Interview met Jason Sabin, Chief Security Officer van Digicert

Beveiliging is een zeer belangrijk maar vaak over het hoofd gezien onderdeel van online veiligheid, vooral met hoe gemakkelijk het is om toegang te krijgen tot gevoelige gegevens via bits en bytes en door kwetsbaarheden die zijn blootgelegd door codelekken. Jason Sabin vervulde zijn rol bij DigiCert, een certificaataanbieder die op onconventionele wijze SSL-, TLS- en PKI-expertise aanbiedt, maar hij is gepassioneerd over wat hij heeft gedaan. Het was geweldig om meer te weten te komen over zijn bedrijf en de kerncompetenties van DigiCert.


Interview met Jason Sabin, Chief Security Officer van Digicert

Kunt u ons vertellen over uw bedrijf en hoe u lid bent geworden??

DigiCert biedt essentiële identiteits- en authenticatiediensten voor e-bedrijven. Klassiek hebben we SSL-certificaten voor webservers en certificaten voor codeondertekening gedaan. De laatste tijd zijn we uitgebreid om de Internet of Things (IoT) -markt te bedienen met zeer betrouwbare certificaten die privégegevens beschermen tegen nieuwsgierige blikken. Deze certificaten helpen bij het coderen, verifiëren en bieden van identiteitsservices aan organisaties voor bedrijfssystemen en producten. Voordat ik bij DigiCert kwam, was ik klant. Ik voelde me altijd aangetrokken tot DigiCert’s focus op innovatie en klantervaring. Ik had een sterke beveiligingsachtergrond en wilde graag helpen.

Kunt u ons vertellen over uw bedrijf en hoe u bent toegetreden?

Wat is het belang van een SSL-certificaat?

TLS en SSL vormen tegenwoordig een cruciale ruggengraat van internetcommunicatie. Zonder hen zou je openstaan ​​voor veel kwetsbaarheden en problemen. Deze certificaten beschermen bedrijfs- en klantgegevens tegen hackers en snuffelaars, en voor iedereen die vandaag zaken wil doen, zijn authenticatie en codering nodig. Digitale certificaten zijn daarvoor de belangrijkste en meest schaalbare methode. Dit geldt met name voor de recente stappen van Google om binnenkort niet-HTTPS-sites als niet veilig te markeren en de zoekresultaten met SSL een boost te geven – het web gaat standaard over op versleuteling. Het wordt een belangrijk thema dat iedereen een certificaat op zijn website, smart device, op internet aangesloten systeem moet hebben. Het is niet meer alleen e-commerce. We willen bedrijven effectief helpen bij het bereiken van schaalbaarheidsbeveiliging die de mensen die ze ondersteunen, kunnen vertrouwen.

Wat is het belang van een SSL-certificaat?

Wat is het verschil tussen de vele verschillende SSL-certificaten die DigiCert aanbiedt? Hoe neemt iemand een weloverwogen aankoopbeslissing?

We bieden een breed scala aan digitale certificaten: sommige zijn SSL plus, wildcard, multi-domein, apparaat, wifi, enz. We bieden verschillende soorten certificaten aan, afhankelijk van welke soorten validaties nodig zijn en de use-cases. Soms kan het overweldigend zijn, maar we lossen zoveel verschillende problemen op met onze oplossingen. We geven tips op onze website (digicert.com) om mensen te helpen bij het kiezen van het juiste certificaat voor hun behoeften. We bieden ook een bekroond platform voor certificaatbeheer, genaamd CertCentral®, om bedrijven te helpen zelfs miljoenen certificaten tegelijk te beheren. We hebben 24/7 klantenservice. Vaak bellen mensen ons gewoon, en ze waarderen dat wanneer iemand de telefoon opneemt, die persoon een expert is in SSL / TLS / PKI, zodat ze hen kunnen helpen met het certificaat dat ze moeten kopen.

Wat is het verschil tussen de vele verschillende SSL-certificaten die DigiCert aanbiedt? Hoe neemt iemand een weloverwogen aankoopbeslissing?

