Die Entwicklung des Sicherheitsmanagements in der C-Suite

Clarke Rodgers (00:09):
Chris, vielen Dank, dass Sie heute hier sind.

Chris Rothe (00:11):
Sehr gerne, vielen Dank für die Einladung.

Clarke Rodgers (00:13):
Erzählen Sie mir doch zunächst etwas über sich und Ihre Rolle bei Red Canary.

Chris Rothe (00:17):
Ich bin CTO, Mitbegründer von Red Canary. Wir arbeiten im Bereich Detection Response. Vor der Gründung des Unternehmens habe ich in der Satellitendatenverarbeitung gearbeitet, was bedeutet, „viele Daten zu sammeln und interessante Algorithmen anzuwenden“. Und dann Analysten interessante Dinge präsentiert, um Entscheidungen zu treffen, was übrigens dem, was wir im Bereich Cybersicherheit tun, sehr ähnlich ist.

Clarke Rodgers (00:39):
Da Sie schon seit geraumer Zeit in der Cybersicherheitsbranche tätig sind, scherzen wir oft darüber, dass der CISO früher im Keller untergebracht war, jetzt aber in der Chefetage sitzt. Inwiefern konnten Sie diese Entwicklung beobachten?

Chris Rothe (00:49):
Das Wichtigste ist meiner Meinung nach, dass sich die Rolle von einer technischen zu einer viel stärker politischen Rolle entwickelt hat. Es ist wichtig, sich für Sicherheit im gesamten Unternehmen einzusetzen und Sicherheit in die Unternehmenskultur zu integrieren. Darüber hinaus ist es für Leute wie uns, die über SaaS-Plattformen verfügen, eine sehr kundenorientierte Rolle, denn wir müssen sicherstellen, dass Kunden darauf vertrauen, dass wir ihre Daten schützen.  

Clarke Rodgers (01:16):
Wenn Sie in Ihrer Rolle mit Kunden sprechen, wie artikulieren Sie den Geschäftswert von Sicherheit?

Chris Rothe (01:21):
Unterm Strich dreht sich beim Geschäftsrisiko alles um finanzielle Risiken. Das nimmt unterschiedliche Formen an, je nachdem, in welcher Branche man tätig ist. Wenn Sie im Finanzdienstleistungssektor tätig sind, geht es um Ihren Ruf und darum, dass die Leute Ihnen ihr Geld anvertrauen. In der Fertigung, im Gesundheitswesen oder in einem ähnlichen Bereich geht es um ein Betriebsrisiko. Man muss sicherstellen, dass die Maschinen funktionieren und die Menschen am Leben bleiben.

Und genau darum geht es, wenn man an den Punkt kommt, an dem man über Geld spricht und wie das Risiko pro Dollar reduziert werden kann – das sind die wirklich wichtigen Gespräche.

Manchmal ist es nicht das, worüber die Leute reden wollen. Sie wollen über die technischen Aspekte sprechen und darüber, wie ich ihnen helfen kann, die Anzahl der Sicherheitsvorfälle zu reduzieren. Und das ist auch großartig. Letztlich sind diese Dinge irgendwann alle auf Dollar und Cent zurückzuführen.

Clarke Rodgers (02:06):
Also, intern bei Red Canary, wie erhöht man die Effizienz des Sicherheitsteams und stellt sicher, dass sich der einzelne Entwickler um Sicherheit kümmert und in seinem Alltag über Sicherheit nachdenkt?

