Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-bloggen

Open Source Security Summit: Red Hat Q&A

B
skriven av:Bitwarden
publicerad :

Visit opensourcesecuritysummit.com to learn more about this annual conference.

As part of the Bitwarden 2020 Open Source Security Summit, Bitwarden CEO Michael Crandell had the privilege of sitting down with a Red Hat enterprise security architect (who, for privacy purposes, goes by ‘Freshman’) to discuss his background, the security threats and challenges he saw throughout the year, how he balances usability and security, and his practical take on credential management. Red Hat is a leading US-based provider of enterprise open source software solutions and is a subsidiary of IBM. 

The discussion kicked off with some context into Freshman’s background. Freshman currently works across Red Hat to identify potential security issues and then works with the stakeholders to address them. Sometimes this work involves creating new enterprise security standards or modifying existing enterprise security standards and policies to ensure the organization remains a step ahead. Freshman has 20+ years working in a security capacity for global organizations in both the public and private sectors and has dabbled in offensive and defensive security, customer exploitation, fraud and abuse, threat intelligence, social engineering, and a myriad of other things. Having seen how different organizations operate, from small, four person shops all the way up to Fortune 50 organizations, Freshman’s perspective was eagerly anticipated. The following is a Q&A between Michael Crandell and Freshman.

Michael Crandell: 2020 var ett minst sagt tumultartat år. En enorm ökning av att arbeta hemifrån, vilket belastade säkerhetssystemen extra. Från vad vi ser där ute i statistiken - 400% ökning av nätfiske och en stor ökning av cybersäkerhetsanspråk. Vad är du mest orolig för mellan nätfiske, inloggningsfyllning, social ingenjörskonst och stulna referenser? 

Freshman: Kan jag bara välja alla ovanstående? Social ingenjörskonst fortsätter att vara en enorm, enorm fråga. Det är en enorm attackvektor för onda och det är inte bara för e-post längre. Social ingenjörskonst sker via telefon, via sociala medier. Vi ser det i posten, i våra chattmeddelanden och i appar för sociala meddelanden. Det är alltid bra att få ett meddelande på WhatsApp från din president som frågar om du kan överföra pengar till någon advokat någonstans, för det händer alltid. Jag tror att social ingenjörskonst fortsätter att vara det fordonet, jag menar 400 % i år, det är enormt. 

"Autentiseringsuppgifter fortsätter att vara det som onda vill ha."

Meriter fortsätter att vara det som onda vill ha ut av det här. De letar efter data men de letar också efter referenserna. Jag läste någonstans att referensåteranvändning är 64% i det offentliga rummet just nu. Om du inte använder en lösenordshanterare tror jag att det genomsnittliga antalet lösenord som måste memoreras är ungefär 90 olika referenser. 

Det finns en massa mer statistik om hur vi gör det här i företaget jämfört med hur vi gör det här hemma. Men jag tror att det finns en hel del överföring mellan de två, speciellt nu när en pandemi inträffar, och tvingas, för många, att vara hemma. Vi [IT-säkerhetsproffs] måste bära mycket mer hattar, vi har mycket mer personlig enhetsanvändning och crossover. När du har organisationer, av vilka endast 50 % kräver multifaktorautentisering, eller mindre än 40 % kräver användning av en lösenordshanterare, som lägger till de typer av hot som vi ser. Det hjälper inte att förhindra dessa saker. Det gör bara situationen värre.

Michael Crandell: Rätt. Du gjorde en intressant kommentar där om att det här problemet sträcker sig över arbetslivets och privatlivets världar. Hur tänker du kring det när det gäller en lösning? Hur tänker du kring personligt och arbete och din roll i att hjälpa till att öka säkerheten kring legitimationshantering?

Freshman: Så jag tror att det är viktigt att vi skapar medvetenhet, det måste vara ett samarbete. Men jag tror att vi måste tänka på mer än användaren på arbetsplatsen. Vi måste tänka på de enheter vi använder och hur vi använder dem. Vi [organisationer med öppen källkod] kan ha en policy för användning av öppen enhet. Hur ser vi på, identifierar och hanterar risken? Men också, hur hanterar vi användarupplevelsen också, för att säkerställa att vi ger våra kunder rätt verktyg för jobbet. 

