ベッキー・ブラッケン
こんにちは、Dark Reading Confidentialへようこそ。これはDark Readingの編集者によるポッドキャストで、サイバーの最前線から直接の実話をお届けします。ホストのベッキー・ブラッケンです。本日は、サイバーがいかにしてハッカー精神を取り戻せるかについて語るために、2人の素晴らしいゲストをお迎えしました。元10代ハッカーでサイバーセキュリティのベンチャーキャピタリストであるマイケル・コーツ氏をお迎えします。彼はまた、Twitter、Mozilla、CoinListの元最高情報セキュリティ責任者(CISO)であり、元OWASP会長でもあります。また、Remedio社のCEOであり、元10代ハッカーのタル・コレンダー氏もお迎えします。ハッカーのマインドセットとは何か、なぜそれが少し失われてしまったのか、そしてなぜ私がサイバーセキュリティ分野全体で話す多くのリーダーたちが、この集団的ハッカー精神の喪失を嘆いているように見えるのかをよりよく理解するために、お二人をお招きしました。マイケルさん、タルさん、ようこそ。
マイケル・コーツ
お招きいただきありがとうございます。
タル・コレンダー
ありがとうございます。
ベッキー・ブラッケン
お二人は、サイバーセキュリティ分野における究極のハッカーからスーツ族への転身者とも言えます。10代のハッカーから組織図のトップまで、大まかにどのような道のりを歩んでこられたのか、また、それがあなたの仕事にどのようにもたらされたのかを説明していただけますか。マイケルさんから始めましょう。
マイケル・コーツ
その質問に答えようとして考えたとき、最初の仕事は何だったかと思いましたが、実際にはそこから始まったのではないことに気づきました。ハッカーやセキュリティ専門家になるマインドセットは、いじくり回す人の心から始まると思います。小学校時代にさかのぼり、最初のコンピュータを手に入れて、それを分解し、ビデオゲームが動くようにブートシーケンスを書き換え、すべての実行ファイルが何をするのかを理解するために、それぞれを実行して出力を見ました。それは私の教育と成長を通じて進化しました。ですから、それは物事がどのように機能するかを理解したいという、心の底にあるいじくり回す精神から始まると思います。
それは私にとってコンピュータへの愛情に進化し、人生で何をしたいのかわからなかったけれど、それにはコンピュータとソフトウェアが関わっていることは知っていたので、コンピュータサイエンスの学位を取得しました。大学の最後の数年になって初めて、この分野でキャリアの機会があることを知りました。それは後にサイバーセキュリティとして知られるようになります。当時は、良い名前さえなかったと思います。2000年代初頭に大学で利用可能だった2つのコースだけを受講しました。
最初の仕事は合法的な雇われハッカーでした。毎週、銀行、政府機関、通信会社に侵入し、彼らのシステムをどのように侵害したかを示し、それを修正するために何をすべきかを示すというものでした。手を洗ってまたやり直しました。それは、何が可能かというこの精神性への素晴らしい基礎でした。自分にとって意味をなさない新しい技術に飛び込み、それを理解し、欠陥を見つけ、そして20代で取締役会の前に座り、自分を守り、自分がしていることに信念を持つことでした。本当に魅力的なスタートでした。それ以降、もっと多くのことを話せますが、それが物事を分解し、どのように機能するか、どのように壊れるかを見つけ、そこから進んでいくというこのマインドセットの基礎になったと思います。
ベッキー・ブラッケン
あなたの経験もそれに似ていましたか?同じようないじくり回す人でしたか?
