Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-bloggen

Från lösenord till AI - Q&A med Alyssa Miller, CISO på Epiq Global

B
skriven av:Bitwarden
publicerad :

Learn more about the annual Open Source Security Summit.

Among the many highlights of the 2023 Bitwarden Open Source Security Summit, the global conference for thought leaders, industry experts, and open source security enthusiasts, was the fireside chat with Alyssa Miller, CISO at Epiq Global. 

Alyssa is a lifelong hacker and seasoned cybersecurity executive with over two decades of experience building and growing security programs. Some of the financial services and consulting firms she’s worked for include FIS, EY, and S&P Global. Alyssa is currently the CISO of Epiq Global, as well as an internationally renowned speaker, author, and cybersecurity researcher. Alyssa is an advocate for making security an enabler rather than an obstacle for efficient development pipelines. She is also involved in initiatives to build a more inclusive and collaborative security community.

Watch the full session recording

Bitwarden: Med över två decenniers erfarenhet, hur har du sett cybersäkerhetslandskapet utvecklas under åren? Vilka är de nya trenderna eller utmaningarna som du tycker är mest spännande eller till och med oroande?

Alyssa Miller: Cybersäkerhetslandskapet har blivit så mycket mer omfattande nu än det någonsin varit tidigare. När jag började min karriär var vi helt enkelt informationssäkerhetsteamet och vi var fokuserade på, som namnet antyder, att skydda information. Det är fortfarande fokus, men som vi har sett exploderade den online, uppkopplade, digitala världen precis, så nu har vi ett mycket bredare spektrum av saker att oroa sig för. 

Vi har sett katt och råtta-spelet mellan försvarare och angripare när hackare blir mer förfinade i ansträngningar och färdigheter. Det speglar vad vi har sett med teknik i allmänhet, vilket är att tekniken inte saktar ner. Införandet av ny teknik innebär nya säkerhetsutmaningar. Vi måste hålla koll på ny teknik tillsammans med angriparnas ständigt ökande sofistikering. Vi är också nu vid en punkt där vi har en produktiserad marknad, där angripare säljer sina tjänster. Det håller mig på tårna.

Det andra som oroar mig är användarnas apati mot integritet och skydd av personuppgifter. Folk antar bara att allt är äventyrat. Visst, när du tittar på nyheterna, och du ser alla dessa stora historier om intrång, är det lätt att förstå varför människor har den nivån av apati mot att försöka säkra någonting.

Bitwarden: I linje med att hålla jämna steg med ny teknik är en ny teknik lösenord. Hur förutser du att nyckelns roll utvecklas i det bredare sammanhanget av autentiseringsmetoder? Vilka framsteg eller trender förutser du inom detta område av cybersäkerhet?

Alyssa Miller:

Jag tror att lösenord är en lösning som kan få oss till den punkt att vara riktigt lösenordslösa, där du inte autentiserar någon från ett lösenord. 

Om man tittar på implementeringarna av dessa, finns det vanligtvis en stift eller något som är fäst. Om du använder Windows Hello, och du har en Titan eller en YubiKey, måste du ge den en lösenfras eller en pin eller något. Man kan hävda att det fortfarande är ett lösenord, men det är lite mer en universell identitet. Du har en autentisering som du autentiserar mot denna lösenordsnyckel, men det är allt en enda token eller den enda hårdvarudelen som ger åtkomst till den. 

Tänk om jag tappar bort den? Det är en realistisk utmaning. Vi har sett några andra lösningar som autentiseringsappar som har samma problem. Men jag tror att det är mycket lättare med en lösenordsnyckel än att försöka återställa en identitet från en autentiseringsapp. Vi har sett Google gå framåt med skapandet av deras Titan-nycklar och deras övergripande autentiseringsmekanismer. Jag tror att när det växer kommer vi att börja se mer av det, särskilt i fler företagsutrymmen och i organisationer som har ett åtagande att verkligen stark autentisering

Vi har Microsoft, NIST och andra som säger att det är dags att komma bort från den traditionella formen av lösenord eftersom vi hela tiden gör dem mer komplexa. Efter ett tag blir det bara omöjligt för människor att komma ihåg sina lösenord. Nyckeln kommer bort från den utmaningen och kostnaden är låg, varför vi kan förvänta oss mer av ett skifte. 

Bitwarden: Tidigare pratade du om användarnas apati, särskilt i förhållande till att deras information redan finns där ute. En annan utveckling som är utmanande i företagsmiljöer är uppkomsten av distansarbete genom att det ökar attackytan. Vilka rekommendationer har du för organisationer att säkra sina nätverk, data och distribuerade arbetsmiljöer?

Alyssa Miller:

Jag vet att de flesta inte vill höra om användarutbildning, men att främja en säkrare miljö innebär att säkerhetskulturen måste sträcka sig utanför företagets väggar. Om du har personer som arbetar i hybridmiljöer, eller som är helt avlägsna, måste du förstå att deras nätverk precis blev ditt. 

