Out-of-the-Box-Interviews: Jason Garbis Zero Trust-Experte
Geoffrey Burke: Hallo Leute, wir haben heute bei uns. Zero Trust-Experte und Autor unzähliger Arbeiten zu ZTDR.
Willkommen Jason, erzähl uns ein wenig über dich.
Jason Garbis: Ich bin seit meiner gesamten Karriere in der Technologiebranche tätig, was mittlerweile fast 35 Jahre sind. Das macht mich extrem alt.
Ich habe als Software-Ingenieur angefangen und C- und C++-Code für verteilte Systeme geschrieben. In dieser Rolle habe ich nicht nur verstanden, wie Software-Systeme wirklich funktionieren, sondern auch, wie Unternehmensarchitekturen funktionieren. Nachdem ich das gemacht hatte, wechselte ich in eine Rolle im Bereich professionelle Dienstleistungen für einen Middleware-Anbieter. In dieser Rolle hatte ich die Möglichkeit, viele Unternehmen zu besuchen und mit ihnen zu arbeiten, die die Middleware dieses Anbieters verwendeten, um groß angelegte verteilte Systeme zu erstellen. Das hat mich wiederum mit dem 360°-Bild der Unternehmensherausforderungen vertraut gemacht.
Vor etwa 15 Jahren begann ich, mich mit der Sicherheitswelt zu beschäftigen, insbesondere im Bereich Identitätsmanagement: Identität, Governance und Lebenszyklusmanagement. Von dort wechselte ich in das, was wir heute Zero Trust-Netzwerkzugang nennen, und arbeitete für einen Anbieter in diesem Bereich. Ich leitete dort das Produktmanagement-Team, übernahm aber auch eine Führungsrolle bei der Cloud Security Alliance als Teil der Arbeitsgruppe für softwaredefinierte Perimeter zu dieser Zeit.
Heute leite ich diese Gruppe, und wir haben sie umgestaltet und ihren Umfang erweitert, um uns auf Zero Trust zu konzentrieren. In diesen Rollen arbeite ich viel mit Unternehmen und mit vielen Menschen in verschiedenen Positionen, wie dem Sicherheitsteam, dem IT-Team und jetzt, in den letzten paar Jahren, mit den Leuten hier bei Object First, dem Team für Datenschutz, Backup und Wiederherstellung.
Lass uns über Zero Trust sprechen
Geoffrey Burke: Wo hast du zum ersten Mal von Zero Trust gehört? War es mehr aus einer Netzwerkperspektive?
Jason Garbis: Ich denke, es war um 2015. Ich arbeitete für ein Identitätsmanagement-Unternehmen, das 2013 von RSA übernommen wurde. Das war direkt nach oder kurz danach, als das erste Zero-Trust-Papier von John Kinderrock bei Forester veröffentlicht wurde. Das war 2010, also hatte ich ein gewisses Bewusstsein dafür. Dann verließ ich RSA und trat einem Unternehmen bei, das heute eine Zero-Trust-Netzwerkzugangslösung einführt.
In diesem Bereich wurde ich mit dem Konzept des Zero Trust vertraut und erkannte, dass dies wirklich interessant ist. Es nimmt all die Dinge, die ich im Bereich Identitätsmanagement, Identitätsgovernance und Best Practices gemacht habe, und wendet sie auf einer echten Netzwerkebene an.
Im Bereich Identitätsmanagement muss man sicherstellen, dass man versteht, wer auf was zugreifen sollte. Identitätsgovernance betrachtet die Dinge aus einer geschäftlichen Prozessperspektive und stellt sicher, dass die Menschen in den richtigen Gruppen sind und die Trennung der Aufgaben durchgesetzt wird. Es gab jedoch nie eine strenge Durchsetzung.
