aber letztendlich suchen wir derzeit nach Möglichkeiten, den Betrieb wirklich zu skalieren. Und wegen dieser Schutz-, Erkennungs- und Abhilfemaßnahmen ist unsere 24-Stunden-Wache eine Person, die auf alle Automatisierungen aufpasst. Es gibt also viele Freiheiten, die sich aus der Einführung dieser nächsten Generation von Sicherheitsbetriebszentren ergeben. Versteh mich nicht falsch, ich weiß, dass das eine Art Stadt auf dem Hügel sein soll, aber in vielerlei Hinsicht muss man irgendwo anfangen. Sie werden Gewinne erzielen. Und wir haben ein Sicherheitsteam aufgebaut, indem wir große Probleme gelöst haben, indem wir kleine Probleme gelöst haben. Irgendwo muss man ja anfangen, nicht wahr? Stellen Sie Leute ein, die Automatisierung lieben, stellen Sie ein vielfältiges Sicherheitsteam ein, das auf unterschiedliche Weise denkt, das Probleme mit anderem Code und anderer Automatisierung löst, und erreichen Sie dies auch mit der Unterstützung Ihrer Führungskräfte. Das ist enorm wichtig für diesen Prozess, bei dem es wirklich um die Investitionen geht, die das Unternehmen oder die Einrichtung – sollte ich sagen, denn der öffentliche Sektor arbeitet ähnlich – in den Sicherheitsprozess tätigt. Und auch das muss auf spezifische Weise und mit bestimmten Verhaltensweisen umgesetzt werden. Wenn also Leute zu mir kommen und fragen: „Wie baue ich ein Weltklasse-Sicherheitsteam auf?“ Oder „Wie baue ich eine Kultur der Innovation auf?“ Nun, das ist es, was Sie immer wieder tun. Das sind Dinge, auf die wir uns beziehen und an denen wir uns orientieren können. Bei DevSecOps zum Beispiel binden wir einen Sicherheitsingenieur in die Teams ein, im Moment ist es ein Achtel, aber es könnte mehr sein ... Das geht rauf und runter, wir prüfen, ob das die richtige Zahl ist. Wir begehen jedes Mal Fehler, wenn etwas passiert, das nicht hätte passieren dürfen, oder wenn etwas nicht genau nach Plan verläuft. Übrigens müssen die VPs an diesen Besprechungen über eine Fehlerursache teilnehmen. Wir schicken keinen Nachwuchsingenieur dorthin, um die Hauptlast zu tragen. Wir wollen ein Ökosystem schaffen, in dem nicht der Einzelne die Hauptlast trägt, sondern die Organisation, und wir wollen, dass der Lernprozess mit der Zeit wächst. Und das ist etwas, das meiner Meinung nach nicht zufällig geschieht. Sie müssen diese Mechanismen einbauen.

Clarke (10:22):
Und ich vermute, der Trick besteht darin, diesen Mechanismus zu entwickeln, der das gewünschte Verhalten verstärkt.

Merritt (10:28):
Ich glaube, das ist genau richtig. Wenn Sie sich zum Beispiel dafür entscheiden, Ihre Mitarbeiterzulassungen sehr offen zu gestalten, wie wir es bei Amazon tun, was übrigens wiederum eine bewusste Geschäftsentscheidung ist. Dann brauchen Sie – oder zumindest entscheiden wir diese zu haben – eine sehr feinkörnige Protokollierung und Überwachung der Vorgänge. Und dann gibt es Schwellenwerte und schuldlose Eskalationen, die nach einem bestimmten Zeitplan ablaufen. Das bedeutet wiederum, dass Ihre Führungskräfte sich engagieren müssen, weil sie wissen müssen, dass sie für die Sicherheit ans Telefon gehen werden. 100 % der Führungskräfte werden sagen, dass ihnen die Sicherheit am Herzen liegt, aber es ist wichtig auch zu wissen, dass sie sich dafür einsetzen müssen, dass sie verstehen müssen, dass sie dafür zur Rechenschaft gezogen werden. Und es bedeutet auch, dass das Sicherheitsteam eine Art eingewebte Rolle im Unternehmen selbst haben wird.