タル・コレンダー
私の場合は、最初のコンピュータを手に入れたときに始まりました。でもその数年後、56Kモデムを手に入れて、最初のインターネットゲームができるようになりました。私はある特定のインターネットフラッシュゲームがとても上手で、勝つつもりでした。みんなに「すごい、この賞品を勝ち取るよ」と言いました。当時はフーズボールテーブルでした。絶対に勝つと自信を持っていて、みんなに家に来て遊ぼうと言いました。でも翌日目が覚めたら、2位になっていました。信じられませんでした。圧倒的に一番上手だったからです。私を負かした人は何百万ポイントも上にいて、すぐに意味をなさないことがわかりました。彼はチートしたに違いありません。
私は負けるのが嫌いというか、実際には負けるのが嫌いというより勝つのが好きなので、とても興味を持ちました。彼ができるなら、私にもできます。それが始まりでした。ハードウェアには行きませんでしたが、ソフトウェアに進みました。すべてのゲームに毎回勝つ最良の方法を見つけたかったのです。しばらくして、私は女性版ロビンフッドと呼ばれるようになりました。当時はとてもクールでした。
それから自分のビジネスを始めました。18歳になる前に最初の100万ドルを稼ぎました。イスラエルでは軍隊に行かなければならないので、戦闘機パイロットコースから始め、その後いくつかのコンピュータ部隊に進みました。私を目覚めさせたのは、その金額を稼いだ後、月に100ドルの給料をもらわなければならなかったことです。でも、やらなければならないからやっただけで、私は自分の国を愛しています。その直後、大学や大学の学位なしで、コンピュータの世界に直行しました。それが私のキャリアの始まりでした。
ベッキー・ブラッケン
お二人とも、きっかけは違っていたとおっしゃっています。いじくり回すこと対競争ですが、早い段階で認識したのは、これらのコンピュータがどのように機能するか、そしてそれらに自分が望むことをさせる方法を理解することへの情熱でした。なぜハッカーのルーツから遠ざかっていると思われますか、あるいはそう思われますか?採用マネージャーが、コンピュータが得意で良いキャリアを望んでいるが、必ずしも同じ種類の情熱を持っていない人々を獲得することについて話すのを聞きます。それについてどう思われますか、マイケルさん?
マイケル・コーツ
それは業界が成長していることを多く示していると思いますし、これらのいくつかは成長痛です。私たちが始めたとき、それは確立された業界ではありませんでした。最高セキュリティ責任者の役割はありませんでした。存在しませんでした。サイバーセキュリティチームという概念は、IT担当者がセキュリティについて何か知っているかどうかであり、それで終わりでした。私たちがそこからどれだけ進歩してきたかがわかります。当然、最初は興味と情熱から人々がそれに引き寄せられました。一日8時間の仕事時間中だけでなく、一日中これをやるのが好きな、深い実践的な専門家がいました。それが文化を育み、多くの人々がそれに引き寄せられました。
成長するにつれて、いくつかのことが起こりました。その中には非常に良いものもあります。私たちは思考においてより体系的である必要があり、そこでリスク管理側が重要になりました。これらの個々の欠陥を見つけるのは素晴らしいことですが、これについて体系的に考えていますか?これは良いリスク管理プログラムですか?これは1つの問題ですが、他の58の問題についてはどうですか?どれがより重要ですか?それによって、より多くのリスク思考が必要になるというサイクルに入りました。技術的な専門知識と深さはそれほど必要ではないかもしれませんが、より広範なカバレッジが必要です。それは間違っているとは思いませんが、今では多くの人々がこれを素晴らしい職業と見なしています。そしてそれはそうです。ですから、「これは私がやるべき道です。これは私にとって素晴らしい仕事になるでしょう」と言って入ってくる人々がいます。それは素晴らしいことです。そういう人たちもいます。
技術的な興奮とハッカー精神を失っているわけではありません。私たちはより大きく成長していて、テントの下により多くの人々がいるということです。さまざまな陣営にはるかに多くの人々がいて、誰もがその場所を持っているところを見始める必要があります。
ベッキー・ブラッケン
興味深いですね。初期は同じ考えを持つ愛好家のクラブのようなものだったからです。また、このセクターは、振り返ることができる古き良き時代があると言える段階まで成長しています。それもその一部です。タルさん、どう思われますか?