Varje företagsmiljö jag har arbetat i har olika fjärråtkomstlösningar som är avsedda att bygga en viss nivå av barriär. Vi har VPN, privata åtkomstapplikationer och andra proxyservrar. Men i slutändan måste vi förstå att det finns enheter vi äger som sitter i ett nätverk vi inte kontrollerar. Oavsett hur många tekniska kontroller vi sätter på det systemet, kan vi inte glömma i processen. Det måste vara holistiskt. 

Du måste förstå att det finns många människor i din organisation som inte är tekniska. Jag arbetar i ett juridiskt tjänsteföretag med många advokater. Att förstå säkerhet är inte deras dagliga jobb. Så jag måste se till att de har förmågan att förstå hur vissa av deras handlingar kan påverka säkerheten i deras hemnätverk.

Det handlar om mer än bara hemnätverk och att hålla bärbara datorer säkra. Varför inte lägga in det i hur du skyddar din familj, eftersom det blir en stark motivation för dina användare att vilja lära sig om säkerhet och få det att kännas mindre betungande. Detta kan också hjälpa till att ta itu med en del av den apatin när folk tänker "Åh, jag förstår det här lite mer och jag har lite mer kontroll över hur jag ska försvara mig."

Bitwarden: Det är en bra poäng; vi är alla människor. Oavsett om det är för hemmet eller jobbet, handlar det om att skapa trygga vanor över hela linjen. Hur är det med nollförtroendesäkerhet? Hur ser du på rollen för nollförtroendesäkerhetsmodeller utvecklas som svar på arbetets fördelade karaktär? 

Alyssa Miller: Noll förtroende är en bra teori, men den har absorberats av marknadsföringsteam som något som kan säljas som en produkt. Du kan inte bara säga "min produkt är noll förtroende." Många människor har skämtat om att noll förtroende i grunden är att göra det vi redan alltid borde ha gjort. Och det är sant, till stor del. Jag tror att vi kommer att se mer ansträngningar för att anta många av dessa principer. Och jag tror att det är så vi måste se på noll förtroende.

Noll förtroende är inte nödvändigtvis en sak som vi implementerar. Det är en ram vi kan arbeta inom. 

För varje organisation kommer det att se olika ut hur noll förtroende kommer att se ut och vad som kommer att vara praktiskt. Om jag tittar på en helt upplagd nollförtroendemodell finns det element som kanske inte passar min riskställning med min organisation. De kan vara mycket, mycket dyra och minska mycket liten risk för oss. 

Implementeringen kommer att utvecklas när människor börjar ta reda på vilka delar av nollförtroendemodellen som gäller för deras organisation och hur den passar in i den övergripande riskbilden. Och viktigast av allt - vilket värde kommer detta att tillföra verksamheten? Hur gör jag så att mina affärsenheter kan förnya sig bättre och arbeta mer effektivt? Hur kan jag utnyttja noll förtroende? Vi måste tänka i dessa termer, snarare än, "Åh, jag ska försöka implementera hela det här ramverket."

Är implementering av någon typ av noll förtroende, fjärråtkomstproxy eller privat åtkomst vad företaget behöver? Kommer det att tillåta människor att arbeta var som helst med vilken enhet som helst och förbli säkra? För vissa företag kan det vara ett riktigt attraktivt alternativ. För andra kanske det inte är något som är värdefullt för dem, särskilt om de är en av de organisationer som har gått tillbaka till kontoret helt och hållet. 

Jag tror att vi börjar få den insikten nu att noll förtroende inte är en produkt. Det är inte allt eller inget eller något du slår på och av. 

Bitwarden: Det är väldigt vettigt. Växlar lite eftersom detta är Open Source Security Summit. Öppen källkod har blivit populär i cybersäkerhetsverktyg, vad är ditt perspektiv? Vad tror du är några av fördelarna och utmaningarna med att använda paket med öppen källkod i företagsmiljöer?

Alyssa Miller: Fördelen med öppen källkod är att den är öppen. Människor i forskningsprogram på universitet kan gräva i och hitta sårbarheter i programvara med öppen källkod.

Öppen källkod ger oss möjligheten att vara mer medvetna och göra en mycket djupare inspektion än vi skulle kunna göra med en kommersiell, hyllprodukt. 

I en värld av mjukvaruutveckling är paket med öppen källkod ganska allmänt förekommande nu. De möjliggör effektiv och snabb utveckling av mjukvara. Det har skett en enorm förbättring av hur vi möjliggör återanvändning för att skapa paket som implementerar, i vissa fall, riktigt komplex funktionalitet. 

