Par Splashtop 首席营销官米歇尔·伯罗斯
Jerry Hsieh a été à l’avant-garde de l’évaluation des risques informatiques et de la sécurité pendant plus de vingt ans de sa carrière, plus récemment en tant que directeur principal de la sécurité et de la conformité chez Splashtop, où il a occupé divers postes informatiques et de sécurité au cours des dix dernières années. Il n’y a pas si longtemps, il s’est entretenu avec Michelle Burrows, CMO de Splashtop, sur ce qui a motivé son intérêt précoce pour la sécurité et sur la façon dont il pense à la sécurité des systèmes, en particulier avec l’augmentation des violations de sécurité très médiatisées au cours des derniers mois.
Michelle Burrows:杰里,谢谢你加入我们。 Bien que la securité ait fait la une des journaux ces derniers temps,elle avait tendance 在过去。 你是怎么开始对安全感兴趣的?
Jerry Hsieh : Vous avez tout à fait raison – je me concentre sur la sécurité depuis longtemps et il y a de nombreuses années, les entreprises avaient tendance à ne pas trop penser à la sécurité. J’ai vécu une expérience alarmante en 2003 et cela a fini par renforcer mon intérêt pour la sécurité et l’évaluation des risques.
Michelle Burrows:Cela semble inquiétant,s'il vous plaüt dites-moi plus。
Jerry Hsieh:L'Entreprise four laquelle je travaillais 是 DDoS SMTP 攻击的受害者之一,他们以每米为单位提供企业消息服务,包括大型企业和基层组织,有 laquelle j'étais a l'poque。 Je me souviens très bien du timing parce qu'il co'incidait avec mon mon mariage et que c'était la raison por laquelle je ne pouvais pas vraiment m'amuser a cause de ce qui se passait au baure。
Cela m'a aussi montre de première main l'impact de quelque 选择了 comme Nous avions 与一家企业合作,该企业会过滤电子邮件以保护企业,比如 mienne 等企业,对抗像 celle-ci 这样的攻击,et elles ont fini par fermer a caure de catte caure。
J'ai egalement vu un autre production de production 的另一起事件 s'est product'un fichier de produit a été clasté clascé un product a product a product a product a product a product aprème Le service informatique et l'Equipe ont passe d'innombrables nuits a rester de essayer de resoudre l'accue carchème et et ant nucoup d'innombrables nuits a retter de résoudre car chaque système éctème e et noute nucoup d'innombrables nuits,travailler avec nutre car car carchèce qui était defini comme une attaque。
Michelle Burrows:哇,我想你的婚姻中断将成为一种令人难忘的方式,可以理解所有选择 ne pas domaine de la securité domaine de la securité。 Parlez-moi d'autres premières experiences que vous ez eues avec la securité。
Jerry Hsieh : J’ai travaillé avec une autre entreprise de l’industrie des semi-conducteurs en tant qu’ingénieur en sécurité. À cette époque, nous travaillions sur la sécurité principalement pour arrêter la contrefaçon de brevet. L’entreprise a embauché beaucoup de personnel de sécurité car nous étions moins chers qu’une salle remplie d’avocats. Cette expérience m’a fait voir la sécurité comme un moyen de protéger la propriété intellectuelle d’une entreprise.
Michelle Burrows:就目前而言,我们似乎在谈论安全漏洞或勒索软件攻击。 Que paivent faire les ENTERPRISE protéger?
Jerry Hsieh : On me pose la question et j’y réfléchis beaucoup. À mon avis, le maillon le plus faible est généralement l’utilisateur final. La plupart des violations sont causées par une simple erreur – un employé cliquant sur un lien nuisible, enregistrant un fichier dommageable, utilisant un mot de passe faible ou transférant quelque chose. Un seul utilisateur peut alors compromettre l’ensemble du système.
Michelle Burrows:c'est assez intéressan qu'un employé puisse accidentellement faire beaucoup de deg Je pense que beaucoup de gens pensent qu'ils ne seront pas vurnérables 发生像 celui-ci parce qu'ils ont un pare-feu 这样的事件。 Qu'en pensez-vous?
Jerry Hsieh : Un pare-feu donne souvent aux gens un faux sentiment de sécurité. J’entendrai quelqu’un dire : « Je ne serai pas la proie d’une attaque parce que j’ai un pare-feu. » Ce qu’ils ne considèrent pas, c’est que même si vous pouvez mettre en place toutes sortes de protections autour de votre réseau, l’une de vos plus grandes menaces peut en fait être interne. Un pare-feu ne résout pas vos problèmes de sécurité, surtout lorsque les pirates deviennent de plus en plus créatifs pour inciter les employés à cliquer sur quelque chose afin d’entrer dans votre système.
