泰Whittenburg是一名cmmc注册执业者和必威betway中文版的高级信息保障经理 & betway中文版在俄亥俄州都柏林的办公室. 在这个角色, Ty可以通过识别潜在的损失事件来确保组织的技术和网络,以努力推动业务目标, 减少他们的频率, 最大限度地减少损失. 他在开发旨在实现组织目标的技术决策方面具有独特的地位,并确保在组织的生态系统中建立保障措施.
网络攻击每天都在发生. 随着虚拟依赖的兴起, 许多人说,网络攻击是当今对企业最大的现代威胁——而且有充分的理由. 如果您的组织没有做好充分的准备,网络犯罪分子可以在几秒钟内给您的业务带来重大问题. So, 网络威胁似乎无处不在, 你需要知道什么来帮助保护你的组织?
自2003年以来,10月被认定为网络安全意识月.必威betway中文版的网络安全专家, 泰Whittenburg, 今天加入我们来讨论网络安全的重要性以及它如何帮助保护您的业务.
道格:从必威betway中文版 & 同事工作室, 这是不合适的, 一个为企业家提供管理和金融服务的播客, 终身商业领袖和其他准备超越西装革履文化的人,寻找有意义的可衡量的结果. I'm 道格豪斯. 在这期每周播客中,思想领袖和商业专家会分解复杂和世俗的话题,并给你一些建议和见解,你实际上需要这些建议和见解来发展你的企业. 如果你还没有订阅,请点击订阅按钮,这样你就不会错过未来的剧集了. 如果你想获得更多的信息, 显示注释和独家内容, 请访问我们的网站WWW.reacpa.Com/播客订阅更新. 网络攻击每天都在发生, 不幸的是, 随着虚拟依赖的兴起, 许多人表示,网络攻击是当今商业面临的最大威胁,这是有充分理由的. 自2003年以来, 10月被认定为网络安全意识月, 必威betway中文版的网络安全专家, 泰Whittenburg, 很高兴今天加入我们讨论网络安全的重要性,以及它如何帮助保护您的业务. 欢迎回到不合适的地方,泰. 泰Whittenburg:谢谢你邀请我,道格. 我很高兴回来. 道格:很高兴能请到你,因为这个话题我完全搞不懂. 我觉得, 25, 30年前, 我对网络环境之类的东西有一点了解, 但是没有更多的. 你真的需要一个像你这样的人来做这件事, 生活它, 每天呼吸它. 在我们进入网络安全意识月和需要考虑的事情之前, 告诉我们一些你的背景,你是如何来到这个环节的,你的旅程是什么样的. Ty这个问题问得很好,它实际上是网络安全意识月的一部分. 这是第三周,讲的是探索的旅程,体验网络. 我一直是一个技术狂人,我的职业不是直接的IT,我有点迂回进入这个领域. 我做过很长一段时间的销售领导, 但总是有技术上的转折, 在CyberSix团队工作了一段时间, 之后被必威betway中文版收购 & betway中文版. 我关注客户在约定中的成功, 一点项目管理的知识, 一点点的管理, 风险与合规工作. Ty我的信息安全之路可能始于, 现在已经21年了, 我所在的一个大组织. 他们非常注重合规. 当我搬到苹果的时候, 当你修理别人的iphone、ipad或MacBook电脑时,你可能会这么想, 这里不涉及合规问题, 但是在幕后有很多事情在进行,保护那些客户的信息. Ty我知道我想要在这个特殊的角色上做更多的调整, 开始自学, 开始和我一些从事信息安全的朋友合作, 加入了一些当地的组织,最后雷亚雇佣了一些人, 差不多一年半了. 道格:太好了.Ty:是啊.道格那很酷. 你有一些明显不同的经验, 无论是咨询和帮助客户,还是在内部. 谈谈它是什么样的, 比方说,与一家企业或一家公司打交道时,要考虑它自身的网络安全环境,而不是你现在所做的, 显然是和很多不同的客户合作. 并置一下. Ty我想我把它比作我们的同辈团体和公共会计. 每个客户都是不同的, 会计准则是一样的, 遵从性环境是相同的, 这取决于业务. 每一个法规遵循都集中于数据安全. 无论是个人健康信息, 信用卡信息, 个人身份信息, 所有合规都以数据为核心. 