Säkerhetspodcasten #202 - Säkerhet i utveckling 2021
Lyssna
Innehåll
Hur ska man som IT-Säkerhetschef arbeta i utvecklingsbolag 2021? Hur vill du använda dina resurser? Vad köper du in? Vad bygger du internt? Vad prioriterar du först och hur stor %-andel lägger du på vad? Dessa frågor och fler försöker panelen tackla i dagens avsnitt.
Inspelat: 2021-04-07. Längd: 01:29:20.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,220 --> 00:00:02,720
Hej och välkommen till Säkerhetsprodukassen.
2 00:00:03,080 --> 00:00:05,700
Jag som pratar idag, just nu, heter Mattias.
3 00:00:05,960 --> 00:00:08,620
Och med mig idag har jag Peter Magnusson.
4 00:00:09,000 --> 00:00:10,120
Den magiske.
5 00:00:10,980 --> 00:00:11,820
Rickard Bordfors.
6 00:00:12,480 --> 00:00:13,640
Med svart magi.
7 00:00:14,340 --> 00:00:15,320
Och Jesper Larsson.
8 00:00:15,540 --> 00:00:17,480
Yes sir! Hela dagen, hoppas jag.
9 00:00:18,400 --> 00:00:23,600
Det är 50 i julet, Johan Rydberg Möller, har vi lämnat i sjuksängen idag.
10 00:00:24,140 --> 00:00:25,460
Febrer och natt, otäckt.
11 00:00:26,440 --> 00:00:29,300
Det verkar inte alls bli så jävla bra, om man ska vara helt ärlig.
12 00:00:30,000 --> 00:00:31,520
Nej, det känns otydligt.
13 00:00:31,880 --> 00:00:37,200
Ja, 39 grader svev är ju, det känns i de här tiderna, likställt med böldpesten.
14 00:00:37,560 --> 00:00:38,580
Så det kommer ju inte gå bra.
15 00:00:39,120 --> 00:00:40,420
Nej, det är dåligt.
16 00:00:41,440 --> 00:00:46,600
Vi önskar nu, via audiovågorna, att han fyller på sig och mår bättre.
17 00:00:47,280 --> 00:00:47,840
Herregud ja.
18 00:00:48,480 --> 00:00:50,720
Idag är det 7 april.
19 00:00:51,580 --> 00:00:52,820
Och det är en onsdag.
20 00:00:54,320 --> 00:00:58,240
Vi har sponsorer, de heter Ashord.
21 00:00:59,060 --> 00:00:59,820
Finns på ashord.se.
22 00:01:00,000 --> 00:01:07,220
Bodförskonsulting finns på bodförs.se och 0x4a, som finns på 0x4a.se.
23 00:01:08,220 --> 00:01:10,180
Utvecklat i vad då, Peter, eller Esper?
24 00:01:10,780 --> 00:01:12,740
Det är React, men där kan jag inte ta på mig äran.
25 00:01:12,920 --> 00:01:16,920
Det är faktiskt, det är Next är det faktiskt, men det är en herresmyndig Anton som har gjort den där.
26 00:01:17,320 --> 00:01:21,020
Otroligt framgångsrikt och väldigt mycket duktigare än vad jag är.
27 00:01:22,600 --> 00:01:24,620
Vi har idag inga pluggar, gissar jag på.
28 00:01:25,180 --> 00:01:26,380
Nej, det är ganska tomt.
29 00:01:26,380 --> 00:01:28,620
Det är fortfarande pandemi.
30 00:01:30,000 --> 00:01:33,020
I stort sett undantagstillstånd på alla konferenser.
31 00:01:33,620 --> 00:01:34,600
På den berömda himlen.
32 00:01:35,160 --> 00:01:37,720
Vet vi någon som kommer köra någonting, eller?
33 00:01:38,000 --> 00:01:39,480
Jag får med att läsa någonting.
34 00:01:39,880 --> 00:01:41,900
Säkte kommer försöka köra någonting, vet jag.
35 00:01:43,820 --> 00:01:46,600
Securityfest kommer förmodligen inte att köra någonting.
36 00:01:48,160 --> 00:01:50,140
Vi har varit ganska tyst i våran kanal.
37 00:01:50,440 --> 00:01:51,920
Det är våran kanal, får man väl säga.
38 00:01:52,700 --> 00:01:57,140
Vi har funderat lite på att göra någonting med Säkte ihop.
39 00:01:57,140 --> 00:01:59,140
Men det är ingenting som hela gänget på Säkerhets…
40 00:02:00,000 --> 00:02:01,280
Säkerhetsfest är med på.
41 00:02:01,800 --> 00:02:03,580
Utan det är mer jag och Johan som har fått frågan.
42 00:02:03,580 --> 00:02:04,860
Men jag vet inte…
43 00:02:05,640 --> 00:02:10,500
Ja, vi får väl se. Det kommer nog inte bli en konferenssäsong detta året heller, känns det som.
44 00:02:10,760 --> 00:02:11,260
Nej.
45 00:02:12,040 --> 00:02:16,120
Man kan väl hoppas att det någon gång fram mot hösten kanske kan börja hända någonting igen.
46 00:02:16,120 --> 00:02:19,460
Säkte är väl i regel i slutet på året, så att jag tänker att det kanske…
47 00:02:19,720 --> 00:02:22,520
Ja, kanske om vi får igång lite vaccin så…
48 00:02:23,040 --> 00:02:25,340
Slutet på året är väl att ta i, men september är det väl…
49 00:02:25,340 --> 00:02:28,920
Ja, men det är slutet på året för mig. Det är då det börjar bli mörkt och dags att fundera på att åka härifrån.
50 00:02:30,000 --> 00:02:31,800
Ja, ja.
51 00:02:32,040 --> 00:02:34,360
Ja, strukturerat som sagt var.
52 00:02:34,600 --> 00:02:36,140
Och temat idag är…
53 00:02:36,660 --> 00:02:40,760
Hur ska utvecklande företag arbeta med it-säkerhet 2021?
54 00:02:41,520 --> 00:02:46,900
Och det är jag som är ansvarig för den tråkiga och statiska titeln, men min tanke var god.
55 00:02:47,920 --> 00:02:52,520
Jag tänker att podcasten består av normalt fem, men idag fyra
56 00:02:53,040 --> 00:02:54,840
Rätt rutinerade säkerhetspersoner.
57 00:02:55,080 --> 00:02:59,700
Och jag tänkte att var och en av oss fyra får nu i ansvar att bygga upp en säker…
58 00:02:59,700 --> 00:02:59,960
Eller…
59 00:02:59,960 --> 00:03:02,520
Inte en säkerhetsavdelning, bygga upp ett säkerhetsarbete egentligen.
60 00:03:02,780 --> 00:03:04,060
För ett medelstort företag.
61 00:03:04,560 --> 00:03:05,840
Och för att vi ska ha…
62 00:03:06,100 --> 00:03:10,960
Det kan ju vara vad som helst det här, så vi vill sätta några ground rules som vi sen givetvis får bryta om vi vill det.
63 00:03:11,480 --> 00:03:13,280
Men företaget har egen utveckling.
64 00:03:13,520 --> 00:03:18,140
Och har givetvis lösningar i både moln och on-prem.
65 00:03:18,400 --> 00:03:22,480
Man kör väl typ Microsoft Azure med Office 365.
66 00:03:23,000 --> 00:03:29,660
Man utvecklar i .NET och lite Java och både AWS och Azure och Google Cloud Platform är helt okej att använda.
67 00:03:29,660 --> 00:03:34,260
Och givetvis någon form av containeriserad deployments i alla fall i någon utsträckning.
68 00:03:34,520 --> 00:03:36,320
Det vill säga ganska fluffigt öppet.
69 00:03:37,080 --> 00:03:42,460
Och det jag är nyfiken på det är egentligen då, hur använder man resurserna på ett effektivt sätt?
70 00:03:42,720 --> 00:03:44,760
Var köper man in? Var bygger man internt?
71 00:03:45,020 --> 00:03:46,560
Var prioriterar man först?
72 00:03:46,820 --> 00:03:47,320
Och hur
73 00:03:47,580 --> 00:03:50,140
stor procentandel utav din budget lägger du på vad?
74 00:03:50,900 --> 00:03:56,800
Nu är ju det här säkerhetspodcasten och det här är ju ett fiktivt fall.
75 00:03:57,300 --> 00:03:58,840
Stora grader av frihet
76 00:03:58,840 --> 00:03:59,860
kommer lämnas.
77 00:04:00,120 --> 00:04:02,160
Ni får gärna ändra förutsättningarna fullständigt.
78 00:04:02,680 --> 00:04:06,780
Så länge det finns någon form av resonemang i botten. Det är egentligen det jag är ute efter.
79 00:04:07,040 --> 00:04:08,820
Lite kloka tankar.
80 00:04:10,620 --> 00:04:14,200
Jag höll på att säga, vad har vi för budget? Vad omsätter företaget?
81 00:04:14,960 --> 00:04:21,120
Det får du gärna tycka någonting om själv men jag vet att Peter han var lite smart. Han kollade upp, eftersom jag sa medelstort
82 00:04:21,360 --> 00:04:26,240
bolag så kollade hörnen upp att ett medelstora bolag enligt någon definition som Peter hittade
83 00:04:26,480 --> 00:04:28,800
så sysselsätter de färre än 250 personer.
84 00:04:29,100 --> 00:04:32,420
Och har en omsättning som inte överstiger 50 miljoner euro.
85 00:04:32,940 --> 00:04:37,040
Men om du vill så får du gärna bygga ett bolag som är väsentligt mindre eller större än det.
86 00:04:37,540 --> 00:04:40,360
Det tycker inte jag är superviktigt.
87 00:04:40,620 --> 00:04:47,780
Jag minns inte riktigt när starten började men är det 25 eller 50 par som man ena med att beräkna som medelstor?
88 00:04:49,320 --> 00:04:52,400
Det är i varje fall inte ett mikroskopiskt bolag om det klassas som medelstort.
89 00:04:52,900 --> 00:04:53,420
Nej.
90 00:04:53,680 --> 00:04:58,800
Och som sagt då, om du vill jobba med andra förutsättningar så i din plan så får du gärna
91 00:04:59,100 --> 00:05:01,140
jobba med en startup på tre personer också.
92 00:05:01,660 --> 00:05:04,720
Även om det kanske inte blir fullt så givande.
93 00:05:04,980 --> 00:05:06,520
Budgeten ser lite annorlunda ut då.
94 00:05:06,780 --> 00:05:10,100
Det är inte säkert, man kanske har fått en jättemassa WC-pengar.
95 00:05:10,620 --> 00:05:12,400
Man kan göra massa coola grejer.
96 00:05:12,660 --> 00:05:18,560
Jag är lite upprörd på att jag hade en pedantisk anmärkning på att ge på fel i instruktionen men
97 00:05:19,580 --> 00:05:23,680
när Mattias gav instruktionen så var felet borta så att
98 00:05:25,200 --> 00:05:27,260
ett utrymme för pedanteri föll bort.
99 00:05:27,520 --> 00:05:28,540
För instruktionen så
100 00:05:28,840 --> 00:05:30,120
jag var Enterprise Edition
101 00:05:30,880 --> 00:05:32,420
som jag tyckte var gammalt men
102 00:05:32,680 --> 00:05:37,280
nu har jag inte legitimt skäl att klaga på det eftersom att du inte sa det i podcasten.
103 00:05:37,540 --> 00:05:38,820
Tur, tur.
104 00:05:39,080 --> 00:05:40,100
Snyggt, snyggt.
105 00:05:40,360 --> 00:05:41,900
Det är jag som lever kvar i gamla världar.
106 00:05:42,660 --> 00:05:48,800
Det är i alla fall grundförutsättningarna och eftersom det är jag som är ansvarig för temat så tar jag av mig rätten
107 00:05:49,060 --> 00:05:54,440
att säga sist så kan jag ad hoca eventuella kloka saker ni säger och framstå som smartast av alla.
108 00:05:54,700 --> 00:05:56,740
Ja men det brukar alltid vara en bra grej.
109 00:05:57,260 --> 00:05:57,760
Precis.
110 00:05:58,020 --> 00:05:58,800
Det är väl så man rullar.
111 00:05:58,840 --> 00:06:06,260
Så, är det någon som är sugen på att ta första stafettpinen?
112 00:06:06,520 --> 00:06:08,820
Jag kan göra ett försök på det här.
113 00:06:09,600 --> 00:06:13,180
Jag vet inte, jag tror att jag har så lama punkter att det kommer kännas
114 00:06:13,940 --> 00:06:15,740
kast om jag ska säga sist för det har alla sagt.
115 00:06:16,000 --> 00:06:17,280
Typ allt det jag har tänkt säga.
116 00:06:17,520 --> 00:06:18,800
Smart, smart dag.
117 00:06:21,360 --> 00:06:22,140
Go Peter!
118 00:06:22,400 --> 00:06:25,460
Men Mattias preppade oss med massa såna här
119 00:06:25,980 --> 00:06:28,540
bra saker att tänka på.
120 00:06:28,840 --> 00:06:32,160
Så jag försökte plocka ur de mest intressanta då.
121 00:06:33,960 --> 00:06:38,560
Och en av frågeställningarna var ju liksom hur vill vi använda våra resurser och vad
122 00:06:39,340 --> 00:06:41,640
köper man in och vad bygger man internt?
123 00:06:43,440 --> 00:06:43,940
Och
124 00:06:44,200 --> 00:06:45,740
då känner jag att
125 00:06:47,280 --> 00:06:51,360
vad man inte ska köpa in.
126 00:06:51,620 --> 00:06:54,960
Det man köper in är ju dels som vi ser till
127 00:06:55,720 --> 00:06:56,480
det har varit lite
128 00:06:56,740 --> 00:06:58,540
produktfokus i början på
129 00:06:58,840 --> 00:07:00,380
beskrivningen så skulle jag ju säga att
130 00:07:03,200 --> 00:07:04,720
de gör väl förmodligen då
131 00:07:05,760 --> 00:07:07,800
helt rätt som kör
132 00:07:08,560 --> 00:07:12,160
Microsoft Azure AD och Office 365.
133 00:07:12,660 --> 00:07:16,500
Om inte specifikt just det här valet är rätt.
134 00:07:16,760 --> 00:07:19,320
Men i själva grundprincipen att
135 00:07:20,340 --> 00:07:24,700
sånt som inte finns så mycket skäl på att göra själv
136 00:07:25,720 --> 00:07:26,740
om du är ett normalt
137 00:07:27,000 --> 00:07:28,540
bolag men inte
138 00:07:28,840 --> 00:07:31,140
har någon speciella krav på dig så
139 00:07:31,660 --> 00:07:32,680
mycket klokt att
140 00:07:33,200 --> 00:07:34,720
minimera hur mycket du
141 00:07:35,240 --> 00:07:39,080
hur mycket du själv sysslar med sånt som inte är din core-verksamhet utan
142 00:07:39,840 --> 00:07:43,440
kan du få smör och bröd levererat
143 00:07:43,680 --> 00:07:46,240
utan att krångla så är det förmodligen
144 00:07:47,020 --> 00:07:49,840
någonting som underlättar ditt lilla liv.
145 00:07:50,600 --> 00:07:53,920
Så bra, så långt tyckte jag det kändes bra.
146 00:07:56,240 --> 00:07:58,540
Sen så tänkte jag det att jag
147 00:07:58,840 --> 00:08:07,280
i den här instruktionen då att de kör AWS, de kör Azure och de kör Google Cloud Platform så tänkte jag det att
148 00:08:08,060 --> 00:08:09,600
åtminstone för mig
149 00:08:10,880 --> 00:08:14,960
så känner jag ju det att de kanske borde göra lite skokat här liksom så att det verkar
150 00:08:15,480 --> 00:08:16,760
det verkar lite saftigt
151 00:08:17,280 --> 00:08:22,140
att man på ett sansat stort bolag ska hålla på att halva runt i
152 00:08:22,900 --> 00:08:25,980
tre olika cloud-baser
153 00:08:26,740 --> 00:08:28,540
eftersom det är rätt jäkla mycket
154 00:08:28,840 --> 00:08:30,640
som gömmer sig under AWS-molnet
155 00:08:31,140 --> 00:08:36,780
och jag har hört ryktet att Google-molnet är precis lika stort och att
156 00:08:38,060 --> 00:08:41,900
Azure ska också vinnas en hel del i så att jag hade lite funderingen på att
157 00:08:42,660 --> 00:08:46,240
utan att sitta på facit där så
158 00:08:46,760 --> 00:08:51,360
om det inte finns väldigt goda skäl till det så undrar jag varför man skulle ligga i så jäkla många
159 00:08:52,140 --> 00:08:53,160
så många moln.
160 00:08:54,960 --> 00:08:56,480
Det är coolt vet du, multi-cloud.
161 00:08:57,000 --> 00:08:57,520
Mm.
162 00:08:57,760 --> 00:08:58,540
Cloud agnostic får ju
163 00:08:58,840 --> 00:08:59,360
gå in.
164 00:08:59,860 --> 00:09:00,380
Precis.
165 00:09:00,640 --> 00:09:06,260
Men det har jag inte klagat på, alltså om du bygger, för det står ju här
166 00:09:06,520 --> 00:09:10,620
Mattias plan att man ska bygga containern baserat eller att det förmodligen finns en del grejer då.
167 00:09:11,380 --> 00:09:13,940
Och jag tycker det är sjukt smart om man
168 00:09:14,460 --> 00:09:16,000
bygger någonting som
169 00:09:16,240 --> 00:09:20,860
på en container-plattform eller något liknande då det är lätt att flytta den på olika ställen och sånt och
170 00:09:21,880 --> 00:09:25,980
där man inte har skäl till det så integrerar man inte så jäkla djupt med
171 00:09:27,000 --> 00:09:28,800
med liksom de cloud-specifika
172 00:09:29,100 --> 00:09:30,640
teknikerna utan
173 00:09:31,140 --> 00:09:33,960
till exempel om man kör kubinetes och använder
174 00:09:34,220 --> 00:09:35,760
kubinetes-funktionalitet som
175 00:09:36,520 --> 00:09:38,560
som finns i de flesta moln eller du
176 00:09:38,820 --> 00:09:39,600
till och med då kan
177 00:09:40,360 --> 00:09:42,660
köra upp on-prem.
178 00:09:44,200 --> 00:09:50,340
Men jag skulle säga att om det inte finns jättegoda skäl till det så skulle jag försöka hålla mig
179 00:09:51,880 --> 00:09:55,980
och ha en tanke åtminstone kring varför jag är i så många moln.
180 00:09:55,980 --> 00:10:01,620
Om vi då tänker oss att det är ett litet mellanstort bolag på typ 50 pers eller någonting så
181 00:10:02,380 --> 00:10:04,680
så är det ju ganska många olika moln per person här.
182 00:10:04,940 --> 00:10:06,220
250 pers så
183 00:10:06,740 --> 00:10:09,800
kanske finns något uppköp eller något inblandat så det finns en skäl till det men
184 00:10:10,580 --> 00:10:11,600
men lite sådant sådär
185 00:10:13,640 --> 00:10:15,440
utan att vara någon molnexpert så
186 00:10:15,700 --> 00:10:19,020
känner jag att det kanske finns lite varningsvibbar på om man
187 00:10:19,780 --> 00:10:22,600
om man är så spridd i sitt molntänk.
188 00:10:24,660 --> 00:10:25,420
...
189 00:10:25,980 --> 00:10:27,780
Du vill inte ha en moln idag helt enkelt?
190 00:10:28,280 --> 00:10:33,660
Nej, alltså jag tänker att Jesper som kanske
191 00:10:33,920 --> 00:10:36,480
skarpas på moln här eller
192 00:10:37,240 --> 00:10:41,340
Rickard kanske då från lite management-sida och så kan
193 00:10:42,100 --> 00:10:48,000
ni kan säkert på er tid säga någonting smartare kring vad ni tycker om det men för mig som har
194 00:10:48,760 --> 00:10:54,140
begränsad erfarenhet av molnen så kände jag att det verkar lite
195 00:10:55,160 --> 00:10:55,680
få lite
196 00:10:55,980 --> 00:10:59,060
lite varningsvibbar på det om
197 00:11:00,080 --> 00:11:03,400
om det inte finns ett välmotiverat skäl så kanske de borde
198 00:11:03,660 --> 00:11:04,940
titta på att förenkla det här.
199 00:11:09,800 --> 00:11:14,160
Men det är ju många grejer här som du säger som helt och hållet beror på skulle jag säga.
200 00:11:14,420 --> 00:11:17,740
Jag vet inte om vi ska ha det här input-formatet om jag ska tycka saker nu.
201 00:11:18,260 --> 00:11:20,820
Vi ska alltid tycka saker tycker jag.
202 00:11:21,060 --> 00:11:22,860
Det beror ju lite på såhär
203 00:11:24,140 --> 00:11:24,660
är det…
204 00:11:24,660 --> 00:11:25,940
Det beror på vad vi håller på med skulle jag säga.
205 00:11:25,980 --> 00:11:29,560
Är det ett rent produktbolag det vill säga att vi utvecklar en tjänst eller
206 00:11:30,080 --> 00:11:34,180
vi håller på med olika saker så beror det ju lite på hur
207 00:11:35,200 --> 00:11:36,740
hur är företaget skapat?
208 00:11:36,980 --> 00:11:38,520
Sitter vi på olika lokationer?
209 00:11:39,040 --> 00:11:43,640
Sitter vi på olika små satellitkontor? Har vi kontor? Har vi
210 00:11:44,420 --> 00:11:51,580
vuxna människor med i vår organisation? Vi har sälj, vi har management, vi har overhead i form av ekonomifunktioner, det ena med det tredje.
211 00:11:52,100 --> 00:11:53,620
Har vi liksom
212 00:11:53,880 --> 00:11:55,420
all typ av personal?
213 00:11:55,980 --> 00:12:01,620
Vi har ju ett medelstort bolag, det kan man ju definiera antingen per huvud eller per omsättning eller vad man nu vill göra.
214 00:12:02,380 --> 00:12:06,220
Så många utav de här grejerna spelar ju in när jag skulle designa en sån här grej.
215 00:12:06,480 --> 00:12:06,980
Helt klart.
216 00:12:08,020 --> 00:12:14,660
Jag har inga problem att använda flera teknikstackar, det vill säga flera olika moln och reda med 3D så länge man har en idé om vad man ska använda dem till tänker jag.
217 00:12:14,920 --> 00:12:20,820
Om det finns en poäng bakom det så visst, men jag håller lite med Peter faktiskt.
218 00:12:21,580 --> 00:12:23,880
Ja, min stora…
219 00:12:24,660 --> 00:12:25,680
För frågan är…
220 00:12:25,980 --> 00:12:28,540
En av frågorna är ju, är det ett sjukt
221 00:12:28,800 --> 00:12:32,900
utvecklingscentrerat bolag som har väldigt mycket teknikkompetens?
222 00:12:33,660 --> 00:12:34,680
Men annars kan jag ju säga att
223 00:12:36,480 --> 00:12:39,800
jag har ju befunnit mig i betydligt större organisationer än
224 00:12:40,580 --> 00:12:42,620
ett medelstort bolag där
225 00:12:43,640 --> 00:12:47,220
bara att hålla sig till en enstakad plattform är
226 00:12:47,480 --> 00:12:50,040
problematiskt och har tillräckligt god kompetens.
227 00:12:50,820 --> 00:12:53,120
Så jag tänker mig att det finns ju en risk att du har,
228 00:12:54,140 --> 00:12:54,660
alltså
229 00:12:54,900 --> 00:12:55,940
om du
230 00:12:56,240 --> 00:13:02,380
om du är bra på att skjuta upp nya applikationer så som Google är och du också är bra på att plocka ner dem som Google är
231 00:13:02,900 --> 00:13:03,400
så att
232 00:13:03,660 --> 00:13:06,480
de är maintainade och sen försvinner dem
233 00:13:06,980 --> 00:13:10,580
då kanske det flyger att ha många tekniker, åtminstone om du
234 00:13:11,340 --> 00:13:11,860
har bra koll.
235 00:13:12,100 --> 00:13:12,620
Men
236 00:13:13,140 --> 00:13:15,940
om du tänker ett klassiskt storbolag så kommer ju
237 00:13:16,720 --> 00:13:17,740
skräpet kommer ju gå upp
238 00:13:18,000 --> 00:13:21,060
lite halvtaskigt, halvoklart
239 00:13:21,320 --> 00:13:22,100
i molnet.
240 00:13:22,860 --> 00:13:25,680
Och sen kommer det ju ligga kvar där, antingen tills det slutar funka,
241 00:13:25,980 --> 00:13:27,260
eller tills du får ett intrång.
242 00:13:30,840 --> 00:13:33,920
Det går ju på liksom, jag tänker såhär om det är
243 00:13:34,420 --> 00:13:38,260
om man har ett bolag som inte är så teknikdrivet då, det vill säga att man
244 00:13:38,780 --> 00:13:43,900
man bygger någonting statiskt, man bygger bilbälten eller man
245 00:13:44,420 --> 00:13:48,500
producerar ölburkar eller vad som helst, jag tittar bara på saker som är framför mig.
