S3 Ep142: ใส่ X ใน X-Ops

S3 Ep142: ใส่ X ใน X-Ops

ประทับเวลา: 6 กรกฎาคม 2023 3:58 น.
โหนดต้นทาง: 2756318
by พอล ดั๊กลิน

ใส่ X ใน X-OPS

อันดับแรกคือ DevOps จากนั้น SecOps จากนั้น DevSecOps หรือนั่นควรเป็น SecDevOps?

Paul Ducklin พูดคุยกับ Matt Holdcroft คนวงในของ Sophos X-Ops เกี่ยวกับวิธีทำให้ทีม “Ops” ขององค์กรทั้งหมดทำงานร่วมกันโดยมีความถูกต้องด้านความปลอดภัยในโลกไซเบอร์เป็นแนวทาง

ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์

โดย Paul Ducklin และ Matt Holdcroft เพลงอินโทรและอินโทรโดย อีดิธ มัดจ์.

สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ

อ่านข้อความถอดเสียง

เป็ด.  สวัสดีทุกคน.

ยินดีต้อนรับสู่พอดคาสต์ Naked Security

อย่างที่คุณได้ยิน ฉันไม่ใช่ดั๊ก ฉันคือดั๊ก

ดั๊กอยู่ในช่วงพักร้อนในสัปดาห์นี้ ดังนั้นฉันจึงเข้าร่วมในตอนนี้โดยเพื่อนระยะยาวของฉันและเพื่อนร่วมงานด้านความปลอดภัยในโลกไซเบอร์ แมตต์ โฮลด์ครอฟต์

Matt คุณและฉันย้อนกลับไปยังยุคแรกๆ ของ Sophos...

…และสาขาที่คุณทำงานอยู่ในตอนนี้คือส่วนความปลอดภัยทางไซเบอร์ของสิ่งที่เรียกว่า “DevSecOps”

เมื่อพูดถึง X-Ops คุณอาจหมายถึงค่า X ที่เป็นไปได้ทั้งหมด

บอกเราเกี่ยวกับวิธีที่คุณมาถึงจุดที่คุณอยู่ตอนนี้ เพราะมันเป็นเรื่องที่น่าสนใจ

แมท  งานแรกของฉันที่ Sophos คือผู้ดูแลระบบและนักพัฒนาของ Lotus Notes และฉันทำงานในห้อง Production Room ในขณะนั้น ดังนั้นฉันจึงต้องรับผิดชอบในการทำสำเนาฟล็อปปี้ดิสก์

นี่คือฟล็อปปี้ดิสก์จริง ๆ ที่คุณสามารถฟลอปได้!

เป็ด.  [เสียงหัวเราะดัง] ใช่ รุ่น 5.25 นิ้ว…

แมท  ใช่!

เมื่อก่อนมันง่าย

เรามีความปลอดภัยทางกายภาพ คุณสามารถเห็นเครือข่าย คุณรู้ว่าคอมพิวเตอร์เชื่อมต่อกับเครือข่ายเพราะมีสายเคเบิลออกมาจากด้านหลัง

(แม้ว่าจะไม่ได้เชื่อมต่อกับเครือข่ายเพราะมีคนทำเทอร์มิเนเตอร์ที่ปลายสาย [ของสายเคเบิล] หาย)

ดังนั้นเราจึงมีกฎง่ายๆ ที่ดีว่าใครจะไปที่ไหน ใครจะยึดอะไรไว้ในอะไร และชีวิตก็ค่อนข้างเรียบง่าย

เป็ด.  ทุกวันนี้แทบจะสวนทางกันแล้วไม่ใช่เหรอ?