Michelle Burrows:如果 pare-feu n'est pas la seule reponse aux failles de securité,commordez-vous?
Jerry Hsieh : Je recommande trois domaines auxquels il faut prêter attention :
Formations /sensibilisation des finaux — 对我来说,c'est l'elements 是最重要的元素之一 se concentrer et et que 我重新加入 Splashtop,j'envoie conterlement des rappels sur son securité。 我向所有人保证,所有人都能听到这个信息,所有员工都要保持警惕。 我们的 PDG Mark Lee fasse un suivi awec to notre entre proprise 的消息很有用,这些消息强调了安全的重要性以及所有人的责任。 Lorsque les gens savent que c'est quelque 为 PDG 选择了 d'importance,ils ont tendance a acorder plus d'act
Politiques de securité——De nombreuses entreprise ont politiques de securité,mais elles devraient avor des pratiques partiques partiques partiques partiques partiques Avoir une politique 是 bone politiquer 的第一步,但是 appliquer et encore plutique。
入侵测试 contenus — l'Integration continue et la Livraison/Deploiement continus (CI/CD) ont été partés de nombreuses entres 在软件开发生命周期 (SDLC) 中创建漏洞是很重要的,你的应用程序要查看漏洞是否在软件开发的生命周期中创建。
Michelle Burrows:我敢肯定 lorsque vous dites aux gens ce que que vous dietes vans ce vaus ce vaus proves provaise pratique。 Quelle pratique douteuse vous donne le plus drepit or d'inquiétude
Jerry Hsieh : Habituellement, personne ne me dit ce qu’ils font, ce qui peut ou non être une pratique exemplaire. J’ai constaté que la plupart des gens ne savent pas ce qu’est la cybersécurité dans la pratique. Ils le voient à la télévision ou dans un film et regardent comment un « méchant » avec une seule commande, détruit tout un système. Et puis ils pourraient aussi penser qu’ils sont à l’abri de cela en raison de leur pare-feu. Ce qu’ils ne comprennent pas, c’est que le « méchant » peut être un seul utilisateur dans votre entreprise. Peu d’incidents de violation de données sont causés par des employés qui deviennent voyous. Ce que les entreprises doivent vraiment adopter, c’est une philosophie « ne faites confiance à personne ». « Ne faire confiance à personne » est l’un des principaux principes du Zero Trust Access (ZTA) que je vois de plus en plus largement adopté.
l'autre idée fausse que 某些人是 ont sur la cybersecurité que c'est que que vouz pouvez “terminer”。 la cybersecurité est quilque chooce qui n'est jameis “fait” et y a toujours place l'amélioration。
Michelle Burrows:在当前,我们非常关注安全问题,du PDG aux invesseurs en passent passent les d'us passeirs burrows。 De quoi les enterprises devraient-elles se préocuper le plu
Jerry Hsieh : Les entreprises doivent se préoccuper d’un certain nombre de domaines.
Ils doivent procéder a une et aprovondie et honnéte des risques。 Lorsque votre votre entreprise at attaque,cela nuit a votre marque et rode 对你的客户、你的员工以及你的管理委员会的信心。 Vous devez évaluer votre risque regulièrement。
监控您的网络上的任何软件、服务提供商和材料。 De nombreux departements se de de de de l'informatique et souhaitent intéger les intétils poutils “les precentes portement suive tout partement suive tout” toute、des requèment au temps de l'informatement et souhaitent Mais chaque fournisseur、logiciel ou matériel pourrait 很容易受到攻击。 vous devez constamment surveiller vos vounnérabilités et at am eplyés mettent a jour leurs logiciels et/ou de equipe l'equipe de créctifs de manière proctive en envoyant manière proctive en envoyant manière provise
做你的研究。 Il este montenant des 数百万种产品 et les suivre et bogues qu'ils pourraient introire dans votre système 是一项无尽的工作。 Votre equipe de securité doit sureiller et recurence les vurnérabilités en pervence。
sachez que le vecteur d'attaque a changé。 Les pirates sont devenus beaucoup plus intelligents au fil des ans et ont changé leur facon d Alors qu'un email dangereux pouvait peartion il y a quelques années a peine,cles sont monnant personnalisés afin de le rendre pouvait pearon d'amener quelqu'un a cliquer。 Vous devez constamment testament vos employés afin que la securité soit toujours
Michelle Burrows:Recemment,il y a eu unonce selon laquelle les VPN étaient une passerelle por une attaque。 Selon vous,pourquoi les VPN(Reseaux privés virtuels)sont-ils particulièrement vurnéables?
