CTO blickt auf 20 Jahre Innovation und Wandel bei Barracuda zurück

Letzten Monat habe ich gemeinsam mit unseren Kollegen, Partnern und Freunden weltweit das 20-jährige Jubiläum von Barracuda gefeiert. Es war so erfrischend, kollektiv den Stolz auf die hinter uns liegende Entwicklung mitzuerleben und den bemerkenswerten Enthusiasmus für das, was vor uns liegt, zu sehen. Wir begannen, unsere Kunden mit unserer Barracuda Spam Firewall zu schützen, einer Lösung, die für den Betrieb im „Hinterzimmer“ oder Rechenzentrum eines Kunden konzipiert war. Heute verteidigen wir unsere Kunden mit einer kompletten Cybersicherheitsplattform und dem umfassendsten Schutz der Branche. Wir sind vom Produkt zum Portfolio übergegangen, von On-Premises zu Cloud-First.

Barracuda ist mit Sicherheit nicht der einzige Technologieanbieter, der sich verändert hat. In den frühen 2000er Jahren hatte Cisco nur vier Umsatzgruppen, und zwei davon waren Router und Switches. Microsoft stellte den BackOffice Server ein und führte Active Directory ein. Google startete, Anzeigen zu verkaufen, und Amazon begann, mehr als nur Bücher zu verkaufen. Barracuda ist nicht das einzige Unternehmen, das heute anders aussieht als im Jahr 2003. Aber in einer Branche voller Umbrüche und Veränderungen ist es beruhigend, über die Dinge nachzudenken, die gleich geblieben sind.

Problemlösung

Als die Barracuda Spam Firewall auf den Markt kam, war E-Mail-Spam bereits zu einer Epidemie geworden. Ohne Firewalls und Filter übertrafen Spam-Nachrichten die Zahl der legitimen E-Mails bei weitem. Und obwohl diese Spam-Nachrichten nicht sehr raffiniert waren, waren sie alles andere als harmlos. Bei vielen handelte es sich um Phishing-Angriffe, wie wir sie heute sehen, mit dem Ziel, Zugangs- und Geschäftsdaten von Benutzern zu stehlen. Aber viele weitere überschwemmten die Kommunikationswege mit Verkaufsangeboten für zweifelhafte Waren oder anstößigen Nachrichten voller rassistischer Beleidigungen. Spam war auch ein großes Problem für Internet Service Provider (ISPs), die die digitalen Junk-E-Mails verarbeiten und an Millionen von Empfängern weiterleiten mussten.

Die Möglichkeiten für bösartigen Spam und andere Arten von Cyberkriminalität sind in den letzten 20 Jahren explosionsartig angestiegen. Ransomware, nationalstaatliche Angriffe, Cybercrime-as-a-Service, Advanced Persistent Threats (APTs), KI-gestütztes Phishing … sie alle erreichten die Reife, nachdem wir die Barracuda Spam Firewall einführten. Unsere E-Mail-Sicherheit hat sich mit diesen Angriffen weiterentwickelt und begegnet ihnen direkt, wo auch immer sie auftauchen. Wir haben dies erreicht, indem wir uns auf die Bedürfnisse unserer Kunden konzentriert haben und nah an der Bedrohungslandschaft und den Angriffsvektoren geblieben sind. Barracuda unterstützt den geschäftlichen Auftrag des Kunden durch den Schutz von Produktivität, Bandbreite, Benutzern und Daten. Wir lösen die Probleme unserer Kunden, so wie wir es vor 20 Jahren getan haben. Unser Engagement für den Kunden hat sich nie geändert.

Identität ist alles

Die digitale Identität soll Mitte der 1960er Jahre am Massachusetts Institute of Technology (MIT ) entstanden sein, als Forscher begannen, Dateien mit Passwörtern zu schützen. Diese MIT-Forscher gehörten zu den ersten, die auf die Schwächen ihres Systems hinwiesen, dennoch wuchs in den folgenden Jahrzehnten diese Methode der Zugangsdatenverwaltung exponentiell. Passwortbasierte Zugangsdaten sind auch heute noch die am häufigsten verwendete Art der Identitätsüberprüfung. 