หากคอมพิวเตอร์ไม่ได้อยู่ในเครือข่าย ก็จะไม่สามารถทำอะไรได้มากนักในแง่ของการช่วยให้บริษัทบรรลุเป้าหมาย และแทบจะถือว่าเป็นไปไม่ได้เลยที่จะจัดการ

เนื่องจากต้องสามารถเข้าถึงระบบคลาวด์เพื่อทำสิ่งที่เป็นประโยชน์ และคุณต้องสามารถเข้าถึงระบบดังกล่าวได้ในฐานะผู้ดำเนินการด้านความปลอดภัยผ่านทางระบบคลาวด์ เพื่อให้แน่ใจว่าทุกอย่างพร้อมสรรพ

มันเกือบจะเป็นสถานการณ์ Catch-22 ใช่ไหม?

แมท  ใช่.

มันพลิกอย่างสมบูรณ์

ใช่ คอมพิวเตอร์ที่ไม่ได้เชื่อมต่อจะปลอดภัย… แต่ก็ไร้ประโยชน์เช่นกัน เพราะไม่เป็นไปตามวัตถุประสงค์

จะดีกว่าถ้าออนไลน์อย่างต่อเนื่องเพื่อให้สามารถรับข้อมูลอัปเดตล่าสุดได้อย่างต่อเนื่อง และคุณสามารถจับตาดูมันได้ และรับการวัดและส่งข้อมูลทางไกลในชีวิตจริงจากมัน แทนที่จะต้องตรวจสอบอะไรทุกวัน

เป็ด.  อย่างที่คุณพูด เป็นเรื่องน่าขันที่การออนไลน์มีความเสี่ยงอย่างมาก แต่ก็เป็นวิธีเดียวที่จะจัดการกับความเสี่ยงนั้น โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ผู้คนไม่ได้มาที่สำนักงานทุกวัน

แมท  ใช่ แนวคิดของการนำอุปกรณ์มาเอง [BYOD] จะไม่บินกลับในวันนั้นใช่ไหม

แต่เราได้สร้างอุปกรณ์ของคุณเองเมื่อฉันเข้าร่วม Sophos

คุณต้องสั่งซื้อชิ้นส่วนและสร้างพีซีเครื่องแรกของคุณ

นั่นเป็นพิธีทาง!

เป็ด.  มันค่อนข้างดี…

…คุณเลือกได้ด้วยเหตุผลใช่ไหม

แมท  [หัวเราะ] ใช่!

เป็ด.  ฉันควรจะใช้พื้นที่ดิสก์น้อยลงสักหน่อย แล้วบางทีฉันอาจมี [เสียงละคร] แปดเมกะไบต์ของ RAM !!?!

แมท  มันเป็นยุคของ 486es, ฟล็อปปี้ดิสก์และแฟกซ์, ตอนที่เราเริ่มต้น, ใช่ไหม?

ฉันจำได้ว่า Pentiums รุ่นแรกเข้ามาในบริษัท และตอนนั้นก็ "ว้าว! ดูมัน!”

เป็ด.  เคล็ดลับยอดนิยมสามข้อของคุณสำหรับผู้ให้บริการความปลอดภัยทางไซเบอร์ในปัจจุบันคืออะไร?

เพราะมันแตกต่างจากแบบเก่ามาก “โอ้ ระวังมัลแวร์ด้วย แล้วเมื่อเราพบมัน เราจะไปล้างมัน”

แมท  สิ่งหนึ่งที่เปลี่ยนไปมากตั้งแต่นั้นมา พอล ก็คือ สมัยก่อน คุณมีเครื่องที่ติดเชื้อ และทุกคนก็หมดหวังที่จะให้เครื่องฆ่าเชื้อ

ไวรัสปฏิบัติการจะแพร่เชื้อ *ทั้งหมด* ของโปรแกรมปฏิบัติการในคอมพิวเตอร์ และการทำให้มันกลับเข้าสู่สถานะ "ดี" นั้นเป็นเรื่องที่จับจดจริงๆ เพราะถ้าคุณพลาดการติดไวรัสใดๆ ทันทีที่ไฟล์นั้นถูกเรียกใช้

และตอนนี้เรายังไม่มีลายเซ็นดิจิทัลและรายการสินค้าและอื่นๆ ที่คุณสามารถกลับไปสู่สถานะที่รู้จักได้