246 00:13:48,760 --> 00:13:50,300
Jag har i och för sig inget bilbälte i mitt kontor.
247 00:13:50,560 --> 00:13:54,140
Fast då har du väl inte så mycket inhouse-utveckling eller?
248 00:13:54,660 --> 00:13:55,420
Nej, precis.
249 00:13:55,420 --> 00:13:55,940
Du kan ju ha en del,
250 00:13:56,240 --> 00:13:57,520
systemstöd kan du ha i och för sig.
251 00:13:57,780 --> 00:13:59,820
Ja precis, lite förvaltning och lite sådana grejer.
252 00:14:00,080 --> 00:14:02,640
Då skapar man ju en annan typ av idé.
253 00:14:03,140 --> 00:14:05,960
Men det här kommer bli väldigt svårt att
254 00:14:06,480 --> 00:14:09,040
ge input på samtidigt som man har en egen idé
255 00:14:09,300 --> 00:14:12,360
om vad man vill göra. Det här avsnittet kommer bli tre timmar, så
256 00:14:12,880 --> 00:14:13,900
håll i er, nu kör vi.
257 00:14:14,420 --> 00:14:16,720
Nej, men det beror ju helt och hållet på.
258 00:14:17,220 --> 00:14:19,280
Nu är ju detta en säkerhetspodcast ibland,
259 00:14:19,540 --> 00:14:21,060
när andan faller på.
260 00:14:21,580 --> 00:14:24,660
Och jag gör ju en del sådana här grejer
261 00:14:24,900 --> 00:14:25,420
ur
262 00:14:25,420 --> 00:14:27,720
ett riskperspektiv.
263 00:14:28,240 --> 00:14:32,340
Och det handlar ju mest om att jag sitter i utvecklingsgrupper då eller utvecklingsteam
264 00:14:32,840 --> 00:14:37,460
och tycker saker. Och då är ju alltid så här, för att få samsyn så brukar jag alltid börja med riskperspektivet.
265 00:14:37,960 --> 00:14:40,260
Så vad är vi rädda för? Är vi rädda för samma saker?
266 00:14:40,780 --> 00:14:43,340
Jag menar, du är rädd för spindlar, jag är rädd för vatten.
267 00:14:43,860 --> 00:14:47,180
De är ju inte förenliga när vi ska bygga liksom mitigerade
268 00:14:47,700 --> 00:14:51,540
processer liksom. Vi behöver ju vara överens om vad problemet är eller vad risken är.
269 00:14:52,040 --> 00:14:55,380
Där får du utgå ifrån vad
270 00:14:55,680 --> 00:14:58,240
businessen
271 00:14:58,500 --> 00:15:02,840
går ut på. Vad är det du tjänar dina pengar och vad kan hota de processerna?
272 00:15:03,100 --> 00:15:04,380
Det är ju där man ska börja.
273 00:15:04,640 --> 00:15:09,240
Både och där egentligen. Man skulle ju då kunna hävda om att man är ett utvecklande bolag.
274 00:15:09,500 --> 00:15:10,780
Så har man ju en
275 00:15:11,040 --> 00:15:13,080
produktivitet av att skapa.
276 00:15:13,340 --> 00:15:17,180
Idén är att man skapar mjukvara som man sedan säljer.
277 00:15:17,940 --> 00:15:23,320
Men den är också direkt avhängd av att man kan sälja den. Det vill säga att man har någon som faktiskt gör fakturor.
278 00:15:23,580 --> 00:15:25,120
Någon som faktiskt sköter administration.
279 00:15:25,420 --> 00:15:27,720
Så det blir lite olika
280 00:15:27,980 --> 00:15:31,060
lådor där beroende lite på vad det är för typ av
281 00:15:31,300 --> 00:15:34,900
organisation och det kommer också sätta sina krav på säkerhetsskyddet.
282 00:15:36,180 --> 00:15:40,260
Om man skulle tänka offensivt då, att attackera ett bolag så vill man ju
283 00:15:41,040 --> 00:15:44,360
fokusera på det som är lättast. I alla fall gör jag det.
284 00:15:44,620 --> 00:15:46,660
Om jag får ett red team uppdrag så
285 00:15:47,180 --> 00:15:49,740
försöker jag ju helst inte gå på
286 00:15:50,500 --> 00:15:54,100
webbtjänsten kanske i första hand för att det kommer ta tid.
287 00:15:54,340 --> 00:15:55,120
Får jag lov att liksom
288 00:15:55,120 --> 00:15:57,160
göra ett intrång på användarnivå.
289 00:15:57,420 --> 00:15:59,220
Det vill säga hacka de som jobbar.
290 00:15:59,480 --> 00:16:02,800
Då hade kanske det varit enklare för mig för att nå ondbrådinternettdöd.
291 00:16:03,060 --> 00:16:04,840
Så då blir ju riskanalysen såhär.
292 00:16:05,360 --> 00:16:07,160
Ja har vi då
293 00:16:07,920 --> 00:16:11,000
en organisation som är lite tvådelad. Vi har
294 00:16:11,240 --> 00:16:16,120
en utveckling och en produktion som är hostad i molnet med 3D så kommer vi ha en
295 00:16:16,360 --> 00:16:17,400
lokation för
296 00:16:17,900 --> 00:16:20,200
våran normala it-drift någon annanstans.
297 00:16:20,720 --> 00:16:25,080
Då är frågan vad är det som blir målet för mig som attackerare? Vad är intressant att gå på?
298 00:16:25,640 --> 00:16:28,200
Och det kommer ju vara det som ligger i skåpet för mig som attackerare.
299 00:16:28,440 --> 00:16:31,260
Så skulle det vara produkten så blir det ganska naturligt att jag försöker
300 00:16:31,780 --> 00:16:34,340
attackera den sidan av bolaget. Är det för att
301 00:16:35,360 --> 00:16:40,220
göra någon form av opportunistisk attack med ransomware eller 3D då blir det kanske en annan del av företaget.
302 00:16:40,480 --> 00:16:42,280
Så det är svårt det där.
303 00:16:42,520 --> 00:16:45,340
Och sen hur man designar då det är ju
304 00:16:45,600 --> 00:16:47,640
beroende lite på en grundläggande risk.
305 00:16:47,900 --> 00:16:49,180
Vad tänker man liksom?
306 00:16:49,440 --> 00:16:52,000
Och det förutsätter ju att man inte har någon legacy eller teknikskuld
307 00:16:52,520 --> 00:16:54,560
från första början. Vi har bara liksom en ashög
308 00:16:55,120 --> 00:16:57,680
med pengar nu som vi kan bygga saker med.
309 00:16:57,940 --> 00:17:02,280
Teknikskuld har de ju eftersom att de ligger i ett antal tekniker.
310 00:17:03,060 --> 00:17:05,100
Så vi får ju anta att det ligger
311 00:17:05,880 --> 00:17:08,680
åtminstone mitt grundantagande när jag ser att de har
312 00:17:09,460 --> 00:17:12,520
flera utvecklingsplattformar.
313 00:17:12,780 --> 00:17:14,580
Och det är ju de som de vet om.
314 00:17:14,840 --> 00:17:17,900
Vi får ju anta att det finns något till som man inte känner till.
315 00:17:18,420 --> 00:17:20,200
Så vi har tre cloud.
316 00:17:21,240 --> 00:17:24,560
Och vi har två kända utvecklingsplattformar förmodligen
317 00:17:25,120 --> 00:17:26,400
som ligger i grejer då.
318 00:17:26,660 --> 00:17:29,720
Om man kommer in relativt tidigt då liksom så är det
319 00:17:30,240 --> 00:17:31,000
så tror jag att det är
320 00:17:31,520 --> 00:17:34,600
mitt antagande är ju att det finns ju mer än det
321 00:17:35,100 --> 00:17:37,660
som Mattias redan har identifierat.
322 00:17:38,180 --> 00:17:42,020
Jag vet inte om Mattias är it-chefen eller något som har bett oss tänka sådär.
323 00:17:44,840 --> 00:17:49,700
Men ni pratar om risk och det vet jag att det finns ett antal
324 00:17:49,960 --> 00:17:52,260
av oss som älskar och det var en av grejerna
325 00:17:52,760 --> 00:17:54,820
jag debatterade ju här med min
326 00:17:55,120 --> 00:17:57,160
respektive lite så här för att få mental
327 00:17:57,420 --> 00:17:58,700
preppning inför det här och det var
328 00:17:59,220 --> 00:18:01,780
lite så här hur mycket vill man lägga på
329 00:18:02,800 --> 00:18:05,360
riskanalys i början och jag tycker
330 00:18:05,880 --> 00:18:08,680
min approach skulle ju vara att
331 00:18:09,960 --> 00:18:13,040
man börjar smått liksom typ
332 00:18:15,340 --> 00:18:17,640
några workshops med
333 00:18:18,160 --> 00:18:21,740
någon glad människa som kan hjälpa till och leda en.
334 00:18:22,520 --> 00:18:25,080
Jag brukar ju vilja ha Mattias som läkeledare och
335 00:18:25,380 --> 00:18:27,940
om man är i det läget men
336 00:18:28,440 --> 00:18:32,040
ni andra två hade säkert också kunnat få hjälpa till liksom men just så här
337 00:18:33,060 --> 00:18:34,080
har någon som
338 00:18:35,100 --> 00:18:37,660
hjälper folk till att komma fram till
339 00:18:38,940 --> 00:18:39,720
vad
340 00:18:39,960 --> 00:18:41,760
vet bolaget vad som är
341 00:18:42,020 --> 00:18:43,040
viktigt för dem.
342 00:18:45,600 --> 00:18:49,440
Och sen beroende på hur lite samsyn man har
343 00:18:50,720 --> 00:18:54,820
så kan ju antingen riskövningen bli ganska enkel eller ganska stor
344 00:18:55,640 --> 00:18:56,140
på sikt.
345 00:18:56,400 --> 00:18:57,680
Det får man ju lite göra upp
346 00:18:57,940 --> 00:19:00,240
då inom bolaget vad man tycker är viktigt.
347 00:19:01,260 --> 00:19:02,800
Men säg till exempel att
348 00:19:04,080 --> 00:19:06,640
att man vet att våran största business är att vi
349 00:19:07,400 --> 00:19:09,720
vi har inte gärna personuppgifter för
350 00:19:12,280 --> 00:19:13,560
för andra bolag
351 00:19:13,800 --> 00:19:16,880
för vi har det här coola databassystemet vi tillhandahåller.
352 00:19:17,900 --> 00:19:19,700
Då känns det ju som att man ganska snabbt
353 00:19:21,240 --> 00:19:23,800
känner att vi kanske ska ha lite
354 00:19:24,040 --> 00:19:24,820
GDPR-paneler.
355 00:19:25,120 --> 00:19:25,640
Och
356 00:19:26,920 --> 00:19:28,440
ganska hårt foka på
357 00:19:29,220 --> 00:19:33,320
hur förvarar vi andras personuppgifter nu när vi tydligen är den som
358 00:19:34,080 --> 00:19:36,380
som har halva Sveriges personuppgifter.
359 00:19:38,440 --> 00:19:44,580
Men om man istället kommer fram till att vi tillverkar konservburkar för fiskar
360 00:19:44,840 --> 00:19:45,340
så kanske det är
361 00:19:46,120 --> 00:19:47,400
mer viktigt att
362 00:19:48,160 --> 00:19:50,980
inte lägga så mycket GDPR-fokus utan mer
363 00:19:52,760 --> 00:19:54,560
fokusera på att driftsystemet till fabriken
364 00:19:54,560 --> 00:19:56,100
inte går att störa och sådär.
365 00:20:00,440 --> 00:20:01,980
Och då hoppas jag alltså att
366 00:20:04,040 --> 00:20:07,620
att den här riskövningen går relativt
367 00:20:08,900 --> 00:20:12,480
strulfritt och att det finns någon sorts samsyn i bolaget.
368 00:20:13,240 --> 00:20:16,320
Det har ju varit väldigt positivt för det hjälper en väldigt mycket med
369 00:20:17,340 --> 00:20:18,360
övriga
370 00:20:18,620 --> 00:20:19,400
frågor då.
371 00:20:22,980 --> 00:20:24,260
Och inte minst då om
372 00:20:24,560 --> 00:20:29,420
om det nu är så att de sitter och utvecklar i tre cloud-plattformar och ett antal
373 00:20:30,200 --> 00:20:33,520
språk så hade jag ju velat fråga utvecklarna
374 00:20:35,060 --> 00:20:37,880
alltså hur mycket kan ni om säkerhet och
375 00:20:38,640 --> 00:20:41,960
vad känner ni själva om de här produkterna som ligger här?
376 00:20:42,220 --> 00:20:45,300
Är det övergiven skit som ni inte vågar röra eller är det här
377 00:20:46,060 --> 00:20:48,360
bra grejer som ni fortfarande underhåller?
378 00:20:52,460 --> 00:20:54,260
Och lite det styr rätt mycket.
379 00:20:54,560 --> 00:20:56,360
Något annat av tänket då för att
380 00:20:56,600 --> 00:20:58,920
vi får ut en del av
381 00:20:59,420 --> 00:21:01,480
idéerna om vad som är viktigt för bolaget
382 00:21:01,980 --> 00:21:04,040
och vi får också veta från de som faktiskt
383 00:21:05,060 --> 00:21:07,620
sitter och harvar runt i skiten att
384 00:21:09,160 --> 00:21:09,660
ja
385 00:21:09,920 --> 00:21:12,480
vad de tror bör göras och
386 00:21:13,000 --> 00:21:16,320
förhoppningsvis så är inte de hundra procent ute.
387 00:21:17,080 --> 00:21:17,860
Eller fel ute.
388 00:21:21,180 --> 00:21:21,700
Och
389 00:21:22,980 --> 00:21:24,520
nästa grej om jag skulle säga.
390 00:21:24,820 --> 00:21:26,100
Köpa in någonting då.
391 00:21:26,360 --> 00:21:29,420
Då skulle jag förmodligen vilja göra lite
392 00:21:29,940 --> 00:21:35,820
några pen-tester och kanske lite gå igenom arkitektur och annat på de grejerna som
393 00:21:36,600 --> 00:21:41,720
som folk anser är viktigt och där man har identifierat att man har grejer som är känsliga så att man
394 00:21:42,480 --> 00:21:44,020
kör en vända och kollar igenom.
395 00:21:45,040 --> 00:21:47,340
Kollar igenom det här men är rädd helt enkelt.
396 00:21:49,900 --> 00:21:50,920
Mm.
397 00:21:52,200 --> 00:21:54,520
Det här är ju väldigt svårt såklart.
398 00:21:54,820 --> 00:21:55,320
För det är vi
399 00:21:55,840 --> 00:21:56,860
det är ju
400 00:21:57,640 --> 00:22:00,700
en väldigt stor aria här att arbeta på ju.
401 00:22:00,960 --> 00:22:02,760
Så det finns ju många olika
402 00:22:03,260 --> 00:22:04,540
infallsvilka här som
403 00:22:04,800 --> 00:22:07,100
som skulle kunna vara rimliga och inte rimliga tänker jag.
404 00:22:07,360 --> 00:22:08,900
Det där är ju en svår
405 00:22:09,920 --> 00:22:13,500
en svår uppgift som Mattias har lämnat på oss helt klart.
406 00:22:13,760 --> 00:22:17,340
Men jag gör ett litet försök en stund på denna uppgift.
407 00:22:18,620 --> 00:22:21,440
Ja men jag kan ta stafettpinnen där då.
408 00:22:21,440 --> 00:22:28,360
När jag läste den här uppgiften då som Mattias skickade ut i slackarna att
409 00:22:28,600 --> 00:22:34,760
det är en egen utveckling och lösningar i både moln och on-prem och
410 00:22:35,780 --> 00:22:36,800
att det var
411 00:22:37,820 --> 00:22:39,100
som Peter nämnde både
412 00:22:39,880 --> 00:22:44,220
två utvecklingsstackar och tre molnplattformar så
413 00:22:44,480 --> 00:22:47,040
kändes det ju som att det här är ett företag som
414 00:22:47,800 --> 00:22:49,860
på något sätt lever på
415 00:22:50,120 --> 00:22:51,140
sin utveckling.
416 00:22:51,440 --> 00:22:54,000
Att det är det som är
417 00:22:54,760 --> 00:22:57,840
inkomstbringande i verksamheten.
418 00:22:58,360 --> 00:22:59,640
Det var i alla fall så jag
419 00:22:59,880 --> 00:23:01,680
valde att
420 00:23:02,700 --> 00:23:05,000
titta och analysera
421 00:23:05,780 --> 00:23:08,080
titta på det här problemet och fundera kring det.
422 00:23:09,360 --> 00:23:16,780
Och dessutom så förutsatte jag lite att man någonstans redan har gjort en riskprofil.
423 00:23:17,300 --> 00:23:21,400
Det vill säga man har ju satt mig att bygga upp säkerhets-
424 00:23:21,700 --> 00:23:25,540
arbetet för det här företaget och då har man ju någonstans ändå
425 00:23:26,040 --> 00:23:32,200
kommit fram till att vi behöver ha ett fungerande säkerhetsarbete så att jag började lite bena i
426 00:23:32,700 --> 00:23:36,280
liksom faktiska praktiska saker som jag skulle vilja liksom
427 00:23:36,540 --> 00:23:38,840
dra igång från start.
428 00:23:39,880 --> 00:23:41,400
Och
429 00:23:41,920 --> 00:23:45,500
sen då med Peters tillägg då att vi pratar en organisation på
430 00:23:45,760 --> 00:23:51,140
cirka 200-250 anställda kanske med 50 miljoner euro i omsättning.
431 00:23:51,440 --> 00:23:51,960
Max.
432 00:23:53,740 --> 00:23:59,380
Men om vi säger då låt oss säga 230 miljoner euro i omsättning.
433 00:24:01,420 --> 00:24:02,200
Så
434 00:24:02,700 --> 00:24:04,500
känner jag i alla fall att
435 00:24:04,760 --> 00:24:07,060
etablera en säkerhetsfunktion med
436 00:24:07,320 --> 00:24:08,600
åtminstone
437 00:24:09,100 --> 00:24:12,680
jag brukar säga mellan tummen och pekfingret en procent av
438 00:24:12,940 --> 00:24:15,000
din personalstyrka.
439 00:24:15,240 --> 00:24:20,120
Så tre personer känns väl hyfsat rimligt att man kan ha in-house
440 00:24:20,120 --> 00:24:21,920
och kunna bära.
441 00:24:24,720 --> 00:24:25,760
Och då hade jag försökt
442 00:24:26,520 --> 00:24:29,080
samla ett team där en har fokus
443 00:24:29,340 --> 00:24:30,360
strategi och risk
444 00:24:31,900 --> 00:24:34,460
som då håller lite i taktpinnen och
445 00:24:34,720 --> 00:24:39,840
kan liksom strukturera och ordna upp och prata med ledningen och
446 00:24:40,600 --> 00:24:42,900
vara lekledare i riskworkshoppar och annat.
447 00:24:43,420 --> 00:24:44,960
Jag hade haft en med
448 00:24:45,200 --> 00:24:48,540
ett tydligt utvecklarfokus som är duktig på
449 00:24:49,300 --> 00:24:50,080
säkerhetssystemet
450 00:24:50,380 --> 00:24:52,160
och kan
451 00:24:52,420 --> 00:24:56,780
systemutvecklingsramverk och jag hade haft en med infrafokus som är duktig på
452 00:24:57,040 --> 00:24:59,080
incident response
453 00:24:59,340 --> 00:25:01,120
och kan infra.
454 00:25:03,680 --> 00:25:04,460
Sen hade jag
455 00:25:04,720 --> 00:25:06,760
fokat väldigt mycket på
456 00:25:07,020 --> 00:25:09,840
användarutbildning och att utbilda
457 00:25:10,080 --> 00:25:11,620
mina utvecklare.
458 00:25:12,640 --> 00:25:18,280
Fokus på säkerhetssystemutveckling, hitta något ramverk som känns rimligt
459 00:25:18,540 --> 00:25:20,080
att jobba efter och
460 00:25:20,380 --> 00:25:21,660
försöka få i ordning en
461 00:25:22,420 --> 00:25:24,220
struktur för hur vi
462 00:25:24,480 --> 00:25:25,240
hur vi
463 00:25:25,760 --> 00:25:29,080
tar hand om våra applikationer där ute och
464 00:25:30,880 --> 00:25:32,160
driver ett
465 00:25:32,400 --> 00:25:34,460
effektivt livscykelarbete.
466 00:25:36,500 --> 00:25:39,060
Införa grejer som kolgranskning och
467 00:25:41,360 --> 00:25:44,440
när man känner att det är på plats så kan man börja fundera på att
468 00:25:44,700 --> 00:25:48,020
plocka in externa pentestare för att se så att
469 00:25:48,280 --> 00:25:50,080
arbetet faktiskt är så effektivt.
470 00:25:50,380 --> 00:25:50,880
Det är det som man tror att det är.
471 00:25:52,420 --> 00:25:54,220
På
472 00:25:54,720 --> 00:25:58,320
driftsidan så hade jag haft fokus på
473 00:25:58,820 --> 00:25:59,340
patchning,
474 00:25:59,840 --> 00:26:04,200
detektion, att kunna upptäcka när man har
475 00:26:04,720 --> 00:26:08,300
intrång och på incident hantering, alltså incident response.
476 00:26:09,060 --> 00:26:15,200
Det är där jag hade lagt huvudfokuset och för att kunna få ögon och öron på
477 00:26:15,460 --> 00:26:18,280
tråden så hade jag sett till att ha någon
478 00:26:18,800 --> 00:26:20,080
lösning för att
479 00:26:20,380 --> 00:26:24,980
upptäcka intrång, stödja incident hantering och
480 00:26:25,240 --> 00:26:27,280
aggregera säkerhetsinformation.
481 00:26:29,600 --> 00:26:35,480
Och som dessutom jackar in i de olika molnplattformarna som vi använder oss av och i vår
482 00:26:35,740 --> 00:26:37,280
Office 365-miljö.
483 00:26:38,300 --> 00:26:43,160
Typ darktrace eller något sådant. Jag ska inte plugga något specifikt, det finns flera.
484 00:26:43,680 --> 00:26:45,460
Black carbon!
485 00:26:45,720 --> 00:26:47,000
Ja, eller något.
486 00:26:49,040 --> 00:26:49,820
När det gäller
487 00:26:50,120 --> 00:26:56,260
Microsoft-miljön då, alltså själva Office-miljön, så hade jag sett till att vi låg på E5-licenser och ja,
488 00:26:56,520 --> 00:26:58,320
de är skitdyra, men då kan vi köra
489 00:26:58,560 --> 00:27:02,160
Advanced Threat Protection, som har bytt namn till någonting som jag inte kommer ihåg.
490 00:27:02,920 --> 00:27:07,280
Köra Azure Sentinel för att aggregera
491 00:27:07,520 --> 00:27:09,840
våra säkerhetsloggar och sådana här saker.
492 00:27:10,340 --> 00:27:11,880
Så att man har
493 00:27:12,640 --> 00:27:16,240
och utnyttjar alla de här säkerhetsfunktioner som finns i det här
494 00:27:18,020 --> 00:27:19,560
paketet som
495 00:27:19,560 --> 00:27:21,100
MS365 är.
496 00:27:22,120 --> 00:27:24,680
Betyder E5 någonting för?
497 00:27:24,940 --> 00:27:26,220
Det är en licensnivå.
498 00:27:26,480 --> 00:27:32,360
Och det är liksom, man kan ju säga att du kan köpa allting à la carte från Microsoft och då betalar du
499 00:27:33,120 --> 00:27:36,460
per funktion och den här E5,
500 00:27:36,720 --> 00:27:40,040
Microsofts MS365 E5 är ju
501 00:27:40,300 --> 00:27:42,080
i princip en all inclusive,
502 00:27:42,340 --> 00:27:43,620
där du betalar en
503 00:27:44,140 --> 00:27:46,960
styrpeng per säte, men då ingår liksom
504 00:27:47,200 --> 00:27:47,720
allt
505 00:27:48,240 --> 00:27:49,000
i princip.
506 00:27:49,560 --> 00:27:54,160
Här kommer vi ha olika infallsvinklar, ja
507 00:27:54,420 --> 00:27:55,440
den kör hårt.
508 00:27:58,520 --> 00:28:03,380
Sen hade jag nog försökt att få till någon lösning för att övervaka
509 00:28:03,640 --> 00:28:05,940
molnmiljöerna och
510 00:28:06,460 --> 00:28:11,580
försöka kolla efter, alltså scanna compliance så att vi vet att våra
511 00:28:12,340 --> 00:28:16,440
våra miljöer där ute följer de regler vi har satt upp.
512 00:28:16,700 --> 00:28:17,460
Och
513 00:28:17,980 --> 00:28:19,520
eventuellt kanske
514 00:28:19,820 --> 00:28:23,920
beroende på vad budgeten säger att köpa in en SOC-funktion.
515 00:28:25,200 --> 00:28:29,800
För att kunna ha, för på en person kan man inte köra
516 00:28:30,060 --> 00:28:35,440
724 övervakning på sina grejer så att det är bara att gilla läget, vi behöver handla det.