タル・コレンダー
今日では、20年前から始めさせてください。20年以上前は、サイバーは何もありませんでしたよね?20年ほど前は、すべてがITの下にありました。そして、それは何かセキュリティと呼ばれていました。その後、それはサイバーセキュリティ、さまざまなチームに進化しました。そして、サイバーセキュリティから、SecOpsやSOCなど、非常に多くの他のチームが生まれました。
そして明らかに、時間とともに非常に成熟しました。私が言いたい唯一のことは、今日、サイバーセキュリティとすべてが進化しましたが、それは進化し、スケールしました。劇的にスケールしましたが、すべてが解決ではなく可視性により多く向けられました。そして今日まで、多くのソリューションが何が間違っているかをリスク管理に戻して教えてくれますが、リスクを教えてくれますが、リスクに対処しません。何をする必要があるかを教えてくれますが、それに対処せず、XやYやZを実行する場合の影響がわかりません。そしてそれが主な問題の1つです。なぜなら、これは実際に今2つの異なるチームについて話しているからです。セキュリティは見るべきで、ITは行うべきです。そして、今、私は可視性ツールを持っていて、通常、ITにそれらのことをしてもらいたいのですが、そこに痛点があり、可視性を与えるだけでなく、それに対処したり、それのための解決策を持ったり、物事を修復したりする必要がある橋またはギャップがあります。
マイケル・コーツ
これが思い起こさせる興味深いことがあります。Twitterでの時代から過去10年間で進歩したことを見てきましたが、これは責任のサイロという概念の中にあります。例えば、セキュリティとITが出てきて、もともとは一緒でした。セキュリティが存在しなかったからです。それから、タルさんの指摘のように、セキュリティとITは2つの別々のものになりました。セキュリティは問題を見つけるようなものです。ITは問題を修正するかもしれませんが、ITはまたすべてを機能させています。そして何年もの間、私たちはこの衝突がありました。このようなものを修正すべきです。そして、私たちはラップトップを配ったり、みんなが仕事をできるようにしたりするのに忙しいです。これが今、収束しつつあると思います。より多くの会社が実際にこれらのチームを一緒にし、ITをセキュリティに報告させているのを見ます。そして、それは機能しなければならず、安全でなければならないという基本的なポイントを強制しています。それを理解してください。あなたは1つのチームです。そして、これはリスク管理が重要な部分であるというこのハッカー精神に戻ります。問題を見つける別のものですが、すべてをまとめて実際に安全なビジネスを前進させる必要があります。
ベッキー・ブラッケン
これを聞いて、重要な問題解決の精神、問題に取り組む好奇心と興味についてです。セキュリティは今でもそのようなタイプの人々を引き付けていますか?サイバーセキュリティ専門家のための正式な道はなかったとおっしゃっていましたが、今日それは確かにそうではありません。つまり、大学のプログラムや認定資格、そして人々が教室での経験を得ることができる多くの方法があります。いじくり回したり競争したりして食物連鎖を上がってきたハッカーを雇っているパイプラインはまだありますか?それはまだ実行可能な道ですか?