Dann sind wir in die Zero-Trust-Welt eingetreten und haben erkannt, dass man dies auch auf der Netzwerkebene durchsetzen muss, da es so viele Schwachstellen und so viel in der Angriffsfläche gibt, die ausgenutzt werden können, dass man diese identitätsbewussten und kontextbewussten Richtlinien auf Prozessebene, Identitätsebene, Anwendungsebene und Netzwerkebene durchsetzen muss.
Geoffrey Burke: Ransomware muss den Bedarf an Zero Trust in der Branche erheblich erhöht haben. Eines der Hauptprinzipien von Zero Trust ist die Annahme eines Verstoßes. Glaubst du, dass IT-Profis dieses Konzept akzeptiert haben?
Jason Garbis: Ja, das hat es. Ich denke, wir können alle die Verbreitung, den Schaden und die Häufigkeit dieser großen Ransomware-Angriffe betrachten und verstehen, wie herausfordernd unsere Bedrohungslandschaft ist. Die Prämisse, einen Verstoß anzunehmen, das Netzwerk zu segmentieren und das Prinzip des geringsten Privilegs durchzusetzen, ist ein großartiges Gegenmittel gegen Ransomware und stellt sicher, dass man es Angreifern schwerer macht, irgendetwas zu tun.
Annahme eines Verstoßes
Geoffrey Burke: Eine der Herausforderungen mit Zero Trust und der Idee der Annahme eines Verstoßes ist, dass man im Wesentlichen sagt, dass dein System vor der Tatsache bereits kompromittiert wurde. Einige Manager mögen diese pessimistische Sichtweise nicht.
Jason Garbis: Du sprichst einen interessanten Punkt an, und das ist einer der Gründe, warum wir Zero Trust brauchen. Wenn man mit den Netzwerkteams von Unternehmen spricht und hört, was sie tun mussten, war es sehr schwierig, weil sie nicht die Sicherheitstools oder das Vokabular hatten, um echte Zugriffsrichtlinien durchzusetzen. Die Netzwerkteams mussten ihren Fokus ändern. Ihre Ziele in der Vergangenheit waren hauptsächlich, zuverlässige, schnelle, resiliente Netzwerke aufzubauen, aber sie hatten nicht die Möglichkeit, die Sicherheit durchzusetzen, an die das Netzwerk gebunden ist. Dinge wie Identität und Kontext. Früher war es so, als wüssten wir nichts über die Anwendung. Wir wissen nichts über den Benutzer, und wenn unser Benutzer böswillig ist, rate mal? Ihre böswilligen Pakete werden genauso zuverlässig und schnell ankommen wie die von allen anderen.
Zero Trust gibt dir jetzt die Möglichkeit, dich davon zu entfernen und zu sagen, dass wir wissen, welche Identität auf diesem Gerät ist, und wir werden diese Pakete basierend auf Richtlinien entweder zulassen oder ablehnen.
Geoffrey Burke: Ist es wahr, dass heute die Teams für Datenschutz und Sicherheit mehr denn je zusammenarbeiten müssen, aufgrund der Vielzahl von Bedrohungen?
Jason Garbis: Ja, absolut. Du hast einen wichtigen Punkt angesprochen: die Notwendigkeit, dass Sicherheitsteams und Teams für Datenbackup und -wiederherstellung zusammenarbeiten und erkennen, dass alles, was wir in unserem Unternehmen tun, jetzt digitalisiert ist. Alles läuft darauf, und daher ist alles ein Ziel und muss gesichert werden. Es ist nicht richtig, das Daten-, Backup- und Wiederherstellungssystem wie eine andere Anwendung zu behandeln, denn das ist es nicht. Es ist ein riesiges Ziel für die Angreifer. Es ist auch ein Notfallfallschirm.
Wenn du angegriffen wirst und all dieses Geld in Backup-Wiederherstellungssysteme investiert hast, möchtest du sicherstellen, dass sie im Notfall weiterhin verfügbar sind und dass die Backups regelmäßig durch DR-Tests als wiederherstellbar validiert wurden.