517 00:28:40,040 --> 00:28:46,180
Om tid och ork finns så hade jag nog försökt att implementera någon form av ledningssystem för informationssäkerhet
518 00:28:46,440 --> 00:28:48,480
baserat på IC 27000.
519 00:28:49,560 --> 00:28:54,640
Jag kan flika in där att
520 00:28:56,080 --> 00:29:00,820
jag tror på idén att man ska satsa lite på att få
521 00:29:03,640 --> 00:29:08,000
ja, SEM, men alltså loggar speciellt då från
522 00:29:08,760 --> 00:29:10,560
applikationer och så, för där
523 00:29:11,060 --> 00:29:13,120
det känner jag att det brukar vara
524 00:29:13,880 --> 00:29:15,680
på egen utveckling och sånt så tror jag att
525 00:29:16,960 --> 00:29:18,240
förmågan att logga och visualisera det är en viktig viktig förmåga.
526 00:29:18,240 --> 00:29:19,520
Det är en viktig viktig förmåga.
527 00:29:19,520 --> 00:29:20,160
att analysera
528 00:29:20,160 --> 00:29:23,160
på ett riktigt sätt som går att använda
529 00:29:23,160 --> 00:29:25,180
i säkerhetsprogram, misstänker jag
530 00:29:25,180 --> 00:29:27,420
är något av det mest
531 00:29:27,420 --> 00:29:28,700
eftersatta någonsin.
532 00:29:29,900 --> 00:29:31,300
Och vi antar
533 00:29:31,300 --> 00:29:32,780
att man inte har väldigt
534 00:29:32,780 --> 00:29:35,000
svaga utvecklare
535 00:29:35,000 --> 00:29:37,500
så får man ju hoppas
536 00:29:37,500 --> 00:29:39,440
att de gör ganska mycket
537 00:29:39,440 --> 00:29:41,240
rätt i utvecklingen
538 00:29:41,240 --> 00:29:43,380
och vad som definitivt
539 00:29:43,380 --> 00:29:45,180
eller vad som nästan alltid kommer efter
540 00:29:45,180 --> 00:29:47,380
så att det är ju förmågan att se vad som händer
541 00:29:47,380 --> 00:29:49,460
i applikationer så att
542 00:29:49,520 --> 00:29:51,400
det är ju en sån här grej
543 00:29:51,400 --> 00:29:53,280
man kan utgå från
544 00:29:53,280 --> 00:29:55,140
att det får man inte gratis.
545 00:29:55,960 --> 00:29:56,700
De kanske kodar
546 00:29:56,700 --> 00:29:59,240
cirkulinjektionfritt eller någonting sådär
547 00:29:59,240 --> 00:30:01,080
om du har köpt in
548 00:30:01,080 --> 00:30:02,900
och fått bra utvecklare
549 00:30:02,900 --> 00:30:05,280
men de kommer inte lägga till
550 00:30:05,280 --> 00:30:06,180
bra lockar
551 00:30:06,180 --> 00:30:09,740
utan att ha någon som ber om det.
552 00:30:10,740 --> 00:30:11,280
Är min gissning.
553 00:30:11,300 --> 00:30:12,960
Jag tror att det är en
554 00:30:12,960 --> 00:30:15,160
nyckelbit här just att
555 00:30:15,160 --> 00:30:16,320
hitta en
556 00:30:16,320 --> 00:30:19,500
metod för att få ögon och öron
557 00:30:19,500 --> 00:30:21,020
på tråden så att du
558 00:30:21,020 --> 00:30:23,180
har förmåga att upptäcka
559 00:30:23,180 --> 00:30:25,660
för har du det
560 00:30:25,660 --> 00:30:27,640
så kan du också begränsa
561 00:30:27,640 --> 00:30:29,100
skadan när det smäller
562 00:30:29,100 --> 00:30:30,520
för det är inte om utan när
563 00:30:30,520 --> 00:30:33,260
och då tror jag att det
564 00:30:33,260 --> 00:30:35,460
just fokus på
565 00:30:35,460 --> 00:30:37,240
detektion
566 00:30:37,240 --> 00:30:39,500
och incidenthantering
567 00:30:39,500 --> 00:30:41,780
där hade jag
568 00:30:41,780 --> 00:30:42,200
lagt
569 00:30:42,200 --> 00:30:44,020
väldigt mycket.
570 00:30:46,020 --> 00:30:46,960
Och det är väl också så
571 00:30:46,960 --> 00:30:49,160
om de nu
572 00:30:49,500 --> 00:30:51,160
som jag spekulerade i början
573 00:30:51,160 --> 00:30:53,440
att de kanske då skulle ha en massa personuppgifter
574 00:30:53,440 --> 00:30:54,060
och sådant så
575 00:30:54,060 --> 00:30:57,220
med GDPR och sådant så blir det väl dessutom
576 00:30:57,220 --> 00:30:59,280
mer och mer lagkrav
577 00:30:59,280 --> 00:31:00,960
på att de vet vad som händer i sitt
578 00:31:00,960 --> 00:31:03,120
system så att
579 00:31:03,120 --> 00:31:04,700
det börjar liksom
580 00:31:04,700 --> 00:31:07,260
potentiellt sett bli allvarligt
581 00:31:07,260 --> 00:31:09,260
att man har den här
582 00:31:09,260 --> 00:31:11,120
klassiska, man utvecklar lite
583 00:31:11,120 --> 00:31:13,080
och så det är ingen som riktigt
584 00:31:13,080 --> 00:31:14,860
bryr sig om vad som händer på serversidan
585 00:31:14,860 --> 00:31:16,800
bara funktionaliteten finns där.
586 00:31:17,640 --> 00:31:18,340
Det kan ju
587 00:31:18,340 --> 00:31:22,220
jag vet inte om brottsligt är rätt ord
588 00:31:22,220 --> 00:31:23,880
men det kan i varje fall bli straffbart
589 00:31:23,880 --> 00:31:25,960
i följd av ekonomisk påföljd
590 00:31:25,960 --> 00:31:26,820
och sådant i framtiden.
591 00:31:27,580 --> 00:31:27,660
Ja.
592 00:31:29,580 --> 00:31:30,060
Mm.
593 00:31:31,660 --> 00:31:33,720
Det lät som att Jesper hade åsikter.
594 00:31:33,920 --> 00:31:34,780
Han hade åsikter, ja.
595 00:31:35,240 --> 00:31:36,400
Men han höll igen.
596 00:31:37,800 --> 00:31:38,800
Ibland händer det.
597 00:31:39,100 --> 00:31:39,880
Inte så vanligt.
598 00:31:40,000 --> 00:31:43,080
Jag hade inte gjort samma sak.
599 00:31:43,820 --> 00:31:44,400
Nej, spännande.
600 00:31:45,840 --> 00:31:46,680
Jag vet inte om jag…
601 00:31:46,680 --> 00:31:47,740
Det får ni höra i nästa avsnitt.
602 00:31:48,340 --> 00:31:49,100
Nej, men
603 00:31:49,100 --> 00:31:53,480
vi säger ju att vi utvecklar någon form av produkt
604 00:31:53,480 --> 00:31:55,420
och det är det som är
605 00:31:55,420 --> 00:31:56,540
smör och bröd.
606 00:31:56,680 --> 00:31:58,760
Då blir det någonting som är viktigt.
607 00:31:58,940 --> 00:32:01,240
Jag håller med föregående talare
608 00:32:01,240 --> 00:32:03,160
får man ändå säga att jag hade lagt
609 00:32:03,160 --> 00:32:05,180
väldigt mycket tid på mina utvecklingsteam
610 00:32:05,180 --> 00:32:07,220
för att få samsyn
611 00:32:07,220 --> 00:32:08,840
om vad risken är så att vi jobbar
612 00:32:08,840 --> 00:32:10,780
utifrån samma mål.
613 00:32:10,980 --> 00:32:13,260
Att försöka bygga en så säker
614 00:32:13,260 --> 00:32:15,280
applikation som möjligt
615 00:32:15,280 --> 00:32:17,140
egentligen. Jag hade också lagt
616 00:32:17,140 --> 00:32:19,080
mycket tid på kodkvalitet och kodgranskning
617 00:32:19,080 --> 00:32:21,680
det vill säga inte bara ur ett rent
618 00:32:21,680 --> 00:32:23,980
säkerhetsperspektiv
619 00:32:23,980 --> 00:32:25,180
utan också haft en
620 00:32:25,180 --> 00:32:26,880
någon form av
621 00:32:26,880 --> 00:32:28,840
non-blame policy, det vill säga att
622 00:32:28,840 --> 00:32:30,880
buggar som man hittar
623 00:32:30,880 --> 00:32:33,200
i källkod oavsett vilket team
624 00:32:33,200 --> 00:32:35,160
det tillhör eller abuse
625 00:32:35,160 --> 00:32:37,340
scenario och så vidare ska premieras
626 00:32:37,340 --> 00:32:38,960
rejält.
627 00:32:39,120 --> 00:32:41,240
Så att man skapar en kultur som hjälps åt
628 00:32:41,240 --> 00:32:43,000
där man inte
629 00:32:43,000 --> 00:32:44,760
jobbar med skam och skuld
630 00:32:44,760 --> 00:32:46,160
när man gör dåliga saker.
631 00:32:47,140 --> 00:32:49,360
Hjälps åt att utveckla säker kod
632 00:32:49,360 --> 00:32:51,220
och det är allas ansvar att se till att
633 00:32:51,220 --> 00:32:51,900
skeppet flyter.
634 00:32:53,260 --> 00:32:55,140
När det kommer då till säkerhetsarbetet i
635 00:32:55,140 --> 00:32:56,520
den här produkten så hade jag
636 00:32:56,520 --> 00:32:59,180
nog, jag tyckte att Rickard sa det jävligt
637 00:32:59,180 --> 00:33:01,100
bra där med de här procentsatserna
638 00:33:01,100 --> 00:33:03,360
och grejerna. Jag bara såhär shit det låter jävligt genomtänkt
639 00:33:03,360 --> 00:33:05,200
men jag skulle också säga att jag har en
640 00:33:05,200 --> 00:33:07,000
säkerhetsstab lite det här
641 00:33:07,000 --> 00:33:09,080
security champion tänket det vill säga att man har
642 00:33:09,080 --> 00:33:11,520
appointed i varje utvecklingsteam
643 00:33:11,520 --> 00:33:13,140
men man har också personal som ansvarar
644 00:33:13,140 --> 00:33:15,300
för att se till att driva
645 00:33:15,300 --> 00:33:16,960
säkerhetsarbetet.
646 00:33:17,140 --> 00:33:19,020
På ett strukturerat sätt och det tycker jag ändå att Rickard
647 00:33:19,020 --> 00:33:21,220
ser det där med att ha den uppdelningen
648 00:33:21,220 --> 00:33:23,020
som han sa där med att en
649 00:33:23,020 --> 00:33:25,100
övergripande
650 00:33:25,100 --> 00:33:26,700
arkitektur och strategi
651 00:33:26,700 --> 00:33:28,480
en infra är en utveckling.
652 00:33:28,980 --> 00:33:31,000
Det tycker jag är ganska rimligt i den målmiljön
653 00:33:31,000 --> 00:33:33,220
som Mattias har beskrivit. Jag tycker det är bra.
654 00:33:34,320 --> 00:33:35,140
Men jag hade ju också gjort
655 00:33:35,140 --> 00:33:37,040
skillnad på säkerhet och säkerhet.
656 00:33:37,260 --> 00:33:37,660
Jag hade
657 00:33:37,660 --> 00:33:41,220
krävt säkerhet
658 00:33:41,220 --> 00:33:42,980
utifrån våra
659 00:33:42,980 --> 00:33:44,540
produktionssystem. Det vill säga att jag hade
660 00:33:44,540 --> 00:33:46,960
också arbetat och lagt pengar på
661 00:33:47,140 --> 00:33:49,240
till att våra produktions
662 00:33:49,240 --> 00:33:51,500
eller våran produkt
663 00:33:51,500 --> 00:33:52,740
och våran produktionsmiljö
664 00:33:52,740 --> 00:33:55,120
om vi nu har en SAS-tjänst eller om vi bara säljer
665 00:33:55,120 --> 00:33:57,360
tjocka klienter eller vad vi nu gör.
666 00:33:57,420 --> 00:33:58,920
Vi använder ju molnen till någonting i alla fall.
667 00:33:59,720 --> 00:34:01,220
Där hade jag lagt pengarna
668 00:34:01,220 --> 00:34:03,320
på att se till
669 00:34:03,320 --> 00:34:05,080
att vi har en bra
670 00:34:05,080 --> 00:34:07,500
kodkvalitet och att vi gör regelbundna
671 00:34:07,500 --> 00:34:08,060
pentester.
672 00:34:09,300 --> 00:34:10,440
Det hade jag också
673 00:34:10,440 --> 00:34:13,280
inte gjort med samma leverantör.
674 00:34:13,360 --> 00:34:14,340
Jag hade bytt leverantör
675 00:34:14,340 --> 00:34:15,660
löpande.
676 00:34:17,140 --> 00:34:18,980
Jag hade kanske bett en leverantör
677 00:34:18,980 --> 00:34:20,700
titta på mitt ekosystem.
678 00:34:20,860 --> 00:34:21,880
Det vill säga allt ifrån
679 00:34:21,880 --> 00:34:24,300
min infrastruktur till
680 00:34:24,300 --> 00:34:27,320
mina appar, till mina tjocka klienter
681 00:34:27,320 --> 00:34:28,940
till mitt publika
682 00:34:28,940 --> 00:34:30,720
avtryck. Jag hade tittat på
683 00:34:30,720 --> 00:34:32,240
min källkassa och gjort en
684 00:34:32,240 --> 00:34:34,880
vad säger man? Jag kan inte prata svenska.
685 00:34:35,400 --> 00:34:37,400
När man sårbarhetsanalys
686 00:34:37,400 --> 00:34:38,240
eller vad säger man?
687 00:34:38,960 --> 00:34:39,900
Kodgranskning säger man.
688 00:34:41,900 --> 00:34:42,820
Så hade jag gjort
689 00:34:42,820 --> 00:34:45,100
i hela den teknikstacken som vi implementerar
690 00:34:45,100 --> 00:34:46,580
i våran produkt. Det hade jag gjort.
691 00:34:47,140 --> 00:34:49,820
Du sa bytt leverantör
692 00:34:49,820 --> 00:34:51,560
menar du någon slags enstaka
693 00:34:51,560 --> 00:34:53,620
system eller hela molnplattformen?
694 00:34:54,740 --> 00:34:55,880
Nej, det var kanske
695 00:34:55,880 --> 00:34:57,360
uppenbart. När vi pentestar
696 00:34:57,360 --> 00:34:58,920
vårt ekosystem
697 00:34:58,920 --> 00:35:00,860
när vi gör säkerhetsgranskningarna
698 00:35:00,860 --> 00:35:03,220
då skulle jag se till att man inte använder samma firma
699 00:35:03,220 --> 00:35:05,400
om och om igen. Man kan låta en firma
700 00:35:05,400 --> 00:35:07,520
gå igenom hela ekosystemet. Det går alldeles utmärkt
701 00:35:07,520 --> 00:35:09,520
men jag tror inte på att skicka in
702 00:35:09,520 --> 00:35:11,460
samma person om och om igen. Man behöver
703 00:35:11,460 --> 00:35:13,320
olika ögon för att kunna analysera
704 00:35:13,320 --> 00:35:15,560
ett problem. Det vill man nästan säkerställa
705 00:35:15,560 --> 00:35:16,980
hos leverantören så att man inte får
706 00:35:16,980 --> 00:35:19,180
samma snubbe
707 00:35:19,180 --> 00:35:19,900
eller snubba
708 00:35:19,900 --> 00:35:22,960
hända. Jag har gjort mig
709 00:35:22,960 --> 00:35:25,540
och försökt upphandla det här på ett
710 00:35:25,540 --> 00:35:26,320
Det är ju svårt.
711 00:35:26,620 --> 00:35:28,880
För det är grejer som
712 00:35:28,880 --> 00:35:30,960
de blir lite trött på en eller så
713 00:35:30,960 --> 00:35:33,040
för att kravet man vill ha
714 00:35:33,040 --> 00:35:34,580
då som köpare det är så här
715 00:35:34,580 --> 00:35:37,200
jag vill ju att ni ser till att jag får
716 00:35:37,200 --> 00:35:38,960
era mest erfarna testare
717 00:35:38,960 --> 00:35:43,040
och sen så vill jag
718 00:35:43,040 --> 00:35:45,120
att det inte är samma personer varje gång
719 00:35:45,120 --> 00:35:46,500
så jag vill ha
720 00:35:46,500 --> 00:35:48,820
seniora folk eller motiverade
721 00:35:48,820 --> 00:35:50,700
människor eller vad vi nu väljer
722 00:35:50,700 --> 00:35:52,140
men folk som är bra vill jag ha
723 00:35:52,140 --> 00:35:54,800
och jag vill att det växlar om litegrann
724 00:35:54,800 --> 00:35:55,860
så att det inte bara är
725 00:35:55,860 --> 00:35:58,700
omtestning på exakt samma
726 00:35:58,700 --> 00:36:00,760
synsätt och på exakt samma grejer som man gjorde
727 00:36:00,760 --> 00:36:01,260
innan.
728 00:36:02,700 --> 00:36:04,420
Och det där är
729 00:36:04,420 --> 00:36:06,340
inte alltid lätt då
730 00:36:06,340 --> 00:36:07,660
från en leverantör.
731 00:36:08,940 --> 00:36:10,760
Speciellt på storbolag hos oss kan det vara
732 00:36:10,760 --> 00:36:12,820
jobbigt att säga
733 00:36:12,820 --> 00:36:14,940
det att jag vill köpa en massa olika
734 00:36:14,940 --> 00:36:16,480
och så.
735 00:36:16,500 --> 00:36:18,180
Kanske någon på inköp tycker att
736 00:36:18,180 --> 00:36:20,700
krångla inte köp från en.
737 00:36:22,460 --> 00:36:24,440
Och det är ju vanligt
738 00:36:24,440 --> 00:36:26,220
i de här offentliga upphandlingarna
739 00:36:26,220 --> 00:36:28,420
man får ju lite det man betalar för
740 00:36:28,420 --> 00:36:29,920
tyvärr skulle jag säga.
741 00:36:30,880 --> 00:36:31,020
Men
742 00:36:31,020 --> 00:36:33,820
det där är liksom
743 00:36:33,820 --> 00:36:36,340
det första jag hade velat implementera
744 00:36:36,340 --> 00:36:38,640
det vill säga ha någon form utav
745 00:36:38,640 --> 00:36:40,560
säkerhetsstöd till
746 00:36:40,560 --> 00:36:42,580
den utvecklande och producerande delen
747 00:36:42,580 --> 00:36:44,280
av vårt bolag då för nu antar jag
748 00:36:44,280 --> 00:36:46,460
jag generaliserar här att vi bygger en produkt
749 00:36:46,500 --> 00:36:48,260
som vi säljer och den produkten är
750 00:36:48,260 --> 00:36:50,920
mjukvara eller tjänst eller vad det nu kan tänkas vara.
751 00:36:52,380 --> 00:36:54,360
Och då vill jag att man har ett aktivt säkerhetsarbete
752 00:36:54,360 --> 00:36:56,280
inom de utvecklade teamen som finns
753 00:36:56,280 --> 00:36:58,160
det vill säga att man fokuserar på riskerna
754 00:36:58,160 --> 00:37:00,220
som är tillämpbara på den
755 00:37:00,220 --> 00:37:02,580
typen utav produkt och tjänst
756 00:37:02,580 --> 00:37:04,680
som de teamen är ansvariga för
757 00:37:04,680 --> 00:37:06,200
det vill säga håller man på med
758 00:37:06,200 --> 00:37:08,480
mobilappen till exempel
759 00:37:08,480 --> 00:37:09,760
av våran tjänst
760 00:37:09,760 --> 00:37:12,120
då ska man göra omvärldsbevakning
761 00:37:12,120 --> 00:37:14,200
om man ska ha någon i teamet
762 00:37:14,200 --> 00:37:16,260
som sneglar på det där och har
763 00:37:16,260 --> 00:37:18,520
lite koll och har man inte det inom teamet
764 00:37:18,520 --> 00:37:20,340
så måste man hjälpas åt
765 00:37:20,340 --> 00:37:22,140
att skapa det så att man har
766 00:37:22,140 --> 00:37:26,100
en bra idé
767 00:37:26,100 --> 00:37:27,780
kring hur man ska hantera
768 00:37:27,780 --> 00:37:29,700
säkerhetsincidenter för att det
769 00:37:29,700 --> 00:37:32,140
kommer att hända, vi kommer att ha incidenter
770 00:37:32,140 --> 00:37:33,580
vi kommer att bli hackade
771 00:37:33,580 --> 00:37:38,480
det är inte frågan om det är när
772 00:37:38,480 --> 00:37:40,380
Peter sa en gång
773 00:37:40,380 --> 00:37:42,360
för länge sedan någonting sjukt bra här
774 00:37:42,360 --> 00:37:43,500
som jag talar om hela tiden
775 00:37:43,500 --> 00:37:46,140
Jo du sa så här att
776 00:37:46,260 --> 00:37:48,560
du vet om tillräckligt många
777 00:37:48,560 --> 00:37:50,680
använder någonting så kommer det att bli
778 00:37:50,680 --> 00:37:52,360
intressant för någon att hacka det
779 00:37:52,360 --> 00:37:54,260
det vill säga att
780 00:37:54,260 --> 00:37:56,660
det blir liksom om många personer
781 00:37:56,660 --> 00:37:58,760
använder det så kommer exponeringen vara väldigt stor
782 00:37:58,760 --> 00:38:00,720
och då kommer det vara
783 00:38:00,720 --> 00:38:03,060
intresse från alla typer utav personer
784 00:38:03,060 --> 00:38:04,420
på det berömda internet
785 00:38:04,420 --> 00:38:05,840
även goda och onda
786 00:38:05,840 --> 00:38:08,620
så det kommer hända
787 00:38:08,620 --> 00:38:10,140
förr eller senare och då gäller det bara att
788 00:38:10,140 --> 00:38:12,480
du har en idé om hur du ska hantera det
789 00:38:12,480 --> 00:38:14,580
det tror jag är bra och det behöver inte vara
790 00:38:14,580 --> 00:38:16,220
i detalj men man ska ha en idé
791 00:38:16,260 --> 00:38:18,500
om att det finns ingenting som heter
792 00:38:18,500 --> 00:38:19,960
absolut säkert punkt
793 00:38:19,960 --> 00:38:22,220
men det finns olika sannolika
794 00:38:22,220 --> 00:38:23,760
attacker som skulle kunna förekomma
795 00:38:23,760 --> 00:38:26,100
och där gäller det att man är överens om
796 00:38:26,100 --> 00:38:27,780
var i vilken
797 00:38:27,780 --> 00:38:30,220
domän och i vilket område
798 00:38:30,220 --> 00:38:32,620
den här attacken skulle vara möjlig
799 00:38:32,620 --> 00:38:34,440
det vill säga det är ingen idé tycker jag
800 00:38:34,440 --> 00:38:35,020
att
801 00:38:35,020 --> 00:38:38,160
diskutera eventualiteten
802 00:38:38,160 --> 00:38:39,960
av en attackkedja som har
803 00:38:39,960 --> 00:38:42,400
hundra steg för att den kommer vara väldigt svår
804 00:38:42,400 --> 00:38:44,180
tekniskt att utföra så sannolikheten
805 00:38:44,180 --> 00:38:46,160
kommer vara låg det vill säga en attackering
806 00:38:46,260 --> 00:38:47,220
där det kommer vara lat
807 00:38:47,220 --> 00:38:49,320
och kommer vara opportunistisk
808 00:38:49,320 --> 00:38:51,900
och det är här jag inte håller med Rickard
809 00:38:51,900 --> 00:38:53,860
att investera i
810 00:38:53,860 --> 00:38:56,600
klientside
811 00:38:56,600 --> 00:38:58,180
skydd som sockar
812 00:38:58,180 --> 00:39:00,400
och carbon black och hela den här biten
813 00:39:00,400 --> 00:39:02,500
för sin Active Directory-topologi
814 00:39:02,500 --> 00:39:04,460
ja alltså enda problemet
815 00:39:04,460 --> 00:39:06,180
med det, det är att det inte funkar
816 00:39:06,180 --> 00:39:08,660
ja men det håller jag inte med dig
817 00:39:08,660 --> 00:39:09,020
faktiskt
818 00:39:09,020 --> 00:39:11,440
jag har aldrig blivit upptäckt en enda gång
819 00:39:11,440 --> 00:39:16,100
det skulle vara kul
820 00:39:16,100 --> 00:39:17,640
att testa faktiskt
821 00:39:17,640 --> 00:39:20,060
och det bygger på den enkla idén
822 00:39:20,060 --> 00:39:21,360
att vi har teknikskuld
823 00:39:21,360 --> 00:39:23,360
absolut, jag kan ta det, verkligen
824 00:39:23,360 --> 00:39:25,160
får jag ta med mig
825 00:39:25,160 --> 00:39:28,280
en eller två personer så kommer vi inte åka fast
826 00:39:28,280 --> 00:39:29,080
jag är helt säker
827 00:39:29,080 --> 00:39:31,880
och det bygger på att det är dåligt från början
828 00:39:31,880 --> 00:39:33,600
och det är för att det här
829 00:39:33,600 --> 00:39:35,720
Active Directory eller Microsoft-miljön
830 00:39:35,720 --> 00:39:36,980
är liksom byggda för
831 00:39:36,980 --> 00:39:39,400
att användas på ett specifikt sätt
832 00:39:39,400 --> 00:39:41,600
och det blir väldigt svårt att hitta anomalier där
833 00:39:41,600 --> 00:39:43,100
om man använder tjänsten
834 00:39:43,100 --> 00:39:44,420
på rätt sätt
835 00:39:46,100 --> 00:39:47,540
och det kommer alltid vara
836 00:39:47,540 --> 00:39:50,060
det håller jag med dig
837 00:39:50,060 --> 00:39:51,500
men du får ju ändå
838 00:39:51,500 --> 00:39:54,780
alltså det är bättre
839 00:39:54,780 --> 00:39:57,100
än att inte ha någon som helst
840 00:39:57,100 --> 00:39:59,360
ögon på tråden överhuvudtaget
841 00:39:59,360 --> 00:40:00,780
men då skulle jag nog snarare
842 00:40:00,780 --> 00:40:02,300
att man skulle lägga pengarna på att
843 00:40:02,300 --> 00:40:04,220
designa en Active Directory-topologi
844 00:40:04,220 --> 00:40:06,740
som liksom inte är från
845 00:40:06,740 --> 00:40:08,800
1800-talet och som där man liksom har
846 00:40:08,800 --> 00:40:10,880
frågat någon som jobbar med
847 00:40:10,880 --> 00:40:11,980
offensiv redteaming
848 00:40:11,980 --> 00:40:15,140
vilken typ av attacker är vanligt förekommande
849 00:40:15,140 --> 00:40:16,240
och sen mitigera dem
850 00:40:16,240 --> 00:40:18,840
att implementera en sån här jättedyr lösning
851 00:40:18,840 --> 00:40:19,500
som går till elva
852 00:40:19,500 --> 00:40:21,200
eller en aktiv sock för all den delen
853 00:40:21,200 --> 00:40:22,780
det är liksom inte meningslöst
854 00:40:22,780 --> 00:40:24,300
för är vi många människor
855 00:40:24,300 --> 00:40:25,520
så blir det för mycket brus
856 00:40:25,520 --> 00:40:28,160
och visst vi kan ha indicators of compromise
857 00:40:28,160 --> 00:40:29,980
och vi kan hitta på massa roliga grejer
858 00:40:29,980 --> 00:40:32,520
problemet med det är att de är baserade på dåtid
859 00:40:32,520 --> 00:40:34,720
de är baserade på någonting som redan har hänt
860 00:40:34,720 --> 00:40:36,620
absolut antivirus
861 00:40:36,620 --> 00:40:38,760
jag är jävligt imponerad av antivirus
862 00:40:38,760 --> 00:40:40,840
jag gjorde, eller jag gjorde inte alls
863 00:40:40,840 --> 00:40:42,720
vi spelade in den här SVT-serien
864 00:40:42,720 --> 00:40:44,580
och då har vi byggt massa
865 00:40:44,580 --> 00:40:46,780
ondbråd, internetdörd i olika former
866 00:40:46,780 --> 00:40:48,800
och då har vi bland annat Linus
867 00:40:48,800 --> 00:40:50,860
då i den här serien byggt
868 00:40:50,860 --> 00:40:53,040
en, jag vet inte
869 00:40:53,040 --> 00:40:55,120
hur sofistikerat det är
870 00:40:55,120 --> 00:40:56,880
vi har liksom inte använt några riktigt fräcka
871 00:40:56,880 --> 00:40:59,040
packers eller obfuscator-ramverk för att bygga
872 00:40:59,040 --> 00:41:01,300
de här sårbarheterna, men de är ändå rätt
873 00:41:01,300 --> 00:41:02,860
de är ju sånt
874 00:41:02,860 --> 00:41:04,540
byggda för ändamålet, det vill säga
875 00:41:04,540 --> 00:41:07,040
vi har inte snott något utan de är byggda och packade för ändamålet
876 00:41:07,040 --> 00:41:09,140
och det tog ungefär sex timmar
877 00:41:09,140 --> 00:41:10,900
ungefär för den
878 00:41:10,900 --> 00:41:12,800
sårbarheten att bli blockad av antivirus
879 00:41:12,800 --> 00:41:14,480
med hjälp av
880 00:41:14,580 --> 00:41:16,880
att de kommunicerar och delar
881 00:41:16,880 --> 00:41:19,000
virus-toten och vad de nu kan tänka sig att använda
882 00:41:19,000 --> 00:41:20,820
och det är ganska coolt, men på sex timmar
883 00:41:20,820 --> 00:41:21,780
hinner man göra ganska mycket
884 00:41:21,780 --> 00:41:26,320
men det är väl lite två olika saker det där
885 00:41:26,320 --> 00:41:27,580
jag menar, någon som
886 00:41:27,580 --> 00:41:30,100
en riktad attack som är unik
887 00:41:30,100 --> 00:41:32,560
som är första, den är ju givetvis svår att ta
888 00:41:32,560 --> 00:41:34,240
men
889 00:41:34,240 --> 00:41:36,020
det Ricker kanske är ute efter
890 00:41:36,020 --> 00:41:38,460
det är ju de här breda grejerna
891 00:41:38,460 --> 00:41:40,420
och utan ett okej skydd
892 00:41:40,420 --> 00:41:42,260
mot det, då får man ju
893 00:41:42,260 --> 00:41:44,420
väsentligt mer att göra på incident-respons-sidan
894 00:41:44,580 --> 00:41:46,360
och den här är jag väldigt intresserad
895 00:41:46,360 --> 00:41:48,520
de här breda grejerna, de här lite mer
896 00:41:48,520 --> 00:41:49,520
vad är det?