タル・コレンダー
もし私が飛び込んでもいいなら、ご存知のように、NSOのような多くの会社がまだあります。結局のところ、あなたはハッキングツールを構築しています。ですから、時々、そのような人々を雇いたいかどうかについてグレーゾーンがあります。最終的には、すべてあなたの会社の評判についてです。あなたの最終目的は何ですか?あなたの最終目標は何ですか?つまり、CEOやVP R&Dを雇うつもりですか?それは本当に、本当に依存します。なぜなら、調査を行っているすべての人は、すべての弱点を正確に知っていて、あなたを助ける方法を知っているからです。ですから、10代のハッカーとして私に聞くなら、つまり、私はたくさんのお金を稼ぎました。とても若かったので、とても幸せでした。そして、この道を続けるとは思いません。ちなみに、おそらくもっとたくさんのお金を稼げたかもしれませんが、危険になります。そしてもう1つの部分は、今日ハッカーがしていることが好きではありません。彼らは単に、残念ながら侵入する正当な理由がないものに侵入します。病院のように。なぜ人々を殺したいのですか?そして、これらの悲惨な人々や他の人々を苦しめるために、電力全体などを止めるのですか?そして結局のところ、あなたは本当に必要としています。まだ自分の中に良いものを持っていて、本当に反対側に移りたいと思っている人々が必要です。時々あなたは橋の上にいて、本当に何をすべきかわかりません。私は言いたいのは、それは確かに個人によると思います。それは何か、白黒ではありません。私はすべての人を受け入れるわけではありません。つまり、ただそのように誰でも受け入れるわけではありません。そして、彼らを受け入れないことを決めません。ですから、それは確かに依存します。それが私の答えです。
ベッキー・ブラッケン
本当に興味深い指摘です。ハッカーの性質が変わったということです。マイケルさんも同じように見ていますか?
マイケル・コーツ
少し違う方向で話しますが、ハッカーという用語は、世界のどこにいるかによって、異なることを意味する可能性があるからです。ある文脈では、グレーまたは悪意のある意図を持つ不正な個人を意味する可能性があります。そして別のマインドセットから、確かにシリコンバレーの視点からは、ハッカーは技術がどのように機能するかを理解しようとする非常に創造的ないじくり回す人です。これをサイバーセキュリティの文脈で見ると、この分野に入りたいと思う個人にとって、この創造的ないじくり回すマインドセットを持っている人々にとって、まだ多くの異なる道が利用可能だと思います。そして、サイバーセキュリティがどのように進化したかについて興味深いのは何だと思います。
そして、これは再び、私がTwitterでチームを構築した方法で非常に見たものですが、技術分野の基本的なスキルセットがあります。そしてその上に、セキュリティの専門性を追加します。私がセキュリティ組織に連れてきた最高の人々の何人かは、すでにエンジニアリング開発チームから出ていました。彼らはすでにコーディング方法を知っていました。そして、私たちは彼らにサイバーセキュリティの独自の部分、このように物事を見る方法、設計パターン、OWASPトップ10などを教えていました。そして彼らはAppSecチームで最高でした。同様に、ITやDevOpsから人々を獲得し、セキュリティに関する増分的な部分とOS強化、ネットワークセキュリティを教えれば、彼らはそれらのチームで最高の人々になるでしょう。そして、3番目の例として、私たちはプログラムから個人を連れてきました。おそらく彼らのような多くのプログラムがありますが、彼らにエールを送ります。それはYear Upと呼ばれています。ヨーロッパではなく、Year Upです。そして、それは技術に興味を持つ人々を取り、セキュリティスキルを教え、セキュリティアナリストレベル1タイプの役割を与えるブリッジプログラムです。ですから、私たちはそれらを連れてきました。ですから、サイバーセキュリティ分野に入りたいという欲求を持ち、何らかの異なる基本スキルを持つ人々を獲得できるすべてのこれらの異なる道があります。あなたの元の質問に対して、彼らは非常にそこにいると思いますし、それは人とそのスキルをサイバーセキュリティ職業の道とマッチングすることについてです。
ベッキー・ブラッケン
それは私の次の質問に完璧につながります。そして、もし私が現在のサイバーセキュリティリーダーで、私たちがそれから遠ざかっていると感じているなら。そして、ハッカー精神は、物事がどのように機能するか、物事の本質への情熱を意味するだけかもしれません。特に、CISO役割が過去数年間で打撃を受けてきたことを考えると、どのようにしてその種の精神を私のチームに注入できますか?士気はおそらく全体的な問題だと思いますが、どのようにして基本に戻り、チームにも同じことをさせますか?