Chris Rothe (02:22):
Das ist extrem wichtig für uns. Als Sicherheitsfirma werden wir gewissermaßen an höheren Maßstäben gemessen. Daher ist es wichtig, dass sich jeder im Unternehmen um die Sicherheit unseres Unternehmens und der Geschäfte unserer Kunden kümmert. Einige der Dinge, die wir im Laufe der Jahre getan haben, um sicherzustellen, dass alle Rollen wissen, was zu tun ist; in unserem Softwareentwicklungszyklus haben wir Produktsicherheitsspezialisten, die Teil jedes Scrum-Teams sind. Sie sind Teil der Sprint-Planung, Teil der Vorabplanung. Es funktioniert nicht nach dem Motte: „Hey, wir stellen ein Design zusammen und fragen dann den Sicherheitsdienst, ob es in Ordnung ist.“ Sie sind am Prozess beteiligt. Das ist ein wirklich grundlegender Aspekt.

Zweitens muss man sicherstellen, dass Sicherheitsüberprüfungen und statische Analysen oder was auch immer wir sonst machen, an demselben Standort wie die Entwickler sind. Es ist in die CICD-Pipeline integriert. Ohne Zögern. Diese Dinge müssen nur fertig sein, bevor wir den Code zusammenführen. Entwickler erhalten es dann dort, wo sie sind, und es ist die meiste Zeit quasi kein Ereignis.

Clarke Rodgers (03:17):
Es ist kein Geheimnis, dass es schwierig ist, Sicherheitstalente zu finden. Man muss sie also entweder einstellen oder beibehalten oder schulen. Was sind einige der Strategien, die Sie bei Red Canary angewendet haben, um die Leistung Ihrer Sicherheitsexperten wirklich zu stärken?

Chris Rothe (03:31):
Wir möchten, dass Sicherheitsexperten in unserem Team nicht nur monotone, „undifferenzierte“ Schwerstarbeit leisten müssen, um einen AWS-Begriff zu verwenden.

Clarke Rodgers (03:40):
Gerne.

Chris Rothe (03:40):
Sie müssen das nicht länger als etwa 60 % ihres Tages tun. Wenn sie mehr als 60 % damit verbringen, ist das quasi die magische Schwelle, an der sie anfangen, sich aufgrund der monotonen Arbeit zu langweilen. Und so entwickeln wir Tools und Automatisierungen, die sie verwenden können. Wir tun dies, indem wir nach sich wiederholenden Mustern suchen und Tools entwickeln – ob ML, KI usw. – die diese undifferenzierte Schwerarbeit für sie erledigen, damit sie sich auf Dinge konzentrieren können, die interessanter sind.

Clarke Rodgers (04:09):
Sie haben Werkzeuge und Automatisierung erwähnt. Generative KI ist heutzutage der letzte Schrei, oder? Wie denken Sie als Sicherheitsexperte über den Umgang mit Risiken, die sich daraus ergeben, aber auch als Geschäftsinhaber über die Vorteile, die Ihnen das bringen kann? Könnten Sie darauf ein bisschen näher eingehen?

Chris Rothe (04:31):
Was das Risiko angeht, denke ich, dass wir unsere Reise wie folgt begonnen haben: „Stellen wir sicher, dass wir über die richtigen Schutzmaßnahmen verfügen, damit wir keine Inhalte verwenden, die von einer KI erstellt wurden, von der wir nicht wissen, wem sie gehören.“ Deshalb haben wir einige Leitplanken eingerichtet, um das zu handhaben.

Aber im Allgemeinen wollen wir, dass jeder im Red Canary-Team generative KI so einsetzt, dass es für seine Rolle sinnvoll ist. Egal, ob Sie ein Verkäufer sind und gerade ein gutes Gespräch mit einem Kunden hatten und eine Folge-E-Mail zusammenstellen müssen, wir können das beschleunigen und die Qualität der Kommunikation verbessern. Denn letztendlich ist das besser für den Kunden und besser für Sie, weil Sie fünf Minuten statt vielleicht einer Stunde gebraucht haben. So haben wir also sichergestellt, dass jeder es auf sichere Weise verwenden kann.

