网络风险与软件生产反思的问答

Mark 和 Sebastian 的对话

与网络安全专家 Sebastian Goodwin 共同探讨 Splashtop 的安全咨询委员会、网络风险并反思软件生产

作者:Splashtop 首席执行官兼联合创始人 Mark Lee

Splashtop 近日公开了其安全咨询委员会的新成员:Sebastian Goodwin,这一消息于2020年12月宣布。Sebastian 是网络安全研究员、主旨发言人、企业顾问、加州大学伯克利分校信息学院(UC Berkeley’s School of Information)的兼职教授和 Nutanix 的首席信息安全官(CISO)。在帮助“世界2000强”企业管理大范围网络风险方面,Sebastian 有超过20年经验。

Sebastian 在与 Splashtop 首席执行官 Mark Lee 的讨论中,介绍了自己加入 Splashtop 安全咨询委员会及热衷于安全问题的原因,说明了在勒索软件攻击等网络安全威胁不断增加的背景下他对安全形势的看法。

Mark Lee: Sebastian,欢迎加入 Splashtop 安全顾问委员会。我听说,最初你是通过我们的一位投资人了解的 Splashtop,对吗?

Sebastian Goodwin:是的,没错。那位投资人了解我的经历,也知道 Splashtop 正在招聘安全顾问,所以我加入 Splashtop 委员会恰逢其时。

Mark: 在网络安全方面,你的专业经验非常丰富。目前,你担任 Nutanix 的 CISO 和 SADA(谷歌云高级合作伙伴和解决方案提供商)的董事会成员,此前还在 Palo Alto Networks、Robert Half、PeopleSoft、IBM 等公司担任安全相关领导职位。想必你对企业如何应对网络风险已经有了较为全面的了解。总体来看,你认为当今企业在安全方面做得如何?

Sebastian:当今企业面临的网络安全风险前所未有。正如最近的新闻报道所强调的那样,勒索软件是个巨大的威胁。攻击者已经意识到,可以通过攻击在不同行业和市场中广泛使用的软件来扩大受影响范围。企业需要反思:为更好地维护安全、保持客户信任,企业要如何生产软件?

Mark: 可以深入谈一谈企业要如何“反思”吗?

Sebastian:当然可以。企业需要反思的是如何在安全性和业务灵活性之间找到正确的平衡点。为确保向客户快速交付新产品和功能而大量投资,这可能会减少安全方面的投资。但安全方面的投资见效需要时间,并且会降低灵活性和竞争力。

关键是要在这两者之间找到平衡点,既能提供客户所需的更为完善的产品和功能,同时也可以确保软件产品的安全性。

Mark: 客户希望能够快速获得更新、更强大的功能,但他们可能忽略了未经仔细审查的软件具有的风险。你注意到这种变化了吗?

Sebastian:网络风险意识将发生更大转变,这种变化只是其中一部分。显然,不论公司还是个人,只要亲身经历过网络攻击,就会明白良好网络安全实践的重要性,即使意识到这一点时攻击的影响已无法避免。还没经历过网络攻击的个人或公司可以分为这两类:要么积极主动保护自己和公司,要么沦为易受攻击的目标。一次攻击就可能让公司业务付之一炬。

Mark: 像我们这样的软件公司可以采取哪些措施来保护客户免于网络安全威胁?

Sebastian:首先要足够重视安全性,设计默认安全的软件产品。例如,将双因素身份验证设为通过公共网络对服务进行身份验证的默认方法。

采取零信任原则,该原则即不信任任何人或设备。假设所有安全防御最终都会被攻破,然后努力缩小”爆炸半径“。这是安全行业术语,用于描述假定攻击的波及范围。例如,如果网络用户设备遭到恶意软件攻击,则需要尽力缩小”爆炸半径“,确保该恶意软件不能扩散到其他用户,也不能感染同一网络的任何其他设备。

Mark: 你一直致力于指导公司如何改进网络安全实践。可以谈谈这方面的工作内容吗?

Sebastian:我认为,企业能够有效衡量和管理网络风险至关重要,这样企业才能积极保护自身的业务。我为企业提供帮助,一种方式是作为独立的网络安全发言人、担任 CEO 和董事会的顾问。我在 Splashtop 安全顾问委员会任职即是这种方式。另一种方式是,在加州大学伯克利分校开设研究生课程,帮助未来的技术和商业领袖更加善于从高管和董事会层面评估和管理网络风险。

Mark: 看来你非常热爱网络风险管理行业。可以告诉我们你热爱这个行业的原因吗?

Sebastian:从记事起,我就对计算机很感兴趣。在2400波特调制解调器时代,在那个万维网刚刚诞生的时代,我年纪还很小,那时我就开始自学编程。我一直对黑客以及其涉及的创造力和技能非常着迷。试想,你必须首先深入了解某个系统的运作方式,然后设法让该系统运行最初设计时不具备的功能。

这是个非常令人着迷的难题,也是个挑战。讲个有趣的小插曲:高中时我差点被开除,就因为我能绕过计算机系新部署的全盘加密软件。当时,一位老师偶然间向“任何能破解这个坚不可摧的加密软件的学生”发出挑战。多亏了这个挑战,我才没被开除。

Mark: 你决定继续致力于防止攻击,而没有选择成为黑客,我们感到十分庆幸!

Sebastian:我也很庆幸!但我认为了解黑客的技能水平非常重要。我为团队招聘安全人员时,需要确保他们了解整个技术堆栈。刚毕业的大学生即便擅长写代码,也要经过大量培训,才能了解自己正在开发的软件被绕过的所有方式。这一挑战永无止境,但也令人无限着迷。

Mark: 非常感谢你的分享,Sebastian。也感谢你愿意加入 Splashtop 安全顾问委员会,帮助我们不断提高产品安全性。

Sebastian:我很欣赏 Splashtop 的安全态度。就像我现在的公司 Nutanix 一样,Splashtop 坚持展望未来,积极应对安全风险。这才是唯一值得信赖的重要基础,能够为客户提供更加安全的解决方案。

博客底部的免费试用横幅