マイケル・コーツ
ええ、確かに。私たちは根本的な技術の変化を経験しているので、今はこれまで以上に重要だと思います。つまり、今週、今月、あるいは今日でさえ、誰かが私たちの話を聞いているときに、AIがすべてを変えていると言う最初の人間ではありません。しかし、事実は、セキュリティチームとして、あなたの会社のすべての人がエンジニアから非エンジニアまで、それを常にいじくり回すべきだということです。財務はソフトウェアをバイブコードし、おそらく彼らはすでに今そうしています。
ですから、セキュリティ担当者としてそれに先んじるためには、すべてがどのように機能するかを理解しなければなりません。そうすれば、さて、今あなたが達成しようとしていることを見て、何がどこに行くのか、どこに信頼境界がある可能性があるか、またはないかを言い始めることができます。ビジネスが望むものを与え、それを安全に行う興味深い技術的アプローチを構築し始めることができます。そしてこれを行う唯一の方法は、そしてこれはサイバーセキュリティにとって長い間真実でしたが、この技術スタックを上から下まで理解することです。ですから、根本的な変化があり、手を汚さなければなりません。すべてのセキュリティチームは、できる限り多くを学ぶためにできることをすべて使用すべきです。そうでなければ、あなたはただ暗闇に置き去りにされます。理解できないでしょう。複雑なパスワードのような10年前の基準を説いているでしょう。みんながまだやっていますが、それはほとんど論破されています。しかし、あなたはAIの世界でそのマインドセットにいて、すべてがあなたを置き去りにするでしょう。
タル・コレンダー
同意します。それに加えて2つのことがあります。第一に、セキュリティの世界に来る人は誰でも、ネットワーキング、インフラストラクチャなど、他の何かの理解を持っている必要があると信じています。少なくとも何らかの良い基盤を持って来る必要があります。そして、セキュリティはただその上にあります。それが1つです。もう1つは、人々が理解する必要があることは、ハッカーは、あなたがおそらく世界中のツールセット全体を持っているであろうことを知っているということです。おそらくそれが彼らのアプローチです。OK、あなたはすべてを持っています。しかし、あなたはそれらのことを修正しません。そして、あなたはより多くのアラートとより多くのアラートとより多くのアラートを与えるより多くのシステムを手に入れます。そして、それらのどれも修正されていません。ですから、それを利用するのはとても簡単です。そして、あなたがダッシュボードまたはダッシュボードを持っている方法は重要ではありませんが、より多くのアラートが表示され、それらが対処されるべきキューにあったとしても、十分に速く対処されず、自動化と修復の欠如はどこでも欠けており、多くの手作業がまだ今日行われています。AIがあるかないかに関係なく、AIで本当にできないことがいくつかあります。まだAIがそれほど成熟していない場所がいくつかあり、これが業界に大きなギャップがあると私が信じている場所です。
ベッキー・ブラッケン
それは興味深い指摘です。なぜなら、明らかに私たちは皆AIについてたくさん考えてきましたが、コーディングが必ずしも重要なスキルセットではない新しい世界では、これらの技術的なことの多くで、つまり、批判的思考、問題解決、解決策にたどり着くことへの情熱に帰着するのでしょうか?サイバーワーカーにとってそれがさらにプレミアムになる世界はありますか?