Aber ich denke, wir sind noch am Anfang, wenn es darum geht, zu lernen: „Was sind die Fallstricke?“ und „Was sind die damit verbundenen Herausforderungen, welche rechtlichen Fragen werden in den nächsten Jahren im Zusammenhang mit generativer KI auf uns zukommen?“ Was die Art und Weise angeht, wie wir KI speziell im Sicherheitsbereich einsetzen, ist die Idee des Copiloten eine, von der ich wirklich überzeugt bin.

Jahrelang haben wir unsere Sicherheitsplattform quasi als ... Das ist irgendwie eine dumme Analogie, aber so etwas wie der Mech-Kriegeranzug, wo wir einen relativ normalen Soldaten in diese verrückte Maschine mit Raketenwerfern stecken können und er kann plötzlich schneller rennen und höher springen usw. Und generative KI bietet uns einige großartige neue Tools, mit denen wir das noch weiter vorantreiben und herausfinden können, wie wir diesen Untersuchungsprozess schneller, vollständiger und genauer gestalten können, damit wir Bedrohungen letztendlich früher finden und stoppen können.

Das sind einige der Anwendungen, mit denen wir uns befassen. Die große Herausforderung im Bereich der Sicherheit besteht letztlich darin, dass wir nicht genug Leute haben. Deshalb ist die Arbeit, die AWS leistet, um die Plattform und die Dienste sicherer zu machen, Schritt für Schritt, so wichtig. Und außerhalb dieser Welt ist es wichtig, dass wir die relativ knappen Ressourcen, die wir in Bezug auf Sicherheitsexperten haben, nutzen und sie nicht aufgrund ihrer Arbeit ein Burnout erleiden. Wir müssen ihnen die Werkzeuge geben, mit denen sie Großartiges leisten können.

Clarke Rodgers (06:42):
In ähnlicher Weise sprechen Sie mit vielen Kunden, und viele dieser Kunden nutzen mehr als eine Cloud. Wie beraten Sie sie in Bezug auf die Sicherheitsaspekte und die Herausforderungen, die bei der Sicherung mehrerer Clouds auftreten können?

Chris Rothe (06:58):
Im Allgemeinen versuchen wir, diese Art von Agenda zu verfolgen: „Stellen wir sicher, dass Sie über dieselben Steuerelemente und dasselbe Verständnis von Daten und Zugriffen auf allen Plattformen verfügen, die Sie verwenden, sei es in der Cloud oder vor Ort.“ Das ist eine Art Grundschicht. Wir wollen einfach sicherstellen, dass wir wissen, wer Zugriff hat, worauf sie Zugriff haben und wie wir heruasfinden können, ob etwas Schlimmes passiert.

Clarke Rodgers (07:21):
Und ich kann mir vorstellen, dass ihre Sicherheitsergebnisse in Bezug auf das, was sie definieren, dieselben sein sollten?

Chris Rothe (07:25):
Auf jeden Fall. Und wenn Sie mit einer bestimmten Cloud-Plattform oder etwas anderem nicht zu diesem Ergebnis kommen, ist das vielleicht ein Punkt, an dem Sie Fragen stellen und überlegen sollten, ob es verwendet werden sollte oder nicht. Wenn Sicherheit nicht grundlegend ist und nicht so möglich ist, wie es für diese Art von grundlegenden Kontrollen sein sollte, warum ist sie dann in Ihrer Architektur enthalten?

Das sind schwierige Gespräche, weil die Leute viel in ihre Strategie im Zusammenhang mit Multi-Cloud investieren. Aber ich denke, letztlich stellt dies sicher, dass wir einfach verstehen, welche Kontrollen vorhanden sein müssen und wie wir letztendlich den Bösewicht finden werden. Wenn Sie das nicht beantworten können, müssen wir unsere Architektur oder Strategie überdenken.

Clarke Rodgers (08:07):
Das ist eine großartige Perspektive. Chris, vielen Dank, dass Sie sich heute Zeit für unser Gespräch genommen haben.

Chris Rothe (08:12):
Danke für die Einladung. Ich weiß es zu schätzen.