Wat is het precies "code ondertekening" en hoe verschilt dat van andere SSL-certificaten die u aanbiedt?

Digitale certificaten worden vaak gebruikt voor wat ik drie pijlers noem: authenticatie, encryptie en ondertekening. Ondertekening valideert uitvoerbare binaire software-apps. DigiCert SSL-certificaten laten gebruikers zien dat de websites die ze bezoeken is geverifieerd als eigendom van / beheerd door het bedrijf dat in het certificaat wordt vermeld, en deze certificaten versleutelen ook de gegevens die tussen de gebruiker en de website worden verzonden’s server. Codeondertekening is het proces van het valideren van softwareproducten. U wilt zeker weten dat u uitvoerbare software installeert van een bedrijf dat u vertrouwt. Als bedrijven don’Om certificaten voor codeondertekening te gebruiken, kunnen gebruikers niet controleren of het uitvoerbare bestand dat ze willen downloaden en uitvoeren legitiem is van het bedrijf dat ze hebben bedoeld. Evenzo riskeren bedrijven die zelfondertekende certificaten gebruiken, in plaats van certificaten die afkomstig zijn van in de browser vertrouwde root-browsers (zoals DigiCert), waarschuwingsberichten dat de software mogelijk niet veilig is.

Hoe is DigiCert betrokken bij het internet der dingen en welke oplossingen zijn er beschikbaar?

We zijn absoluut erg betrokken bij het helpen van organisaties bij het beveiligen van hun IoT-implementaties. Veel bedrijven realiseren zich dat IoT-beveiliging een cruciaal aspect is van hun aanbod. Verificatie, versleuteling en ondertekening zijn belangrijk voor het IoT, daarom bieden we oplossingen om certificaatbeheer te integreren in een bedrijf’s ecosysteem en productaanbod.

Hoe is DigiCert betrokken bij het internet der dingen en welke oplossingen zijn er?

Kun je ons wat meer vertellen over de PKI-oplossingen die worden aangeboden?

We bieden PKI-oplossingen voor IoT-omgevingen, zakelijke klanten en opkomende specifieke behoeften zoals gezondheidszorguitwisseling, het beveiligen van openbare Wi-Fi, enz., Via digitale certificaten die kunnen voldoen aan de enorme schaal van grote bedrijfs- en IoT-use-cases. Sommige klanten moeten miljoenen of tientallen miljoenen certificaten uitgeven en hebben daar niet de expertise voor. We helpen hen een oplossing te bouwen met behulp van DigiCert-technologie en innovatie om een ​​naadloze ervaring voor hen te creëren. Sommige mensen moeten de volledige levenscyclus en het landschap van het certificaat beheren via een slimme portal genaamd CertCentral®. Klanten willen gemakkelijk certificaten aanschaffen, beheren, controleren en controleren op problemen, en wij helpen hen daarbij. We besteden aandacht aan onze klanten, ongeacht de grootte van hun account, praten altijd met hen om de problemen die ze hebben te begrijpen en springen daar snel op in om een ​​oplossing voor hen te vinden.

Hoe groot is het hele bedrijf? Waar ben je gevestigd en heb je andere kantoren?

We hebben veel beveiligingsexperts in huis en externe consultants. In DigiCert hebben we SSL / TLS / PKI-experts en mensen die vragen van klanten kunnen beantwoorden. We hebben ongeveer 200 medewerkers en meer dan 115.000 klanten in 185 landen. Deze zomer hebben we Verizon’s SSL-activiteiten gekocht, waardoor we ons bereik nog verder hebben uitgebreid, met name in Europa en Azië, met catering voor grote ondernemingen en telecom-arena’s. We hebben ons hoofdkantoor in Lehi, Utah, maar we hebben extra faciliteiten, partners en aanwezigheid over de hele wereld.

Hoe groot is het hele bedrijf? Waar ben je gevestigd en heb je andere kantoren?

Hoe ben je van softwareontwikkelaar gekomen tot het werken als chief security officer bij een van de meest gevestigde beveiligingsbedrijven?