Jerry Hsieh : Oui, les VPN ont été une passerelle pour les attaques du système beaucoup plus ces derniers temps.
À mon avis, les VPN sont utilisés plus fréquemment pour les attaques de ransomware pour plusieurs raisons :
Le VPN 是一种古老的技术,它被引入了 la fin des années quatre-vingt-dix。 Lorsqu'une particulière particulière 从那时起就存在了,很可能 qu'il qu'il un de crectifique un de de crectique perticique perticique perticique ait perticule perticique ait perticule perticique ait perticule perticique perticue a 举个例子,我在 1999 年就使用了 mon premier VPN,en m'appuyant uniquement sur des commandes en uniquest uprisateur (UI) plutôt conviales。 Je repense 在cette expérience et peu de choses ont change et une mauvaise configuration par quelqu'un 很有可能。
VPN 取决于您的计算机服务的正确配置。 我认为 VPN 被利用了 parce qu'il n'y 不是配置、利用和分发访问权限的标准方法。 每项信息服务都要配置一个既方便又能呈现风险的方式。
个人计算机在 VPN 上使用。 如果员工在家工作,需要在工作中访问文件,那么 VPN 访问权限的方法是不存在的。 Il existe des outils pour aider,mais ils ont tendance a ètre très couteux et gourmands en resources。
Vous pouvez atténuer le point ci-dessus avec une politique 向你的员工表明 qu'ils ne provent provent pointeur de travail que accéder auVPN。 Cela indroit alors un autre domaine de risque — les public 网络。 如果 quelqu'un voyeau 通过公共接入网络通过 VPN 连接,那就是 intrinsèquement enclin aux ataques。
Michelle Burrows:企业可以在代替 VPN 的地方部署哪些替代方案? Y a-t-il un inconvicent a cte?
Jerry Hsieh : Je sais que cela semble super auto-promotionnel, mais la meilleure alternative est de tirer parti d’une solution d’accès à distance. Et, oui, cela inclut Splashtop. Splashtop aide à atténuer les risques inhérents aux VPN car il vous permet de diffuser uniquement votre bureau. Cela signifie que les données de votre réseau d’entreprise sont protégées car vous pouvez simplement les visualiser. Toutes les données sont toujours à l’intérieur de votre réseau d’entreprise.
在 revanche 中,lorsque 我在 VPN 上,我可以开始下载 ce que je veux,ce que veux,这意味着 piruvent provent paire de mème。 Lorsque 我使用像 Splashtop 这样的工具,我可以可视化和使用文件,但我没法下载。 Je peux le configurer pour que seuls les locaux pouissent y accéder。
另外,Splashtop 还提供其他安全功能,例如设备身份验证、双因素身份验证 (2FA)、唯一身份验证 (SSO) 等等。 Toutes ces fonctionnalités de securités supplémentaires sont des choses qu'un VPN ne peut pas offrir。
你有一个关于远程访问技术的不便之处的问题。 Le seul inconvénient est qu'il y a une curbe d'Apprentissage a measure que les gens 采用远程访问解决方案。 但是,comme Splashtop a été concu a origine pour l'Origine pour le granch pour l'apprendre,le apprendre 所需的时间微乎其微。 最少的是,我想在几分钟内对中等用户说。
Michelle Burrows:Parlez-moi d'un VPN 与 Splashtop?
Jerry Hsieh : Parfois, j’entends dire qu’une différence pourrait être un investissement fixe par rapport au modèle d’abonnement proposé par Splashtop lorsque vous comparez les prix d’un VPN et de Splashtop. Un VPN est un investissement à long terme que certaines personnes peuvent faire une fois. Mais, ils oublient que les passerelles VPN tombent souvent en panne et qu’investir dans une passerelle de sauvegarde coûte cher. De plus, un VPN nécessite une maintenance – pour les mises à niveau des vulnérabilités et des correctifs. Splashtop prend en charge les travaux de maintenance et de sécurité. Splashtop ne nécessite aucun entretien et est disponible vingt-quatre heures sur vingt-quatre, sept jours sur sept.
Michelle Burrows:Quand vous n'ètes par la securité,que faites-vous pour auser?
Jerry Hsieh : Comme vous l’avez probablement compris, je n’ai pas beaucoup de temps d’arrêt. Quand j’ai du temps libre, j’aime jouer au golf. Ma femme n’est peut-être pas folle de mon rôle, mais j’aime rester au courant des tendances en matière de sécurité et du travail que je fais tous les jours.
