与网络安全专家塞巴斯蒂安-古德温讨论Splashtop的安全顾问委员会、网络风险和对软件生产的反思
作者:Splashtop 首席执行官兼联合创始人 Mark Lee
Splashtop 近日公开了其安全咨询委员会的新成员:Sebastian Goodwin,这一消息于2020年12月宣布。Sebastian 是网络安全研究员、主旨发言人、企业顾问、加州大学伯克利分校信息学院(UC Berkeley’s School of Information)的兼职教授和 Nutanix 的首席信息安全官(CISO)。在帮助“世界2000强”企业管理大范围网络风险方面,Sebastian 有超过20年经验。
Sebastian 在与 Splashtop 首席执行官 Mark Lee 的讨论中,介绍了自己加入 Splashtop 安全咨询委员会及热衷于安全问题的原因,说明了在勒索软件攻击等网络安全威胁不断增加的背景下他对安全形势的看法。
马克-李: 塞巴斯蒂安,我们很高兴你成为我们安全顾问委员会的一员。 我相信你是通过我们的一个投资者第一次发现Splashtop的,对吗?
Sebastian Goodwin:是的,没错。那位投资人了解我的经历,也知道 Splashtop 正在招聘安全顾问,所以我加入 Splashtop 委员会恰逢其时。
Mark: 你在网络安全方面有巨大的专业经验,你目前在Nutanix担任首席信息官,在谷歌云首要合作伙伴和解决方案供应商SADA担任董事会成员,以及你过去在Palo Alto Networks、Robert Half、PeopleSoft和IBM等公司担任与安全有关的领导职务。 你对公司如何应对网络风险有一个鸟瞰图。 总的来说,你认为现在的组织在安全方面的表现如何?
Sebastian:当今企业面临的网络安全风险前所未有。正如最近的新闻报道所强调的那样,勒索软件是个巨大的威胁。攻击者已经意识到,可以通过攻击在不同行业和市场中广泛使用的软件来扩大受影响范围。企业需要反思:为更好地维护安全、保持客户信任,企业要如何生产软件?
马克: ,你能多说说公司需要 "重新思考 "如何生产软件吗?
Sebastian:当然可以。企业需要反思的是如何在安全性和业务灵活性之间找到正确的平衡点。如果将大量投资用于向客户快速交付新产品和新功能,则会减少对安全性的投资。但对安全性的投资不仅耗费时间,并且会降低灵活性和竞争力。
关键是要在这两者之间找到平衡点,既能提供客户所需的更为完善的产品和功能,同时也可以确保软件产品的安全性。
Mark: 客户已经开始期待他们能快速获得最新和最伟大的功能,但他们可能没有意识到使用未经彻底审查的软件的风险。 你认为这种情况会改变吗?
Sebastian:网络风险意识将发生更大转变,这种变化只是其中一部分。显然,不论公司还是个人,只要亲身经历过网络攻击,就会明白良好网络安全实践的重要性,即使意识到这一点时攻击的影响已无法避免。还没经历过网络攻击的个人或公司可以分为这两类:要么积极主动保护自己和公司,要么沦为易受攻击的目标。一次攻击就可能让公司业务付之一炬。
Mark: 像我们这样的软件公司可以做哪些事情来帮助保护我们的客户不成为网络安全的受害者?
Sebastian:首先要足够重视安全性,设计默认安全的软件产品。例如,将双因素身份验证设为通过公共网络对服务进行身份验证的默认方法。
采取零信任原则,该原则即不信任所有人或设备。假设所有安全防御最终都会被攻破,然后努力限制“爆炸半径”(安全行业术语,用于描述假定攻击的波及范围)。例如,如果网络用户设备遭到恶意软件攻击,则通过限制“爆炸半径”,可以确保该恶意软件不能扩散到其他用户,也不能感染同一网络的任何其他设备。
马克: 你致力于教导公司如何改善他们的网络安全实践。 你能谈一谈你工作的这一方面吗?
Sebastian:我认为,企业能够有效衡量和管理网络风险至关重要,这样企业才能积极保护自身的业务。我为企业提供帮助,一种方式是作为独立的网络安全发言人、担任 CEO 和董事会的顾问。我在 Splashtop 安全顾问委员会任职即是这种方式。另一种方式是,在加州大学伯克利分校开设研究生课程,帮助未来的技术和商业领袖更加善于从高管和董事会层面评估和管理网络风险。
马克: 你显然对管理网络风险充满热情。 这种激情从何而来?
Sebastian:从记事起,我就对计算机很感兴趣。在2400波特调制解调器时代,在那个万维网刚刚诞生的时代,我年纪还很小,那时我就开始自学编程。我一直对黑客以及其涉及的创造力和技能非常着迷。试想,你必须首先深入了解某个系统的运作方式,然后设法让该系统运行最初设计时不具备的功能。
这是个非常令人着迷的难题,也是个挑战。讲个有趣的小插曲:高中时我差点被开除,就因为我能绕过计算机系新部署的全盘加密软件。当时,一位老师偶然间向“任何能破解这个坚不可摧的加密软件的学生”发出挑战。多亏了这个挑战,我才没被开除。
马克: ,我们很高兴你决定继续努力防止攻击,而不是加入有害黑客的黑暗面!
Sebastian:我也很庆幸!但我认为了解黑客的技能水平非常重要。我为团队招聘安全人员时,需要确保他们了解整个技术堆栈。刚毕业的大学生即便擅长写代码,也要经过大量培训,才能了解自己正在开发的软件被绕过的所有方式。这一挑战永无止境,但也令人无限着迷。
马克: ,非常感谢这次谈话,塞巴斯蒂安。 并感谢您加入我们的安全顾问委员会,帮助Splashtop ,不断提高我们所提供产品的安全性。
Sebastian:我很欣赏 Splashtop 的安全态度。就像我现在的公司 Nutanix 一样,Splashtop 坚持展望未来,积极应对安全风险。这才是唯一值得信赖的重要基础,能够为客户提供更加安全的解决方案。