Ik wist dat ik op computers wilde zitten toen ik in het 5de leerjaar begon met het schrijven van code. Ik zou code schrijven en proberen die code te breken. Dat gebeurde tijdens mijn hele carrière en ik bouwde beveiligingsproducten en probeerde ze te doorbreken om zwakke punten te vinden. ik’heb altijd die mentaliteit gehad om zwakte te vinden om ze op te lossen en op te lossen. Ik ben een andere CSO met een achtergrond in engineering / R&D, het bouwen en ontwerpen van software. terwijl de meeste maatschappelijke organisaties hebben gewerkt in IT en systeembeheer. . Beide paden bieden geldige perspectieven. Mine helpt me in mijn rol om systemen en platforms te bouwen die certificaatbeheer vereenvoudigen.

Ik heb meer dan 50 patenten ingediend en in de loop van mijn carrière zijn er meer dan 30 uitgegeven. De meeste waren in cloud computing, mobiele IoT-beveiliging en identificatie. Ik heb nieuwe technologieën ontworpen op het gebied van beveiliging en identiteit, meest recentelijk bezig geweest met het automatiseren en vereenvoudigen van certificaatbeheertaken zoals inspectie, ontdekking en analyse van certificaten.

Vindt u dat Google’s nadruk op verhoogde SSL voor rankings verandert hoe u de markt benaderde, en zag u daardoor nieuwe klanten?

We hebben zeker veel meer klanten gezien, niet alleen het toegenomen gebruik van SSL / TLS binnen browsers, maar ook binnen IoT en gezondheidszorg. We zien een toename van het aantal geïnteresseerde mensen. We willen de klantervaring verbeteren om gebruikers veiliger te maken; De wijzigingen van Google leiden tot een groter bewustzijn om alle delen van de website te beschermen en niet alleen inlogpagina’s en winkelwagentjes, de bescherming van de hele browsersessie, en we moedigen zeker meer encryptie aan. Dat doet het niet’t veranderen hoe we de markt benaderen, behalve dat we’We hebben zwaar geïnvesteerd in onze systemen en mensen om te voldoen aan de sterke groei die we blijven ervaren.

Hoe reageer je op verschillende kwetsbaarheden die binnen OpenSSL worden blootgelegd? Wat is het beleid van DigiCert om ervoor te zorgen dat alle certificaten veilig zijn en hoe zorg je ervoor dat deze wijzigingen onzichtbaar zijn voor de eindgebruiker?

We zitten bovenop deze ontwikkelingen en werken proactief om met onze klanten te communiceren, zelfs als ze dat niet doen’t zijn van invloed op digitale certificaten. Niet veel van deze kwetsbaarheden zijn van invloed op certificaten, maar aangezien klanten naar ons kijken als SSL / PKI-experts, communiceren we altijd waarschuwingen en bieden we tools om beheerders te helpen weten wat ze moeten doen. Onze DigiCert® Certificate Inspector biedt bijvoorbeeld realtime informatie via een intuïtief dashboard, zodat beheerders al hun certificaten kunnen vinden, de configuratie kunnen controleren en ervoor kunnen zorgen dat ze voldoen aan best practices. We proberen klanten te helpen met al hun certificaatbehoeften.

Bent u betrokken bij de analyse van andere internetinbreuken (XMLRPC, enz.) En wat houdt dat proces in??
We houden die zeker bij, maar we richten ons op het SSL- en TLS-landschap omdat klanten voornamelijk op zoek zijn naar expertise op dit gebied. Voor mij als Chief Security Officer analyseren we altijd inbreuken en kwetsbaarheden. Direct ja, we letten op, maar klanten kijken meestal naar ons uit om hun go-to-guys te zijn, voornamelijk voor SSL / TLS-kwetsbaarheden en problemen.

Wat zou je iemand aanraden die een carrière in de beveiliging wil beginnen? Hoe raad je ze aan meer te leren over het gebied om er goed in te worden?