897 00:41:51,880 --> 00:41:52,880
det är mycket ransomware
898 00:41:52,880 --> 00:41:53,720
i nuläget
899 00:41:53,720 --> 00:41:55,220
och vad beror det på?
900 00:41:56,880 --> 00:41:57,640
dålig patchning
901 00:41:57,640 --> 00:42:00,920
det funkar, det är opportunistiskt
902 00:42:00,920 --> 00:42:02,560
det bygger oftast på
903 00:42:02,560 --> 00:42:04,680
att man har en teknik
904 00:42:04,680 --> 00:42:06,720
skulle en legacy som gör att
905 00:42:06,720 --> 00:42:09,080
personen i fråga
906 00:42:09,080 --> 00:42:10,120
använder den som blir utsatt
907 00:42:10,120 --> 00:42:12,460
har kanske lite för stort reach
908 00:42:12,460 --> 00:42:13,300
än vad man ska ha
909 00:42:13,300 --> 00:42:14,540
det vill säga
910 00:42:14,580 --> 00:42:17,040
om en användare som jobbar på ekonomi
911 00:42:17,040 --> 00:42:19,620
kan skriva över, rekursivt skriva över
912 00:42:19,620 --> 00:42:20,980
hela våran katalogtjänst
913 00:42:20,980 --> 00:42:22,500
eller skriva över hela våran filarea
914 00:42:22,500 --> 00:42:24,680
då har man liksom ett problem med separation
915 00:42:24,680 --> 00:42:26,700
då har man ju ett rättighetsarbete
916 00:42:26,700 --> 00:42:28,920
då har man gjort en dålig implementation
917 00:42:28,920 --> 00:42:29,500
absolut
918 00:42:29,500 --> 00:42:33,160
och märker man inte att man har backuppat det i sex veckor
919 00:42:33,160 --> 00:42:35,180
så att retention är borta
920 00:42:35,180 --> 00:42:36,940
så att man har numera malware
921 00:42:36,940 --> 00:42:38,100
i sin backup också
922 00:42:38,100 --> 00:42:41,020
då är det något annat som är trasigt, inte säkerhetsmässigt
923 00:42:42,480 --> 00:42:44,560
då har man inte processer som funkar
924 00:42:44,580 --> 00:42:47,980
i mitt säkerhetsarbete
925 00:42:47,980 --> 00:42:50,140
så jag använder kommer alltid göra fel
926 00:42:50,140 --> 00:42:52,320
så vi kanske inte ska göra det
927 00:42:52,320 --> 00:42:53,220
till en issue då
928 00:42:53,220 --> 00:42:55,280
vi kanske inte ska ha någonting som är
929 00:42:55,280 --> 00:42:56,300
mission critical
930 00:42:56,300 --> 00:42:57,600
där en användare
931 00:42:57,600 --> 00:43:01,000
utan elevering eller utan någon form utav
932 00:43:01,000 --> 00:43:04,120
deliberate action
933 00:43:04,120 --> 00:43:05,700
kan få tillgång till saker och ting
934 00:43:05,700 --> 00:43:07,100
för att det är convenient
935 00:43:07,100 --> 00:43:11,500
det håller jag helt med
936 00:43:11,500 --> 00:43:13,660
men jag ser inte hur de här står emot varandra
937 00:43:13,660 --> 00:43:14,540
för att jag anser att det är en del av det här
938 00:43:14,540 --> 00:43:14,560
jag anser att det är en del av det här
939 00:43:14,580 --> 00:43:16,960
jag anser att du måste ändå ha någonting
940 00:43:16,960 --> 00:43:19,980
som aggregerar din säkerhetsinformation
941 00:43:19,980 --> 00:43:20,840
dina loggar
942 00:43:20,840 --> 00:43:21,260
dina
943 00:43:21,260 --> 00:43:24,020
alltså speciellt då
944 00:43:24,020 --> 00:43:26,580
din cloud infra
945 00:43:27,100 --> 00:43:27,720
till exempel
946 00:43:27,720 --> 00:43:30,540
om du nu har både Azure och
947 00:43:30,540 --> 00:43:33,460
och Google Cloud
948 00:43:33,460 --> 00:43:34,520
och AWS
949 00:43:34,520 --> 00:43:37,560
det är viktigt med audit trails
950 00:43:37,560 --> 00:43:38,140
det vill säga att vi
951 00:43:38,140 --> 00:43:40,540
kan skapa spårbarhet
952 00:43:40,540 --> 00:43:42,080
men det är inte samma sak som att
953 00:43:42,080 --> 00:43:44,220
hålla på med heuristik
954 00:43:44,220 --> 00:43:44,540
eller
955 00:43:44,540 --> 00:43:46,680
någon form utav anomalidetektion
956 00:43:46,680 --> 00:43:48,460
i våra nätverksströmmar
957 00:43:48,460 --> 00:43:49,340
det är kört
958 00:43:49,340 --> 00:43:50,820
för det är för mycket brus
959 00:43:50,820 --> 00:43:53,160
det är för mycket skit som händer på tråden idag
960 00:43:53,160 --> 00:43:54,640
så vi behöver titta på
961 00:43:54,640 --> 00:43:57,600
det är därför jag tror på hela den här
962 00:43:57,600 --> 00:43:59,440
beyond core på zero trust
963 00:43:59,440 --> 00:44:00,840
mentaliteten
964 00:44:00,840 --> 00:44:02,680
klienterna kommer alltid vara klienter
965 00:44:02,680 --> 00:44:05,600
att vi ska lära folk att inte trycka på länkar
966 00:44:05,600 --> 00:44:07,040
ja alltså
967 00:44:07,040 --> 00:44:08,360
det kommer inte gå
968 00:44:08,360 --> 00:44:11,060
nej
969 00:44:11,060 --> 00:44:13,540
du ska klicka på den här länken men inte denna länken
970 00:44:13,540 --> 00:44:14,500
aha
971 00:44:14,500 --> 00:44:17,620
det är liksom knas
972 00:44:17,620 --> 00:44:18,880
det funkar inte
973 00:44:18,880 --> 00:44:21,400
jag bygger jättemycket phishing-kampanjer
974 00:44:21,400 --> 00:44:24,060
och jättemycket riktade attacker
975 00:44:24,060 --> 00:44:25,120
jag vet inte vad man
976 00:44:25,120 --> 00:44:27,180
jag kallar det phishing, folk kallar det spear phishing
977 00:44:27,180 --> 00:44:29,620
jag hade klickat på det
978 00:44:29,620 --> 00:44:31,100
och det är ändå jag som har byggt den
979 00:44:31,100 --> 00:44:34,060
det kan jag ju bara skriva under på
980 00:44:34,060 --> 00:44:35,800
jag har ju varit med och byggt
981 00:44:35,800 --> 00:44:38,480
phishing-kampanjer som jag själv hade gått på
982 00:44:38,480 --> 00:44:39,740
ja och det är det jag menar
983 00:44:39,740 --> 00:44:41,180
och så kommer det alltid vara
984 00:44:41,180 --> 00:44:42,820
men är inte det här
985 00:44:42,820 --> 00:44:43,960
det är väl inte
986 00:44:44,500 --> 00:44:45,820
det ena eller det andra egentligen
987 00:44:45,820 --> 00:44:47,180
för jag menar givetvis så är det så
988 00:44:47,180 --> 00:44:49,600
men vad jag vill komma till då
989 00:44:49,600 --> 00:44:52,740
mitt skydd för den här typen utav
990 00:44:52,740 --> 00:44:55,240
IT
991 00:44:55,240 --> 00:44:57,780
vad du vill lägga fokus
992 00:44:57,780 --> 00:44:58,780
kanske är annorlunda
993 00:44:58,780 --> 00:45:00,620
du vill lägga mycket mer på egentligen
994 00:45:00,620 --> 00:45:01,580
produktion
995 00:45:01,580 --> 00:45:05,300
och lease privilege och sådana principer
996 00:45:05,300 --> 00:45:08,700
klienterna för mig kommer alltid vara
997 00:45:08,700 --> 00:45:09,720
en svag länk
998 00:45:09,720 --> 00:45:11,060
så jag kommer inte att räkna med dem
999 00:45:11,060 --> 00:45:13,360
utan vi kommer behöva implementera
1000 00:45:13,360 --> 00:45:14,080
andra skydd
1001 00:45:14,500 --> 00:45:15,580
och då tänker jag att
1002 00:45:15,580 --> 00:45:17,280
Googles approach är ganska nice
1003 00:45:17,280 --> 00:45:22,060
sen när det kommer till cloud så här
1004 00:45:22,060 --> 00:45:24,360
ja problemet som jag ser det
1005 00:45:24,360 --> 00:45:26,500
när jag tittar ju jättemycket på just cloud-grejer
1006 00:45:26,500 --> 00:45:28,360
det är just det att man förstår inte
1007 00:45:28,360 --> 00:45:29,220
separation
1008 00:45:29,220 --> 00:45:30,640
man tänker att webb är webb
1009 00:45:30,640 --> 00:45:32,080
och infra är infra
1010 00:45:32,080 --> 00:45:34,220
men det är inte så längre
1011 00:45:34,220 --> 00:45:37,380
för vi har massa instrumentationslager
1012 00:45:37,380 --> 00:45:38,020
eller instrument
1013 00:45:38,020 --> 00:45:39,140
kan man inte säga så
1014 00:45:39,140 --> 00:45:40,940
instrumenteringslager
1015 00:45:40,940 --> 00:45:43,480
som behöver vara nåbart
1016 00:45:43,480 --> 00:45:44,340
för alla våra
1017 00:45:44,340 --> 00:45:44,480
instrumenterar
1018 00:45:44,500 --> 00:45:45,200
fräcka grejer
1019 00:45:45,200 --> 00:45:48,480
och då implementerar vi en massa coola
1020 00:45:48,480 --> 00:45:49,800
container
1021 00:45:49,800 --> 00:45:50,620
eller kimmar
1022 00:45:50,620 --> 00:45:54,300
då tänker jag på metadata-lager
1023 00:45:54,300 --> 00:45:56,680
som finns i alla de här cloud-tjänsterna
1024 00:45:56,680 --> 00:45:57,580
som Mattias har valt
1025 00:45:57,580 --> 00:46:00,680
det som bygger upp infrastrukturen
1026 00:46:00,680 --> 00:46:01,620
virtuellt
1027 00:46:01,620 --> 00:46:03,600
ja, virtuellt
1028 00:46:03,600 --> 00:46:05,740
det kan ju också ifrågasättas
1029 00:46:05,740 --> 00:46:08,460
men som bootstrappar och bygger din infrastruktur
1030 00:46:08,460 --> 00:46:09,080
mer eller mindre
1031 00:46:09,080 --> 00:46:11,840
för det är också någonting som man inte tänker på
1032 00:46:11,840 --> 00:46:13,340
när det är liksom container
1033 00:46:13,340 --> 00:46:14,840
i container-ekosystem
1034 00:46:14,840 --> 00:46:17,040
vad är ett container-ekosystem egentligen?
1035 00:46:17,500 --> 00:46:19,020
det är ganska många bitar här som
1036 00:46:19,020 --> 00:46:20,860
som man behöver ha koll på
1037 00:46:20,860 --> 00:46:22,940
och den nuvarande utvecklingen
1038 00:46:22,940 --> 00:46:25,060
går ju om att vi implementerar
1039 00:46:25,060 --> 00:46:25,840
våra byggen
1040 00:46:25,840 --> 00:46:27,500
i någon form av
1041 00:46:27,500 --> 00:46:29,620
continuous integration
1042 00:46:29,620 --> 00:46:31,280
continuous delivery-plattform
1043 00:46:31,280 --> 00:46:34,020
som gör att vi plockar bort
1044 00:46:34,020 --> 00:46:36,000
det här
1045 00:46:36,000 --> 00:46:37,860
djupförståelsen av
1046 00:46:37,860 --> 00:46:39,000
systemadministration
1047 00:46:39,000 --> 00:46:41,080
och lägger det i templates istället
1048 00:46:41,080 --> 00:46:43,200
vi spelar ju in ett
1049 00:46:43,200 --> 00:46:45,100
avsnitt för en massa tid sedan
1050 00:46:45,100 --> 00:46:47,140
när jag knappt hade jobbat med sådana här
1051 00:46:47,140 --> 00:46:48,400
container-grejer och sånt
1052 00:46:48,400 --> 00:46:51,160
ju mer vi snackar om det desto mer övertygade
1053 00:46:51,160 --> 00:46:52,320
vi blir om att
1054 00:46:52,320 --> 00:46:55,160
containers är ju bara en jävla glorifierad
1055 00:46:55,160 --> 00:46:56,160
geogel
1056 00:46:56,160 --> 00:46:58,580
det är ett trot, absolut
1057 00:46:58,580 --> 00:47:00,720
men det finns ju skalfördelar i det här, absolut
1058 00:47:00,720 --> 00:47:03,480
men nu har vi suttit och plockat isär
1059 00:47:03,480 --> 00:47:04,140
containers
1060 00:47:04,140 --> 00:47:04,880
det är ju
1061 00:47:04,880 --> 00:47:08,020
en jävla fil som
1062 00:47:08,020 --> 00:47:09,640
berättar vad du laddar hem
1063 00:47:09,640 --> 00:47:10,680
några jar-filer
1064 00:47:10,680 --> 00:47:12,160
och så
1065 00:47:12,160 --> 00:47:13,120
så är det ju så att det är en jävla
1066 00:47:13,120 --> 00:47:13,180
så att det är en jävla fil som berättar vad du laddar hem några jar-filer
1067 00:47:13,180 --> 00:47:14,740
så svursar man upp det till en liten
1068 00:47:14,740 --> 00:47:16,720
kontinueriserad del
1069 00:47:16,720 --> 00:47:19,600
en jättetunn Linux-binär
1070 00:47:19,600 --> 00:47:20,140
kanske
1071 00:47:20,140 --> 00:47:21,940
det ser så jävla
1072 00:47:21,940 --> 00:47:23,640
fancy ut
1073 00:47:23,640 --> 00:47:27,180
och du tar en image
1074 00:47:27,180 --> 00:47:28,800
och du har en massa feta ord på det här
1075 00:47:28,800 --> 00:47:30,760
men vad är det på riktigt
1076 00:47:30,760 --> 00:47:33,300
kör ett verktyg som laddar hem
1077 00:47:33,300 --> 00:47:35,000
allt som ligger
1078 00:47:35,000 --> 00:47:36,200
i imageen
1079 00:47:36,200 --> 00:47:37,360
en jävla jar-fil
1080 00:47:37,360 --> 00:47:40,100
instruktionsbaserad
1081 00:47:40,100 --> 00:47:41,920
det är som ett
1082 00:47:41,920 --> 00:47:43,100
stort källskripp fast med
1083 00:47:43,100 --> 00:47:46,220
olika konstrukt i sig
1084 00:47:46,220 --> 00:47:47,580
eller olika definitioner
1085 00:47:47,580 --> 00:47:49,680
men okej, för att komma tillbaka lite till ämnet
1086 00:47:49,680 --> 00:47:51,240
i min värld så
1087 00:47:51,240 --> 00:47:53,900
en modern IT-infrastruktur idag byggs inte
1088 00:47:53,900 --> 00:47:55,540
genom att man har
1089 00:47:55,540 --> 00:47:56,940
den här traditionella
1090 00:47:56,940 --> 00:47:59,220
Active Directory, insida-utsida
1091 00:47:59,220 --> 00:48:01,600
utan den byggs på att vi skyddar
1092 00:48:01,600 --> 00:48:03,400
det som vi anser vara skyddsvärt
1093 00:48:03,400 --> 00:48:04,680
och det vill säga då är det
1094 00:48:04,680 --> 00:48:07,020
det som är produktionsbringande
1095 00:48:07,020 --> 00:48:08,660
eller det som är våra produktionssystem
1096 00:48:08,660 --> 00:48:10,780
det vi tjänar våra pengar på
1097 00:48:10,780 --> 00:48:13,080
det måste vi se till att ha kontroll på
1098 00:48:13,100 --> 00:48:15,000
och är det då så att vi
1099 00:48:15,000 --> 00:48:16,920
tillverkar bilbälten så kommer ju
1100 00:48:16,920 --> 00:48:19,660
delar av den här produktionen behöva vara uppkopplad
1101 00:48:19,660 --> 00:48:21,160
ja då är det det som vi måste
1102 00:48:21,160 --> 00:48:23,100
hantera ur ett säkerhetsperspektiv
1103 00:48:23,100 --> 00:48:25,880
då får vi se till att separationen där är korrekt
1104 00:48:25,880 --> 00:48:27,560
det ska liksom inte gå
1105 00:48:27,560 --> 00:48:28,780
att hoppa in
1106 00:48:28,780 --> 00:48:31,760
att jag ska få en utav mina 250 anställda
1107 00:48:31,760 --> 00:48:33,820
att inte klicka på en skadlig länk
1108 00:48:33,820 --> 00:48:36,020
som är gjord för att de ska klicka på den
1109 00:48:36,020 --> 00:48:37,900
och sen tappa hela infrastrukturen
1110 00:48:37,900 --> 00:48:38,480
på grund av det
1111 00:48:38,480 --> 00:48:40,640
det är liksom för mig katastrof
1112 00:48:40,640 --> 00:48:43,020
och jag tror tyvärr inte på att ha prylar som
1113 00:48:43,100 --> 00:48:43,580
går till 11
1114 00:48:43,580 --> 00:48:45,320
för att det kommer
1115 00:48:45,320 --> 00:48:49,880
det kommer pydesign inte att funka
1116 00:48:49,880 --> 00:48:51,700
alltså alla uppdrag
1117 00:48:51,700 --> 00:48:53,340
alla uppdrag som jag har gjort
1118 00:48:53,340 --> 00:48:54,700
där det har funnits en aktiv sock
1119 00:48:54,700 --> 00:48:57,340
så har de inte märkt att vi har gjort någonting
1120 00:48:57,340 --> 00:48:58,300
och då har vi blivit domäna
1121 00:48:58,300 --> 00:49:00,360
framförallt så är de ju upptagna
1122 00:49:00,360 --> 00:49:03,040
man skäller ut folk som
1123 00:49:03,040 --> 00:49:04,980
gör vad de ska göra
1124 00:49:04,980 --> 00:49:06,540
i sitt arbete kan jag säga
1125 00:49:06,540 --> 00:49:09,240
och jag kan fan sticka ut hakan
1126 00:49:09,240 --> 00:49:10,860
så mycket att hej vi kör
1127 00:49:10,860 --> 00:49:12,560
hör av er vi kör
1128 00:49:13,100 --> 00:49:16,160
alltså jag skulle bli
1129 00:49:16,160 --> 00:49:17,960
asglad att kunna säga att fan den här
1130 00:49:17,960 --> 00:49:18,820
den här
1131 00:49:18,820 --> 00:49:21,660
som gick till 11 fungerade
1132 00:49:21,660 --> 00:49:24,440
svinbra vi blev upptäckta med en gång
1133 00:49:24,440 --> 00:49:26,180
ja
1134 00:49:26,180 --> 00:49:28,440
så var det
1135 00:49:28,440 --> 00:49:30,140
då är det fan hatten av
1136 00:49:30,140 --> 00:49:32,460
men än så länge har jag inte sett det
1137 00:49:32,460 --> 00:49:34,160
men det du säger där Jesper
1138 00:49:34,160 --> 00:49:36,200
egentligen ditt fokus skulle du ha lagt på
1139 00:49:36,200 --> 00:49:38,220
egentligen en klok design
1140 00:49:38,220 --> 00:49:39,960
snarare än extremt mycket
1141 00:49:39,960 --> 00:49:40,520
detection
1142 00:49:40,520 --> 00:49:41,480
ja
1143 00:49:43,100 --> 00:49:43,740
, det plockas bort
1144 00:49:43,740 --> 00:49:47,060
det är mot sig att du har viss detection kvar
1145 00:49:47,060 --> 00:49:48,460
och framförallt kanske antivirus kvar
1146 00:49:48,460 --> 00:49:51,300
för jag menar de flesta utvecklarna kommer ju ändå sitta på sina
1147 00:49:51,300 --> 00:49:53,360
laptops och bygga
1148 00:49:53,360 --> 00:49:54,820
all den här koden och deploya den
1149 00:49:54,820 --> 00:49:57,360
och även om de har low privilege
1150 00:49:57,360 --> 00:49:59,220
från början så behöver de ju eskalera för att göra
1151 00:49:59,220 --> 00:50:00,720
en hel del saker och har du då en
1152 00:50:00,720 --> 00:50:03,040
en aktiv keylogger där så har du ju problem
1153 00:50:03,040 --> 00:50:05,300
herregud ja och det kommer alltid vara ett problem
1154 00:50:05,300 --> 00:50:07,220
men en användare ska inte
1155 00:50:07,220 --> 00:50:09,340
sitta på en produktionsnycklar på sin
1156 00:50:09,340 --> 00:50:10,220
utvecklingslaptop
1157 00:50:10,220 --> 00:50:12,980
en användare eller en utvecklare ska ju subita
1158 00:50:13,100 --> 00:50:15,200
kod till ett repo som sedan föder
1159 00:50:15,200 --> 00:50:16,620
någon form av byggprocess