Nutzung von Zero Trust-Strategien
Geoffrey Burke: Welche Strategien würdest du Menschen empfehlen, die versuchen, das oben Genannte zu erreichen?
Jason Garbis: Das ist ein ganzes einstündiges Gespräch. Ich habe einige wirklich schlechte Situationen gesehen, in denen man Widerstand von den nicht-sicherheitsrelevanten Personen im Unternehmen erhält. Es gibt viele schlechte Wege, Dinge zu tun, aber es gibt auch viele gute Wege, Dinge zu tun. Es gibt ein klares Gleichgewicht zwischen Karotte und Stock, wenn es darum geht, Menschen zu motivieren oder zu zwingen, diesen Verfahren zu folgen.
Wir wissen, dass es nicht der beste Weg ist, als Sicherheitsteam hinauszugehen und metaphorisch die Leute mit einem Stock zu schlagen und zu sagen: "Nein, du musst das tun", aber manchmal muss man Elemente davon haben.
Wir schauen uns an, was unsere Unternehmen heute tun. Ich glaube nicht, dass jemand den Sieg beanspruchen wird und sagt, dass wir großartig sind. Wir befinden uns in einer gegnerischen Umgebung. Wir als Gesellschaft haben so viele technische Dinge gemeistert, wie Elektrotechnik, Transport, Kommunikation und Medizin.
In all diesen Bereichen haben wir phänomenale Fortschritte gemacht, dennoch sind wir objektiv im Bereich Sicherheit wirklich schlecht.
Wir haben Gegner, die ebenso innovativ, gut finanziert und böswillig sind und mit unseren Investitionen in Gegenmaßnahmen Schritt halten. Daher müssen die Sicherheitsteams erkennen, dass sie die Verantwortung haben, die Sicherheit ihres Unternehmens zu verbessern, und die Menschen müssen Veränderungen akzeptieren.
Wir müssen als Branche wachsen, und die Sicherheitsteams müssen erkennen, dass man die Grundlagen einfach richtig machen muss. Man kann keine Server oder Dienste in deinem Netzwerk bereitstellen, von denen du nicht weißt, dass sie nicht richtig klassifiziert sind.
Das ist einfach nicht akzeptabel.
Ebenso können Benutzer nicht einfach zufällige Geräte mit dem Netzwerk verbinden und auf Dinge zugreifen. Die gute Nachricht ist, dass wir mit dem modernen Set von sicherheitsrelevanten Technologien die Benutzererfahrung und die Sicherheit verbessern können. Wir können biometrische Authentifizierung, passwortlose Authentifizierung und andere Maßnahmen einführen. Eine Zero-Trust-Initiative kann dem Unternehmen auf viele Arten Wert bieten, und der richtige Ansatz ist, ein wenig Stock und viel Karotte zu verwenden.
Geoffrey Burke: Wir besitzen nicht unbedingt alles in unseren Umgebungen. Nehmen wir die Lieferkette als Beispiel. Nimmt die IT-Branche dies ernst und kann die Prinzipien von Zero Trust an solchen Orten anwenden?
Jason Garbis: Ja, und es gibt eine bedeutende Initiative, insbesondere in der Regierung, rund um S-Bomben, Software-Bill-of-Materials und das Verständnis, woher das kommt. Wenn du einige der NSA-Richtlinien zu Zero Trust bezüglich Geräten liest, gehen sie, wie du dir vorstellen kannst, tief in dieses Thema hinein.
- Fragen wie: Woher kommt diese Hardware?
- Wie weißt du, dass diese Hardware nicht manipuliert wurde?
- Hast du böswillige Komponenten eingebettet?