マイケル・コーツ
つまり、批判的思考は常にトップ項目になると思います。物事が変化し、異なるレベルで抽象化される一方で、つまり、私たちは人々にバイナリを頭の上から読む能力をクイズしていません。それは抽象化されてきたからです。定期的にコードを書く必要がないかもしれませんが、Webリクエストがどのように機能するか、舞台裏で何が起こっているか、DNSがどのように機能するか、ARPスプーフィングとは何か、なぜそれが重要なのか、これらすべての部分を理解する必要があります。そうすれば、批判的思考ができ、さて、今これに接続されたこの新しいパラダイムで、再びこの信頼境界があるかないか、何が重要で、私たちが愚かな決定をしないために、または私たちが必要とするものに対して機能しないかもしれないベンダーソリューションを盲目的に信頼しないために、何をする必要があるかを言うことができます。ですから、はい、批判的思考はそこにありますが、それを行うには、深さを持ち、ドメインエキスパートであるチームの個人を持っている必要があります。技術的な部分への感謝と、押し戻して質問する能力を持つトップのリーダーが必要です。あなたが部屋の技術者であるなら、あなたは良いサイバーセキュリティリーダーにはなれません。それはあなたがひどく雇ったことを意味します。また、あなたがすべてを盲目的に信頼するなら、あなたは良いリーダーにもなれません。彼らは最適化する異なるものを持っているからです。彼らが探していないかもしれない異なる領域です。あなたは押し戻さなければならず、それを行うことができるための技術的適性と背景を持っている必要があります。
タル・コレンダー
私はあなたに同意します。それは以前あなたが言ったことにも関連しています。基本を知らず、人々はAIに行こう、クラウドに行こう、AIなしで非常に多くの新しい利点に行こうと非常に速く進んでいます。でも、なぜ私はデバイスやオンプレミスや、すでに持っているものを離れて、他のクールな技術を見たいのですか。それは大丈夫です、誤解しないでください。でも、最終的に、それは、つまり、あなたはおそらく大企業にいて、最も貴重なものはネットワーク内に、そして実際にはオンプレミスのインフラストラクチャ内に存在します。そして、ええ、つまり、そこに素晴らしい技術がありますが、常に基本に戻ってください。自分自身に、ボトムアップでそれを行い、正しく構築したかどうかを尋ねてください。
ベッキー・ブラッケン
そして、ハッカー精神では、この種の情熱は、取締役会室にどのように変換されますか?それは、もしあなたが取締役会の前に行くなら、多くのセキュリティ担当者が徐々に、特にAIの出現とともに、取締役会のテーブルで席を見つけていると思います。そして、私は疑問に思っています、それはあなたに不利に働くポイントですか?これは、そしてあなたも言いました、もしあなたが完全に技術的な人をCISOとして持っているなら、おそらくひどく雇ったでしょう。そのハック精神の上に重ねる必要があるスキルセットは何ですか?私は、それが取締役会に送ることができる最高の人の重要な部分であると仮定しますが、それがすべてですか?本当に最高の取締役会のテーブルで初めて席を見つけるこれらの人々にどのようなアドバイスを与えていますか?
マイケル・コーツ
本当に良い質問です。そして、これまで技術的な深さへの感謝とそれがいかに重要かについてこのポイントまで話してきたので、興味深いと思います。そして、それはすべて真実です。しかし、CISO役割にいる自分を見つけたとき、ビジネスへの大きな感謝でそれを反映させなければなりません。そして、ビジネスの成功を促進するもの、P&Lに影響を与えるもの、さまざまなビジネスリーダーが成功するために必要なもの、彼らの目標は何かを理解するために、多くの時間を費やすべきです。取締役会の前に座るとき、彼らが最後に聞きたいことはCVE、バッファオーバーフローです。彼らは技術的なことを何も聞きたくありません。そして、私が見つけたのは、取締役会にどのように提示するかについての設定された道はないということです。私は何百人ものCISOのグループにいて、これを提起します。私は取締役会に提示するつもりです。何を言うべきですか?そして、私は、まあ、それは変わります。毎回変わります。ですから、それはあなたの取締役会にとって何が重要かについてです。しかし、彼らが知りたいのは、そしてこれはリスク側に入っていますが、私たちがどのような技術リスクを持っているか、そしてそれがビジネスに影響を与えることにどのように変換されるかです。1つの簡単な話をします。
