道格:来自意图 & 同事工作室, 这是不合适的, 一个面向企业家的管理和金融服务播客, tenured business leaders and others who are ready to look beyond the suit and tie culture for meaningful measurable results. I'm 道格豪斯. On this weekly 播客 thought leaders and business professionals break down complicated and mundane topics and give you the tips and insight you actually need to grow your business. 如果你还没有订阅,请点击订阅按钮,这样你就不会错过未来的剧集了. 如果你想获得更多的信息, 显示注释和独家内容, 请访问我们的网站WWW.reacpa.登录播客注册更新. 网络攻击每天都在发生, 不幸的是, 随着虚拟依赖的兴起, 许多人表示,网络攻击是当今企业面临的最大现代威胁,这是有充分理由的. 自2003年以来, 10月被公认为网络安全意识月, 意图的网络安全专家, 泰Whittenburg, is happy to join us here today to discuss the importance of cybersecurity and how it can help protect your business. 欢迎回到《比较靠谱的赌博软件》,泰. 泰Whittenburg:谢谢你邀请我,道格. 我很高兴回来. 道格很高兴你能来,因为这是一个我完全搞不懂的话题. 我觉得, 25, 30年前, 我对网络环境和这类事情略知一二, 但再也不会了. 你真的需要一个像你这样的人来做这件事, 生活它, 每天呼吸它. 在我们进入网络安全意识月和需要考虑的事情之前, tell us a little bit about your background and how you came to this segment and what your journey has been like. Ty这是一个很好的问题,它实际上是网络安全意识月的一部分. 这是第三周,讲的是探索和体验网络的旅程. 我一直都是一个技术人员,我的职业生涯并不是直接的IT,我有点进入了这个领域. 我做了很长一段时间的销售主管, 但总是有技术上的问题, 在CyberSix工作了很长一段时间, 在被雷亚收购之前 & 比较靠谱的赌博软件. 我专注于客户在约定中的成功, 一点项目管理的经验, 一点点的管理, 风险与合规工作. Ty我对信息安全的了解可能是从那时开始的, 现在是21年前, 我曾在一个大组织工作过. 他们非常注重合规. 当我搬到苹果的时候, 当你在修理人们的iphone、ipad或MacBook电脑时,你会这么想, 这里没有涉及到合规性, 但在幕后有很多工作在进行,以保护这些客户的信息. Ty我知道我想在这个特殊的角色上做更多的事情, 开始自学, 我开始和一些在信息安全领域工作的朋友合作, 加入了一些当地的组织,最后发现雷亚雇佣了一些多余的人, 都快一年半了. 道格:太好了. Ty:是啊. 道格太酷了. 你显然有一些不同的经历, 既为客户提供咨询,也为客户提供帮助. 谈谈那是什么感觉, say dealing with one business or one company in terms of it's own environment for cybersecurity versus what you do now, 显然要和很多不同的客户合作. 给我们对比一下. Ty我想我把它比作我们的同行团体和公共会计. 每个客户都是不同的, 会计准则是一样的, 遵从性环境是相同的, 视业务而定. 每一项法规遵从都侧重于数据安全. 不管是个人健康信息, 信用卡信息, 个人身份信息, 所有的合规都以数据为核心. What differs in this particular role is instead of having to ensure the safeguarding of information in one particular corporate entity, 我以不同的方式帮助不同的企业, 无论是治理风险还是遵从性, whether that be as a virtual chief information security officer or help with an implementation of mobile device management. Ty每个客户都不一样,每个客户的规模也不一样,可能是5个员工,也可能是500个. 这很有趣, 我认为, 意图有一个非常好的利基市场, 阿米什人的国家, 很多时候人们认为阿米什人不利用科技, 这是一个谬论. 也, 我们有大小不等的客户, 有些在制造业规模相当大, 建设, 哪一个是你最热衷的, 我几乎在所有的水域游泳. 我能很好地踩水 道格包括明显的国际, I know we have international clients as well that you deal with along with some of the other cybersecurity team members. Ty:是啊. 