Nehmen wir zum Beispiel, was kürzlich passiert ist. Glücklicherweise wurde eine Open-Source-Bibliothek mit bösartigem Code eingebettet, bevor sie veröffentlicht wurde. Wenn ich ein böswilliger Akteur wäre, würde ich einen wirklich interessanten Weg verfolgen: mich in ein Open-Source-Projekt einbringen, ein paar Jahre mitarbeiten und dann bösartigen Code in das Projekt einfügen.
Ich möchte den letzten Punkt dort abschließen, du weißt schon, die angenommene Verletzung, die ich hier für offensichtlich halte. Du wirst nicht in der Lage sein, jedes einzelne Stück Open-Source-Code, das in deiner Umgebung ist, zu validieren. Es gibt ein gewisses Maß an Vertrauen, das du in die Community haben musst, und klar solltest du dies für das Scannen des Quellcodes deiner benutzerdefinierten Apps tun, du weißt schon, dynamisch und statisch und solche Dinge, aber.
Du möchtest auch einen Punkt erreichen, an dem es keinen Tag zwischen dem gibt, was du von einer Anwendung oder einem System im Netzwerk erwartest und dem, was es tatsächlich tut.
Geoffrey Burke: Das ist ein guter Punkt. Ich wollte dich auch nach der Zukunft fragen, denn ich war im April auf der Winnipeg Security Conference, und ihr großer Gastredner war Mike Rogers, Admiral Mike Rogers, ehemaliger Leiter der Was macht dir am meisten Angst? Was hält dich nachts wach? Er überraschte mich, als er sagte, dass es in den nächsten drei Jahren eine Kombination aus KI und Quantencomputing sein wird. Du weißt, ich dachte an 10-15 Jahre.
Jason Garbis: Ich fange mit dem einfachen an: Ich mache mir im Moment nicht allzu viele Sorgen um Quanten. Während es offensichtlich eine Reihe von Anbietern und Forschern gibt, die sehr daran interessiert sind, investieren sie derzeit nicht in Quanten oder kryptografische Agilität. Sie möchten sich dessen bewusst sein, aber sie sind nicht bereit. Wenn die Zeit kommt, können sie sich auf ihre Bibliotheken oder Anbieter verlassen, um quantensichere Algorithmen zu aktualisieren.
Ich arbeite nicht in der Geheimdienstgemeinschaft, sondern im kommerziellen Privatsektor und sogar für nicht-DOD-Bundesbehörden. Wir erkennen, dass dies kommt, aber sie tun nicht proaktiv Dinge wie den Wechsel zu anderen Algorithmen. Daher mache ich mir darüber nicht allzu viele Sorgen. Es wird kommen, und es wird eine Menge Arbeit geben. Es wird, du weißt schon, wie das Y2K-Problem mal zehn sein.
Das ist ein großartiges Beispiel dafür, wann die Branche viel Arbeit investiert hat, und es wurde zu einem Nicht-Thema, als der Jahrtausendwechsel kam, aufgrund all der Investitionen und Arbeiten. Ich denke, wir werden dasselbe mit Quantencomputing sehen.
KI, glaube ich, ist ein viel größeres Problem. Es ist nicht so sehr aus einer direkten Sicherheitsangle, weil KI nicht kreativ ist. Es wird keinen brandneuen Weg schaffen, um anzugreifen, aber es wird dir ermöglichen, die aktuelle Reihe von Angriffsmethoden um 100, 1000 oder 1.000.000 zu verstärken. Organisationen müssen darauf vorbereitet sein, aber ich würde sagen, das schwierigere Problem kommt von Deepfakes und der Unfähigkeit, eine Interaktion mit jemandem oder etwas zu unterscheiden.
Wir haben das alle als echt versus falsch gesehen, wo du KI-generierte Entitäten in einem Zoom-Anruf wie diesem hast. Ich meine, wie weißt du, dass ich echt bin und nicht KI-generiert?
Die Zukunft von Zero Trust
Geoffrey Burke: Siehst du, dass sich Zero Trust weiterentwickelt? Was siehst du in Zukunft in dieser Hinsicht?