どのようにしてこれを推進したか。Twitterにいたとき、非常に重要な脆弱性がある非常に特定の領域で技術的変更に影響を与えたかったのです。そして、私は取締役会に行きましたが、私がしなかったことは、それらの脆弱性について話すことでした。代わりに、私がしたことは、彼らにシナリオを与えることでした。想像してください、世界の人を選んでください、Twitterプラットフォーム上にいる世界の非常に著名な人。彼らのアカウントがハッキングされ、突然これらの非常にひどいことをツイートし始めると想像してください。どれほど悪いでしょうか?そして、私が選んだ人を考えると、誰であるかは言いませんが、取締役会は、まあ、これはひどいでしょう、これは受け入れられません、これは起こってはなりません。私は、まあ、それがどのように起こるかお話ししましょう。そして、私は再び少しシナリオについて話しました。彼らは、これは消えなければなりません、これは消えなければなりません。私は、素晴らしい、私たちは同意してうれしいです、ここに私が持っている技術計画があります、ここで調べる必要はありません、ここに私が必要とするものがあります、ここにお金が必要です、時間、スタッフィング、もしあなたが解決すべきだと同意するなら、このタイムラインであなたのためにこれを解決できます、ここに価格タグがあります、行きましょう。
それが取締役会で、あなたが持っている技術の理解をビジネスにとって重要なものに翻訳する必要があると私が言いたいところです。彼らにとって意味のある方法でそれを提示し、彼らのサポートを得て、それから去って提供します。そして、提供しなければなりません。しかし、確かにあなたのCVEやパッチが適用されていないサーバーの数について話さないでください。それを会社にとって重要な何かに翻訳してください。
ベッキー・ブラッケン
これは素晴らしいアドバイスです。タルさん、どう思いますか?
タル・コレンダー
ええ、あなたは絶対に正しいです。そして、私はいつも最初に自分よりも優れた人々を雇うと言います。OK、それは確かです。すべての垂直方向でそれはとても重要です。そして、取締役会の質問に戻ります。私たちの顧客から言えますが、実際に最初のラウンドの後に初めて自分で購入した人としても、私たちの顧客から聞くと、彼らは皆、私たちがいくつかの厳しい取締役会の質問に答えると言います。なぜなら、私たちのソリューションで提供するものは、投資収益率も示すからです。私たちのソリューション、自動化修復を使用してどれだけのお金と時間を節約できるかを見ることができます。そして、人々がそれを持っていることを知っています、特に取締役会は、お金を節約することを愛し、何かが最終的に彼らが費やしたお金の一部を返すことを愛します。
もう1つの側面は、今日ほとんどの取締役会が超技術的ではないことを私たち全員が知っているということです。彼らは地球上の超技術的な人々ではありません。私たちはそれが彼らの目標ではなく、彼らがすべきことではないことを理解しています。ですから、私たちがすることは、マイケルが言ったことに戻ると、簡単な言葉で、ねえ、これは、つまり、彼らに、あなたが対処したCVEの量はこれです、これは、と言わないでください。でも、3歳か4歳のように、それが何であるかを簡単な言葉で彼らに説明してください。そして最終的に、彼らはあなたとその道について絶対に同意すべきです。そしてもちろん、それは本当に会社の状況に依存しますが、もしあなたが彼らに十分に良い話をすれば、それはあなたをどこかに連れて行くでしょう。なぜなら、マイケルはおそらく私よりもよく知っていますが、CISOは、残念ながら、セキュリティ侵害があれば最初に責められるのです。まずCISOです、彼が最初です、すべての指が彼に向けられています、あなたは何を間違えましたか?つまり、何が起こったかを見るために調査を行いましょう。そして残念ながら、ほとんどの場合、それは、ええ、つまり、CISOはアラートがあったので知っていますが、十分な時間や人手などがなかったために対処されませんでした。
ですから、おそらくあなたが本当に対処したい3つまたは4つのキーポイントまたは箇条書きを持って行き、再び、3歳または4歳の人に話しているように彼らに説明してください。そうすれば、彼らはあなたが尋ねることを絶対に理解できます。そうすれば、あなたが望むものを行いやすくなり、彼らが承認するでしょう。
ベッキー・ブラッケン
組織図のトップから非常に多くの良い専門的アドバイスをいただきましたが、締めくくりとして、もしあなたが一日スーツではなかったら、もし子供時代の寝室でパジャマ姿で戻っただけなら、今いじくり回して分解したいものは何でしょうか?もし時間があれば?古き良き時代には、何週間もこれに取り組んだだろうなと思うようなものが、あなたの心の奥底にありますか?頭に浮かぶものはありますか?