这就增加了一个完全不同的复杂性,比如GDPR之类的东西. 道格:是啊. 我们正在进行网络安全意识月. 谈谈这一点的重要性以及这到底意味着什么, 我们应该怎么做才对. Ty又一个好问题. 你总是很擅长这个. 事实是,你在网络安全方面比你在开场白中说的要好得多, 你说网络安全可能是最大的威胁之一. Do you think of what you've seen in movies or the news in the 1920s of the mafia back in the day and whether it be Irish or Italian or whatever and they were trying to take over segments of New York City. 现在用你的勒索软件让它现代化, 你的高级持续威胁演员在那里, 不仅如此, 还有民族国家, 太, 包括美国在内. Ty病媒的威胁是巨大的. 移动设备用户的激增扩大了这一空间. 网络安全, 如你所说, 你的数据, 我们的数据, 公司的数据, 知识产权在那里有很多价值. 道格嗯(肯定). Ty你需要把事情放在适当的位置,以保护这些信息,这样你才能正常工作, 15, 20年后还是遭受灾难性事件, 比如一个可能会让你破产的漏洞. 道格:是啊. Ty不仅是声誉,还有费用,法律费用,诸如此类. 网络安全是每个人的责任, 即使是在工作的时候, 但即使是你自己的个人数据以及你如何在你经常使用的应用程序中使用它. 道格:是啊. 你提得很好. 我们必须想得更远, 不只是个别黑客, 这是真正的有组织犯罪. Ty真的是这样. 道格:是啊. 这很可怕, 如你所说, 不管是一个民族国家还是一群有组织的罪犯, 这是可怕的. 这些坏人正在使用的资源, 威胁行为者, 必须是天文数字, 呈指数增长. Ty如果你出去在暗网上为自己买了微软365, there is the capability to go out and buy malicious software to utilize against ransomware to use against people as well 太. 你不需要那么精通技术, 你不需要去麻省理工学院或加州理工学院,成为这个天才的电脑程序员, 你只需要购买软件. 道格:是啊. 这是可怕的. 考虑到这一点, 你怎么样?, 以及我们的团队如何帮助我们的企业主减轻这些风险? 有哪些事情是我们应该意识到并注意的? Ty: The first thing is we always want to focus on identifying where the data lies in the organization and how it flows through the organization. 我认为我们也在帮助组织, 太, is helping to put a framework together to help them have a business conversation about their technological 太ls that they use as well as data that's on those 太ls. Ty更重要的是, we focus in on helping to educate from a business perspective and make sure that just like you're talking about your top line revenue, 你说的是你的客户对未来几年的预测. 你需要把科技作为对话的一部分. 道格说得好. 我认为我们试图让人们思考的另一件事, 别把这当成一项开支, 把它看作是一种投资. 对你的企业和企业未来的投资. 正确的? Ty:正确. 我们现在都在做数据生意,意图,对吧? 道格:是啊. Ty:使用我们为客户审计的信息, 或者做税务方面的工作, 我们维护的与客户关系的信息量, our clients that are in manufacturing and tracking their inventory and any type of computer aided designs and stuff like that. 我们都是数据驱动的,假装我们不是,有点天真. I don't want to say to the people listening in the audience that they're naive if they haven't thought about that. 现实是, 谷歌的存在是有原因的, 他们通过我们免费提供给他们的数据赚了数十亿美元. 道格:是啊. 很好的观点. 说到这些实体, 离我住的地方不太远,实际上不到10英里, 谷歌, Facebook和亚马逊在数据设施上总共投资了50多亿美元. Ty:是的. 道格这对我来说简直不可思议. I drive by there frequently to check out the 建设 as it's ongoing and the security that they deploy around those physical facilities is just unbelievable to me. Ty:是啊. 