Die Identität ist ein Eckpfeiler der Cybersecurity, ganz gleich, ob es sich um eine passwortgeschützte Datei oder um ein nicht eingegrenztes Netzwerk handelt, das durch Zero-Trust-Zugang und Multi-Faktor-Authentifizierung geschützt ist. Identität ist wirklich alles, so sehr, dass sie ihre eigene Multi-Milliarden-Dollar-Industrie hervorgebracht hat. Eine aktuelle Analyse prognostiziert, dass der Markt für Identity Access Management (IAM) von 17,14 Milliarden US-Dollar im Jahr 2022 auf fast 40,87 Milliarden US-Dollar im Jahr 2029 wachsen wird.

Wir können die Bedeutung der Identität auf diese Weise veranschaulichen – unsere erste Barracuda Spam Firewall überprüfte die Identitäten von E-Mail-Absendern, -Empfängern und -Kontoinhabern. Wohin die Nachricht ging und wer sie lesen konnte, hing von der Identität ab, die normalerweise durch eine Kombination aus Benutzername und Passwort nachgewiesen wurde. Unsere aktuelle Cybersecurity-Plattform überprüft kontinuierlich jede Netzwerkanfrage und kann Anmeldeinformationen mit Kontextdaten wie Benutzerstandort, Benutzergerät und Tageszeit kombinieren. Diese Systeme zur Identitätsüberprüfung sind so weit fortgeschritten, dass wir unsere Ressourcen nicht mehr hinter einer Netzwerk-Firewall schützen müssen. Benutzer können auf Cloud-Workloads, SaaS-Anwendungen, Remote-OT-Geräte (Operational Technology) und mehr zugreifen, ohne eine Firewall zur Verarbeitung von Sicherheitsrichtlinien zu benötigen. Edge Computing wird durch die Fortschritte im Bereich Identität ermöglicht.  

Die Pfeile des Feindes gegen ihn einsetzen

In den Kampfkünsten und in den Geschichten über antike Kriegsführung steckt große Weisheit. Eine der nachhaltigsten Lektionen stammt aus der Geschichte von General Zhuge Liang, der seinen Feind dazu brachte, Tausende von Pfeilen auf Scheinsoldaten aus Palmblättern abzufeuern. Diese Pfeile wurden vom General eingesammelt und in der folgenden Schlacht gegen seinen Feind eingesetzt. Es ist ein brillantes Beispiel dafür, wie man die Stärke seines Feindes gegen ihn einsetzt.

Cyberkriminelle greifen in die öffentliche Sicherheit ein, sie erpressen Lösegeld mit unseren kritischen Vermögenswerten, stehlen unsere Forschung und spionieren unser Militär aus. Es ist keine Übertreibung zu sagen, dass wir uns im Krieg gegen einen Feind befinden, der niemals schläft. Bedrohungsakteure sind agil und motiviert und entwickeln ständig neue Waffen. Die Geschichte von General Zhuge Liang lehrt uns, unseren Gegner zu verstehen, proaktiv zu sein und die Taktiken unseres Feindes zu unserem Vorteil zu nutzen. Zum Beispiel:

• In unserer Schulung zur Stärkung des Risikobewusstseins verwenden wir Beispiele von echten Angriffen, die wir in unseren Systemen abgefangen haben. Durch die konsequente Eingabe dieser Angriffe in unsere Bedrohungsanalyse-Systeme sind wir in der Lage, Kunden darin zu schulen, sich gegen die aktuellsten Angriffe zu verteidigen.
• Unser Security Operations Center (SOC) verwendet die bei der forensischen Beobachtung gesammelten Daten, um Modelle zu erstellen, mit deren Hilfe wir Bedrohungen, die wir noch nicht gesehen haben, vorhersagen, identifizieren und auf sie reagieren können. Mit diesen Modellen können wir auch schneller auf bekannte Bedrohungen reagieren, weil das Modell uns hilft, den Angriff früher zu erkennen.
• Angriffe wie Heartbleed und Log4J haben gezeigt, dass Entwickler Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung integrieren müssen. Das Wachstum der Anwendungssicherheitslösungen ist eine direkte Folge davon, dass Angreifer in jedem Teil einer Anwendung nach Schwachstellen suchen. Von der Benutzeroberfläche bis zum kleinsten Baustein wird alles angegriffen. Was wir aus diesen Angriffen lernen, nutzen wir, um unsere eigenen Lösungen zu verbessern und das Wissen und die Effektivität der gesamten Cybersicherheitsbranche zu erhöhen.

Beobachtbares Angriffsverhalten ermöglicht es uns, eine widerstandsfähige Verteidigung aufzubauen und die Stärken der Angreifer zu unseren eigenen zu machen.