Clarke (11:26):
Ok. Sie haben vorhin in Ihrer Antwort etwas über Investitionen gesagt, richtig? Viele CISOs und Führungskräfte unserer Kunden kommen zu uns und sagen: „Wir müssen bestimmte Investitionen in unsere Fähigkeiten tätigen.“ Aus der Sicherheitsperspektive hat AWS im Laufe der Jahre das Konzept der fünf Kernkomponenten für die minimale Sicherheitsbasis sehr deutlich gemacht. Also Identität, Aufdeckung, Sicherheit der Infrastruktur, Datenschutz und Reaktion auf Vorfälle. Wenn also ein CISO eines Kunden sagt: „Ich habe ein begrenztes Budget, ich habe begrenzt Personal, aber ich muss all diese fünf Dinge tun. Wo fange ich mit meinen Investitionen an, wo gibt es das beste Preis-Leistungs-Verhältnis bei diesen fünf?“

Merritt (12:09):
Viele CISOs fragen mich: „Soll ich mit einem oder mit hundert Workloads beginnen?“ Richtig? Und ich glaube, dass die Antwort darin liegt, irgendwo anzufangen und etwas Bedeutungsvolles daraus zu machen. Fangen Sie mit der Anzahl der Workloads an, aber erledigen Sie sie nicht unbemerkt. Erledigen Sie sie unter einem Sicherheitsmikroskop, weil ich glaube, dass Sie über die Sicherheitsvererbungen verfügen, die vom Standpunkt der Plattform tatsächlich ein Unterscheidungsmerkmal für Ihr Unternehmen oder Ihre Entität haben. Ich komme darauf zurück, und das wird seltsam klingen. Erinnern wir uns doch daran, was die Cloud ist, richtig? Vor 20 Jahren haben die Menschen diese fünf Phasen erledigt, indem sie nach defekten Servern unter den Schreibtischen der Mitarbeiter gesucht haben. Wir machen das nicht mehr, oder wenigstens, wenn man in der Cloud ist, macht man das nicht. Und einer der Gründe ist, dass wir wissen, dass es sich um eine Sicherheitsvererbung handelt: AWS übernimmt die Verantwortung für diejenigen, die ganz unten sind. Die Nutzung der Cloud zur Skalierung der Cloud-Sicherheit ist eine der Dringlichkeiten, die Kunden wirklich nicht nutzen. Wenn sie ein begrenztes Budget haben, sollten Sie umso mehr den Zustand erreichen, in dem sie diese Skalierung nutzen können. Ich meine, wenn ich eine Sache wählen könnte, würde ich sagen, dass die Identität echt schwierig ist. Ich habe noch keinen Kunden getroffen, der sagt: „Ich finde meinen Identitätsanbieter einfach toll. Und ich glaube, wir erledigen unsere Sache ziemlich gut.“

Clarke (13:40):
Also, wenn es um Investitionen in die Identität geht, ist man sozusagen klamm?

Merritt (13:45):
Wenn Sie glauben, dass Sie klamm sind, sollte man mit dem Unternehmen über seine Ziele sprechen, und dann sollte man mit dem Unternehmen darüber sprechen, warum die Sicherheit ein Unterscheidungsmerkmal im Geschäft ist. Und ich spreche nicht nur über die Sicherheit und was hergestellt wird, sondern auch über die Sicherheit im Rahmen Ihres Produkts. Wenn Sie also ein Einzelhandelsunternehmen, ein Öl- und Gasunternehmen sind, wenn Sie ein ... sind. Was auch immer, Automobilunternehmen, Pharmaunternehmen, Medien- und Unterhaltungsunternehmen, Fusionen und Übernahmen: Ein Teil davon, was den Menschen heutzutage wichtig ist, ist die Sicherheit der Geschäftstätigkeiten (das sollte auch so sein). Also: Es sind nicht nur die Leute, die Sicherheitsprodukte bereitstellen und sagen, „Oh, kümmern Sie sich intern um die Daten bei Ihren Rollen in der Personalverwaltung?“ Es geht wirklich darum, wie Sie die Sicherheit als inhärenten Teil Ihres Produkts bereitstellen. Und ich glaube nicht, dass man dies versauen kann. Das muss so erledigt werden, dass das eigentliche Unternehmen aufgebaut wird und die Ziele erreicht werden, die Sie sich setzen. Und was Ihre Aussage angeht: Das von Ihnen angestrebte Budget muss das berücksichtigen. Und ich glaube nicht, dass wir die Sicherheit weiterhin als Kostenpunkt ansehen sollten. Ich bin dessen eigentlich wirklich überdrüssig. Das ist ein Wegbereiter von Geschäften, und ein Förderer von Geschäften und niemand will etwas unternehmen, wenn es nicht sicher ist und niemand will etwas kaufen, wenn es nicht sicher ist und niemand will mit dem Unternehmen Geschäfte machen oder mit der Regierung kommunizieren, wenn es nicht sicher ist. Und ehrlich gesagt, ist es nicht möglich anzufangen, wenn man nicht da ist. Und ich weiß, dass es ein sich schnell bewegendes Ziel gibt, weil es sich um einen Prozess handelt, und wir arbeiten daran. Jedoch muss man mit unseren besten Mitarbeitern danach streben.