1160 00:50:16,620 --> 00:50:18,340
när processen tillåter bygge
1161 00:50:18,340 --> 00:50:21,140
och där är också liksom så här, hur ser vi till att vi
1162 00:50:21,140 --> 00:50:23,540
kommittar kod, hur gör vi våra
1163 00:50:23,540 --> 00:50:25,380
pull och push requests
1164 00:50:25,380 --> 00:50:27,480
till våra dev pipelines, hur går de till
1165 00:50:27,480 --> 00:50:29,080
hur attesterar vi det
1166 00:50:29,080 --> 00:50:29,920
det vill säga
1167 00:50:29,920 --> 00:50:33,360
här är ju en jättebra funktion i utvecklingsteamen
1168 00:50:33,360 --> 00:50:35,080
att se till att vi granskar varandras kod
1169 00:50:35,080 --> 00:50:37,500
och att vi tar det på allvar
1170 00:50:37,500 --> 00:50:39,320
att det är en
1171 00:50:39,320 --> 00:50:40,660
naturlig del i vårt bygge
1172 00:50:40,660 --> 00:50:43,360
vi har det här klassiska problemet
1173 00:50:43,360 --> 00:50:45,640
att hur hanterar vi miljövariabler
1174 00:50:45,640 --> 00:50:47,220
hur gör vi det på ett bra sätt
1175 00:50:47,220 --> 00:50:49,200
ja alltså det finns ingen anledning
1176 00:50:49,200 --> 00:50:51,260
att utvecklaren ska sitta med produktionshemligheter
1177 00:50:51,260 --> 00:50:53,280
och där är det så här
1178 00:50:53,280 --> 00:50:55,140
nej men det är ofta i sig så att de kan ju
1179 00:50:55,140 --> 00:50:57,140
sitta med, eftersom det är infrastrukturellt kod
1180 00:50:57,140 --> 00:50:58,800
så kan de ju sitta med kommitträttigheter
1181 00:50:58,800 --> 00:51:00,580
till infrastrukturen
1182 00:51:00,580 --> 00:51:03,000
men det ska ju inte dra igång, det ska ju inte kunna dra igång
1183 00:51:03,000 --> 00:51:04,800
en byggprocess ifrån
1184 00:51:04,800 --> 00:51:06,920
men den drar igång
1185 00:51:06,920 --> 00:51:07,880
automatiskt givetvis
1186 00:51:07,880 --> 00:51:10,580
ja men din byggprocess kommer ju inte bygga
1187 00:51:10,660 --> 00:51:13,220
ifrån en ny, ja nu finns det en ny tagg
1188 00:51:13,220 --> 00:51:15,020
nu skjuter jag in den här i produktion
1189 00:51:15,020 --> 00:51:16,880
så får det ju inte vara, utan det ska ju vara
1190 00:51:16,880 --> 00:51:18,320
en medveten handling liksom
1191 00:51:18,320 --> 00:51:21,280
som kräver credentials som ligger på en
1192 00:51:21,280 --> 00:51:22,140
devlaptop
1193 00:51:22,140 --> 00:51:25,740
ja eller som kräver samkordination av mer än en person
1194 00:51:25,740 --> 00:51:27,720
ja men nu börjar det bli jobbigt
1195 00:51:27,720 --> 00:51:29,720
för en organisation på 200 personer här
1196 00:51:29,720 --> 00:51:30,840
nej jag tror inte det
1197 00:51:30,840 --> 00:51:32,220
för du kommer ju ha en teamlead
1198 00:51:32,220 --> 00:51:35,200
du kommer kunna etablera en process för att bygga saker och ting
1199 00:51:35,200 --> 00:51:36,680
på ett strukturerat sätt
1200 00:51:36,680 --> 00:51:38,680
och det är det enda, så här QA och test
1201 00:51:38,680 --> 00:51:40,240
gör vad fan du vill, det är inte viktigt
1202 00:51:40,660 --> 00:51:42,160
men när vi väl ska kommitta till produktion
1203 00:51:42,160 --> 00:51:44,720
då måste vi ha två nycklar
1204 00:51:44,720 --> 00:51:47,380
och vi ska knäcka kuvertet
1205 00:51:47,380 --> 00:51:48,180
det är inte orimligt
1206 00:51:48,180 --> 00:51:50,240
och det behöver inte ens vara så komplicerat
1207 00:51:50,240 --> 00:51:55,540
jag kan till och med köpa att vi har statiska nycklar
1208 00:51:55,540 --> 00:51:56,600
och vi har liksom
1209 00:51:56,600 --> 00:51:59,180
alla utvecklare har liksom super user access
1210 00:51:59,180 --> 00:52:00,980
och vi antar att
1211 00:52:00,980 --> 00:52:03,820
ja men läckage av det här materialet
1212 00:52:03,820 --> 00:52:04,920
kommer att förekomma
1213 00:52:04,920 --> 00:52:07,060
det är jag helt okej med
1214 00:52:07,060 --> 00:52:08,740
för jag menar, breacher vi en container
1215 00:52:08,740 --> 00:52:10,540
så kommer vi ha miljövariabler
1216 00:52:10,540 --> 00:52:10,620
och det är inte orimligt
1217 00:52:10,620 --> 00:52:10,640
att det är orimligt
1218 00:52:10,660 --> 00:52:12,060
i den containern
1219 00:52:12,060 --> 00:52:13,640
om vi nu får remote code execution
1220 00:52:13,640 --> 00:52:15,620
eller vi får någon form av
1221 00:52:15,620 --> 00:52:17,780
server side request forgery
1222 00:52:17,780 --> 00:52:20,300
eller CSRF eller vad vi nu kan tänka oss
1223 00:52:20,300 --> 00:52:23,240
för att kunna konsumera saker
1224 00:52:23,240 --> 00:52:24,180
i kontextet av
1225 00:52:24,180 --> 00:52:26,680
servern eller kunna läsa filer
1226 00:52:26,680 --> 00:52:27,640
eller minne på servern
1227 00:52:27,640 --> 00:52:30,440
då handlar det ju om att vi behöver
1228 00:52:30,440 --> 00:52:31,860
ha en process som gör att
1229 00:52:31,860 --> 00:52:34,460
credentials är ingenting som är viktigt för oss
1230 00:52:34,460 --> 00:52:36,660
det vill säga att vi har en process att kunna rulla
1231 00:52:36,660 --> 00:52:39,040
det här ganska snabbt
1232 00:52:39,040 --> 00:52:40,620
och det är därför
1233 00:52:40,620 --> 00:52:42,620
typ hashicorpsvolt
1234 00:52:42,620 --> 00:52:44,620
eller de olika KMS eller SSM
1235 00:52:44,620 --> 00:52:46,300
eller de här parameterstoresen
1236 00:52:46,300 --> 00:52:48,760
som finns i Google Cloud är bra
1237 00:52:48,760 --> 00:52:51,220
det jag hör mycket från utvecklare
1238 00:52:51,220 --> 00:52:52,640
är såhär, ja men vi kommer ju ändå
1239 00:52:52,640 --> 00:52:55,040
behöva ha nycklarna i Klartext någonstans
1240 00:52:55,040 --> 00:52:55,480
ja
1241 00:52:55,480 --> 00:52:58,020
ja så då är det väl ingen skillnad
1242 00:52:58,020 --> 00:52:59,220
jag har en jättestor skillnad
1243 00:52:59,220 --> 00:53:01,260
för vi har en process som gör att vi kan
1244 00:53:01,260 --> 00:53:03,080
plocka bort den
1245 00:53:03,080 --> 00:53:05,700
den signerade
1246 00:53:05,700 --> 00:53:07,700
credential-biten och rulla ut en ny
1247 00:53:07,700 --> 00:53:10,180
och vi har det infrastrukturellt klart
1248 00:53:10,180 --> 00:53:11,760
det vill säga, ja men
1249 00:53:11,760 --> 00:53:13,760
sommaren 2021 blev läckt
1250 00:53:13,760 --> 00:53:15,760
attans, det spelar ingen roll
1251 00:53:15,760 --> 00:53:18,000
för den kryptografiska delen av det
1252 00:53:18,000 --> 00:53:20,180
kan vi bara byta ut till vinter 2021
1253 00:53:20,180 --> 00:53:22,200
och den haschen
1254 00:53:22,200 --> 00:53:23,980
och den summan som vi använder i KMS
1255 00:53:23,980 --> 00:53:26,380
den kommer inte
1256 00:53:26,380 --> 00:53:27,960
bry sig om, om det står
1257 00:53:27,960 --> 00:53:29,040
vinter eller sommar där
1258 00:53:29,040 --> 00:53:32,020
det som är viktigt här är att vi har etablerat en process
1259 00:53:32,020 --> 00:53:32,860
som vi kan rulla
1260 00:53:32,860 --> 00:53:35,580
utan att vi skalar våra system
1261 00:53:35,580 --> 00:53:40,020
så jag vill plocka bort liksom lösenord och status
1262 00:53:40,020 --> 00:53:42,560
jag måste vända mig lite mot dina resonemang
1263 00:53:42,560 --> 00:53:43,300
för jag menar
1264 00:53:43,300 --> 00:53:46,240
jag håller helt och hållet med dig
1265 00:53:46,240 --> 00:53:48,360
om vi hade satt oss med ett vitt papper
1266 00:53:48,360 --> 00:53:50,260
men här så
1267 00:53:50,260 --> 00:53:52,400
ser vi ju, vi har ju ett företag
1268 00:53:52,400 --> 00:53:53,880
med en massa teknikskuld
1269 00:53:53,880 --> 00:53:56,220
och en massa, det är lite on-prem
1270 00:53:56,220 --> 00:53:57,620
det är lite här, det är lite där
1271 00:53:57,620 --> 00:54:00,300
och vi har redan en miljö
1272 00:54:00,300 --> 00:54:00,660
i
1273 00:54:00,660 --> 00:54:04,100
Microsoft, Azure
1274 00:54:04,100 --> 00:54:05,240
och så vidare
1275 00:54:05,240 --> 00:54:08,140
för mig så tolkar jag det
1276 00:54:08,140 --> 00:54:09,940
som att det tåget
1277 00:54:10,020 --> 00:54:10,820
har redan gått
1278 00:54:10,820 --> 00:54:14,000
Ja men alltså, alla de som står där
1279 00:54:14,000 --> 00:54:15,020
både Azure
1280 00:54:15,020 --> 00:54:18,200
AWS och GCP har ju
1281 00:54:18,200 --> 00:54:20,200
den här typen av funktionalitet
1282 00:54:20,200 --> 00:54:21,900
inbyggd, jag menar Azure DevOps
1283 00:54:21,900 --> 00:54:24,500
vi har Google Functions
1284 00:54:24,500 --> 00:54:25,960
vi har liksom, alla de här har
1285 00:54:25,960 --> 00:54:27,940
en ganska snarlik
1286 00:54:27,940 --> 00:54:30,060
kedja
1287 00:54:30,060 --> 00:54:31,960
och det här, även om on-prem-grejerna
1288 00:54:31,960 --> 00:54:34,460
det ena behöver inte utesluta det andra, det kommer ju vara en kombination
1289 00:54:34,460 --> 00:54:35,940
men att
1290 00:54:35,940 --> 00:54:37,580
liksom, bara för att vi
1291 00:54:37,580 --> 00:54:39,980
sitter i en idé om att
1292 00:54:40,020 --> 00:54:41,880
vi har teknikskuld så ska vi väl ändå
1293 00:54:41,880 --> 00:54:43,940
kunna utveckla vår målmiljö mot
1294 00:54:43,940 --> 00:54:46,060
något, allt det här kommer inte ske på en
1295 00:54:46,060 --> 00:54:47,900
dag, men det är viktigt för mig
1296 00:54:47,900 --> 00:54:49,440
i alla fall, om jag hade varit ansvarig
1297 00:54:49,440 --> 00:54:51,680
att etablera någon form av riktning
1298 00:54:51,680 --> 00:54:54,020
ja, men vi ska liksom gå
1299 00:54:54,020 --> 00:54:55,740
emot det här, inte mot det här
1300 00:54:55,740 --> 00:54:57,860
att bara namna att säkerhetsläget
1301 00:54:57,860 --> 00:54:59,920
just nu är dåligt och sen kasta pengar på allt
1302 00:54:59,920 --> 00:55:01,140
det, det
1303 00:55:01,140 --> 00:55:03,640
nu generaliserar jag bara såklart
1304 00:55:03,640 --> 00:55:05,520
det är inte, det är såhär
1305 00:55:05,520 --> 00:55:07,000
men jag tycker att det är viktigt att
1306 00:55:07,000 --> 00:55:09,940
skydda det som skyddas
1307 00:55:10,020 --> 00:55:12,020
skall, och sedan inte lägga någonting
1308 00:55:12,020 --> 00:55:13,940
på en kamp i mina ögon
1309 00:55:13,940 --> 00:55:15,400
som inte går att vinna
1310 00:55:15,400 --> 00:55:17,960
och det är liksom att vi är gullible som människor
1311 00:55:17,960 --> 00:55:20,060
vi är lätt lurade, vi kommer göra fel
1312 00:55:20,060 --> 00:55:21,520
det är oundvikligt
1313 00:55:21,520 --> 00:55:23,040
vi är dåliga på det
1314 00:55:23,040 --> 00:55:25,120
och då tänker jag såhär, istället för att liksom
1315 00:55:25,120 --> 00:55:27,900
hålla på och kräva komplexa lösenord
1316 00:55:27,900 --> 00:55:29,540
och liksom massa
1317 00:55:29,540 --> 00:55:31,920
grejer, så får vi liksom bara anta
1318 00:55:31,920 --> 00:55:33,900
att folk kommer göra ett dåligt jobb
1319 00:55:33,900 --> 00:55:35,700
och designa våra säkerhetsskydd runt det
1320 00:55:35,700 --> 00:55:37,900
det vill säga, vi litar inte
1321 00:55:37,900 --> 00:55:39,920
på någon, utan vi ser till att det som verkligen
1322 00:55:39,920 --> 00:55:41,300
är skyddsvärt, det skyddar vi
1323 00:55:41,300 --> 00:55:43,900
med hjälp av separation och zero trust
1324 00:55:43,900 --> 00:55:46,260
Jag håller med dig till stor del
1325 00:55:46,260 --> 00:55:48,180
men jag tycker ändå
1326 00:55:48,180 --> 00:55:49,780
att man vill ha
1327 00:55:49,780 --> 00:55:51,820
möjligheten att detektera
1328 00:55:51,820 --> 00:55:53,240
när skiten träffar fläkten
1329 00:55:53,240 --> 00:55:55,900
Absolut, jo, men det kan jag tänka mig
1330 00:55:55,900 --> 00:55:58,180
att det ska man såklart ha
1331 00:55:58,180 --> 00:55:59,840
men då ska det ju vara
1332 00:55:59,840 --> 00:56:01,540
designat utefter
1333 00:56:01,540 --> 00:56:03,760
den risken och den hotmodellen man har gjort
1334 00:56:03,760 --> 00:56:05,600
det vill säga, ser vi att någon
1335 00:56:05,600 --> 00:56:07,840
vi kör, ja
1336 00:56:07,840 --> 00:56:09,780
vad fan ska vi hitta på här, vi kör en
1337 00:56:09,920 --> 00:56:11,760
imperva cloud vaff
1338 00:56:11,760 --> 00:56:14,360
vad fan är det
1339 00:56:14,360 --> 00:56:16,420
ja, det är en jävla
1340 00:56:16,420 --> 00:56:18,080
imperva är ganska stort tror jag faktiskt
1341 00:56:18,080 --> 00:56:18,720
den går till 11
1342 00:56:18,720 --> 00:56:21,140
vad sa du, den går till 11
1343 00:56:21,140 --> 00:56:23,960
ja, det är en molnleverantör som
1344 00:56:23,960 --> 00:56:26,200
tillgodoserar typ denial of service
1345 00:56:26,200 --> 00:56:28,060
och webapplication
1346 00:56:28,060 --> 00:56:29,800
firewall lösningar
1347 00:56:29,800 --> 00:56:32,000
och det vill säga
1348 00:56:32,000 --> 00:56:34,000
att vi köper en sån rackare då, ja det är inte
1349 00:56:34,000 --> 00:56:36,020
viktigt för mig att få ett larm
1350 00:56:36,020 --> 00:56:37,860
när någon skickar in
1351 00:56:37,860 --> 00:56:39,920
alla SQL injection payloads
1352 00:56:39,920 --> 00:56:42,300
via en funktion
1353 00:56:42,300 --> 00:56:43,720
i mitt API för att
1354 00:56:43,720 --> 00:56:46,020
det är inte viktigt, utan det viktiga är att jag
1355 00:56:46,020 --> 00:56:48,380
kan ha en anomalidetektion
1356 00:56:48,380 --> 00:56:50,620
på någonting som är värdefullt
1357 00:56:50,620 --> 00:56:51,160
men
1358 00:56:51,160 --> 00:56:53,480
precis
1359 00:56:53,480 --> 00:56:55,780
och vad
1360 00:56:55,780 --> 00:56:57,780
jag menar på
1361 00:56:57,780 --> 00:57:00,060
medelstort bolag, då är det ju också
1362 00:57:00,060 --> 00:57:01,740
så stora att lagarna
1363 00:57:01,740 --> 00:57:03,720
börjar gälla på riktigt
1364 00:57:03,720 --> 00:57:06,360
kan jag minnsna, antar jag hoppas
1365 00:57:06,360 --> 00:57:07,540
vad tänker vi då
1366 00:57:07,540 --> 00:57:09,840
du tänker GDPR och hela det
1367 00:57:09,840 --> 00:57:09,900
så
1368 00:57:09,920 --> 00:57:10,240
spåret
1369 00:57:10,240 --> 00:57:11,760
du måste ha
1370 00:57:11,760 --> 00:57:13,680
loggar över
1371 00:57:13,680 --> 00:57:15,960
säkerhetssuccesser
1372 00:57:15,960 --> 00:57:17,780
du måste ha loggar över
1373 00:57:17,780 --> 00:57:19,860
när folk
1374 00:57:19,860 --> 00:57:22,500
dumpade ut massa personuppgifter
1375 00:57:22,500 --> 00:57:23,640
ur systemet
1376 00:57:23,640 --> 00:57:26,300
ja, och det är
1377 00:57:26,300 --> 00:57:28,500
frågan vart man implementerar
1378 00:57:28,500 --> 00:57:29,520
den här typen av loggning
1379 00:57:29,520 --> 00:57:31,780
är det i våran applikation
1380 00:57:31,780 --> 00:57:34,280
är det med hjälp utav
1381 00:57:34,280 --> 00:57:36,060
vad sitter
1382 00:57:36,060 --> 00:57:37,680
den här kontrollfunktionen
1383 00:57:37,680 --> 00:57:39,260
så allting beror ju på här
1384 00:57:39,260 --> 00:57:39,780
mm
1385 00:57:39,920 --> 00:57:43,880
men den måste ju med en stund sitta på någonstans
1386 00:57:43,880 --> 00:57:45,940
som kan veta
1387 00:57:45,940 --> 00:57:46,820
att det inträffar
1388 00:57:46,820 --> 00:57:48,240
så
1389 00:57:48,240 --> 00:57:51,660
i alla fall så måste man kunna ljuga ihop
1390 00:57:51,660 --> 00:57:52,900
en tillräckligt bra story
1391 00:57:52,900 --> 00:57:54,000
för att veta
1392 00:57:54,000 --> 00:57:56,380
det är sjukt att vi garvarat det här
1393 00:57:56,380 --> 00:57:59,760
vår molnleverantör blev utsatt för den
1394 00:57:59,760 --> 00:58:01,300
det vet de ju inte
1395 00:58:01,300 --> 00:58:03,940
jag bara tänker på
1396 00:58:03,940 --> 00:58:04,700
ubiquities
1397 00:58:04,700 --> 00:58:06,200
jo, absolut
1398 00:58:06,200 --> 00:58:08,180
tog det för sen
1399 00:58:08,180 --> 00:58:09,760
men G
1400 00:58:09,760 --> 00:58:12,100
ta typ Google då till exempel
1401 00:58:12,100 --> 00:58:14,780
jag har klickat i en checkrusa
1402 00:58:14,780 --> 00:58:16,600
som säger att Google ska hantera detta
1403 00:58:16,600 --> 00:58:17,520
enligt GDPR
1404 00:58:17,520 --> 00:58:19,720
och att det ska lagras inom EU
1405 00:58:19,720 --> 00:58:22,220
okej
1406 00:58:22,220 --> 00:58:25,100
min riskanalys är ju klar där
1407 00:58:25,100 --> 00:58:25,920
jag litar på Google
1408 00:58:25,920 --> 00:58:27,400
så det de säger till mig är okej
1409 00:58:27,400 --> 00:58:29,800
om det skulle visa sig sen vara osant
1410 00:58:29,800 --> 00:58:32,720
jag har ingen möjlighet att påverka det
1411 00:58:32,720 --> 00:58:34,500
nej, så är det
1412 00:58:34,500 --> 00:58:36,320
så då skulle man kunna tänka sig såhär
1413 00:58:36,320 --> 00:58:37,560
ja men då är det on-prem som gäller
1414 00:58:37,560 --> 00:58:38,540
vi kör allting on-prem
1415 00:58:38,540 --> 00:58:38,640
mm
1416 00:58:38,640 --> 00:58:38,720
mm
1417 00:58:38,720 --> 00:58:39,740
ja, ja, ja, ja, ja
1418 00:58:39,760 --> 00:58:40,860
och då är ju nästa grej såhär
1419 00:58:40,860 --> 00:58:42,160
hur kan vi validera det då?