Sei wie Wasser

Zu behaupten, dass Bruce Lee mein Leben tiefgreifend beeinflusst hat, wäre eine Untertreibung. Seine Jeet-Kune-Do-Kampfkunstphilosophie basiert größtenteils auf seinen Prinzipien rund um Stärke, Formlosigkeit und Distanziertheit. Dies lässt sich am besten mit seinem berühmten Zitat ausdrücken:

„Leere deinen Geist, sei formlos. Ohne Gestalt, wie Wasser. Wenn du Wasser in eine Tasse gibst, wird es zur Tasse. Wenn du Wasser in eine Flasche füllst, wird es zur Flasche. Wenn du es in eine Teekanne gibst, dann wird es zur Teekanne. Wasser kann ruhig fließen oder es kann herabstürzen. Sei Wasser, mein Freund.“

Man kann das unterschiedlich interpretieren, aber was ich daraus mitnehme, ist, dass man nicht in einer bestimmten Denkweise gefangen sein kann. Wasser ist formlos und anpassungsfähig und kann nicht durch den Schlag einer Hand oder eines Fußes verletzt werden. Lee wollte wie die Natur des Wassers werden, und er fühlte, dass dies durch die Kunst der Loslösung möglich war. Kurz gesagt, er übte sich darin, sich nicht von starren Gedanken beschränken zu lassen und zwecklose Praktiken zu verwerfen.

Das ist nicht nur für mich persönlich wichtig, sondern auch für einen erfolgreichen Sicherheitsanbieter. Als Beispiel dient Barracudas Pfad vom Portfolio zur Plattform oder von Geräten für Rechenzentren zu SaaS und Cloud-nativen Lösungen. Cybersicherheit ist nicht mehr nur ein defensiver Prozess. Effektive Security erfordert sowohl eine Verteidigung als auch eine Offensive, die eine aktive Bedrohungssuche und eine schnelle Reaktion auf Vorfälle einsetzt. Ausfallsicherheit ist in unseren Lösungen verankert, weil wir wissen, dass es bei Angriffen nicht mehr um das „Ob“, sondern um das „Wann“ geht. All diese Transformation war möglich, weil wir uns selbst als formlos betrachten. Wir bleiben der Bedrohung nah. Wenn die Bedrohung in der Cloud liegt, werden wir zur Cloud.

Ein weiteres Beispiel für das „Sei wie Wasser“-Prinzip findet sich im Austausch von Signalen innerhalb der breiteren Security-Gemeinschaft. Unter Austausch von Signalen versteht man die Veröffentlichung von Bedrohungsinformationen, die durch Forschung, Vorfalluntersuchungen, Überwachung usw. gewonnen wurden. Barracuda und andere Sicherheitsanbieter beteiligen sich am Austausch von Signalen, da dies die Fähigkeit jedes Einzelnen verbessert, sich gegen Bedrohungen zu verteidigen. Der Nutzen kollektiver Intelligenz ist größer als das Geschäftsrisiko, Daten mit potenziellen Wettbewerbern zu teilen.

Die Anbieter erhöhen auch ihre Interoperabilität mit anderen Lösungen. Sicherheitsanbieter arbeiten zusammen, um Lösungen zu entwickeln, die die gleiche Sprache sprechen, damit gemischte Umgebungen besser umsetzbare Signale erzeugen und das gesamte MITRE-Framework abdecken können. Das ist ein bedeutender Wandel für Sicherheitsanbieter, aber auch hier können wir die Natur des Wassers näher betrachten.  Wenn eine Gemeinschaft benötigt wird, werden wir zur Gemeinschaft.

Bruce Lees Jeet Kune Do ist auch als „Der Weg der abfangenden Faust“ bekannt. Lees Stil basierte darauf, maximale Leistung bei blitzschneller Geschwindigkeit bereitzustellen. Der Kampfkünstler sollte in der Lage sein, Angriffe mit einer effektiven Verteidigung und schnellen Gegenmaßnahmen abzuwehren. Die Teams von Barracuda möchten Lösungen bereitstellen, die im Bereich Security und Data Protection auf diese Weise funktionieren.

Die Geschichte von Barracuda begann vor 20 Jahren und wir befinden uns noch in den Anfangsstadien. Ich bin stolz darauf, Teil dieser Geschichte zu sein, und ich hoffe, dass Sie uns auf unserem Weg der Innovation und des Wachstums begleiten werden.