Utmaningen är att du inte vet vem som skriver koden. Inte alla paket med öppen källkod har ett helt konsortium eller grund bakom sig. Det kan vara en eller två personer, och om du implementerar den programvaran i ditt företags IP kanske du inte kan få den support du behöver direkt. Då blir det en fråga om – fixar vi det själva? Jag skulle hävda att du förmodligen borde eftersom det är att vara en del av gemenskapen och ge tillbaka.

Men det finns organisationer som har skäl att vara stela. Licensiering kan vara en utmaning. Med några av licenserna för öppen källkod, om du integrerar programvara med öppen källkod, kräver licensen plötsligt att du skaffar alla dina saker med öppen källa. Det kan vara problematiskt för organisationer som har programvara som är deras konkurrensfördel. 

Det är bra att alla kan bedöma kod, men samtidigt har du enorma grupper av människor som försöker attackera paket som de vet är populära. Tänk på log4j-sårbarheten som upptäcktes för några år sedan. Log4j används i 90% av Java-applikationer överallt. Det var en avlägsen, exploaterbar sårbarhet - och det är ett problem. 

När öppen källkod växer i popularitet finns det många observerbara sårbarheter och alla rapporterar inte dem när de hittar dem. De håller fast vid dem för att använda dem när de passar. Det finns också komplexiteten i att hitta dessa sårbarheter. Mitt klassiska exempel är Equifax 2017. Företaget hade en Struts-sårbarhet begravd på flera nivåer djupt i deras beroenden. De fick reda på det och de visste att det fanns där men de hade inte hunnit fixa det än, eftersom det låg så djupt begravt. Det var inte en enkel åtgärd, men de bröts fortfarande, vilket är anledningen till att vi ser verktyg som SCA, eller varför vi ser att den amerikanska regeringen kräver saker som SBOM, och så vidare.

Bitwarden: Kan du berätta mer för publiken om SCA och varför det är kritiskt?

Alyssa Miller: SCA står för Software Composition Analysis. Det har blivit ytterligare en nödvändig del av en säker mjukvaruutvecklingslivscykel, en del av en DevOps-pipeline. Låt oss säga att jag skapar en 80 000 rad applikation. Det finns förmodligen nära en miljon rader eftersom jag har införlivat ett gäng beroenden från världen med öppen källkod. Men varje beroende har sina egna beroenden och så vidare. 

SCA ser igenom dessa beroenden. Den identifierar paketen med öppen källkod som är skrivna som en del av koden och analyserar var de är sårbara. Ett bra SCA-paket kan hjälpa dig att ta reda på om din kod är sårbar. Är det bara en sårbarhet som sitter någonstans som aldrig blir uppringd och därför aldrig är ett problem? SCA är byggt för att hantera dessa situationer. 

Bitwarden: Bygg på din erfarenhet som kvinna inom cybersäkerhet, hur kan organisationer skapa mer inkluderande miljöer och uppmuntra individer från olika bakgrunder att göra karriärer inom cybersäkerhet?

Alyssa Miller: Mitt bästa råd här är att fixa hur du anställer. Vi måste fixa hur vi skriver arbetsbeskrivningar, hur vi tar upp hur vi tänker på vem det är vi vill anställa. När vi sätter oss ner för att skriva en arbetsbeskrivning tänker vi vanligtvis på vem som är med i laget. Vi frågar, "vad gör de? Hur hanterade jag detta när det var mitt jobb?” Skriv sedan in det i våra arbetsbeskrivningar. Det ger en hel del partiskhet i våra arbetsbeskrivningar. 

Det jag försöker göra när jag anställer – och vad jag uppmuntrar andra att göra – är att hålla den arbetsbeskrivningen ganska öppen. Leta efter personer som tar med något som överraskar dig, eller något som får dig att stå upp och notera något annat. Mitt favoritexempel är baristan som jag slutade anställa som SOC-analytiker. Baristor har många riktigt coola, överförbara färdigheter från att arbeta på ett kafé och behöva ta till sig all den informationen. Det kommer in väldigt snabbt och du måste bryta ner det, förvandla det till uppgifter och svara på det. Om du uttrycker det i de termerna är det en SOC-analytiker. 

Vi måste erkänna det värde som människor tillför, det är mer än bara fem års erfarenhet av att arbeta med ett SIEM-verktyg eller 15 år med molnteknik. Vi måste komma bort från det hyperfokuset och tänka mer på vad de ska tillföra laget.

Vad kommer de att utmana om hur mitt team fungerar för att göra laget bättre? Genom att ta detta tillvägagångssätt kan mångfald ske naturligt. Nu känner folk sig värderade på arbetsplatsen och känner sig inte som en outsider. 