Till en viss grad måste ett skiktat tillvägagångssätt ske. Medvetenhet är en aspekt, men den måste gå bortom medvetenhet. Det är till exempel bra att vara medveten om att nätfiske förekommer och ge uppdateringar om den senaste nätfiskekampanjen, men vi måste kunna tillhandahålla rätt verktyg. Till och med tillhandahålla rätt verktyg som kommer att överlappa mellan liv och arbete så att vi sätter rätt ribba och rätt standarder för användare för att säkerställa att de faktiskt förstår och att det är muskelminne för dem att fortsätta använda dessa verktyg.

"Det är viktigt att tillhandahålla rätt verktyg som överlappar mellan liv och arbete så att det blir muskelminne för anställda att använda dessa verktyg i alla aspekter av deras digitala liv."

Michael Crandell: Jag vet från tidigare konversationer att du har ett mycket praktiskt perspektiv på allt detta. Vilka är de största utmaningarna ur ett praktiskt perspektiv?

Freshman: Jag tror att det balanserar användbarhet och säkerhet, eller hur? Vi behöver större transparens och det måste vara lätt att använda. Våra användare är väldigt, väldigt smarta. Jag hatar att se en bransch där vi behandlar användaren som en mindre medborgare eftersom de inte lyckades fånga ett nätfiskeförsök eller ett socialt ingenjörsförsök eller att de klickade på en länk för ransomware. Vi sviker dem. Vi ger dem verktygen för att kunna göra saker och vi har våra säkerhetspolicyer och krav på plats, men vi tvingar dem att använda fem olika lösenord för att få tillgång till de tjänster och resurser de behöver dagligen. Vi ger dem lösenordshanterare, men tillåter dem inte att använda 2FA-funktionerna för att kunna lagra TOTP-funktioner i lösenordshanteraren. Sådana saker. Hur får vi det rätta verktyget till användaren? Hur säkerställer vi att processen finns där? 

"Balansera användbarhet och säkerhet. Vi behöver större transparens och det måste vara lätt att använda."

Jag kan ge dig ett exempel på hur man tänker mer kring användarupplevelsen och varför det är viktigt. För ett antal år sedan arbetade jag för en Fortune 50-organisation som drabbades av ett olyckligt nätfiskeincident. Inloggningsuppgifter komprometterades och de konton som var måltavlan användes sedan för att återställa lösenord för organisationernas sociala mediekonton. De kontona vanhelgades sedan och det var ett skandalöst inflytande för varumärket, men det hände. Ledningen sa, som en del av efterdyningarna, ”vi behöver utbildning i nätfiske, du och ditt team borde börja bygga upp den.” Och det gjorde vi. Vi hade alla rätt träffar. Vi hade "håll muspekaren över länkarna, se till att du förstår vem det skickas från, om du är osäker på att det är nätfiske, skicka det till informationssäkerhetsteamet så tittar de på det och meddelar dig." Alla de typiska sakerna man skulle gå igenom som en del av sin utbildning i säkerhetsmedvetenhet och efterlevnad. Vi satte ihop säkerhetsutbildningen och den gick ut och alla tog den och tyckte att den var jättebra. Klappar på ryggen och handskakningar runtomkring. 

Men sedan stannade jag upp för en sekund och började tänka på vad vi just hade gjort. Jag gick tillbaka till en av VP:erna som ledde detta arbete och sa, hej förresten, vilken e-postadress använde vi? Vart ska folk skicka nätfisket om de hittar det? Och han tänkte på det en sekund och kom inte ihåg. Så jag började fråga andra människor och ingen kom ihåg vart det skulle gå. Och jag tittade på det och sa, vi misslyckades. För en av två saker kommer att hända. Efter två minuters tittande på detta kommer Alice i Bokföring, om hon inte kan hitta e-postadressen, ta bort meddelandet eller klicka på länken och göra det vi inte ville att de skulle göra till att börja med. Det kommer att finnas ett antagande om att det förmodligen är OK, men att informationssäkerhet kommer att bli arg på mig i alla fall, jag hoppas bara att de faktiskt hade skydden på plats för att faktiskt förhindra detta. Och det är en riktigt sorglig sak att tänka på. Så vi måste se till att vi tänker igenom användarens process. Användare är kanske lata till viss del, men det finns också användare som har ett helt annat jobb och tänkesätt än vad vi gör. Det är viktigt att införliva dem i samtalet och förstå vad det är som de frågar och vilka behov de har. 

Michael Crandell: Visst, vi kommer in i den mänskliga naturen nu. Du har gjort en kommentar tidigare om hur vi inte anställer för säkerhetsmedvetenhet. Skulle du säga lite om det?