这周我在听一个播客, 我在军队服役过,你会听到很多IT供应商使用军用级, 哪一个是包罗万象的营销用语. 这对点击诱饵很有用,我的营销人员呢? Ty但是,他们的设施是军用质量的,对他们有物理安全保护. 那里有安全部队,有监控材料,你必须戴上警徽. 如果你要拜访某人,你最好提前在花名册上. 没有什么突然拜访只是为了说声“你好”." 道格:对. Ty有呼叫和响应,谁去那里? 道格:对,没错. 这很有趣. 你显然谈到了个人和组织试图教育他们,提高他们的意识, 你怎么样? get somebody to be smarter and more intelligent about recognizing and understanding the threats and being aware of those things? 道格我知道我们得到了, 例如, 在我们公司, 我们会尝试攻击,他们会测试我们,刺激我们这些事情. What are some of the 太ls and techniques that you try to deploy with client organizations to help raise that? Ty内部社会工程是一个很好的工具, 虽然有时在文化上, it can have a little bit of a rub with your people because it's like rubbing your nose in it so you have to be careful. 我一直认为,作为终端用户,你不一定要成为Microsoft 365专家, 而是给人们一些基本的工具来关注, 异常, 如果你从客户那里收到一份PDF文件,而它不在你的电子邮件的顶部标题行, 但它在身体里,你教他们如何在它上面盘旋, 它有一个链接, 就是这些简单的事情. Ty: It's amazing that my peer group and information security and IT sort of blamed the end user for a long time. 最终用户是, 市面上有很多保护工具, 但在某些特定的时刻,作为信息安全专家, 我们不能一直责怪他们. 你上学是有原因的, 你教人是有原因的, 我认为 the biggest thing you can do is have proactive conversations with folks about what to look for. 如果他们犯错了, 问问他们从中学到了什么, 不要在这件事上戳他们的鼻子, 很明显你必须注意. Ty有些公司认为这是零和游戏,你犯了一个错误,你就出局了. 我是一个坚定的信徒,我有一个导师曾经说过, “一次错误, 两次一个模式, 一个行为三次.“我认为我们的工作是确保我们教育人们,这样它就不会成为一种行为. 道格:是啊. 说得好. 我认为它类似于驾驶,当然有些是用户的错误,司机的错误. 如果我们足够到位, 比如护栏或安全设施, 无论是道路标志, 某些信号, 等等, 等等. 我们采取了足够的安全措施,这对所有人来说都是好事. 这听起来在很多方面都很相似. Ty我很喜欢说, 我可能在之前对你的采访中说过, 道格, 看到一些, 说点什么. 道格:是啊. Ty如果感觉很奇怪, 说点什么, 即使你不小心点开了, 尽早说点什么. 这对组织的影响与购买杀毒软件或反恶意软件一样大, 如果你犯了一个错误,你说出来的时间早晚. 道格:是啊. Ty我爸爸妈妈过去常说,如果你说实话,你就会自由. 如果你能迅速报告,我们就能相对迅速地作出反应,并有可能阻止很多损害. 这确实有助于确保一切的核心, 人们使用的技术, 他们可以放心地联系他们的IT或他们的信息安全团队. 道格:是啊. 说得好. I always think of the phrase the cover up is many times worse than the crime and the crime in this case might be accidental, 但不要试图隐藏它. Ty:没错. 完全. 道格这会产生更多的问题. 在今天的环境中,典型的业主管理企业面临的最大威胁是什么? 这是网络钓鱼还是别的什么? Ty商业电子邮件泄露是最大的威胁载体攻击面. 每个人都在使用电子邮件. 威胁演员在模仿方面做得更好了. 事实上是这样的, 我正在处理一个客户,他遭受了所谓的欺骗事件, where I gave that example to you around the PDF link was in the body of an email somebody clicked on it and they used a survey site similar to a SurveyMonkey that looked like Microsoft requesting your Microsoft credentials. 