เป็ด.  ราวกับว่ามัลแวร์เป็นส่วนสำคัญของปัญหา เพราะผู้คนคาดหวังให้คุณทำความสะอาด และนำแมลงวันออกจากครีม จากนั้นส่งขวดครีมกลับมาและพูดว่า “ใช้งานได้อย่างปลอดภัยแล้ว ทุกคน ”

แมท  แรงจูงใจได้เปลี่ยนไปแล้ว เพราะในตอนนั้นผู้เขียนไวรัสต้องการแพร่เชื้อไปยังไฟล์ต่างๆ ให้มากที่สุดเท่าที่จะเป็นไปได้ โดยทั่วไปแล้วพวกเขามักจะทำเพื่อ "ความสนุก"

โดยที่ทุกวันนี้ต้องการยึดระบบ

ดังนั้นพวกเขาจึงไม่สนใจที่จะติดไวรัสทุกไฟล์ปฏิบัติการ

พวกเขาเพียงต้องการควบคุมคอมพิวเตอร์เครื่องนั้นไม่ว่าจะด้วยจุดประสงค์ใดก็ตาม

เป็ด.  ในความเป็นจริง อาจไม่มีไฟล์ที่ติดไวรัสระหว่างการโจมตีด้วยซ้ำ

พวกเขาสามารถเจาะเข้ามาได้เพราะพวกเขาซื้อรหัสผ่านจากใครบางคน และจากนั้น เมื่อพวกเขาเข้ามา แทนที่จะพูดว่า “เฮ้ ปล่อยให้ไวรัสหลุดออกจากการเตือนภัยทุกประเภท”...

…พวกเขาจะพูดว่า “ลองหาว่ามีเครื่องมือ sysadmin ฉลาดๆ อะไรบ้างที่เราสามารถใช้ในแบบที่ sysadmin ตัวจริงไม่เคยทำได้”

แมท  ในหลาย ๆ ด้าน มันไม่ได้เป็นอันตรายจริง ๆ จนกระทั่ง...

…ฉันจำได้ว่ารู้สึกตกใจเมื่ออ่านคำอธิบายของไวรัสที่เรียกว่า “Ripper”

แทนที่จะเพียงแค่ทำให้ไฟล์ติดไวรัส มันจะไปรอบ ๆ และบิดบิตในระบบของคุณอย่างเงียบ ๆ

ดังนั้น เมื่อเวลาผ่านไป ไฟล์ใดๆ หรือเซกเตอร์ใดๆ บนดิสก์ของคุณอาจเสียหายเล็กน้อย

หกเดือนหลังจากนั้น คุณอาจพบว่าระบบของคุณใช้งานไม่ได้ในทันที และคุณไม่มีทางรู้เลยว่ามีการเปลี่ยนแปลงอะไรบ้าง

ฉันจำได้ว่านั่นค่อนข้างน่าตกใจสำหรับฉัน เพราะก่อนหน้านั้น ไวรัสสร้างความรำคาญ บางคนมีแรงจูงใจทางการเมือง และบางคนเป็นเพียงคนทดลองและ "สนุกสนาน"

ไวรัสตัวแรกเขียนขึ้นเพื่อเป็นการฝึกปัญญา

และฉันจำได้ว่าในสมัยก่อน เราไม่เห็นวิธีสร้างรายได้จากการติดเชื้อ แม้ว่ามันจะน่ารำคาญก็ตาม เพราะคุณมีปัญหาในการ "จ่ายเข้าบัญชีธนาคารนี้" หรือ "ปล่อยให้เงินอยู่ภายใต้ หินก้อนนี้ในสวนสาธารณะในท้องถิ่น”…

…ซึ่งมักจะถูกเจ้าหน้าที่จับได้เสมอ

แน่นอนว่า Bitcoin ก็เข้ามา [หัวเราะ]

นั่นทำให้มัลแวร์ทั้งหมดทำงานได้ในเชิงพาณิชย์ ซึ่งจนถึงตอนนั้นก็ยังไม่เป็นเช่นนั้น

เป็ด.  ดังนั้นกลับไปที่เคล็ดลับยอดนิยมเหล่านั้น Matt!