マイケル・コーツ
それはとても興味深い質問だと思います。なぜなら、あなたはまだそうしていると思うからです。それはあなたを決して離れません。ですから、もっと時間があるかもしれませんが、私はquad codeとReplitの両方を使っています。Loveableが素晴らしいことは知っています。2つの非常に異なる世界です。しかし、私はコンピュータサイエンスのバックグラウンドを持っていますが、この時点では遅いプログラマーです。しかし、AIコーディングが何ができるかをいじくり回すのは非常に魅力的です。私はそれがDevOpsをあまり上手くやらないという非常に興味深い境界を見つけました。その段階に到達したら、Dockerizeして画像を展開します。多分私はそれほど上手ではありませんが、何が来るのかを深く理解するために最前線でいじくり回す必要があるからです。実際、それは私の時間の無駄だとは思いません。なぜなら、より多く理解すればするほど、より多くのピースをまとめればするほど、より多くの質問ができるからです。そして、私は今セキュリティ組織を率いていませんが、構築されている素晴らしい会社に投資しています。そして再び、私は押し戻す必要があります。額面通りに物事を受け入れることは、あなたがあまり賢くないことを意味します。それらのことを押し続けるのに十分な知識を持っている必要があります。ですから、ええ、もっと多くの時間をいじくり回すことに費やすとしたら、それはコーディングからメディアの生成まで、AIで何が可能かということです。そして、世界がどこに向かっているのかを理解することです。なぜなら、それは速く動いているからです。
ベッキー・ブラッケン
真のハッカーのようです。では、タルさん、今あなたの競争心をどこに向けますか?勝つことが重要だと知っています。今何を勝ち取ろうとしますか?
タル・コレンダー
本当に、私はCESから戻ってきたばかりで、私の会社では多くのことが起こっています。しかし、私の会社とは関係ないことの1つで、私が探求し、見たいと思っているのは、AIをロボットの中に入れて、次世代のロボットを作ることです。再び、未来が何を持っているかは、一方では非常に興味深いですが、他方では非常に恐ろしいです。なぜなら、何を期待すべきかわからないからです。つまり、たぶん私たちは知っているかもしれません。なぜなら、40年前でさえ持っていたすべての映画が、私たちにすべてを教えてくれるからです。そしてそれが怖い部分ですが、私は自分がコントロールできる何かを作りたいです。私は常にコントロールでき、ロボットの世界がある時点で制御不能になることを確認したいからです。そして、私は常に制御できる何かを作りたいです。それは私がコントロールフリークだからではなく、次の数十年、おそらくそれよりも少ない期間に何があるかについて非常に不確かだからです。ええ、つまり、次世代のロボットです。毎月、私たち全員が圧倒される新しい能力を持った別のロボットが出てきます。
ベッキー・ブラッケン
それはこの会話を残すのに完璧な場所でした。マイケル・コーツさんとタル・コレンダーさん、お二人とも本当にありがとうございました。今日は多くのことを学びましたし、私たちの聴衆も多くを学ぶことでしょう。これはDark Reading Confidentialでした。Dark Readingの編集者によるポッドキャストで、サイバーの最前線から直接の実話をお届けします。ここにいる私たち全員を代表して、ベッキー・ブラッケンです。聞いてくださって本当にありがとうございました。次回もぜひご参加いただければ幸いです。
翻訳元: https://www.darkreading.com/cybersecurity-operations/reviving-hacker-ethos-that-built-cybersecurity