Freshman: Rätt. Jag skulle bli förvånad om någon på den här konferensen någonsin hade sett eller skickat in en arbetsbeskrivning, oavsett om det är en administrativ assistent eller någon inom HR som anges som en obligatorisk arbetsfärdighet, "måste kunna generera komplexa referenser för flera system var 90:e dag" eller "har en bevisad meritlista för att registrera och rapportera nätfiske i tid". Det händer bara inte. Vi anställer dessa människor och de är väldigt bra på det de gör. Men sedan sätter vi dem i nyanställningsorientering och bombarderar dem med säkerhetskrav och utbildning och har denna förväntning att det kommer att vara allmänt känt för dem och lätt för dem att plocka upp utan verktyg. Det är inte något som alla fattar direkt. Det är samma organisationer som har nolltolerans mot tre strejk-policyer för nätfiske. Det här kan vara lite läskigt eftersom vi nästan behandlar dem [användare] som den första försvarslinjen - första, sista och enda försvarslinjen. Vi måste ha lämpliga verktyg på plats för att hjälpa dem att känna att de inte är de enda inblandade, jag tror att det är viktigt. 

Michael Crandell: Du har sagt tidigare att vi inte ska se användaren som den enda försvarslinjen i hela bilden. Förresten, hittade du någon gång en lösning på nätfiskemailet - det svåra att komma ihåg e-postproblemet?

Freshman: Jag gick tillbaka och sa, 'varför i hela friden hade vi ingen knapp'? "Varför i hela friden har vi inte en enkel peka-och-klicka-lösning"? Vi har ett meddelande, det här ser tvivelaktigt ut. Jag vill kunna vidarebefordra detta till mitt informationssäkerhetsteam och vidarebefordra det till min e-postleverantör, om jag inte arbetar på ett litet företag och utnyttjar Google och Microsoft. "Var får jag in det här meddelandet i en lösning som redan finns och marknadsförs, för att se till att det är en del av min organisations arbetsflöde och mitt säkerhetsteams policyer och se om jag har rätt eller inte"?

Vi har lösningar just nu som du betalar stora pengar för, som kommer att ändra länkar i e-postmeddelanden, göra en massa saker och validera på backend, skapa gamification. Jag tror inte att de har användarupplevelsen i det arbetsflödet. Hur uppmuntrar vi människor att klicka på länkar och om de klickar på länkar, vilka är konsekvenserna inom organisationen?

Allt detta är inom stridsområdet för en angripare. Angriparen kontrollerar meddelandets brödtext. Om vi skapar band och saker och ändrar länkar, skapar vi muskelminne för våra användare som jag tror är kontraproduktivt för vad vi försöker åstadkomma. Jag tror att det är en tidsfråga nu där fler säkerhetspersonal och fler organisationer måste börja ställa sig frågan "varför har vi inte det här?" Varför tänker vi inte på användarna eller användarupplevelsen?'

Michael Crandell: Mycket i linje med vad Martin Mickos pratade om med avseende på demokratisering av säkerhet och hur alla har sin lilla roll att spela. Sista frågan: vad ser du för 2021 eller vad skulle du vilja se i säkerhetsbranschen?

Freshman: När vi fortsätter att bygga ut och ta med fler människor på resan med öppen källkod, tror jag att det är viktigt att vi ser till att den säkra användarupplevelsen är en del av det. Fortsätt att utbilda, fortsätt att uppmuntra människor att tänka på att använda multifaktorautentisering (MFA), fortsätt att tänka på hur sammankopplade dessa funktioner är och fundera på vad den långsiktiga användarupplevelsen kommer att bli när vi ändrar flerfaktoralternativ, eller när vi tittar på att försöka upptäcka nätfiske, hemligheter eller andra saker. Öppen källkod, eller källkodshantering, fortsätter att vara ett mål nu. Det är inte bara IP-adressen för organisationer med stängd källkod. Vi måste hjälpa till att utbilda samhällena att driva detta ytterligare och tänka på sammankopplade enheter, hybridarbetsmiljön, ta med din egen enhet och hur vi, genom öppen källkod, bättre kan säkra det. Så det är mitt hopp för 2021. Vi får se. 

Kom igång med Bitwarden 

Är du redo att börja med Bitwarden? Registrera dig för ett gratis Bitwarden-konto, eller registrera dig för en 14-dagars gratis provperiod av våra affärsplaner för att hålla ditt företag och ditt team säkra online. 

Back to Blog

Get started with Bitwarden today.