是那个人放进去的, 或者是用户放进去的, 有几个人这样做了,然后它就释放了, 它将凭证提供给威胁行为者,并允许他们发送数千条实质上的, 垃圾邮件, 从客户的账户中. Ty:现在, 这个客户做了正确的事情,最终用户在那里, 这才是我真正想要的,做了正确的事, 承认他们点击了一些东西, 说有些地方感觉不对劲,管理员立刻进去把他们关了. 在10分钟内,发送了3万多封电子邮件. 道格太疯狂了. 至少就像你说的,损失被避免了. Ty:正确. 我们进行了事件响应, 我们在意图的团队做到了, 首先要做的是确保他们没有访问过任何类型的数据, 这只是一封电子邮件或获取凭证,这是他们试图做的, 这是纯粹的情况吗. 这里面有很多东西. Ty你停下来的时间要比停下来的时间要早得多. 我最后会说,是的, 网络钓鱼, 鱼叉式网络钓鱼, 你最大的威胁媒介是什么. 我可能会说,第二个是围绕你的网络的分割. 就像地球是平的理论一样, 许多小企业将会开业, they'll go and buy a wireless router from their local Best Buy or they'll use one from their internet service provider. 虽然这些都是可以的, 它们不一定是最安全的,如果你没有其他合适的工具, 这只会让你更容易受到伤害. 道格:是啊. 地球是平的,别像欧文那样对我. Mr. 平坦地球. Ty:是啊. 我不会那样对你的. 如果有的话,我可能会扮演德鲁叔叔的角色,就像百事可乐的广告一样. 道格非常好. Ty这是一个完整的社会工程运动. 道格就这样吧. 稍微讲一下, 你提到了事件响应, 我们已经谈了很多关于预防的事情. 谈谈你的反应,以及你和你的团队是怎么做的, 如果有什么事情发生了. Ty:是啊. 事件响应相对而言, 想想飓风和类似事件的紧急救援人员, 你必须有一定程度的准备,工具和材料. 一旦你进入一个环境,你需要能够识别发生了什么. 如果他们还没有拔掉设备的插头, 你是否允许他们与网络保持连接以便你可以获得更多的法医信息? 或者你拔掉插头? Or do you in essence secure that particular device from the rest of the network so that the threat cannot proliferate outside of those boundaries? Ty然后你就进入了整个麦吉弗,杜吉·豪瑟的取证模式 道格:对. TyHouse可能更好. 道格就这样吧. Ty试图解决问题是什么. 这是监管链的一部分你必须要做的. 你还必须考虑法律后果. 道格:好吧. Ty更重要的是,你必须确定,这只是一个事件,还是一个漏洞? 这两者是有区别的. 泄露意味着信息已经从您的业务环境泄露给了威胁参与者. 这是一个全新的表现,你可能应该, 作为一个组织, 是否应该与法律顾问合作, 公共关系, 如果你够大的话, 这取决于您拥有的信息和客户数据的大小和数量. 你也得开始看一看, 太, around what measures you put in place to safeguard those individual users information that has been exposed. 道格:哇. 这是非常有趣和复杂的东西, and I'm glad we have you and our team at 意图 cyber to assist clients and folks through this because I don't know how you could possibly try to manage it without expertise like you and the rest of our team have. 谢谢你. Ty:不客气. 我只想说,这绝对是一个团队的努力,而事件响应是一个专业, 我并没有声称自己是最终的事故响应者. 我可以处理商业邮件泄露问题, 我可能会在其他方面帮助一个团队, 但当你想到肖恩·理查森, 他有处理突发事件的经验. We've got some other assets on the team that can dive really deep into an organization and forensically pull out information that the best legal teams in the world would feel pretty comfortable about using if they had to in a court of law that chain of custody hasn't been violated. 道格:哇. 是的. 可怕的东西. 谢谢,泰. 感谢你们继续教育我,当然也感谢我们的听众和企业主, 请不要犹豫,联系泰和我们的网络团队. 他们对自己的工作非常出色. 再次感谢. Ty: 谢谢道格. 我很感激. 道格: 绝对. 如果你想要更多的商业技巧和见解, 或者去听以前的不合适的剧集, 请访问我们的播客页面WWW.thestudioentrance.com . 播客,当你在那里的时候,注册独家内容和节目笔记. 感谢收听本周的节目. 一定要在苹果播客上订阅不合适的节目, 谷歌的播客, 不管你现在在听我们说话, 包括YouTube. 我是道格·豪瑟,下周继续讨论另一个不合适的