Jason Garbis: Es gibt hier einige Perspektiven. Offensichtlich muss ein KI-System auf die richtige Weise geschützt werden, genau wie jede wertvolle Anwendung, die du auf deine Vertrauensprinzipien anwenden möchtest.
Das Konzept des Kontexts hat es nicht in irgendeine Anwendung geschafft, geschweige denn in KI-Anwendungen, sodass wir nicht sagen können, dass wir zum KI-Modell gehen und es dir potenziell unterschiedliche Informationen basierend auf Attributen über dich zurückgeben wird. Wir sind in der Branche noch nicht an diesem Punkt.
Ich denke, dass es im Allgemeinen einen Bedarf dafür gibt, nämlich die Fähigkeit für jede Anwendung, ob KI oder eine Standardanwendung, sich des Zero-Trust-Kontexts bewusst zu sein und diesen zu konsumieren und Entscheidungen basierend darauf zu treffen.
Ein wirklich einfaches Beispiel ist der geografische Standort. Wir haben eine Anwendung, die Daten enthält. Du kannst darauf zugreifen, je nachdem, wo du bist, basierend auf Datenschutz- oder Datenschutzbestimmungen. Es ist eine wirklich grundlegende Art von Sache, aber es ist schwieriger, als du denkst, sicherzustellen, dass wir weiterhin produktiv sein können, da es auf ordnungsgemäßen Daten oder Metadaten beruht.
Geoffrey Burke: Angenommen, ich bin ganz neu in Zero Trust. Ich sehe, dass Veeam und Numberline diese neue Zero-Trust-Datenresilienz Praxis entwickelt haben.
Wie kam es dazu? Was ist ZTDR in Kürze? Wie wenden wir es an?
Jason Garbis: Wir haben den Stand der Branche betrachtet, insbesondere das Zero-Trust-Reifegradmodell. Ich habe die Säulen erwähnt, die es abdeckt, einschließlich Identität, Geräte, Netzwerke, Anwendungs-Workloads und Daten. Es gibt jedoch Lücken in Bereichen, in denen dieses Modell schweigt. Insbesondere wird nichts über Datenbackup und -wiederherstellung erwähnt. Wir wollten einige Leitlinien und Gedankenführung zu diesem Thema bieten. Wie sollten die Menschen die Prinzipien von Zero Trust auf die Bereiche Daten, Backup und Wiederherstellung anwenden? Wir haben dieses Konzept namens Zero-Trust-Datenresilienz erstellt.
Wir erweitern das Zero Trust-Modell und bieten Konzepte und einen Reifegradweg innerhalb dieses Bereichs an.
Zero-Trust-Datenresilienz basiert auf drei Hauptkonzepten:
- Erstens, folge dem Zero Trust-Prinzip der Segmentierung und Trennung: Du musst deine Backup-Software von deinem Backup-Speicher trennen. Sie müssen geografisch isoliert sein und unterschiedliche Kontrollpunkte haben. Im Modell der angenommenen Verletzung, wenn eines dieser Komponenten verletzt wird, möchtest du sicherstellen, dass das andere nicht verletzt wird.
- Das zweite Prinzip ist die Ermöglichung mehrerer resilienter Zonen. Wir sind alle mit dem 3-2-1-Konzept vertraut, und dies erweitert das, indem es sagt, dass du sicherstellen musst, dass diese Backups an geografisch verteilten Orten sind.
- Dann ist der dritte Punkt die Unveränderlichkeit. Die Backup-Daten müssen unveränderlich sein und von der richtigen Plattform unterstützt werden, sodass du selbst im Falle eines Verstoßes durch jemanden, der diese Backup-Daten löschen kann, geschützt bist. Das sind die drei Kernkonzepte, und dann formalisieren wir dies ein wenig, indem wir einige zusätzliche Fähigkeiten definieren.