1420 00:58:42,540 --> 00:58:43,600
hur kan vi veta att det är på riktigt
1421 00:58:43,600 --> 00:58:44,020
alltså såhär
1422 00:58:44,020 --> 00:58:45,100
så det här är ju också såhär
1423 00:58:45,100 --> 00:58:46,340
GDPR i hela den här historien
1424 00:58:46,340 --> 00:58:47,240
det är säkert svinbra
1425 00:58:47,240 --> 00:58:48,440
men jag gillar
1426 00:58:48,440 --> 00:58:51,900
alltså jag ser inte GDPR som en enforcer för
1427 00:58:51,900 --> 00:58:53,280
för liksom
1428 00:58:53,280 --> 00:58:55,380
attestation och liksom någon form av
1429 00:58:55,380 --> 00:58:57,380
vad säger man
1430 00:58:57,380 --> 00:59:00,120
krav på spårbarhet
1431 00:59:00,120 --> 00:59:01,980
det är ju bara en jävla bra funktion för mig
1432 00:59:01,980 --> 00:59:02,980
som slutanvändare
1433 00:59:02,980 --> 00:59:04,340
så ser jag det
1434 00:59:04,340 --> 00:59:06,540
det vill säga att jag har rätten att kunna
1435 00:59:06,540 --> 00:59:08,360
begära ut data på mig
1436 00:59:09,760 --> 00:59:12,660
nu är det ju ett sånt klassiskt sidospår här
1437 00:59:12,660 --> 00:59:14,980
men GDPR är väl framförallt en motvikt
1438 00:59:14,980 --> 00:59:17,600
kring det här med att data är
1439 00:59:17,600 --> 00:59:18,740
samla på sig data
1440 00:59:18,740 --> 00:59:21,040
om alla är privatpersoner så mycket som möjligt
1441 00:59:21,040 --> 00:59:23,540
det är guld, det är nästan olja liksom
1442 00:59:23,540 --> 00:59:25,080
så det finns inget stopp på det
1443 00:59:25,080 --> 00:59:26,660
nu finns det en motvikt i alla fall
1444 00:59:26,660 --> 00:59:27,760
att det kan finnas problem
1445 00:59:27,760 --> 00:59:29,160
att samla på sig alla den datan
1446 00:59:29,160 --> 00:59:31,580
ja, och nyckelordet i den meningen är
1447 00:59:31,580 --> 00:59:32,760
det kan finnas problem
1448 00:59:32,760 --> 00:59:35,180
för Facebook hade ju en dålig dag
1449 00:59:35,180 --> 00:59:38,240
under tiden vi pratat nu
1450 00:59:38,240 --> 00:59:39,600
så har det teamet
1451 00:59:39,600 --> 00:59:40,960
som jag jobbar med denna veckan
1452 00:59:40,960 --> 00:59:42,160
hittat en
1453 00:59:42,160 --> 00:59:45,820
NoSQL injection-vektor här
1454 00:59:45,820 --> 00:59:48,300
som nu precis har blivit
1455 00:59:48,300 --> 00:59:48,960
exploitad
1456 00:59:48,960 --> 00:59:51,840
och där har ju det här företaget ett jätteproblem
1457 00:59:51,840 --> 00:59:56,020
alltså där ligger ju data
1458 00:59:56,020 --> 00:59:58,240
och det kommer alltid att vara så
1459 00:59:58,240 --> 01:00:01,180
och då är frågan
1460 01:00:01,180 --> 01:00:03,300
hur skyddar vi den datan, hur validerar vi den
1461 01:00:03,300 --> 01:00:03,880
där har vi liksom
1462 01:00:03,880 --> 01:00:06,540
det är ju en papperstiger
1463 01:00:06,540 --> 01:00:08,260
men om vi säger såhär
1464 01:00:08,260 --> 01:00:09,420
om vi
1465 01:00:09,600 --> 01:00:11,200
om vi hade kommit fram till
1466 01:00:11,200 --> 01:00:13,440
att det här var det viktigaste på företaget
1467 01:00:13,440 --> 01:00:15,200
så hade vi ju kunnat börja jobba på
1468 01:00:15,200 --> 01:00:18,040
att fokusera resurser där i vart fall
1469 01:00:18,040 --> 01:00:19,180
och det är det jag tänker
1470 01:00:19,180 --> 01:00:21,220
att alla är överens om vad det är som är viktigt
1471 01:00:21,220 --> 01:00:22,460
det tror jag är liksom ett ja
1472 01:00:22,460 --> 01:00:25,180
där tror jag vi är alla överens
1473 01:00:25,180 --> 01:00:27,200
men sen så tror jag också att du vill
1474 01:00:27,200 --> 01:00:29,320
jag menar ponera att någon hittar den här
1475 01:00:29,320 --> 01:00:30,900
NoSQL injection
1476 01:00:30,900 --> 01:00:33,460
sårbarheten och börja
1477 01:00:33,460 --> 01:00:34,840
liksom dumpa din
1478 01:00:34,840 --> 01:00:37,100
3 terabytes databas
1479 01:00:37,100 --> 01:00:38,960
full med hemliga personuppgifter
1480 01:00:39,600 --> 01:00:41,780
liksom då vill du ju veta
1481 01:00:41,780 --> 01:00:43,100
att den håller på att lämna ditt nät
1482 01:00:43,100 --> 01:00:44,680
så du kan göra någonting åt den, bums
1483 01:00:44,680 --> 01:00:47,820
då tänker du att du ska ha någon form av metric-grej
1484 01:00:47,820 --> 01:00:50,120
som kan se om databasen
1485 01:00:50,120 --> 01:00:52,640
används mer än vad den brukar användas
1486 01:00:52,640 --> 01:00:53,380
när vi kör i
1487 01:00:53,380 --> 01:00:55,560
ett högtillgänglighetskluster
1488 01:00:55,560 --> 01:00:58,040
ja alltså jag tänker om du
1489 01:00:58,040 --> 01:00:59,240
alltså
1490 01:00:59,240 --> 01:01:00,500
är du med på orimligheten såhär
1491 01:01:00,500 --> 01:01:03,620
vi ska upptäcka anomali i IO
1492 01:01:03,620 --> 01:01:04,760
baserat på
1493 01:01:04,760 --> 01:01:07,240
ett medeltal över tid
1494 01:01:07,240 --> 01:01:08,440
hur ska vi definiera det
1495 01:01:08,440 --> 01:01:10,040
det beror ju på helt
1496 01:01:10,040 --> 01:01:11,440
håller på hur din info ser ut
1497 01:01:11,440 --> 01:01:13,940
men jag är övertygad om att du borde kunna skriva regler
1498 01:01:13,940 --> 01:01:15,160
för att se om liksom
1499 01:01:15,160 --> 01:01:18,100
data börjar strömma ut i skillnad från om du har
1500 01:01:18,100 --> 01:01:20,800
vanlig access i databasen
1501 01:01:20,800 --> 01:01:21,360
liksom det
1502 01:01:21,360 --> 01:01:23,160
det känns som
1503 01:01:23,160 --> 01:01:25,360
det är ju vanlig access i databasen när vi hackar webbplaget
1504 01:01:25,360 --> 01:01:27,080
jo absolut
1505 01:01:27,080 --> 01:01:29,100
nu är jag ond här
1506 01:01:29,100 --> 01:01:30,780
men om man dumpar
1507 01:01:30,780 --> 01:01:32,440
om du säger drop table liksom
1508 01:01:32,440 --> 01:01:35,160
eller du kör liksom en
1509 01:01:35,160 --> 01:01:37,140
en fullständig databas
1510 01:01:37,140 --> 01:01:38,240
dump då
1511 01:01:38,440 --> 01:01:39,440
alltså det är ju
1512 01:01:39,440 --> 01:01:42,960
det är en läsning som inte är normal
1513 01:01:42,960 --> 01:01:44,460
förhoppningsvis för din applikation
1514 01:01:44,460 --> 01:01:47,080
för då har du utvecklare som har rökt kracke
1515 01:01:47,080 --> 01:01:47,500
eller någonting
1516 01:01:47,500 --> 01:01:50,240
jag skulle säga att
1517 01:01:50,240 --> 01:01:53,180
det du säger är ju en bra tanke
1518 01:01:53,180 --> 01:01:54,820
men jag skulle säga att det förekommer inte
1519 01:01:54,820 --> 01:01:57,060
nej man kan ju säga såhär
1520 01:01:57,060 --> 01:01:58,360
att om det förekommer
1521 01:01:58,360 --> 01:01:59,500
alltså till exempel
1522 01:01:59,500 --> 01:02:01,900
till exempel
1523 01:02:01,900 --> 01:02:04,660
ta nitro cloud till exempel
1524 01:02:04,660 --> 01:02:06,100
det var en ny läcka här
1525 01:02:06,100 --> 01:02:07,620
nitro pdf var det väl som
1526 01:02:07,620 --> 01:02:08,280
som
1527 01:02:08,440 --> 01:02:10,580
hade ett jätteintrång där allting försvann
1528 01:02:10,580 --> 01:02:12,820
den dumpen har jag hört
1529 01:02:12,820 --> 01:02:14,880
av någon innehåller i stort sett
1530 01:02:14,880 --> 01:02:16,860
en poskreskuell
1531 01:02:16,860 --> 01:02:17,440
backup
1532 01:02:17,440 --> 01:02:19,820
det är det den innehåller
1533 01:02:19,820 --> 01:02:21,640
det är ju ingen som har märkt att man har tagit en backup
1534 01:02:21,640 --> 01:02:23,560
och sedan exfilterat den
1535 01:02:23,560 --> 01:02:25,420
den är typ 150 gig
1536 01:02:25,420 --> 01:02:27,700
men där sätter vi ju fingret på
1537 01:02:27,700 --> 01:02:28,500
ett
1538 01:02:28,500 --> 01:02:31,940
mycket vanligt problem
1539 01:02:31,940 --> 01:02:32,800
inom
1540 01:02:32,800 --> 01:02:35,800
inom it-säkerhet
1541 01:02:35,800 --> 01:02:37,600
att till exempel
1542 01:02:37,600 --> 01:02:38,440
databasen
1543 01:02:38,440 --> 01:02:40,020
finns det ingen insyn
1544 01:02:40,020 --> 01:02:40,960
överhuvudtaget
1545 01:02:40,960 --> 01:02:44,400
och till exempel på oracle
1546 01:02:44,400 --> 01:02:46,160
som jag för länge sedan kunde
1547 01:02:46,160 --> 01:02:47,620
jag är väl inte så skarp på det nu
1548 01:02:47,620 --> 01:02:50,120
när det har gått en tio år eller någonting
1549 01:02:50,120 --> 01:02:52,340
men det finns ju en massa
1550 01:02:52,340 --> 01:02:54,640
dictionaries i oracle
1551 01:02:54,640 --> 01:02:56,340
där den börjar larma
1552 01:02:56,340 --> 01:02:57,120
för att
1553 01:02:57,120 --> 01:03:00,080
det är väldigt låg andel
1554 01:03:00,080 --> 01:03:02,660
frågor som du känner igen
1555 01:03:02,660 --> 01:03:04,480
sedan tidigare och det är väldigt mycket nya
1556 01:03:04,480 --> 01:03:05,580
frågor hela tiden
1557 01:03:05,580 --> 01:03:08,400
jag tvekar inte en sekund
1558 01:03:08,440 --> 01:03:10,520
på att det finns möjlighet att skapa
1559 01:03:10,520 --> 01:03:12,720
den här typen utav metrics
1560 01:03:12,720 --> 01:03:14,280
det är bara det att
1561 01:03:14,280 --> 01:03:16,340
jag ser väl inte att utvecklingen riktigt
1562 01:03:16,340 --> 01:03:18,400
går det hållet, det är min erfarenhet
1563 01:03:18,400 --> 01:03:20,800
utan vad man gör är att man köper falsktrygghet
1564 01:03:20,800 --> 01:03:22,640
genom en sock och så tänker man att det borde
1565 01:03:22,640 --> 01:03:24,840
vara underförstått att det är det här jag vill ha
1566 01:03:24,840 --> 01:03:26,260
men det får man inte
1567 01:03:26,260 --> 01:03:27,320
alltså man får inte det
1568 01:03:27,320 --> 01:03:29,740
där kan jag hålla helt med dig
1569 01:03:29,740 --> 01:03:32,780
och det får du inte på imparbar vaffen
1570 01:03:32,780 --> 01:03:34,680
heller utan du får det som en signatur
1571 01:03:34,680 --> 01:03:36,760
som letar efter saker och ting som aldrig skulle vara
1572 01:03:36,760 --> 01:03:37,500
exploaterbara
1573 01:03:37,500 --> 01:03:38,320
ja men
1574 01:03:38,440 --> 01:03:40,880
det är otroligt viktigt att du faktiskt
1575 01:03:40,880 --> 01:03:43,720
trimmar din sock
1576 01:03:43,720 --> 01:03:44,480
och faktiskt få
1577 01:03:44,480 --> 01:03:45,980
vad du betalar för
1578 01:03:45,980 --> 01:03:48,900
och hur tycker du det går om du börjar ställa
1579 01:03:48,900 --> 01:03:50,600
krav på din sockleverantör
1580 01:03:50,600 --> 01:03:52,940
jag kan ju säga att jag sitter hos en kund
1581 01:03:52,940 --> 01:03:54,020
och gör precis detta
1582 01:03:54,020 --> 01:03:56,720
hur tycker du att det går, hur validerar du arbetet
1583 01:03:57,540 --> 01:03:59,180
ja men det görs
1584 01:03:59,180 --> 01:04:00,520
med jämna mellanrum
1585 01:04:00,520 --> 01:04:02,820
hur då, du kommer med ett krav
1586 01:04:02,820 --> 01:04:04,720
så det här vill jag, hur testar du det
1587 01:04:05,480 --> 01:04:07,600
vi bestämmer oss för att
1588 01:04:07,600 --> 01:04:08,680
vi vill se
1589 01:04:08,680 --> 01:04:11,000
alltså till exempel
1590 01:04:11,000 --> 01:04:13,160
en viss typ av events
1591 01:04:13,160 --> 01:04:13,940
eller motsvarande
1592 01:04:13,940 --> 01:04:15,080
att de här
1593 01:04:15,080 --> 01:04:19,480
sakerna som någon kan hitta på
1594 01:04:19,480 --> 01:04:20,640
i ett system
1595 01:04:20,640 --> 01:04:23,060
vill vi veta om det händer till exempel
1596 01:04:23,060 --> 01:04:25,280
och då har de gjort
1597 01:04:25,280 --> 01:04:27,120
det urvalet utifrån
1598 01:04:27,120 --> 01:04:28,840
någon form av förståelse för
1599 01:04:28,840 --> 01:04:31,200
hur skulle jag tänka som angripare
1600 01:04:31,200 --> 01:04:33,140
om jag kom in
1601 01:04:33,140 --> 01:04:34,880
eller kom åt det här för att
1602 01:04:34,880 --> 01:04:36,400
exploatera på något vis
1603 01:04:36,400 --> 01:04:38,840
och det är ju så du kan bygga
1604 01:04:38,840 --> 01:04:41,240
intelligenta detektionsmekanismer
1605 01:04:41,240 --> 01:04:43,440
istället för att förlita dig på
1606 01:04:43,440 --> 01:04:45,220
någon form av snårt
1607 01:04:45,220 --> 01:04:47,080
regelverk som någon har skrivit
1608 01:04:47,080 --> 01:04:49,360
för attacker som hände på 80-talet
1609 01:04:49,360 --> 01:04:51,020
ja men det tror jag nog ändå
1610 01:04:51,020 --> 01:04:53,140
att det pågår utveckling hela tiden
1611 01:04:53,140 --> 01:04:54,580
och att man använder och delar
1612 01:04:54,580 --> 01:04:55,640
precis som antivirus
1613 01:04:55,640 --> 01:04:59,140
det tror jag definitivt
1614 01:04:59,140 --> 01:04:59,380
men
1615 01:04:59,380 --> 01:05:01,720
de är ju
1616 01:05:01,720 --> 01:05:04,940
tvåa på bollen alltid
1617 01:05:04,940 --> 01:05:06,540
det är du som måste kravställa
1618 01:05:06,540 --> 01:05:08,540
den typen av skydd du vill ha
1619 01:05:08,540 --> 01:05:10,760
och den blir ju svår i en standardtjänst
1620 01:05:10,760 --> 01:05:12,000
den där är ju
1621 01:05:12,000 --> 01:05:13,780
du kommer alltid behöva göra jobbet
1622 01:05:13,780 --> 01:05:14,520
det är vad jag tänker
1623 01:05:14,520 --> 01:05:16,460
men
1624 01:05:16,460 --> 01:05:19,700
det är ju görbart
1625 01:05:19,700 --> 01:05:22,660
sen att det är svårt att få det
1626 01:05:22,660 --> 01:05:25,260
smidigt och enkelt
1627 01:05:25,260 --> 01:05:25,740
men
1628 01:05:25,740 --> 01:05:28,780
du kan ju definitivt
1629 01:05:30,620 --> 01:05:32,420
ha en testövning då du
1630 01:05:32,420 --> 01:05:33,340
brössar iväg
1631 01:05:34,940 --> 01:05:36,820
massa frågor som simulerar
1632 01:05:36,820 --> 01:05:37,960
till exempel en blind shake
1633 01:05:37,960 --> 01:05:38,860
och en actionattack
1634 01:05:38,860 --> 01:05:42,880
och om du gör det mot produktionssystemet
1635 01:05:42,880 --> 01:05:44,360
där dina viktigaste grejer ligger
1636 01:05:44,360 --> 01:05:46,540
och slutsatsen blir att
1637 01:05:46,540 --> 01:05:47,580
ingen märkte något
1638 01:05:47,580 --> 01:05:50,200
då vet du ju i vart fall att
1639 01:05:50,200 --> 01:05:52,820
det är komplett skräp
1640 01:05:54,080 --> 01:05:55,000
att man
1641 01:05:55,000 --> 01:05:56,700
ser inte när det händer något
1642 01:05:56,700 --> 01:05:58,420
det allvarligaste och då det är ju ganska
1643 01:05:58,420 --> 01:06:00,580
det är väl ändå ganska
1644 01:06:00,580 --> 01:06:02,320
central information till
1645 01:06:02,320 --> 01:06:04,000
förändringsarbete
1646 01:06:04,000 --> 01:06:04,660
att man
1647 01:06:04,940 --> 01:06:06,520
att man blir medveten
1648 01:06:06,520 --> 01:06:07,640
om att man är blind
1649 01:06:07,640 --> 01:06:10,040
jag kanske är luttrad här
1650 01:06:10,040 --> 01:06:12,520
det vill säga de red team uppdragen som jag har gjort
1651 01:06:12,520 --> 01:06:13,820
så har vi aldrig blivit upptäckta
1652 01:06:13,820 --> 01:06:14,460
när
1653 01:06:14,460 --> 01:06:16,520
men
1654 01:06:16,520 --> 01:06:20,100
alltså
1655 01:06:20,100 --> 01:06:24,220
monitorering
1656 01:06:24,220 --> 01:06:26,020
tenderar att vara åt helvete
1657 01:06:26,020 --> 01:06:27,120
det är
1658 01:06:27,120 --> 01:06:30,600
en uppfattning jag tror
1659 01:06:30,600 --> 01:06:32,220
och då vill jag helst inte lägga
1660 01:06:32,220 --> 01:06:34,420
alla kulor i min kulpåse
1661 01:06:34,420 --> 01:06:34,920
på det
1662 01:06:34,940 --> 01:06:36,740
för jag tror att det är en teknik
1663 01:06:36,740 --> 01:06:38,000
som är dålig
1664 01:06:38,000 --> 01:06:39,880
samma sekund som jag installerat den
1665 01:06:39,880 --> 01:06:42,440
utan aktiv monitorering i mitt fall
1666 01:06:42,440 --> 01:06:43,720
ska byggas på en
1667 01:06:43,720 --> 01:06:46,700
intern process där man har kommit överens om
1668 01:06:46,700 --> 01:06:48,200
vad det är som är viktigt att skydda
1669 01:06:48,200 --> 01:06:50,160
och det är där man designar sitt skalskydd
1670 01:06:50,160 --> 01:06:52,380
shotgun approach, det funkar inte
1671 01:06:52,380 --> 01:06:54,400
men det var nog
1672 01:06:54,400 --> 01:06:56,100
det tror jag nog alla
1673 01:06:56,100 --> 01:06:57,260
tyckte egentligen
1674 01:06:57,260 --> 01:06:59,240
jag tänker när man pratar om threat detection
1675 01:06:59,240 --> 01:07:01,460
och när man drar igång någonting client side
1676 01:07:01,460 --> 01:07:04,500
så det största problemet med det är att
1677 01:07:04,940 --> 01:07:06,520
usability kommer alltid gå före
1678 01:07:06,520 --> 01:07:10,920
hur tänker du då?