คุณแนะนำอะไรในฐานะสามสิ่งที่ผู้ให้บริการความปลอดภัยทางไซเบอร์สามารถทำได้ซึ่งให้วงดนตรีที่ใหญ่ที่สุดสำหรับเจ้าชู้ หากคุณต้องการ

แมท  ตกลง

ทุกคนเคยได้ยินสิ่งนี้มาก่อน: ปะ.

คุณต้องแก้ไขและคุณต้องแก้ไขบ่อยๆ

ยิ่งปล่อยปะยางไว้นาน...ก็เหมือนไม่ไปหาหมอฟัน ยิ่งปล่อยไว้นานยิ่งแย่

คุณมีแนวโน้มที่จะพบกับการเปลี่ยนแปลงที่รุนแรง

แต่ถ้าคุณทำการแพตช์บ่อยๆ แม้ว่าคุณจะเจอปัญหา คุณก็อาจจะรับมือกับมันได้ และเมื่อเวลาผ่านไป คุณจะทำให้แอปพลิเคชันของคุณดีขึ้นอยู่ดี

เป็ด.  อันที่จริง การอัปเกรดจาก OpenSSL 3.0 เป็น 3.1 นั้นง่ายกว่าการอัปเกรดจาก OpenSSL 1.0.2 เป็น OpenSSL 3.1 มาก

แมท  และถ้ามีคนตรวจสอบสภาพแวดล้อมของคุณ และพวกเขาเห็นว่าคุณไม่อัปเดตแพตช์ของคุณให้ทันสมัยอยู่เสมอ... ก็คงเป็น "มีอะไรอีกบ้างที่เราสามารถใช้ประโยชน์ได้? มันคุ้มค่าที่จะดูอีกครั้ง!”

ในขณะที่คนที่ได้รับการแก้ไขอย่างสมบูรณ์ ... พวกเขาน่าจะอยู่เหนือสิ่งอื่นใด

ก็เหมือนเก่า Hitchhiker's Guide to the Galaxy: ตราบใดที่คุณมีผ้าเช็ดตัว พวกเขาถือว่าคุณมีอย่างอื่นครบแล้ว

ดังนั้น หากคุณได้รับการแพตช์อย่างสมบูรณ์ คุณก็น่าจะอยู่เหนือสิ่งอื่นใด

เป็ด.  เรากำลังแก้ไข

สิ่งที่สองที่เราต้องทำคืออะไร?

แมท  คุณสามารถแก้ไขสิ่งที่คุณรู้เท่านั้น

ดังนั้นสิ่งที่สองคือ: การตรวจสอบ.

คุณต้องรู้จักอสังหาริมทรัพย์ของคุณ

เท่าที่ทราบว่ามีอะไรทำงานอยู่ในเครื่องของคุณ เมื่อเร็ว ๆ นี้มีการใช้ความพยายามอย่างมากกับ SBOM รายการวัสดุซอฟต์แวร์

เพราะคนเข้าใจว่าเป็นลูกโซ่ทั้งหมด…

เป็ด.  แน่นอน!

แมท  ไม่ดีเลยที่จะได้รับการแจ้งเตือนว่า "มีช่องโหว่ในห้องสมุดแบบนี้" และคำตอบของคุณคือ "ตกลง ฉันจะทำอย่างไรกับความรู้นั้น"

รู้ว่าเครื่องไหนกำลังทำงานอยู่ และเครื่องเหล่านั้นกำลังทำงานอะไร...