这个特殊角色的不同之处在于,它不必确保在一个特定的公司实体中保护信息, 我正在以不同的方式帮助很多企业, 无论是治理风险还是遵从性, 无论是作为虚拟的首席信息安全官,还是帮助实现移动设备管理. Ty每个客户都不一样,每个客户的规模都不一样,不管是5个员工还是500个员工. 很愉快的, 我认为, 必威betway中文版有一个非常好的利基市场, 亚米希人的国家, 很多时候人们认为阿米什人不利用技术, 这是一个谬论. 也, 我们的客户规模从中小到大不等, 有些在制造业相当大, 建设, 哪一个是你最热衷的, 我几乎在所有的水里游泳. 我踩水很熟练 道格:显然包括国际, 我知道我们也有国际客户你和其他一些网络安全团队成员打交道. Ty:是啊. 这给它增加了完全不同的复杂性,还有GDPR之类的东西. 道格:是啊. 我们这个月都在关注网络安全. 谈谈这一点的重要性以及这到底意味着什么, 我们应该做些什么. Ty另一个好问题. 你一直都很擅长这个. 现实情况是你的网络安全能力比你在开场白里说的要好得多, 你说网络安全可能是最大的威胁之一. 你有没有想过你在20世纪20年代的电影或新闻中看到的黑手党,无论是爱尔兰黑手党还是意大利黑手党,他们试图占领纽约的部分地区. 现在有了勒索软件, 你的高级持续威胁演员在外面, 不仅如此, 还有民族国家, 太, 美国包括. Ty病媒传播的威胁是巨大的. 移动设备用户的激增增加了这一空间. 网络安全, 就像你说的, 你的数据, 我们的数据, 公司的数据, 知识产权有很大的价值. 道格:嗯(肯定).Ty你需要把事情安排妥当,以保护这些信息,这样你就能做生意了, 15, 与遭受灾难性事件相比, 比如一个可能会让你破产的漏洞. 道格:是啊.Ty:不仅是名誉上的,还有费用,招致的法律费用,诸如此类的. 网络安全是每个人的责任, 甚至不只是在工作的时候, 甚至在你自己的个人数据中以及你如何在你经常使用的应用中使用它. 道格:是啊. 你提出了一个好观点. 我们必须想得更远, 这不仅仅是某个黑客的问题, 这是真正的有组织犯罪. Ty如真的是这样.道格:是啊. 这是可怕的, 就像你说的, 无论是一个民族国家还是一群有组织的罪犯, 这是可怕的. 这些坏人动用的资源, 这方面的威胁行为者, 必须是天文数字, 呈指数增长. Ty如果你在暗网上为自己购买了微软365, 我们有能力购买恶意软件来对付勒索软件,也可以用来对付人们. 你不需要那么专业, 你不需要去麻省理工学院或加州理工学院,成为Wiz Bang的电脑程序员, 你只需要购买软件. 道格:是啊. 这是可怕的. 思考的, 你怎么, 以及团队如何帮助我们的企业所有者减轻这些风险? 有哪些事情是我们应该注意和注意的? Ty首先,我们总是希望专注于识别数据在组织中的位置以及它如何在组织中流动. 我认为我们也可以帮助组织, 太, 是帮助建立一个框架来帮助他们就他们使用的技术工具以及这些工具上的数据进行商业对话吗. Ty:更重要的是, 我们专注于从商业角度帮助教育,并确保这就像你谈论你的最高收入一样, 你说的是你的客户对未来几年的预测. 你需要把技术作为对话的一部分. 道格说得好. 我认为另一件我们试图让人们思考的事情, 不要认为这是一笔开销, 把它当作一种投资. 这是对你的企业和企业未来的投资. 正确的? Ty:正确. 我们现在都在做数据生意,必威betway中文版,对吧?道格:是啊.Ty:我们为客户审核的信息, 或者做税务方面的工作, 我们与客户保持关系的信息量, 我们的客户在制造业,跟踪他们的库存和任何类型的计算机辅助设计和类似的东西. 我们都是数据驱动的,假装我们不是,是有点天真. 我不想对在座的听众说,如果他们没有想过这一点,他们就是天真的. 现实情况是, 谷歌是有原因的, 就像世界上的Facebook,他们靠我们免费提供的数据赚了数十亿美元. 道格:是啊. 很好的观点. 