Clarke (15:24):
Wenn man also über die Sicherheit als Wegbereiter für Geschäfte spricht, wie steht ein CISO auf und ein Unternehmen, dass das Unternehmen des CISO als Kostenpunkt ansieht ... Wie steht dieser CISO auf oder vermittelt dem Vorstand oder anderen Entscheidungsträgern im Unternehmen die Botschaft?

Merritt (15:42):
Es gibt ein paar Elemente davon, oder? Eines davon ist die allgemeine Transformation, die bei Unternehmen geschieht, wenn Sie sich für den Ausbau entscheiden. Ich glaube eigentlich, dass Unternehmen sich viel zu sehr auf die Umzugskosten konzentrieren. Und sie schauen nicht auf die Kosten, die entstehen, wenn sie dort bleiben, wo sie sind. Wissen Sie, an dieser Stelle sollte man sich die Kosten ansehen, wenn man da bleibt, wo man ist und wofür man jetzt bezahlt, wenn man nicht umzieht und nicht die Dinge tut, von denen man weiß, dass man sie tun könnte. Und ehrlich gesagt, verstehe ich, dass dies ein gewisses Maß an Unverfrorenheit oder positive Energie erfordert, um dies zu erreichen. Dadurch werden aber fast unverzüglich Ergebnisse erzielt. Und das wird dann auch eine der Möglichkeiten, mit der Ihr Unternehmen sich wirklich zu einem Großunternehmen ausbauen kann. Und ich denke, dass letztendlich, alles, was Verzögerungen verursacht, nur Zeitverschwendung ist. Und andererseits, zur Antwort auf Ihre Frage, glaube ich, dass Personen, die das als Kostenpunkt ansehen, der Vergangenheit angehören. 

Clarke (16:53):
Ja. Ich glaube, dass Sie auf etwas Wichtiges hingewiesen haben. Das Risiko, untätig zu sein, ist genauso riskant wie andere Risiken, die Unternehmen gerade untersuchen.

Merritt (17:01):
Ich würde nicht gleichwertig sagen, sondern oft teurer. Und wenn man mit dem Vorstand spricht, ist dies einer der Punkte, an die man denken sollte. Wenn Menschen über Sicherheitsmetriken sprechen, haben Sie sie oft meiner Meinung nach spielend leicht optimiert. Sie sagen: „Wir haben angegeben, dass wir letzte Woche 100 Personen erfasst haben, die bei uns anklopften. Diese Woche sind es nur 70.“ Da wird an die Tür geklopft, und zwar weder hier noch da. Und offensichtlich sind diese Zahlen künstlich. Ich habe diese gerade erfunden. Aber es ging eigentlich darum, dass Ihre Sicherheitsmetriken einen echten Hinweis dazu geben sollten, ob Sie sich im Laufe der Zeit verbessern oder nicht. Und wenn nicht, dann sind das die falschen Metriken. Wer wird hier wirklich optimiert? Da sind Sie mitten im Getümmel.