…และนำกลับมาที่การแพตช์ “พวกเขาได้ติดตั้งแพตช์จริงหรือไม่”

เป็ด.  หรือมีมิจฉาชีพแอบเข้ามาแล้ว “อ๊ะ! พวกเขาคิดว่าพวกเขาได้รับการแก้ไขแล้ว ดังนั้นหากพวกเขาไม่ได้ตรวจสอบซ้ำอีกครั้งว่าพวกเขายังคงได้รับแพทช์อยู่ บางทีฉันอาจดาวน์เกรดระบบใดระบบหนึ่งเหล่านี้และเปิดประตูลับๆ ให้กับตัวเองอีก เพราะพวกเขาคิดว่าพวกเขามีปัญหา จัดเรียง”

ดังนั้นฉันจึงเดาถ้อยคำที่เบื่อหูว่า "วัดผลเสมอ อย่าคิดไปเอง"

ตอนนี้ฉันคิดว่าฉันรู้แล้วว่าเคล็ดลับข้อที่สามของคุณคืออะไร และฉันเดาว่ามันคงยากที่สุด/เป็นที่ถกเถียงกันมากที่สุด

ให้ฉันดูว่าฉันพูดถูกไหม… มันคืออะไร?

แมท  ฉันจะบอกว่ามันคือ: ฆ่า. (หรือ เฟ้นหา.)

เมื่อเวลาผ่านไป ระบบต่างๆ ก็สะสม... พวกมันถูกออกแบบและสร้างขึ้น และผู้คนก็ก้าวต่อไป

เป็ด.  [เสียงหัวเราะ] ด่วน! [เสียงหัวเราะดังขึ้น]

เรียงเหมือนกลายเป็นปูน…

แมท  หรือเพรียง…

เป็ด.  ใช่! [หัวเราะ]

แมท  Barnacles บนเรือลำใหญ่ของบริษัทคุณ

พวกเขาอาจจะทำงานที่เป็นประโยชน์ แต่พวกเขาอาจจะทำด้วยเทคโนโลยีที่เป็นที่นิยมเมื่อห้าปีที่แล้วหรือสิบปีที่แล้วเมื่อระบบได้รับการออกแบบ

เราทุกคนรู้ว่านักพัฒนาชื่นชอบชุดเครื่องมือใหม่หรือภาษาใหม่อย่างไร

เมื่อคุณตรวจสอบ คุณต้องจับตาดูสิ่งเหล่านี้ และถ้าระบบนั้นเริ่มเข้าที่เข้าทาง คุณต้องตัดสินใจอย่างหนักและกำจัดมันทิ้งไป

และเช่นเดียวกับการแพตช์ ยิ่งคุณปล่อยไว้นานเท่าไหร่ คุณก็ยิ่งมีโอกาสที่จะหันกลับมาและพูดว่า “ระบบนั้นทำอะไรได้บ้าง”

เป็นสิ่งสำคัญมากที่ต้องคิดอยู่เสมอ วงจรชีวิต เมื่อคุณติดตั้งระบบใหม่

ลองคิดดูว่า “ตกลง นี่คือเวอร์ชัน 1 ของฉัน แต่ฉันจะฆ่ามันได้อย่างไร เมื่อไหร่จะตาย”

ใส่ความคาดหวังบางอย่างสำหรับธุรกิจ สำหรับลูกค้าภายในของคุณ และเช่นเดียวกันกับลูกค้าภายนอกเช่นกัน

เป็ด.  แมตต์ คุณมีคำแนะนำอย่างไรสำหรับสิ่งที่ฉันทราบว่าอาจเป็นงานที่ยากมากสำหรับคนที่อยู่ในทีมรักษาความปลอดภัย (โดยปกติแล้วสิ่งนี้จะยากขึ้นเมื่อบริษัทมีขนาดใหญ่ขึ้น) เพื่อช่วยพวกเขาขายไอเดีย

ตัวอย่างเช่น “คุณไม่ได้รับอนุญาตให้เขียนโค้ดด้วย OpenSSL 1 อีกต่อไป คุณต้องเปลี่ยนไปใช้เวอร์ชัน 3 ฉันไม่สนใจหรอกว่ามันจะยากแค่ไหน!”