Inkludering handlar inte bara om människors känslor. Det handlar om att få dem att komma in, känna sig bekväma med att bidra, känna att de hör hemma där, för det är då de kommer att göra sitt bästa arbete för dig. Jag vill ha många olika perspektiv och idéer. Om jag har ett rum fullt av människor som ser ut precis som jag, och tänker på saker på samma sätt som jag, kommer vi inte att få den mångfalden.

Bitwarden: Jag skulle gärna prata om AI. Hur ser du på att skärningspunkten mellan AI och användarautentisering utvecklas? Vilka åtgärder kan organisationer vidta för att säkerställa en balans mellan säkerhet och AI-användarvänlighet?

Alyssa Miller: Vi måste komma bort från denna idé att AI kommer att börja ersätta människor. Så är inte fallet. Men vi måste bli bättre på att visa vad AI . Vi måste visa vilka unika värden människor kommer att tillföra AI.

Jag hade precis ett samtal med Microsoft för några dagar sedan, om hur vi snart kommer att kunna analysera användarinloggningsmönster och några av extremvärdena och dåliga beteenden, eller misstänkta beteenden, i användaraktivitet. Ur autentiseringssynpunkt tror jag att det är det första riktigt stora som vi kommer att se eftersom vi har drivit mot denna idé om användarbeteendeanalys ett tag. 

Jag tror att vi faktiskt är längre bort från det än vad många vill erkänna. När vi tittar på vad som händer inom AI och några av de biasproblem som vi har, med saker som ansiktsigenkänning, till exempel. Det visar sig att partiska människor inte är särskilt bra på att skriva opartiska AI-system. Vi har en lång väg kvar att gå men jag tror också att vi kommer att fortsätta se framstegen accelerera enormt och växa.

Bitwarden: När det gäller den ökade användningen av AI, vad ser du för olika sätt att förbereda sig för den framtiden?

Alyssa Miller: Återigen, det finns ett problem med användarutbildning mer än något annat. När stora språkmodeller kom ut fanns det organisationer i båda ändarna av spektrumet och någonstans i mitten. Vissa fick sin IP exponerad via ChatGPT; å andra sidan hade ni organisationer som bestämde sig för att blockera allt, vilket hindrar innovation. Och jag tror inte att det finns en organisation i hela den här världen just nu som inte försöker titta på hur de kan använda generativ AI för att förnya sitt produktområde. Så smarta organisationer är de som har beslutat att anta det på ett säkert sätt. 

Nyckeln är att bestämma hur du ska utbilda dina användare om säker användning av AI eftersom det är helt nytt. Många människor förstår inte att det de matar in i en ChatGPT potentiellt skulle kunna nås vid ett senare tillfälle och exponeras avsiktligt eller oavsiktligt. Sedan är det den pågående diskussionen om konstverk som är AI-genererade och skrivna material som är AI-genererade. Vem som i slutändan tillhör i slutändan är en stor fråga som skapat skepsis och tveksamhet bland organisationer. 

Bitwarden: Vad ser du som de framväxande trenderna och utmaningarna i skärningspunkten mellan öppen källkod och cybersäkerhet framåt 2024 och framåt?

Alyssa Miller: Ur ett perspektiv med öppen källkod tror jag att vi kommer att fortsätta att se organisationer bli mer aktiva i öppen källkodsgemenskapen. Jag förväntar mig att se företag känna att de kan bidra tillbaka till open source-gemenskapen på ett säkert sätt och inte utsätta sig själva för risker. 

Jag tror att vi kommer att fortsätta att se denna push mot SBOMs. Jag börjar se några av de större, mer mogna organisationerna lägga till det i sina säkerhetsfrågeformulär när de överväger en leverantör. Jag tror att det som regeringen har definierat hittills kan vara lite mer komplext än vad vi förmodligen kommer att se i vardagen. Men det kommer att fortsätta växa eftersom det är värdefullt att kunna förstå vad jag har i min omgivning och vad som kommer att bli problematiskt. 

När Log4j-sårbarheten tillkännagavs kan jag inte ens räkna hur många människor som under de första två veckorna försökte ta reda på var de ens hade det i sin miljö. Detta kombinerades med att olika leverantörer släppte gratisverktyg för att hjälpa företag att försöka hitta det. Det var galet. Jag tror att vi har lärt oss av det och från några efterföljande sårbarheter, så jag förväntar mig att se en hel del tillväxt inom teknologier som tar reda på hur man verkligen kommer före kurvan och som gör det lättare att förstå vad som finns i våra miljöer utan att hämma innovation.

Läs mer om 2023 Bitwarden Open Source Security Summit

Kom igång med Bitwarden

Är du redo att börja dela lösenord med Bitwarden? Registrera dig snabbt med ett gratis Bitwarden-konto, eller en 14-dagars gratis provperiod på våra affärsplaner för att hålla ditt företag säkert online. Har du frågor? Registrera dig för den kostnadsfria veckodemon.

Back to Blog

Get started with Bitwarden today.