1679 01:07:11,140 --> 01:07:11,940
ja alltså om jag
1680 01:07:11,940 --> 01:07:13,820
du drar igång någonting
1681 01:07:13,820 --> 01:07:16,340
och sen behöver du elevera dig för att dra igång det där
1682 01:07:16,340 --> 01:07:18,660
och så promptar den här skiten eller drar iväg ett larm
1683 01:07:18,660 --> 01:07:20,440
med att nu har Calicula eleverat sig
1684 01:07:20,440 --> 01:07:21,600
för han ska köra patients
1685 01:07:21,600 --> 01:07:24,940
nu drar jag, nu spelar jag bara allan här
1686 01:07:24,940 --> 01:07:26,560
men du vet det blir för mycket
1687 01:07:26,560 --> 01:07:28,220
cry wolf scenarion
1688 01:07:28,220 --> 01:07:30,160
så att den indatan kommer inte
1689 01:07:30,160 --> 01:07:31,220
man kommer inte springa på den
1690 01:07:31,220 --> 01:07:33,900
du har precis argumenterat för att vi ska ha en väldig massa
1691 01:07:33,900 --> 01:07:34,740
strikt
1692 01:07:34,940 --> 01:07:37,240
processer för hur vi gör saker och ting
1693 01:07:37,240 --> 01:07:38,640
och när vi eleverar oss
1694 01:07:38,640 --> 01:07:39,540
och när vi skaffar oss
1695 01:07:39,540 --> 01:07:41,460
och där har du ju
1696 01:07:41,460 --> 01:07:42,980
ditt ramverk
1697 01:07:42,980 --> 01:07:44,520
inte client side
1698 01:07:44,520 --> 01:07:46,420
men det har jag inte sagt
1699 01:07:46,420 --> 01:07:49,200
jag har sagt att det kan vara
1700 01:07:49,200 --> 01:07:51,640
intressant att ändå ha den
1701 01:07:51,640 --> 01:07:53,700
den som en
1702 01:07:53,700 --> 01:07:55,600
del av en feed
1703 01:07:55,600 --> 01:07:58,400
jag säger inte emot det
1704 01:07:58,400 --> 01:07:59,460
på något sätt, jag säger bara att
1705 01:07:59,460 --> 01:08:00,720
jag har jävligt
1706 01:08:00,720 --> 01:08:02,660
jag har jäkligt svårt
1707 01:08:02,660 --> 01:08:03,920
att se
1708 01:08:04,940 --> 01:08:07,200
en sock vara produktiv
1709 01:08:07,200 --> 01:08:08,320
på ett klientnätverk
1710 01:08:08,320 --> 01:08:10,200
ja nej absolut
1711 01:08:10,200 --> 01:08:12,980
men det kan ändå finnas
1712 01:08:12,980 --> 01:08:14,560
intressanta
1713 01:08:14,560 --> 01:08:17,040
slutsatser du kan dra i ett incident
1714 01:08:17,040 --> 01:08:19,000
hanteringsscenario
1715 01:08:19,000 --> 01:08:21,280
vad händer
1716 01:08:21,280 --> 01:08:22,820
på klienterna, du kan spåra
1717 01:08:22,820 --> 01:08:24,220
du kan hitta
1718 01:08:24,220 --> 01:08:27,440
var kom de in
1719 01:08:27,440 --> 01:08:28,980
och hur ska vi begränsa
1720 01:08:28,980 --> 01:08:30,900
skadan och vilka datorer
1721 01:08:30,900 --> 01:08:33,120
behöver vi blåsa och vilka vill vi analysera
1722 01:08:33,120 --> 01:08:34,860
för att ta reda på hur mycket
1723 01:08:34,940 --> 01:08:35,960
de kommer över och så vidare
1724 01:08:35,960 --> 01:08:39,020
men det finns några frågor som
1725 01:08:39,020 --> 01:08:41,760
det är övergripande
1726 01:08:41,760 --> 01:08:43,060
hur vi identifierar
1727 01:08:43,060 --> 01:08:44,980
var är det rätt ställe
1728 01:08:44,980 --> 01:08:47,420
att göra insatser på
1729 01:08:47,420 --> 01:08:49,820
vilka insatser
1730 01:08:49,820 --> 01:08:51,260
man ska göra och var man
1731 01:08:51,260 --> 01:08:53,060
ska göra dem är ju en av
1732 01:08:53,060 --> 01:08:55,120
de stora utmaningarna
1733 01:08:55,120 --> 01:08:57,340
en annan grej
1734 01:08:57,340 --> 01:08:57,880
som
1735 01:08:57,880 --> 01:09:01,280
sen lite känner att
1736 01:09:01,280 --> 01:09:01,800
vi kanske
1737 01:09:01,800 --> 01:09:04,640
duckar eller som
1738 01:09:04,940 --> 01:09:06,580
är sjukt svår att fixa
1739 01:09:06,580 --> 01:09:07,400
det är ju den här
1740 01:09:07,400 --> 01:09:10,400
hur får vi folk
1741 01:09:10,400 --> 01:09:12,120
att göra det liksom
1742 01:09:12,120 --> 01:09:14,140
för att det är jävligt lätt att få
1743 01:09:14,140 --> 01:09:16,200
jag menar vi kan ju säga
1744 01:09:16,200 --> 01:09:18,540
en massa checkboxar och med mycket säkerhet
1745 01:09:18,540 --> 01:09:19,880
som görs det är
1746 01:09:19,880 --> 01:09:22,100
brukar vi ganska lätt att få gjort
1747 01:09:22,100 --> 01:09:24,700
men få gjort på verkligt
1748 01:09:24,700 --> 01:09:25,160
alltså
1749 01:09:25,160 --> 01:09:28,260
det är nog det jag ju liksom lite
1750 01:09:28,260 --> 01:09:30,580
försöker vara efter här
1751 01:09:31,160 --> 01:09:33,000
så dels hur vi
1752 01:09:33,000 --> 01:09:34,140
kollar att
1753 01:09:34,940 --> 01:09:36,440
när vi har en checkbox
1754 01:09:36,440 --> 01:09:38,040
betyder det att vi har gjort en
1755 01:09:38,040 --> 01:09:40,280
promille av ansträngningar som behövs
1756 01:09:40,280 --> 01:09:42,020
eller är vi bättre
1757 01:09:42,020 --> 01:09:44,320
har vi gjort typ 50%
1758 01:09:44,320 --> 01:09:45,040
av det vi borde ha gjort
1759 01:09:45,040 --> 01:09:47,240
eller är vi liksom bra
1760 01:09:47,240 --> 01:09:49,060
men jag tyckte
1761 01:09:49,060 --> 01:09:51,180
förlåt fortsätt
1762 01:09:51,180 --> 01:09:53,720
den andra är liksom hur har vi folket
1763 01:09:53,720 --> 01:09:55,860
motiverat och sånt för vi kan anställa folk
1764 01:09:55,860 --> 01:09:58,000
och vi kan se till utvecklarna
1765 01:09:58,000 --> 01:09:58,980
att ni ska vara
1766 01:09:58,980 --> 01:10:01,940
glada positiva utvecklare som gillar
1767 01:10:01,940 --> 01:10:03,140
att jobba med säkerhet
1768 01:10:03,140 --> 01:10:03,420
men
1769 01:10:03,420 --> 01:10:04,540
men
1770 01:10:04,940 --> 01:10:06,500
det finns mänskliga
1771 01:10:06,500 --> 01:10:08,340
organisatoriska aspekter
1772 01:10:08,340 --> 01:10:09,700
som är viktiga
1773 01:10:09,700 --> 01:10:11,340
och som jag tänker på ett
1774 01:10:11,340 --> 01:10:13,520
uppminsta mig på ett större
1775 01:10:13,520 --> 01:10:15,140
medelstort bolag så
1776 01:10:15,140 --> 01:10:17,780
så är det ju frågan
1777 01:10:17,780 --> 01:10:19,920
hur ser läget ut när du kommer in
1778 01:10:19,920 --> 01:10:20,640
för det är
1779 01:10:20,640 --> 01:10:24,300
där tyckte jag ju Jesper sa det bra också
1780 01:10:24,300 --> 01:10:25,980
och det är ju någonting som jag också har
1781 01:10:25,980 --> 01:10:27,380
vurmat väldigt mycket för
1782 01:10:27,380 --> 01:10:29,540
det är att ha ett en väldigt förlåtande
1783 01:10:29,540 --> 01:10:31,340
attityd och bygga en kultur
1784 01:10:31,340 --> 01:10:33,300
i bolaget
1785 01:10:33,300 --> 01:10:34,900
och det där tror jag man kan
1786 01:10:34,940 --> 01:10:35,840
göra på många sätt
1787 01:10:35,840 --> 01:10:38,080
ett sätt är ju att premiera dem som
1788 01:10:38,080 --> 01:10:41,100
faktiskt flaggar för oj nu gjorde jag dumt
1789 01:10:41,100 --> 01:10:42,940
jag klickade på den där länken som det stod
1790 01:10:42,940 --> 01:10:44,820
i utbildningen att jag inte skulle
1791 01:10:44,820 --> 01:10:46,900
men jag rapporterar det så kan
1792 01:10:46,900 --> 01:10:49,180
IR-enheten hantera det
1793 01:10:49,180 --> 01:10:51,240
på ett klokt sätt och då hittar du
1794 01:10:51,240 --> 01:10:53,120
tre andra som också gjorde det
1795 01:10:53,120 --> 01:10:54,440
och att man inte
1796 01:10:54,440 --> 01:10:56,080
no blame policy
1797 01:10:56,080 --> 01:10:59,140
jag tror det är viktigt och också
1798 01:10:59,140 --> 01:11:00,960
att liksom uppmuntra
1799 01:11:00,960 --> 01:11:02,960
goda säkerhets
1800 01:11:02,960 --> 01:11:04,740
initiativ genom
1801 01:11:04,740 --> 01:11:06,420
att premiera dem
1802 01:11:06,420 --> 01:11:07,100
ge dem en
1803 01:11:07,100 --> 01:11:10,020
en biobiljett eller någonting
1804 01:11:10,020 --> 01:11:12,020
när man har rapporterat någonting
1805 01:11:12,020 --> 01:11:14,320
eller man har hittat ett sätt
1806 01:11:14,320 --> 01:11:16,120
att förbättra någon process
1807 01:11:16,120 --> 01:11:18,420
som gör att vi numera
1808 01:11:18,420 --> 01:11:20,280
kan vara ännu ännu säkrare
1809 01:11:20,280 --> 01:11:21,240
än vad vi var tidigare
1810 01:11:21,240 --> 01:11:24,100
kanske det är värt en middag för två
1811 01:11:24,100 --> 01:11:26,240
eller någonting sånt här på någon trevlig stjärnkrog
1812 01:11:26,240 --> 01:11:28,440
att man jobbar mycket
1813 01:11:28,440 --> 01:11:30,300
med belöning
1814 01:11:30,300 --> 01:11:32,440
och sen så ibland behöver man ta fram
1815 01:11:32,440 --> 01:11:34,700
piskan och låta den
1816 01:11:34,740 --> 01:11:36,380
vina men den ska man
1817 01:11:36,380 --> 01:11:38,180
ha i garderoben så länge man kan
1818 01:11:38,180 --> 01:11:40,220
jag tänker också att man
1819 01:11:40,220 --> 01:11:42,780
en grundidé som jag har
1820 01:11:42,780 --> 01:11:44,640
inte specifik
1821 01:11:44,640 --> 01:11:46,460
men generell idé är att
1822 01:11:46,460 --> 01:11:48,660
det går liksom inte att köpa
1823 01:11:48,660 --> 01:11:50,260
sig till förståelse
1824 01:11:50,260 --> 01:11:51,820
genom att
1825 01:11:51,820 --> 01:11:54,980
köpa någonting på burk, man måste förstå vad problemet
1826 01:11:54,980 --> 01:11:56,920
är som man försöker skydda sig
1827 01:11:56,920 --> 01:11:58,640
mot och det gör man bäst genom att förstå
1828 01:11:58,640 --> 01:12:00,580
vad det är som är viktigt och det behöver man
1829 01:12:00,580 --> 01:12:02,140
komma överens om
1830 01:12:02,140 --> 01:12:04,420
och det är väl det jag ser mycket ute på
1831 01:12:04,420 --> 01:12:06,320
företag, att man lägger liksom
1832 01:12:06,320 --> 01:12:08,240
handen hos en säkerhetsleverantör
1833 01:12:08,240 --> 01:12:09,820
och ja
1834 01:12:09,820 --> 01:12:12,400
det funkar ju svinbra så länge det inte händer
1835 01:12:12,400 --> 01:12:14,280
något. Och där kan man
1836 01:12:14,280 --> 01:12:15,320
också säga att
1837 01:12:15,320 --> 01:12:18,480
de medelsvåra
1838 01:12:18,480 --> 01:12:20,340
och det är säkert
1839 01:12:20,340 --> 01:12:22,060
inte så att alla bolag, jag ska säga det
1840 01:12:22,060 --> 01:12:24,360
men generellt tror jag det är onödigt att köpa
1841 01:12:24,360 --> 01:12:25,940
generiska säkerhetsprodukter
1842 01:12:25,940 --> 01:12:28,500
om man inte har gjort klart för sig
1843 01:12:28,500 --> 01:12:29,660
vad det är som är skyddsvärt
1844 01:12:29,660 --> 01:12:33,720
Men ett problem
1845 01:12:34,420 --> 01:12:36,120
med den
1846 01:12:36,120 --> 01:12:38,280
du har rätt i princip
1847 01:12:38,280 --> 01:12:40,420
och när vi är
1848 01:12:40,420 --> 01:12:42,320
ett litet medelstort
1849 01:12:42,320 --> 01:12:43,660
bolag, så att vi är typ
1850 01:12:43,660 --> 01:12:46,200
om vi är 25 eller 50 pers
1851 01:12:46,200 --> 01:12:48,480
då har vi
1852 01:12:48,480 --> 01:12:49,340
förmodligen
1853 01:12:49,340 --> 01:12:52,320
samsyn i bolaget
1854 01:12:53,040 --> 01:12:54,640
Är det här bolaget
1855 01:12:54,640 --> 01:12:55,740
Ja, fan har vi det alltså?
1856 01:12:56,260 --> 01:12:58,060
Ja, men vi kan ha det teoretiskt sett
1857 01:12:58,060 --> 01:12:59,440
teoretiskt sett kan vi ha det
1858 01:12:59,440 --> 01:13:02,200
Om vi fortfarande är
1859 01:13:02,200 --> 01:13:03,620
alla är fokuserade kring
1860 01:13:03,620 --> 01:13:05,240
ta fram en produkt
1861 01:13:05,240 --> 01:13:07,360
Rikards piska ligger på olika delar av organisationen
1862 01:13:07,360 --> 01:13:09,060
så då kanske vi har samsyn
1863 01:13:09,060 --> 01:13:09,220
Men
1864 01:13:09,220 --> 01:13:13,520
när du är 250 pers
1865 01:13:13,520 --> 01:13:15,800
och du ligger på den här
1866 01:13:15,800 --> 01:13:17,540
brytgränsen till att du går över till ett stort
1867 01:13:17,540 --> 01:13:18,260
bolag
1868 01:13:18,260 --> 01:13:21,560
då är ju liksom, då börjar ju
1869 01:13:21,560 --> 01:13:23,040
silorna dyka upp på allvar
1870 01:13:23,040 --> 01:13:25,140
Jag tror de kommer tidigare
1871 01:13:25,140 --> 01:13:27,540
Ja, jag tror det är redan vid hundra
1872 01:13:27,540 --> 01:13:28,000
någonstans
1873 01:13:28,000 --> 01:13:31,520
Jag hävdar ju fortfarande här, jag vet inte om det var
1874 01:13:31,520 --> 01:13:33,220
Patrik Nilsson som sa det en gång för länge sedan
1875 01:13:33,220 --> 01:13:34,800
att efter 30 pers
1876 01:13:34,800 --> 01:13:36,980
då börjar det hända grejer
1877 01:13:36,980 --> 01:13:38,640
Då börjar det bli, då börjar man
1878 01:13:38,640 --> 01:13:41,060
då får man börja styra upp verksamheten
1879 01:13:41,060 --> 01:13:43,300
Jag är supernyfiken på
1880 01:13:43,300 --> 01:13:44,180
vad Mattias
1881 01:13:44,180 --> 01:13:47,040
Ja, nu har vi lagt en timme
1882 01:13:47,040 --> 01:13:48,720
och tretton minuter här, så nu tänker jag
1883 01:13:48,720 --> 01:13:50,180
så får vi runda lite, men
1884 01:13:50,180 --> 01:13:52,760
jag måste ju outa någonting också
1885 01:13:52,760 --> 01:13:54,260
Jag tyckte det här var jätteroligt
1886 01:13:54,260 --> 01:13:56,980
Det absolut roligaste var att det blev lite debatt
1887 01:13:57,760 --> 01:13:59,260
Jag tycker
1888 01:13:59,260 --> 01:14:00,820
att det har sagts mycket kloka saker
1889 01:14:00,820 --> 01:14:02,980
Spontant så känner jag
1890 01:14:03,220 --> 01:14:03,980
att
1891 01:14:03,980 --> 01:14:06,460
Rickes tre pers
1892 01:14:06,460 --> 01:14:08,560
för ett sånt bolag
1893 01:14:08,560 --> 01:14:10,960
är realistiskt
1894 01:14:10,960 --> 01:14:12,580
men det är Sverige i minsta laget
1895 01:14:12,580 --> 01:14:14,980
speciellt om du vill få gjort det du vill ha gjort
1896 01:14:14,980 --> 01:14:16,660
med en Socko
1897 01:14:16,660 --> 01:14:18,640
ISO 27000 på tre pers
1898 01:14:18,640 --> 01:14:20,580
Det tror jag inte, det löser man inte
1899 01:14:20,580 --> 01:14:23,140
Jag hade också gått
1900 01:14:23,140 --> 01:14:24,260
på den här approachen tror jag att jag hade
1901 01:14:24,260 --> 01:14:27,280
som Peter var inne på, satsa på kärnverksamheten
1902 01:14:27,280 --> 01:14:28,260
köp allt annat
1903 01:14:28,260 --> 01:14:29,940
Så jag hade liksom
1904 01:14:29,940 --> 01:14:32,500
på ett litet mindre gäng som kanske är
1905 01:14:32,500 --> 01:14:34,300
250 är lite kanske mycket
1906 01:14:34,300 --> 01:14:36,520
men säg upp till 100 i alla fall
1907 01:14:36,520 --> 01:14:38,480
Säger jag rätt nu tror jag
1908 01:14:38,480 --> 01:14:39,800
Ja, då hade jag nog inte
1909 01:14:39,800 --> 01:14:42,620
Outlook 365
1910 01:14:42,620 --> 01:14:44,320
har vi ju spesat, så någon form av
1911 01:14:44,320 --> 01:14:46,040
endpoint protection måste ju finnas på plats
1912 01:14:46,040 --> 01:14:48,440
Men jag hade nog inte lagt mycket tid på
1913 01:14:48,440 --> 01:14:50,420
monitorering
1914 01:14:50,420 --> 01:14:52,280
utan snarare liksom, hittar vi någonting så
1915 01:14:52,280 --> 01:14:53,840
blåser den maskinen, så jobba med
1916 01:14:53,840 --> 01:14:55,540
recovery snarare än någonting annat
1917 01:14:55,540 --> 01:14:57,240
och forensik och sånt, det hade jag typ sket
1918 01:14:57,240 --> 01:14:59,460
Kanske att man köpte in någonting
1919 01:14:59,460 --> 01:15:01,540
och det var något riktigt läskigt som hade hänt
1920 01:15:02,500 --> 01:15:05,600
Peters inlägg
1921 01:15:05,600 --> 01:15:07,560
med att försöka reducera
1922 01:15:07,560 --> 01:15:09,200
antalet mål och fokusera på
1923 01:15:09,200 --> 01:15:11,740
ett, tror jag är supersmart
1924 01:15:11,740 --> 01:15:13,160
speciellt i små organisationer
1925 01:15:13,160 --> 01:15:15,320
alltså det som är så jävla stora och komplexa
1926 01:15:15,320 --> 01:15:17,320
de här lösningarna, så kan man hålla sig
1927 01:15:17,320 --> 01:15:18,380
till en så är det bra
1928 01:15:18,380 --> 01:15:20,900
Avacloud agnostisk
1929 01:15:20,900 --> 01:15:23,340
det är ju också jättebra, så att man kan hoppa
1930 01:15:23,340 --> 01:15:25,160
runt så mycket som möjligt, och då ska man
1931 01:15:25,160 --> 01:15:27,260
egentligen undvika de inbyggda funktionerna
1932 01:15:27,260 --> 01:15:29,220
så mycket som möjligt, men de är rätt
1933 01:15:29,220 --> 01:15:30,840
bra, de där inbyggda funktionerna
1934 01:15:30,840 --> 01:15:33,360
så jag tror att ska man
1935 01:15:33,360 --> 01:15:35,540
vill organisationen fatta det beslutet
1936 01:15:35,540 --> 01:15:36,740
att man ska vara liksom
1937 01:15:36,740 --> 01:15:39,520
cloud-oberoende och enkelt kunna
1938 01:15:39,520 --> 01:15:41,520
flytta mellan mållösningar, då får de
1939 01:15:41,520 --> 01:15:43,300
fan ta kostnaden för det också, för att det kommer
1940 01:15:43,300 --> 01:15:45,200
att kosta, jag tror du kan
1941 01:15:45,200 --> 01:15:46,680
spara in en hel del
1942 01:15:46,680 --> 01:15:48,920
ur säkerhetsfunktioner om inte annat
1943 01:15:48,920 --> 01:15:51,260
på att enabla en massa sådana här automatiska
1944 01:15:51,260 --> 01:15:53,420
coola verktyg som GuardDuty och annat coolt
1945 01:15:53,420 --> 01:15:53,800
i Amazon
1946 01:15:53,800 --> 01:15:59,320
Så det tänker jag
1947 01:15:59,320 --> 01:16:02,060
sen tänker jag
1948 01:16:02,060 --> 01:16:05,180
Security Champions var jättekul
1949 01:16:05,180 --> 01:16:07,460
att det kom upp, det hade jag faktiskt missat helt
1950 01:16:07,460 --> 01:16:09,840
jag är historiskt
1951 01:16:09,840 --> 01:16:11,620
en stor förkämpare för den modellen
1952 01:16:11,620 --> 01:16:12,960
men det hade jag helt förträngt
1953 01:16:12,960 --> 01:16:15,520
men det tycker jag också är ju speciellt i små
1954 01:16:15,520 --> 01:16:17,640
organisationer så, alltså säkerhetsorganisationen
1955 01:16:17,640 --> 01:16:19,040
är ju alltid för liten
1956 01:16:19,040 --> 01:16:21,400
oavsett var du tittar någonstans, så att
1957 01:16:21,400 --> 01:16:23,440
du måste hitta lösningar som
1958 01:16:23,440 --> 01:16:23,980
skalar
1959 01:16:23,980 --> 01:16:27,280
och en av de lösningar som skalar
1960 01:16:27,280 --> 01:16:29,100
superbra, det är ju Security Champions alltså
1961 01:16:29,320 --> 01:16:31,940
just att skapa säkerhetskultur i gruppen
1962 01:16:31,940 --> 01:16:33,140
det kommer bli själv
1963 01:16:33,140 --> 01:16:35,720
alltså, vad säger man, proponerade
1964 01:16:35,720 --> 01:16:36,080
liksom
1965 01:16:36,080 --> 01:16:39,120
det är värt varenda sekund man investerar där
1966 01:16:39,120 --> 01:16:40,520
så jag är helt med där
1967 01:16:40,520 --> 01:16:43,560
och i samma anda då, så tycker jag
1968 01:16:43,560 --> 01:16:46,060
att det finns
1969 01:16:46,060 --> 01:16:47,220
en säkerhetsorganisation
1970 01:16:47,220 --> 01:16:50,060
som är tydlig och kommunicerad
1971 01:16:50,060 --> 01:16:51,180
i organisationen
1972 01:16:51,180 --> 01:16:53,560
så att det inte är oklart vem det är
1973 01:16:53,560 --> 01:16:55,600
som är ansvarig, ofta så är
1974 01:16:55,600 --> 01:16:57,800
motsvarande kanske linjen
1975 01:16:57,800 --> 01:16:59,220
som är ansvarig för säkerhetsfrågor
1976 01:16:59,220 --> 01:17:01,120
men då ska det fan vara tydligt
1977 01:17:01,120 --> 01:17:02,860
det ska vara nämnt, så att inte det är såhär
1978 01:17:02,860 --> 01:17:04,820
ja, vem fan bestämmer i den här frågan
1979 01:17:04,820 --> 01:17:07,100
för jag tycker det kan lamslå
1980 01:17:07,100 --> 01:17:08,760
organisationen verkligen när det inte är tydligt
1981 01:17:08,760 --> 01:17:11,320
och det kan vara extra intressant
1982 01:17:11,320 --> 01:17:13,300
om det finns en delad
1983 01:17:13,300 --> 01:17:15,580
organisation, en kanske
1984 01:17:15,580 --> 01:17:16,620
är ansvarig för typ
1985 01:17:16,620 --> 01:17:18,920
generisk IT, alltså
1986 01:17:18,920 --> 01:17:20,900
Auto365 och klient
1987 01:17:20,900 --> 01:17:23,400
och sen finns det någon som är produktansvarig
1988 01:17:23,400 --> 01:17:24,520
vad nu produkten är för något
1989 01:17:24,520 --> 01:17:27,300
om det nu är säkerhetsbälten, häftapparater
1990 01:17:27,300 --> 01:17:29,100
eller kanske en tjänst som säljs via
1991 01:17:29,100 --> 01:17:31,520
molnet, men det kan ju finnas
1992 01:17:31,520 --> 01:17:33,440
att det är olika organisationer som är ansvariga
1993 01:17:33,440 --> 01:17:35,240
för de olika sakerna, och om det är då
1994 01:17:35,240 --> 01:17:37,560
finns olika säkerhetsorganisationer där
1995 01:17:37,560 --> 01:17:39,020
som inte har en tydlig chef
1996 01:17:39,020 --> 01:17:40,200
då blir det ju kaos
1997 01:17:40,200 --> 01:17:43,380
så det är också såhär, det skalar jävligt bra
1998 01:17:43,380 --> 01:17:45,400
kan du få till en organisation som är tydlig
1999 01:17:45,400 --> 01:17:47,180
och alla vet om, och att det finns en sån här
2000 01:17:47,180 --> 01:17:49,440
jävla grundläggande jävla policy som säger
2001 01:17:49,440 --> 01:17:51,000
vad på skalan 1 till 10
2002 01:17:51,000 --> 01:17:52,620
tycker vi är säkerhet
2003 01:17:52,620 --> 01:17:54,800
så det finns en sån tydlig kommunikation
2004 01:17:54,800 --> 01:17:56,420
så du samlar alla bakom det här
2005 01:17:56,420 --> 01:17:58,800
då har du också väldigt mycket att vinna
2006 01:17:59,100 --> 01:18:00,880
och sen så hade jag satsat tokmycket
2007 01:18:00,880 --> 01:18:01,880
på automation
2008 01:18:01,880 --> 01:18:04,980
och när det gäller kodkvalitet
2009 01:18:04,980 --> 01:18:06,940
och sånt som Jesper var inne på, att se till
2010 01:18:06,940 --> 01:18:09,600
så att det finns statisk kodanalys
2011 01:18:09,600 --> 01:18:11,380
som går i byggpipelinen
2012 01:18:11,380 --> 01:18:13,100
hela tiden, se till så att det finns
2013 01:18:13,100 --> 01:18:14,900
dependencyverktyg
2014 01:18:14,900 --> 01:18:17,380
se till så att det finns image scanningverktyg
2015 01:18:17,380 --> 01:18:18,460
jag har sett att det börjar dyka upp
2016 01:18:18,460 --> 01:18:20,720
men alla sådana där grejer är ju bra, men de kostar ju inga pengar då
2017 01:18:20,720 --> 01:18:23,720
nej, de kostar ju inte så mycket pengar
2018 01:18:23,720 --> 01:18:24,840
kanske rent licensmässigt
2019 01:18:24,840 --> 01:18:26,760