คุณจะรับข้อความนั้นได้อย่างไรเมื่อคนอื่นๆ ในบริษัทกำลังกดดันคุณ

แมท  ก่อนอื่น… คุณไม่สามารถกำหนดได้

คุณต้องให้มาตรฐานที่ชัดเจนและต้องมีการอธิบาย

ยอดขายที่คุณได้เพราะเราจัดส่งก่อนเวลาโดยไม่ได้แก้ไขปัญหาใช่หรือไม่?

มันจะถูกบดบังด้วยการประชาสัมพันธ์ที่ไม่ดีว่าเรามีช่องโหว่หรือเรามาพร้อมกับช่องโหว่

การป้องกันย่อมดีกว่าการแก้ไขเสมอ

เป็ด.  แน่นอน!

แมท  ฉันเข้าใจทั้งสองฝ่ายว่ามันยาก

แต่ยิ่งปล่อยไว้นาน ยิ่งเปลี่ยนยาก

การตั้งค่าสิ่งเหล่านี้ด้วย "ฉันจะใช้เวอร์ชันนี้แล้วฉันจะตั้งค่าและลืม"?

ไม่มี!

คุณต้องดู codebase ของคุณ และรู้ว่ามีอะไรอยู่ใน codebase ของคุณ และพูดว่า “ฉันพึ่งไลบรารีเหล่านี้ ฉันพึ่งโปรแกรมอรรถประโยชน์เหล่านี้” และอื่นๆ

และคุณต้องพูดว่า “คุณต้องตระหนักว่าสิ่งเหล่านั้นทั้งหมดสามารถเปลี่ยนแปลงได้ และเผชิญหน้ากับมัน”

เป็ด.  ฟังดูเหมือนคุณกำลังบอกว่ากฎหมายเริ่มบอกผู้จำหน่ายซอฟต์แวร์ว่าพวกเขาต้องจัดทำ Software Bill of Materials (SBOM ตามที่คุณกล่าวถึงก่อนหน้านี้) หรือไม่...

…คุณจำเป็นต้องรักษาสิ่งนี้ไว้ภายในองค์กรของคุณจริงๆ อยู่ดี เพื่อให้คุณสามารถวัดได้ว่าคุณยืนอยู่จุดใดบนพื้นฐานความปลอดภัยทางไซเบอร์

แมท  คุณไม่สามารถตอบสนองต่อสิ่งเหล่านั้นได้

มันไม่ดีเลยที่จะพูดว่า “ช่องโหว่นั้นถูกสาดกระจายไปทั่วสื่อเมื่อเดือนที่แล้ว? ตอนนี้เราได้ข้อสรุปแล้วว่าเราปลอดภัย”

[เสียงหัวเราะ] นั่นไม่ดีเลย! [หัวเราะมากขึ้น]

ความจริงก็คือทุกคนจะถูกโจมตีด้วยการต่อสู้อย่างบ้าคลั่งเหล่านี้เพื่อแก้ไขช่องโหว่

มีบางสิ่งที่ยิ่งใหญ่บนขอบฟ้าซึ่งอาจมีสิ่งต่าง ๆ เช่นการเข้ารหัส

สักวันหนึ่ง NIST อาจประกาศว่า “เราไม่ไว้วางใจสิ่งใดที่เกี่ยวข้องกับ RSA อีกต่อไป”

และทุกคนจะลงเรือลำเดียวกัน ทุกคนจะต้องแย่งกันใช้การเข้ารหัสแบบใหม่ที่ปลอดภัยด้วยควอนตัม

เมื่อถึงจุดนั้น มันจะเป็น "คุณจะแก้ไขได้เร็วแค่ไหน"

ทุกคนจะทำสิ่งเดียวกัน

หากคุณเตรียมพร้อมสำหรับมัน ถ้าคุณรู้ว่าต้องทำอะไร ถ้าคุณมีความเข้าใจที่ดีเกี่ยวกับโครงสร้างพื้นฐานและโค้ดของคุณ...

…ถ้าคุณสามารถออกไปที่จุดนั้นและพูดว่า “เราทำได้ในไม่กี่วันแทนที่จะเป็นสัปดาห์”?