说到这些实体, 离我住的地方不太远,实际上不到10英里, 谷歌, Facebook和亚马逊在数据设施上总共投资了50多亿美元. Ty:没错.道格这对我来说太不可思议了. 我经常开车经过那里,检查正在进行的施工,他们在这些物理设施周围部署的安全措施简直让我难以置信. Ty:是啊. 这周我在听播客, 我曾在军队服役,你会听到很多IT供应商使用军事级别, 哪个是一个包罗万象的营销短语. 这对点击诱饵很有用,我的营销人员呢? Ty但是,在你看来,他们的设施具有军事素质,为他们提供物理安全保护. 有安全部队,有监视材料,你必须戴上徽章. 如果你要去拜访某人,你最好提前进入名单. 没有什么突然造访只是为了说:“嗨." 道格:对.Ty:有呼唤和回应,谁去那里?道格是的,完全. 它是有趣的. 你谈到个人和组织试图教育他们,提高他们的意识, 你如何让一个人更聪明更聪明地认识和理解威胁并意识到这些事情? 道格我知道我们懂, 例如, 在我们的公司, 我们会尝试攻击,他们会测试我们,刺激我们,诸如此类的事情. 您尝试为客户组织部署哪些工具和技术来帮助解决这个问题? Ty:内部社会工程是一个很好的工具, 有时文化虽然, 这可能会给你的人带来一些麻烦,因为这就像在你的鼻子上摩擦,所以你必须要小心. 我总是质疑,作为终端用户,你不一定非要成为微软365的专家, 而是给人们一些基本的工具来吸引他们的注意力, 异常, 如果你从客户那里收到PDF文件,而它不在你的电子邮件的顶部标题行, 但它在身体里,你教它们如何在上面盘旋, 它有一个链接, 就是这些简单的事情. Ty:令人惊讶的是,我的同行、信息安全部门和It部门在很长一段时间内都把责任推给了最终用户. 最终用户是, 现在有很多保护工具, 但在某些特定的时刻作为信息安全专家, 我们不能一直责怪他们. 你去上学是有原因的, 你教别人是有原因的, 我认为你能做的最重要的事情是积极主动地与人们交谈,告诉他们应该寻找什么. 如果他们真的出错了, 问他们从中学到了什么, 别在他们身上乱戳, 显然你必须注意. Ty:有些组织认为这是零和,你犯了一个错误,你就出局了. 我是一个坚定的信徒,我的导师曾经说过, “一旦一个错误, 两次模式, 三次行为.“我认为我们的工作是确保我们教育人们,这样它就不会成为一种行为. 道格:是啊. 好把. 我认为它类似于驾驶,当然其中一些是用户的错误,司机的错误. 如果我们做得足够到位, 让我们说一下护栏或安全功能, 无论是道路标记, 某些信号, 等等, 等等. 我们采取足够的安全措施,这样对大家都好. 听起来这在很多方面都很相似. Ty我很喜欢说, 我可能在之前采访你的时候说过, 道格, 看到一些, 说点什么. 道格:是啊.Ty:如果感觉很奇怪, 说点什么, 即使你不小心点开了, 早说和晚说. 这对一个组织的影响不亚于购买杀毒软件或反恶意软件, 如果你犯了一个错误,你说的早晚. 道格:是啊.Ty当前位置我父母过去常说,如果你说出真相,就会获得自由. 如果你迅速报告,我们就能相对迅速地做出反应,并有可能阻止许多破坏. 这确实有助于确保一切的核心, 通过人们使用的技术, 他们可以放心地与他们的IT或信息安全团队接触. 道格:是啊. 这是说得好. 我总是想到这句话,掩盖比犯罪严重很多倍,在这种情况下,犯罪可能是偶然的, 但不要试图隐藏它. Ty:没错. 完全. 道格:这会产生更多的问题. 在今天的环境中,什么是对你的典型业主管理企业最大的威胁? 这是网络钓鱼还是别的什么? Ty商务邮件泄露是最大的威胁向量攻击面. 每个人都在使用电子邮件. 威胁演员的模仿能力提高了很多. 事实上, 我的一个客户遭受了所谓的欺骗事件, 我给你们举过这个例子PDF链接在邮件正文中有人点击了它他们使用了一个类似于SurveyMonkey的调查网站看起来像微软要求你的微软证书. 