men de kommer ju att kosta pengar på att sätta upp
2020 01:18:26,760 --> 01:18:28,200
och de kommer framför att kosta
2021 01:18:28,200 --> 01:18:28,560
såklart
2022 01:18:29,100 --> 01:18:32,300
alltså CodeSonar och Rips
2023 01:18:32,300 --> 01:18:34,540
och lite dyrare, Detectify för all del också
2024 01:18:34,540 --> 01:18:36,440
men absolut, men det finns ju mycket
2025 01:18:36,440 --> 01:18:38,340
bra open source-alternativ också, men absolut
2026 01:18:38,340 --> 01:18:39,820
och det kommer ju att kosta tid som du säger
2027 01:18:39,820 --> 01:18:41,840
det kommer definitivt att kosta tid
2028 01:18:41,840 --> 01:18:43,800
men jag tror det är väl värt
2029 01:18:43,800 --> 01:18:46,920
den pedagogiska, eller den utbildningsinsatsen
2030 01:18:46,920 --> 01:18:48,900
det är att implementera, för då förstår man också
2031 01:18:48,900 --> 01:18:50,460
återigen på samma tema som innan
2032 01:18:50,460 --> 01:18:52,100
vad det är de letar efter
2033 01:18:52,100 --> 01:18:53,560
vad det är det här är
2034 01:18:53,560 --> 01:18:56,160
vad har liksom den kollektiva massan
2035 01:18:56,800 --> 01:18:57,920
identifierat som ett problem
2036 01:18:57,920 --> 01:18:59,340
i ett container-ekosystem
2037 01:18:59,340 --> 01:19:00,940
de här grejerna
2038 01:19:00,940 --> 01:19:03,040
dessutom har börjat dyka upp lite sådana
2039 01:19:03,040 --> 01:19:06,280
infrastructures-code-statisk-analys
2040 01:19:06,280 --> 01:19:08,180
jag är lite osäker på hur man bygger regelverk
2041 01:19:08,180 --> 01:19:09,860
där, men det finns väl något antagligen
2042 01:19:09,860 --> 01:19:10,820
även där
2043 01:19:10,820 --> 01:19:14,280
så att de ska kunna liksom gå igenom
2044 01:19:14,280 --> 01:19:16,580
infrastrukturbyggskript
2045 01:19:16,580 --> 01:19:18,420
och hitta
2046 01:19:18,420 --> 01:19:19,580
tokigheter där
2047 01:19:19,580 --> 01:19:22,180
jag har inte grävt djupare i det, men jag tycker det är en intressant
2048 01:19:22,180 --> 01:19:23,380
område
2049 01:19:23,380 --> 01:19:25,580
så all sorts automation
2050 01:19:25,580 --> 01:19:27,580
och sen så se till så att den informationen
2051 01:19:27,920 --> 01:19:30,240
helst inte landar hos någon central
2052 01:19:30,240 --> 01:19:32,340
säkerhetsperson, utan handlar direkt
2053 01:19:32,340 --> 01:19:34,340
hos teamen, de som har byggt skiten
2054 01:19:34,340 --> 01:19:36,380
och ska få direkt feedback på det som
2055 01:19:36,380 --> 01:19:38,040
hittas i deras komponenter
2056 01:19:38,040 --> 01:19:40,400
och sen så tror jag det var
2057 01:19:40,400 --> 01:19:42,320
Rick som var inne, ja det var nog
2058 01:19:42,320 --> 01:19:43,040
Jesper också
2059 01:19:43,040 --> 01:19:46,060
mycket awareness och training
2060 01:19:46,060 --> 01:19:48,260
där kan jag tänka mig att när det gäller
2061 01:19:48,260 --> 01:19:50,140
generisk användartraining, alltså
2062 01:19:50,140 --> 01:19:52,120
såhär phishing och hur mail
2063 01:19:52,120 --> 01:19:54,240
funkar och sånt där, så kanske man kan köpa in det
2064 01:19:54,240 --> 01:19:56,640
för det är ju ganska såhär out-of-the-box-lösningar
2065 01:19:56,640 --> 01:19:57,840
men mer speciellt
2066 01:19:57,920 --> 01:19:59,620
specifik, hur funkar vårt system
2067 01:19:59,620 --> 01:20:01,020
hur tänker vi kring säkerhet
2068 01:20:01,020 --> 01:20:03,940
vad är våra principer här
2069 01:20:03,940 --> 01:20:05,960
då får man nog köra det in-house på eget
2070 01:20:05,960 --> 01:20:08,040
är man riktigt jävla lycklig
2071 01:20:08,040 --> 01:20:10,280
om man kan bygga sig ett lite större team
2072 01:20:10,280 --> 01:20:12,260
så tror jag på att
2073 01:20:12,260 --> 01:20:14,420
det ska vara lite mer security engineering
2074 01:20:14,420 --> 01:20:15,660
det vill säga att det ska finnas
2075 01:20:15,660 --> 01:20:17,840
väldigt
2076 01:20:17,840 --> 01:20:19,960
utvecklade och infrastrukturnära
2077 01:20:19,960 --> 01:20:21,620
individer som kanske är med och
2078 01:20:21,620 --> 01:20:23,880
verkligen bygger och underhåller de här
2079 01:20:23,880 --> 01:20:25,780
verktygen, kanske sitter i knäna på
2080 01:20:25,780 --> 01:20:27,380
utvecklarna och hjälper dem
2081 01:20:27,920 --> 01:20:29,960
kodgranskning, kanske till och med
2082 01:20:29,960 --> 01:20:32,280
rotera personal mellan utvecklargrupper
2083 01:20:32,280 --> 01:20:34,460
och säkerhetsgruppen på den nivån
2084 01:20:34,460 --> 01:20:36,060
men det kostar ju lite extra pengar
2085 01:20:36,060 --> 01:20:38,300
och jag har inte sett så mycket av det i verkliga livet än
2086 01:20:38,300 --> 01:20:40,280
nej, inte jag heller
2087 01:20:40,280 --> 01:20:40,920
det kan jag inte säga
2088 01:20:40,920 --> 01:20:44,240
så det är väl företag som är väldigt medvetna
2089 01:20:44,240 --> 01:20:45,120
eller som
2090 01:20:45,120 --> 01:20:47,560
vet att det finns
2091 01:20:47,560 --> 01:20:50,860
det är viktiga saker här, så vi måste hålla koll på det här
2092 01:20:50,860 --> 01:20:54,480
så det är min önskedröm att någon gång
2093 01:20:54,480 --> 01:20:55,520
komma dit
2094 01:20:55,520 --> 01:20:58,100
det som är intressant i den här gruppen
2095 01:20:58,100 --> 01:20:59,900
är också att vi jobbar mot olika
2096 01:20:59,900 --> 01:21:01,960
typer av bolag, jag jobbar ju
2097 01:21:01,960 --> 01:21:03,520
extremt mycket
2098 01:21:03,520 --> 01:21:05,660
teknikbolag som är
2099 01:21:05,660 --> 01:21:07,720
jävligt bra från första början
2100 01:21:07,720 --> 01:21:09,120
de har ju inte så mycket teknikskuld
2101 01:21:09,120 --> 01:21:14,240
de är kanske i en tech-startup-värld
2102 01:21:14,240 --> 01:21:15,740
där man har startat
2103 01:21:15,740 --> 01:21:16,860
runt en idé
2104 01:21:16,860 --> 01:21:19,660
de har en produkt, jag testar ju
2105 01:21:19,660 --> 01:21:21,540
nästan bara den typen av bolag
2106 01:21:21,540 --> 01:21:23,480
som har en produkt
2107 01:21:23,480 --> 01:21:23,680
liksom
2108 01:21:23,680 --> 01:21:26,600
och då blir det kanske enklare
2109 01:21:26,600 --> 01:21:27,840
så jag kanske är lite partisk här
2110 01:21:27,840 --> 01:21:30,300
och där håller man ju inte på med aden och grejer
2111 01:21:30,300 --> 01:21:33,180
där är liksom produkten
2112 01:21:33,180 --> 01:21:35,400
centrum, om användaren vill ha en gul eller en blå
2113 01:21:35,400 --> 01:21:36,220
det spelar ingen roll
2114 01:21:36,220 --> 01:21:38,880
säkerhetsmodellen är designad kring någonting annat
2115 01:21:38,880 --> 01:21:41,340
och det tror jag på
2116 01:21:41,340 --> 01:21:42,540
jag har en
2117 01:21:42,540 --> 01:21:45,400
en grej
2118 01:21:45,400 --> 01:21:47,040
runt automation
2119 01:21:47,040 --> 01:21:48,560
det är att
2120 01:21:48,560 --> 01:21:51,240
något jag har börjat
2121 01:21:51,240 --> 01:21:53,100
starta mig mer och mer på det är
2122 01:21:53,680 --> 01:21:56,200
oförmåga
2123 01:21:56,200 --> 01:21:57,920
att se hur bra
2124 01:21:57,920 --> 01:21:59,660
eller hur dålig teckning man har
2125 01:21:59,660 --> 01:22:02,560
alltså
2126 01:22:02,560 --> 01:22:03,920
att observera
2127 01:22:03,920 --> 01:22:05,220
och verifiera
2128 01:22:05,220 --> 01:22:07,680
om jag kör
2129 01:22:07,680 --> 01:22:09,400
det här verktyget för att scanna
2130 01:22:09,400 --> 01:22:10,080
eller
2131 01:22:10,080 --> 01:22:14,360
för att scanna
2132 01:22:14,360 --> 01:22:15,660
mina byggen när jag bygger dem
2133 01:22:15,660 --> 01:22:16,560
och sånt
2134 01:22:16,560 --> 01:22:20,000
det måste finnas med
2135 01:22:20,000 --> 01:22:22,360
det måste finnas
2136 01:22:22,360 --> 01:22:23,660
med en engagerad
2137 01:22:23,680 --> 01:22:25,020
människa som
2138 01:22:25,020 --> 01:22:26,820
håller koll på det här
2139 01:22:26,820 --> 01:22:27,740
och det är det här jag är ute efter
2140 01:22:27,740 --> 01:22:30,020
varför använder vi Anchor
2141 01:22:30,020 --> 01:22:31,540
för att scanna våra dockerimager
2142 01:22:31,540 --> 01:22:32,380
varför använder vi det
2143 01:22:32,380 --> 01:22:34,020
och det är det jag menar
2144 01:22:34,020 --> 01:22:36,520
vi använder det för att
2145 01:22:36,520 --> 01:22:38,640
det är en docker
2146 01:22:38,640 --> 01:22:40,700
image-teori på
2147 01:22:40,700 --> 01:22:42,960
scanner, den har koll på att vi använder
2148 01:22:42,960 --> 01:22:44,920
sound defaults
2149 01:22:44,920 --> 01:22:47,360
och då är det du säger så sjukt viktigt
2150 01:22:47,360 --> 01:22:48,660
hur vet vi det
2151 01:22:48,660 --> 01:22:51,160
förstår vi det här
2152 01:22:51,160 --> 01:22:52,260
förstår vi vad det gör
2153 01:22:52,260 --> 01:22:53,260
och det här tror jag är jättekul
2154 01:22:53,680 --> 01:22:54,760
det är viktigt det du säger nu
2155 01:22:54,760 --> 01:22:57,100
vilka images kör scannar Anchor inte
2156 01:22:57,100 --> 01:22:59,760
vilka bara den tokvägar
2157 01:22:59,760 --> 01:23:01,300
ja och vilken
2158 01:23:01,300 --> 01:23:03,780
hur definierar den en sårbar bild
2159 01:23:03,780 --> 01:23:05,540
hur definierar den
2160 01:23:05,540 --> 01:23:07,780
mina custom images
2161 01:23:07,780 --> 01:23:08,700
som jag har gjort själv
2162 01:23:08,700 --> 01:23:10,520
vad kan vi förvänta oss där
2163 01:23:10,520 --> 01:23:13,740
vad är begränsningen i den här typen av tjänst
2164 01:23:13,740 --> 01:23:16,040
alla den här grejerna är ju svinviktigt
2165 01:23:16,040 --> 01:23:16,720
och det är det jag menar
2166 01:23:16,720 --> 01:23:19,560
det är så jävla rätt det du säger
2167 01:23:19,560 --> 01:23:21,860
kunskapen kring ekosystemet
2168 01:23:21,860 --> 01:23:22,380
är det viktiga
2169 01:23:22,380 --> 01:23:23,520
säkerhetsimplementeringen
2170 01:23:23,680 --> 01:23:25,060
och dokumentationen kommer efteråt
2171 01:23:25,060 --> 01:23:28,320
och om man tror att Anchor
2172 01:23:28,320 --> 01:23:29,700
eller de liknande verktygen
2173 01:23:29,700 --> 01:23:32,040
är hela lösningen på
2174 01:23:32,040 --> 01:23:33,960
att hitta
2175 01:23:33,960 --> 01:23:36,740
kända sårbarheter i sina grejer
2176 01:23:36,740 --> 01:23:37,260
då
2177 01:23:37,260 --> 01:23:40,880
då är man som jag sa inför en hel
2178 01:23:40,880 --> 01:23:42,700
ledningsgrupp en gång när Rickard var med
2179 01:23:42,700 --> 01:23:44,000
kokt i bajs
2180 01:23:44,000 --> 01:23:46,520
men alltså
2181 01:23:46,520 --> 01:23:48,280
det är verkligen så här grejer
2182 01:23:48,280 --> 01:23:50,260
som borde vara lätta för dig att hitta
2183 01:23:50,260 --> 01:23:52,360
nej
2184 01:23:52,360 --> 01:23:53,520
det hittade vi inte
2185 01:23:53,520 --> 01:23:53,660
men det är verkligen så här grejer som borde vara lätta för dig att hitta
2186 01:23:53,680 --> 01:23:55,380
det är liksom
2187 01:23:55,380 --> 01:23:58,700
för jag tycker man har hört
2188 01:23:58,700 --> 01:24:00,580
här ett antal gånger i olika sammanhang
2189 01:24:00,580 --> 01:24:02,480
att köra Anchor
2190 01:24:02,480 --> 01:24:04,140
så är du duktig
2191 01:24:04,140 --> 01:24:07,380
man kan köra Trivi
2192 01:24:07,380 --> 01:24:09,500
det finns en miljard uppskör här
2193 01:24:09,500 --> 01:24:11,640
jag är fel person att prata om det här
2194 01:24:11,640 --> 01:24:13,860
jag drog det i röven också
2195 01:24:13,860 --> 01:24:16,000
men det finns ju en miljard olika
2196 01:24:16,000 --> 01:24:17,840
typer av tjänster som gör samma sak
2197 01:24:17,840 --> 01:24:19,920
men bara det att man har implementerat
2198 01:24:19,920 --> 01:24:21,100
detta i sin DevOps pipeline
2199 01:24:21,100 --> 01:24:22,640
och gör det på ett sätt som
2200 01:24:22,640 --> 01:24:25,140
som man förstår och har liksom sound
2201 01:24:25,140 --> 01:24:27,480
defaults, det vill säga att man har en idé
2202 01:24:27,480 --> 01:24:28,820
om vad det faktiskt ska göra
2203 01:24:28,820 --> 01:24:30,040
det är ju det som är det viktiga här
2204 01:24:30,040 --> 01:24:33,120
jag tycker ju också då att
2205 01:24:33,120 --> 01:24:36,560
baserat på egna erfarenheter
2206 01:24:36,560 --> 01:24:37,980
du måste
2207 01:24:37,980 --> 01:24:39,600
jobba med att hålla
2208 01:24:39,600 --> 01:24:40,600
koll på
2209 01:24:40,600 --> 01:24:42,520
hur bra de funkar
2210 01:24:42,520 --> 01:24:43,300
för att
2211 01:24:43,300 --> 01:24:50,300
på vissa sätt fallerar de ju så att
2212 01:24:50,300 --> 01:24:52,440
du ser till exempel Anchor har ju
2213 01:24:52,640 --> 01:24:54,660
du kan ju be att få ut en lista
2214 01:24:54,660 --> 01:24:56,680
på vad kunde den inte
2215 01:24:56,680 --> 01:24:57,160
köra
2216 01:24:57,160 --> 01:24:59,600
det är ju en fet
2217 01:24:59,600 --> 01:25:02,660
indikator på att du har ett problem du måste lösa
2218 01:25:02,660 --> 01:25:04,700
i hur du gör dina grejer
2219 01:25:04,700 --> 01:25:06,460
men sen är det ju nästa grej så här
2220 01:25:06,460 --> 01:25:08,620
stoppa in den här
2221 01:25:08,620 --> 01:25:10,840
sårbara grunkan in i en image
2222 01:25:10,840 --> 01:25:12,620
kör den genom Anchor
2223 01:25:12,620 --> 01:25:14,620
och konstatera att Anchor
2224 01:25:14,620 --> 01:25:16,580
hittar den inte och sen så kan du börja felsöka
2225 01:25:16,580 --> 01:25:18,120
varför hittar inte Anchor
2226 01:25:18,120 --> 01:25:20,560
grejer som den borde hitta
2227 01:25:20,560 --> 01:25:22,560
för jag har ju en
2228 01:25:22,640 --> 01:25:23,660
stark misstanke att
2229 01:25:23,660 --> 01:25:26,660
väldigt många
2230 01:25:26,660 --> 01:25:28,980
är så här vi har hört en cool dragning
2231 01:25:28,980 --> 01:25:30,200
om att vi ska installera
2232 01:25:30,200 --> 01:25:32,640
det här verktyget som fixar säkerheten
2233 01:25:32,640 --> 01:25:34,360
för oss och kör det
2234 01:25:34,360 --> 01:25:36,720
och den hittar noll eller väldigt
2235 01:25:36,720 --> 01:25:38,580
få säkerhetshåll då är du ju klar
2236 01:25:38,580 --> 01:25:40,360
för att det fanns inga problem
2237 01:25:40,360 --> 01:25:42,780
men det är ju inte verkligheten
2238 01:25:42,780 --> 01:25:44,460
sen om någon ska börja köra attackverktyg
2239 01:25:44,460 --> 01:25:45,720
mot den för då är det helt plötsligt
2240 01:25:45,720 --> 01:25:48,760
den här mjukvaran finns där och den är sårbar
2241 01:25:48,760 --> 01:25:50,760
att Anchor inte ser den
2242 01:25:50,760 --> 01:25:52,560
det är skit att angripa den i
2243 01:25:52,640 --> 01:25:54,220
fullständigt
2244 01:25:54,220 --> 01:25:56,640
och det är ju det, det jobbar ju bara också
2245 01:25:56,640 --> 01:25:57,680
på devisen att
2246 01:25:57,680 --> 01:26:01,000
det är någonting som är publikt känt
2247 01:26:01,000 --> 01:26:04,640
som är problemet
2248 01:26:05,220 --> 01:26:06,280
det är väl så
2249 01:26:06,280 --> 01:26:07,540
två problem där
2250 01:26:07,540 --> 01:26:11,000
det är väl så att oavsett om det är
2251 01:26:11,000 --> 01:26:12,900
den bara känd och det så ska du kunna hitta
2252 01:26:12,900 --> 01:26:14,760
den sårbara mjukvaran i
2253 01:26:14,760 --> 01:26:15,540
när du kör den
2254 01:26:15,540 --> 01:26:18,340
ja men vad jag vill hävda är att skallen är ju bara så bra
2255 01:26:18,340 --> 01:26:20,240
som indatan till den
2256 01:26:20,240 --> 01:26:22,460
och för att vara helt
2257 01:26:22,460 --> 01:26:24,580
nu ska jag vara lite hård och raljera lite kanske
2258 01:26:24,580 --> 01:26:26,780
men problemet är ju sällan att det är
2259 01:26:26,780 --> 01:26:28,860
en remote code execution i Alpine
2260 01:26:28,860 --> 01:26:29,800
utan det är ju ditt
2261 01:26:29,800 --> 01:26:32,360
det är ju oftast din
2262 01:26:32,360 --> 01:26:34,320
kod som har implementerat en bug
2263 01:26:34,320 --> 01:26:37,280
och den kommer ju inte
2264 01:26:37,280 --> 01:26:38,460
hittas av en
2265 01:26:38,460 --> 01:26:41,440
en automatiserad kodverktyg
2266 01:26:41,440 --> 01:26:42,560
kanske om du har liksom
2267 01:26:42,560 --> 01:26:44,440
skitit i blåskåpet
2268 01:26:44,440 --> 01:26:46,820
ordentligt
2269 01:26:46,820 --> 01:26:48,920
så om du har
2270 01:26:48,920 --> 01:26:50,880
verkligen gjort bort dig då kanske du hittar det här
2271 01:26:50,880 --> 01:26:51,920
det är ju en jävligt allvarlig
2272 01:26:52,460 --> 01:26:53,120
sårbarhets
2273 01:26:53,120 --> 01:26:55,600
men oftast så är det ju att man
2274 01:26:55,600 --> 01:26:58,080
tittar ju på koden i sin helhet
2275 01:26:58,080 --> 01:27:00,620
och förstår hur den funkar eller inte funkar
2276 01:27:00,620 --> 01:27:02,820
och det är ju så en attackerare
2277 01:27:02,820 --> 01:27:03,500
går till väga
2278 01:27:03,500 --> 01:27:05,860
det använder ju oftast inte liksom en
2279 01:27:05,860 --> 01:27:08,300
one click installer för att bara såhär
2280 01:27:08,300 --> 01:27:09,840
eller one click exploiter
2281 01:27:09,840 --> 01:27:12,060
jag har inte den i alla fall, jag vet inte om ni har den
2282 01:27:12,060 --> 01:27:13,940
så kan ni skicka den till mig när man bara kan trycka på en knapp
2283 01:27:13,940 --> 01:27:16,480
och så exploit remote code execution
2284 01:27:16,480 --> 01:27:17,940
jag vill nog ha en gamla verktyg
2285 01:27:17,940 --> 01:27:20,160
en jaybox phone och liknande
2286 01:27:20,160 --> 01:27:22,300
attack står det på mina knappar
2287 01:27:22,300 --> 01:27:24,460
du bara skriver in namnet på jaybox-servern
2288 01:27:24,460 --> 01:27:25,920
och så läser den det för dig på något sätt
2289 01:27:25,920 --> 01:27:27,660
och sen skickar jag en faktura på 200 000
2290 01:27:27,660 --> 01:27:30,220
fan vad gött, den skriver rapporten också
2291 01:27:30,220 --> 01:27:31,320
och samtidigt gör den
2292 01:27:31,320 --> 01:27:34,040
och det är det som är en sån
2293 01:27:34,040 --> 01:27:35,840
och det är det jag menar
2294 01:27:35,840 --> 01:27:36,900
alltså ingenting
2295 01:27:36,900 --> 01:27:40,400
så som jag skulle summera det här, ingenting är ju liksom
2296 01:27:40,400 --> 01:27:42,400
gratis, allting kommer ju
2297 01:27:42,400 --> 01:27:43,280
kräva insats
2298 01:27:43,280 --> 01:27:46,500
och att köpa sig fri från att lära sig
2299 01:27:46,500 --> 01:27:48,280
kommer förmodligen
2300 01:27:48,280 --> 01:27:49,060
bara bli dyrare
2301 01:27:49,060 --> 01:27:52,160
det vi inte har pratat om det är hur hittar vi
2302 01:27:52,300 --> 01:27:54,800
de här duktiga människorna som ska göra allt det här
2303 01:27:54,800 --> 01:27:56,200
ja de finns inte tyvärr
2304 01:27:56,200 --> 01:27:58,200
det är det som är lite problemet också
2305 01:27:58,200 --> 01:28:00,920
vi har en, och där har ju vi ett ansvar
2306 01:28:00,920 --> 01:28:02,840
vi som lyssnar på den här podcasten
2307 01:28:02,840 --> 01:28:04,320
och vi som är med i den här podcasten
2308 01:28:04,320 --> 01:28:06,000
att vi ska vara mer inkluderande
2309 01:28:06,000 --> 01:28:08,940
och hjälpa folk att komma in i den här branschen
2310 01:28:08,940 --> 01:28:09,900
för vi, det behövs
2311 01:28:09,900 --> 01:28:12,400
men något som är livsfarligt i det här läget
2312 01:28:12,400 --> 01:28:14,140
det är ju kombinationen av
2313 01:28:14,140 --> 01:28:16,800
alltså omotiverade människor
2314 01:28:16,800 --> 01:28:18,940
som anser att de har fyllt i checkboxen
2315 01:28:18,940 --> 01:28:20,600
för då
2316 01:28:20,600 --> 01:28:22,860
det är ju som det här brevduva skript
2317 01:28:22,860 --> 01:28:24,860
det fanns till Mirk en gång, känner ni det?
2318 01:28:25,400 --> 01:28:26,960
det var som en overlay till Mirk
2319 01:28:26,960 --> 01:28:29,000
jag vet inte vad du pratar om just nu
2320 01:28:29,000 --> 01:28:30,360
nej, men det var en grej
2321 01:28:30,360 --> 01:28:32,480
och det var ett jävligt roligt heddermeddelande
2322 01:28:32,480 --> 01:28:32,800
det var
2323 01:28:32,800 --> 01:28:36,360
don’t underestimate stupid people in large groups
2324 01:28:37,160 --> 01:28:40,300
och det är lite det det är här liksom
2325 01:28:40,300 --> 01:28:44,340
för det är bättre att veta om vad du inte har gjort
2326 01:28:44,340 --> 01:28:44,860
eller
2327 01:28:44,860 --> 01:28:48,040
shit det har blivit långt av
2328 01:28:48,040 --> 01:28:50,080
orkar ni lyssna så?
2329 01:28:50,600 --> 01:28:53,000
och med det
2330 01:28:53,000 --> 01:28:55,400
så tror jag att vi lämnar det här ämnet
2331 01:28:55,400 --> 01:28:56,740
kul, mycket
2332 01:28:56,740 --> 01:28:58,800
nästan heta känslor
2333 01:28:58,800 --> 01:28:59,760
kanske inte riktigt heta känslor
2334 01:28:59,760 --> 01:29:02,200
nej det är verkligen inte på min sida om det är det du syftar på
2335 01:29:02,200 --> 01:29:04,360
nej jag tänkte nog generellt stämningen här
2336 01:29:04,360 --> 01:29:04,820
det är bra
2337 01:29:04,820 --> 01:29:09,440
så avslutar vi det här avsnittet
2338 01:29:09,440 --> 01:29:11,340
jag heter Mattias Idage
2339 01:29:11,340 --> 01:29:12,640
och med mig idag hade jag
2340 01:29:12,640 --> 01:29:13,340
Rickard Bordfors
2341 01:29:13,340 --> 01:29:16,280
Jesper Larsson
2342 01:29:16,280 --> 01:29:19,400
och Petar Magnusson
2343 01:29:19,400 --> 01:29:20,080
det är otroligt
2344 01:29:20,080 --> 01:29:20,320
det är otroligt
2345 01:29:20,320 --> 01:29:20,340
det är otroligt
2346 01:29:20,340 --> 01:29:20,400
det är otroligt
2347 01:29:20,400 --> 01:29:20,800
det är roligt
2348 01:29:20,800 --> 01:29:22,580
hejdå
2349 01:29:22,580 --> 01:29:23,080
hejdå
2350 01:29:23,080 --> 01:29:23,760
hejdå
2351 01:29:23,760 --> 01:29:30,840
hejdå
2352 01:29:30,840 --> 01:29:30,860
hejdå
2353 01:29:30,860 --> 01:29:36,660
hejdå
2354 01:29:36,660 --> 01:29:36,820
hejdå
2355 01:29:36,820 --> 01:29:38,920
hejdå
2356 01:29:50,120 --> 01:29:50,160
hejdå
2357 01:29:50,160 --> 01:29:50,240
hejdå
2358 01:29:50,240 --> 01:29:50,300
hejdå
2359 01:29:50,300 --> 01:29:50,340
ge mig
2360 01:29:50,340 --> 01:29:50,360
ge mig
2361 01:29:50,360 --> 01:29:50,380
ge mig