นั่นเป็นข้อได้เปรียบทางการค้าและเป็นสิ่งที่ถูกต้อง

เป็ด.  ดังนั้น ให้ฉันสรุปเคล็ดลับยอดนิยมสามข้อของคุณออกเป็นสี่ข้อ และดูว่าฉันเข้าใจถูกต้องหรือไม่

เคล็ดลับ 1 เก่าดี ปะก่อน; ปะบ่อยๆ

การรอสองเดือน เหมือนที่ผู้คนเคยย้อนกลับไปในสมัย ​​Wannacry… นั่นไม่น่าพอใจเมื่อหกปีที่แล้ว และแน่นอนว่ามันไกล นานเกินไปในปี 2023

แม้แต่สองสัปดาห์ก็นานเกินไป คุณต้องคิดว่า “ถ้าฉันต้องทำสิ่งนี้ในสองวัน ฉันจะทำได้อย่างไร”

เคล็ดลับที่ 2 คือ การตรวจสอบ หรือในคำพูดที่ซ้ำซากจำเจของฉัน "วัดผลเสมอ ไม่ถือว่า"

ด้วยวิธีนี้ คุณจะมั่นใจได้ว่าแพตช์ที่ควรมีอยู่มีอยู่จริง และเพื่อให้คุณสามารถค้นหา "เซิร์ฟเวอร์ในตู้ใต้บันได" เหล่านั้นที่ใครบางคนลืมไปแล้ว

เคล็ดลับที่ 3 คือ ฆ่า/คัด, หมายความว่าคุณสร้างวัฒนธรรมที่คุณสามารถกำจัดผลิตภัณฑ์ที่ไม่เหมาะสมกับวัตถุประสงค์อีกต่อไป

และตัวช่วยเสริม เคล็ดลับที่ 4 ก็คือ มีความว่องไว เพื่อที่เมื่อช่วงเวลาฆ่า/คัดมาถึง คุณจะทำได้เร็วกว่าคนอื่นๆ

เพราะนั่นเป็นสิ่งที่ดีสำหรับลูกค้าของคุณ และยังทำให้คุณ (อย่างที่คุณพูด) ได้เปรียบทางการค้าอีกด้วย

มันถูกต้องแล้วเหรอ?

แมท  ฟังดูเหมือน!

เป็ด.  [ชัยชนะ] สี่สิ่งง่ายๆ ที่ต้องทำในบ่ายวันนี้ [หัวเราะ]

แมท  ใช่! [หัวเราะมากขึ้น]

เป็ด.  เช่นเดียวกับการรักษาความปลอดภัยทางไซเบอร์โดยทั่วไป พวกเขาคือการเดินทาง ไม่ใช่หรือ ไม่ใช่จุดหมายปลายทาง?

แมท  ใช่!

และอย่าให้ "ดีที่สุด" เป็นศัตรูกับ "ดีกว่า" (หรือ "ดี")

ดังนั้น ...

ปะ.

หน้าจอ

ฆ่า. (หรือ เฟ้นหา.)

และ: มีความว่องไว…เตรียมพร้อมสำหรับการเปลี่ยนแปลง

เป็ด.  แมตต์ นั่นเป็นวิธีที่ดีในการจบ

ขอบคุณมากสำหรับการก้าวขึ้นไปที่ไมโครโฟนในเวลาอันสั้น

เช่นเคย สำหรับผู้ฟังของเรา หากคุณมีความคิดเห็นใดๆ คุณสามารถแสดงความคิดเห็นได้ที่ไซต์ Naked Security หรือติดต่อเราทางโซเชียล: @nakedsecurity

ตอนนี้เหลือเพียงฉันที่จะพูดเหมือนเคย: จนกว่าจะถึงครั้งต่อไป…

ทั้งสอง  รักษาความปลอดภัย!

[โมเด็มดนตรี]

ประทับเวลา:

เพิ่มเติมจาก ความปลอดภัยเปล่า