放进去的人, 或者是用户输入的, 有几个人这样做了,然后它释放了, 它将证书交给了威胁行为者,并允许他们发出数千份证书, 垃圾邮件, 从客户的账户. Ty:现在, 这个客户做了正确的事情,终端用户也在那里, 这才是我真正想做的正确的事, 承认他们点击了一些东西, 说有什么不对劲,然后管理员就进来立刻关闭了. 在短短10分钟内,发送了3万多封电子邮件. 道格:那是疯狂的. 至少就像你说的,避免了更严重的潜在伤害. Ty:正确. 我们进行了事故响应, 我们在必威betway中文版的团队做到了, 首先要确保他们没有访问任何类型的数据, 他们想要做的只是一封电子邮件或收集一些证书, 这是纯粹的情况吗. 这里面有很多东西. Ty:你越早停止越好. 最后我想说我愿意, 网络钓鱼, 鱼叉式网络钓鱼, 你最大的威胁向量是什么. 我可能会说,第二点是关于你的网络的分割. 这就像是地球是平的理论, 许多小企业将会开业, 他们会从当地的百思买购买无线路由器,或者从互联网服务提供商那里购买. 这些都是可以的, 它们不一定是最安全的,如果你没有其他工具的话, 这只会让你更脆弱. 道格:是啊. 平坦的地球,现在不要像欧文那样对我. Mr. 平坦地球. Ty:是啊. 我不会那样对你的. 如果有的话,我可能会扮演德鲁叔叔的角色,就像在百事可乐的广告中那样. 道格:很好.Ty这与整个社会工程运动是一致的.道格如这就对了. 再讲一点, 你提到了事件应对, 我们已经谈了很多关于预防的事情. 谈谈你的反应,以及你和你的团队在这方面做了什么, 如果发生了什么事. Ty:是啊. 事件响应是相对的, 想想应对飓风和类似事件的应急人员, 你必须有一定程度的准备工具和材料. 一旦你进入一个环境,你需要能够识别发生了什么. 如果他们还没拔掉某个设备的插头的话, 你会允许他们与网络保持连接以便你能获得更多的法医信息吗? 还是你把插头拔掉? 或者从本质上说,你是否能确保特定设备不受网络其他部分的影响,这样威胁就不会扩散到这些边界之外? Ty然后你就进入了百战天龙,道奇·豪瑟的模式,围绕着法医道格:对.TyHouse可能更好.道格如这就对了.Ty:试图解决问题是什么. 有一些监护链的要素是你必须要做的. 你还必须考虑法律后果. 道格:好吧.Ty更重要的是,你必须确定,这仅仅是一个意外还是一个漏洞? 这两者是有区别的. 这意味着信息已经从您的业务环境中泄露给了威胁行为者. 这是一种全新的表现,你应该, 作为一个组织, 是否应该与法律顾问合作, 公共关系, 如果你够大的话, 这取决于您所拥有的信息和客户数据的大小和数量. 你也得开始看一看, 太, 您采取了哪些措施来保护那些被泄露的个人用户信息. 道格:哇. 这是令人着迷和复杂的东西, 我很高兴我们有你和必威betway中文版网络的团队来帮助客户和人们解决这个问题,因为我不知道如果没有你和我们团队的其他成员那样的专业知识,你怎么可能尝试管理它. 谢谢你. Ty如不用谢. 我只想说,这绝对是一个团队的努力,而事件响应是一个专长, 我不认为自己是最终的事件应对者. 我可以处理商业邮件的妥协, 我可能会在其他事情上帮助一个团队, 但当你想到肖恩·理查森, 他有应对事故的能力. 我们的团队中还有一些其他的资产,他们可以深入到一个组织中,并从法医学上提取出世界上最好的法律团队会很放心地使用的信息,如果他们不得不在法庭上使用,并且没有违反监管链. 道格:哇. 是的. 可怕的东西. 谢谢,泰. 感谢你们继续教育我,当然还有我们的观众和企业主们, 请不要犹豫联系泰和我们的网络团队. 他们的工作做得非常出色. 再次感谢. Ty: 谢谢道格. 我很感激. 道格: 绝对. 如果你想要更多的商业技巧和见解, 或听到以前不合适的片段, 在WWW上访问我们的播客页面.reacpa.Com/播客,当你在那里的时候,注册独家内容和展示笔记. 感谢收听本周的节目. 一定要订阅不适合的苹果播客, 谷歌的播客, 不管你现在在听我们说话, 包括YouTube. 我是道格·豪瑟,下周继续关注另一个不合适的节目