Zum Beispiel, wie dein Backup- und Wiederherstellungssystem auf die Datenquellen zugreift, die das Unternehmen sichern, sicherstellen, dass Produktionssysteme überwacht werden, und das Überwachungssystem muss ebenfalls durch Zero-Trust-Richtlinien geschützt werden. Ebenso muss der Zugriff auf den Backup-Speicher, sowohl Lesen als auch Schreiben, durch Zero-Trust-Richtlinien geschützt werden, sodass nur die richtigen Entitäten (die Backup-Software) lesen und schreiben können.
Der Zugriff auf die Backup-Administration, wie bei jedem privilegierten System, muss sorgfältig kontrolliert und eine starke Authentifizierung angewendet werden.
Du stellst sicher, dass selbst wenn deine leitende Person, du weißt schon, im Urlaub oder abwesend ist, jemand weiß, wie man das Runbook erfolgreich befolgt. Diese Arten von Dingen bilden das gesamte Konzept der Zero-Trust-Datenresilienz. Wir haben dies der Branche zur Verfügung gestellt, und es bietet eine Roadmap, um dies zu tun. Es ermöglicht auch den Backup- und Wiederherstellungsteams, informierte Gespräche mit dem Sicherheitsteam über die Hinzufügung von Datenschutz zu den gesamten Zero Trust-Initiativen zu führen.
Was kommt als Nächstes?
Geoffrey Burke: Als letzte Frage, was sind deine Pläne für die Zukunft? Siehst du dich, wie du ein weiteres Buch schreibst. Du hast bereits zwei Bücher über Zero Trust geschrieben, oder?
Jason Garbis: Ja, das tue ich. Ich verbringe viel Zeit damit, mit Unternehmen an ihrer Zero-Trust-Strategie und -Architektur zu arbeiten. Das macht mir wirklich Spaß. Ich habe aus jedem Engagement etwas gelernt, und während ich das tue, verfeinere ich kontinuierlich das Modell, den Ansatz und die Methodik darum. Das ist etwas, das ich weiterhin tun möchte, Unternehmen zu helfen und dieses Modell zu perfektionieren und zu verbessern. Das ist etwas, das reifer wird, und ich werde es mit der breiten Öffentlichkeit teilen.
Ich bin in den frühen Phasen des Nachdenkens darüber, wie eine zweite Auflage des Buches aussehen würde, mit einem erweiterten Umfang und einem echten Schwerpunkt darauf. Praktische Leitlinien zu geben, wie man dieses Reifegradmodell anwendet. Wie erstellt man eine Roadmap? Wie ordnet man die Fähigkeiten in deiner Plattform dem ultimativen Ziel zu? Was ist die Definition und Durchsetzung dieser Zugriffsrichtlinien?
Geoffrey Burke: Wie bleibst du im Geschehen, während du auch als Pädagoge arbeitest? Es gibt immer ein Dilemma: Wenn du Lehrer wirst, wirst du mehr zu einem Theoretiker. Du bist nicht vor Ort und kämpfst, also beginnst du, eine Art Trennung zu fühlen. Bist du immer noch auf der Arbeitsebene, wie auf der Grabenebene von Zero Trust, neben dem Schreiben der Bücher?
Jason Garbis: Ja, und es gibt keinen Ersatz für die wirklich harte Arbeit, vor Ort bei einem Kunden und Unternehmen zu sein, einen zweitägigen Workshop durchzuführen und Dutzende von Menschen zu interviewen, um zu verstehen.
- Wie machen sie Identitätsmanagement?
- Wie verwalten sie ihre Netzwerke?
- Wie sieht ihre Daten- oder Datensicherheitsstrategie aus?
Es ist harte Arbeit, aber es ist auch belebend, darüber zu lernen, denn wie gesagt, ich habe aus jedem einzelnen dieser Fälle etwas gelernt. Ich teile das und reflektiere darüber mit jedem Unternehmen, mit dem ich in Zukunft arbeite.