Vaak doorlopen veel mensen het traditionele traject van IT. Ik heb een ander traject van productontwikkeling doorlopen dat erg waardevol was: om erg nieuwsgierig te zijn, om een ​​probleemoplosser te zijn, iemand die geïnteresseerd was in hoe dingen werken. Wanneer u problemen en kwetsbaarheden controleert, is er een zeer creatieve mentaliteit voor nodig om het probleem te helpen oplossen. Ik stel voor dat mensen informatica, techniek en wiskunde studeren om die probleemoplossende vaardigheden te verwerven. Je kunt de technologische vaardigheden leren om software te kunnen gebruiken die bugs en kwetsbaarheden vindt, maar je moet ook een algemene nieuwsgierigheid hebben om te graven om de oorzaak van het probleem te identificeren.

Ik wist onbewust mijn loopbaan lang voordat ik mijn eerste baan kreeg. Als een middelbare scholier was ik altijd op zoek om te verkennen vanuit een soort code. Er is bijvoorbeeld zoiets als een SQL-injectie-aanval en ik vroeg hoe dat werkte en analyseerde het. Ik kon zien waar de gegevens zijn doorgegeven via het codepad en kan het exacte punt zien dat het probleem van die aanvallen veroorzaakte. Ik vond het geweldig om dat te analyseren en te proberen vast te stellen hoe dat brak.
Voor iemand die XSS (cross-site scripting-aanvallen) wil ontdekken, kan hij leren hoe dat gebeurt en zijn nieuwe kennis toepassen op andere instanties. Sommige mensen willen tegenwoordig misschien gewoon het systeem patchen, maar ze begrijpen niet hoe die problemen worden uitgevoerd. Ik leg graag uit hoe deze kwetsbaarheden werken, zodat het op veel instanties kan worden toegepast.

Wat zou je iemand aanraden die een carrière in de beveiliging wil beginnen? Hoe raad je ze aan meer te leren over het gebied om er goed in te worden?

Wat is het plan voor DigiCert voor de komende 5 jaar?

We zijn absoluut gefocust op onze agressieve groei, we zijn als een gek gegroeid en zullen de leider blijven in innovatie in de branche en ons richten op klantenondersteuning. Dit helpt ons om onze concurrentie te overtreffen en enorme hoeveelheden marktaandeel te winnen – nieuwe klanten en nieuwe markten (bijv. Gezondheidszorg en IoT). We willen dé aanbieder zijn voor alle soorten beveiliging. Over vijf jaar verwachten we veel groter te zijn, maar nog steeds de beste service en persoonlijke benadering te bieden.

Is er nog iets dat onze gebruikers moeten weten??

Ik kijk naar de wereld en hoe deze verandert, vooral met IoT; het verandert een hele levensstijl voor consumenten. Het’Ook verandert de manier waarop bedrijven zaken doen en hoe bedrijven werken. Zonder een sterke beveiliging zullen we in de toekomst met serieuze problemen te maken krijgen. We zien veel hacks op IoT-apparaten en sommige zijn eng, zoals het doorbreken van een infusiepomp in een ziekenhuis, mensen die babyfoons hacken of zelfrijdende auto’s overnemen. Als zodanig speelt beveiliging een cruciale en noodzakelijke rol. We zijn absoluut gericht op het helpen van bedrijven bij het oplossen van problemen en het inbouwen van IoT-beveiliging in hun infrastructuur. Gartner heeft onlangs voorspeld dat PKI naar voren zal komen als een van de meest relevante authenticatiemethoden en we zien de validiteit al in hun voorspelling. Er komen klanten naar ons toe die IoT-beveiliging nodig hebben en PKI is goed gepositioneerd om veel beveiligingsproblemen op te lossen waarmee de volgende generatie IoT-producten worden geconfronteerd. Als leverancier van IoT-beveiligingsoplossingen hebben we veel vertrouwen in onze groeivooruitzichten en ons vermogen om de beste op certificaten gebaseerde beveiligingsoplossingen te bieden. De slimste bedrijven komen naar ons toe, en wij’werken met hen samen. Het’Het is een spannende tijd om betrokken te zijn bij beveiliging, vooral omdat we nu beveiliging kunnen bouwen die onze wereld de komende jaren een betere plek zal maken om te leven – als we nu beveiliging doen.

Lees meer over DigiCert

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me