Clarke (17:50):
Die Ransomware ist heutzutage ein großes Thema. Und sie ist ein großes Anliegen für die Kunden. Ich weiß, dass Sie in diesem Gebiet Bescheid wissen. Welchen Rat können Sie den Sicherheitsorganisationen der Kunden zu den Dingen geben, die sie tun müssen, um sich auf einen Ramsomware-Zwischenfall vorzubereiten?

Merritt (18:07):
Ja. Offensichtlich war das letztens sehr häufig in den Nachrichten. Obwohl die Ransomware nichts Neues ist. Das geht mindestens bis zum Jahr 1989 zurück. Eine Gesundheitskonferenz hat stattgefunden, in der eine böswillige Person Disketten verteilt hat, auf denen „AIDS“ stand, weil es eine Gesundheitskonferenz war. Und so (wenn man es so sagen will), wurde das als die „AIDS-Ransomware“ bekannt. Wenn man die Diskette in das Diskettenlaufwerk hineinlegte, wurden Ihre Dateien verschlüsselt und es wurde verlangt, dass Sie einen Scheck in Höhe von 89 USD an ein Postfach in Panama senden. Also geht es darum, dass die Ransomware selbst in Theorie nichts Neues ist, aber praktisches schon, weil mit dem Aufstieg der Kryptowährungen die Möglichkeit entstand, die Tatsache, dass sie in Ihr Netzwerk eingedrungen sind, zu monetarisieren.

Clarke (18:58):
Und die Ransomware ist ein Service, richtig?

Merritt (19:01):
Ja. Und die kommerzielle Nutzung davon ist sicherlich ein Faktor. Und dann, ehrlich gesagt, die Tatsache, dass durch Datenschutzregulierungen schwerwiegende Datenschutzverletzungen bei Unternehmen richtig teuer wurden. Es gab eine Art Ransomware, wo Ihre Daten wirklich gesperrt werden und es gibt das Ausfüllen per xFill. Und selbst wenn Backups vorhanden sind, drohen sie damit, dass sie ihren Zugang offenlegen. Und das selbst könnte als Datenschutzverletzung kategorisiert werden, insbesondere, wenn man mit regulierten Daten zu tun hat. Und wir alle haben damit zu tun. Deshalb denke ich, dass die Landschaft, in der dies geschieht, hier relevant ist. Aber ich denke (zur Antwort auf Ihre Frage), dass es für Ransomware keine Wunderwaffe gibt. Die Ransomware erfordert, dass Sie alles in Ordnung bringen. Also: Alles vom Minimieren der Wahrscheinlichkeit, dass die Personen gar nicht erst durch die Tür kommen. Also, Dinge wie Identität und Patching und geringste Berechtigung und Segmentierung. Und dann sollte man auch diese unveränderlichen Sicherungen haben. Also Dinge wie AWS Backup oder Cloud und Tür, mit denen Sie einen frischen Sicherungszeitpunkt und Fähigkeiten der Sicherungswiederherstellung haben können. 

Clarke (20:23):
Also, wo wir gerade über heikle Themen sprechen: Ein weiteres heikles Thema von Kunden da draußen ist das Konzept von Zero Trust. Also, was soll Zero Trust für Sie bedeuten und wie formulieren Sie das den Kunden und wie kann AWS den Kunden dabei helfen, Zero Trust zu erreichen, wenn das tatsächlich etwas ist, dass sie tun müssen?

Merritt (20:42):
Gerne. Ich denke, dass Zero Trust eine nützliche konzeptionelle Linse auf das sein kann, was Sie als Ihre Sicherheitskontrollen ansehen. Richtig? Ich denke ... Also, erstens: Fragen Sie eine beliebige Person, was Zero Trust bedeutet und Sie erhalten eine andere Definition. Jedoch bedeutet Zero Trust für mich nicht die Idee, dass diese Kaffeetasse nicht mit dem Internet verbunden ist, sondern bedeutet, dass man das Vertrauensverlust reduzieren sollte, vielleicht sogar bis auf null, dem Vertrauensniveau, dem wir einem Akteur im Netzwerk auf Grundlage der Position im Netzwerk geben sollten. Also im Grunde genommen sollten wir unsere Abhängigkeit von dieser Idee eines traditionellen Perimeters reduzieren, egal ob Software oder Mensch. Aber natürlich: Der Perimeter ist tot, lang lebe der Perimeter. Oder? Und ich denke, in der Cloud, und ehrlich gesagt bei AWS, besteht unser Ansatz darin, keine binäre Auswahl zwischen traditionellen perimeterorientierten Kontrollen wie eine VPN, oder eine VPC und differenzierte, identitätsorientierte Kontrollen zu treffen, die in ihnen betrieben werden, wie Sicherheitsgruppen, Naples usw. Stattdessen sollten sie miteinander zusammenarbeiten und sich tatsächlich verbessern und voneinander wissen. Ein Beispiel wäre also eine VPC-Endpunkt-Richtlinie, die sowohl über Perimeter- als auch differenzierte Berechtigungen verfügt. Und sie sind sich der gegenseitigen Verbesserung bewusst und können durch einige unserer Tools begründet werden, die bei der Cloud inhärent sind, weil wir die Infrastruktur als Code ausführen. Man kann die Sicherheit als Code ausführen. Also etwas wie dem Access Analyzer oder dem Inspector kann die Netzwerkverfügbarkeit durchführen, ohne z. B. ein Paket über das Netzwerk zu senden. Also, der Gedanke dabei ist, dass diese miteinander verbunden werden sollen und so die Verteidigung unterstützen, denke ich. Das klingt aber altmodisch. Das ist so, als ob man sagen würde: „Verriegeln Sie die Tür und das Fenster.“ Nein. Sie dienen verschiedenen Zwecken. Und tatsächlich sind sie auch Teil der gleichen Logik, die wir verwenden, wenn wir die Begründung der Sicherheit durchführen.

Clarke (22:57):
Merritt, vielen Dank für Ihre Zeit heute. Noch ein paar Gedanken zum Abschluss?

Merritt (22:59):
„Na ja, die Leute kommen zu mir mit Fragen, von denen sie glauben, dass sie tiefgründige, technische CISO-Fragen sind. Die eigentliche Frage lautet: „Wie bringe ich meine Organisation dazu, den Anstoß und die Mittel für eine Veränderung zu bekommen?“ Und ich glaube, das es um die Investition geht, die ein Unternehmen tätigt, um die Sicherheit zu einem Bürger erster Klasse zu machen, sowohl im wörtlichen als auch im übertragenen Sinne. Wenn wir also sagen, dass die Sicherheit Auftrag null ist, oder welcher Aphorismus auch benutzt wird, ist das nicht als Motto gemeint. Das soll sich in die Kultur von all dem integrieren, was wir tun. Wir tun das, indem Steve Schmidt direkt dem CEO unterstellt ist, und dass die Sicherheit nie von anderen Geschäftsinteressen deklassiert oder menschlich übertroffen wird. Also, ich denke für Personen, die hoffentlich die Priorisierung ein bisschen nachahmen, die wir bisher gezeigt haben: Der Weg, dies zu tun, ist, es zu tun. Und man muss damit anfangen, um das zu erreichen. Und der erste Schritt besteht darin, Ihr Geschäft auf diese Ziele auszurichten. Und eine Art und Weise, dies zu erreichen, oder eine Art und Weise, dem Ziel näher zu kommen, ist dieses Weltklasse-Team aufzubauen. Und ich denke, dass dies gerade solch ein Klischee ist und Talente schwierig zu finden sind, und ich möchte, dass wir Leute einstellen, die anders denken und anders aussehen und anders codieren, weil es das absolut Richtige für die Branche und das Richtige für das gesamte Ökosystem ist. Wissen Sie, die Sicherheit hat viele Berührungspunkte bei schutzbedürftigen Gemeinden, bei der Art und Weise, wie wir mit der Technologie interagieren, bei der Art und Weise, wie wir Probleme lösen und Unternehmen und Entitäten stärken. Wenn nicht hier, wo dann? Und so würde ich sagen, dass dies für uns alle ein Aufruf zum Handeln ist, den Arbeitsplatz integrativer zu gestalten und Ihre Entitäten zu stärken.

Clarke (25:02):
Merritt. Vielen Dank für Ihre Erkenntnisse und dass Sie heute dabei sind.