Erik：欢迎回到工业物联网聚焦播客。我是您的主持人，IoT One 的首席执行官 Erik Walenza，该咨询公司帮助公司从数据中创造价值以加速增长。今天我们的嘉宾是 Ordr 的首席执行官 Greg Murphy。 Ordr 是一个设备安全平台，使公司能够查看、了解和保护其 IoT IT 和 OT 基础设施中的每个连接设备。在本次演讲中，我们讨论了 PATCH 法案在医疗设备安全方面的现状及其旨在解决的威胁，我们还探讨了如何使用人工智能来跟踪和保护无法通过传统安全管理的大型物联网设备网络方法。

如果您觉得这些对话很有价值，请给我们留下评论和五星级评价，如果您想分享贵公司的故事或推荐演讲者，请发送电子邮件至 team@iotone.com 最后，如果您有您想讨论的物联网研究策略或培训计划，您可以直接发送电子邮件至 erik.walenza@iotone.com 给我发电子邮件。谢谢你。

Erik：Greg，非常感谢你今天加入我们的播客。

格雷格：很高兴来到这里。非常感谢你邀请我。

Erik：所以，格雷格，这是一个非常吸引人的话题，我认为，一个非常及时的话题，考虑到我们已经看到的挑战，特别是在医疗保健领域，但跨越不同的关键基础设施行业。但在我们进入这个话题之前，我很想了解更多关于你自己的信息。我认为你有非常传统的硅谷背景。你获得了历史学位并迅速进入科技领域。您能否向我们介绍其中的一些亮点，您现在是如何专注于保护物联网设备的这个主题的？

格雷格：这是一个很好的问题。绝对是非常非常传统的硅谷背景，你知道，我有机会去斯坦福读研究生学习美国历史，而且，你知道，当我在斯坦福时，刚刚沉浸在硅谷文化和技术中正在发生的一些事情以及技术显然改变世界的方式。所以我自己决定，我宁愿在一个创造历史的领域和部门工作，而不是写历史。真正开始我的职业生涯实际上是在酒店业的视频点播领域，所以我试图为酒店提供电影和娱乐系统，这就是我第一次遇到这种称为 Wi-Fi 的技术。那时，它还很新，我们对如何使用 Wi-Fi 帮助商务旅行者连接到他们的电子邮件、连接到他们的公司资源非常感兴趣，这让我开始对网络和安全感兴趣。

从那里开始，成立了一家公司，帮助组织为大型企业、学院和大学部署和管理他们的无线网络。我帮助经营了这家公司几年，并将其卖给了一家名为 Aruba Networks 的公司，该公司是无线领域的领导者之一，最终留在了 Aruba 担任多个职位。最终，无线行业的业务运营高级副总裁在我们认识到的挑战之一是，很多组织正在将设备连接到这些无线网络和他们的企业网络，但真的不知道什么是设备本身或它们正在做什么。

所以我们开始真正专注于那个领域，你知道，这种洞察力成为最终成长为 Ordr 的公司的起源。因此，我们当时将 Aruba Networks 卖给了 Hewlett Packard。 Ordr 的联合创始人，是的，是来自 Aruba 的同事，他立即离开并创办了后来成为 Ordr 的公司，其具体使命是帮助组织找出与其企业网络连接的确切内容以及他们可以做些什么来保护这些网络设备。

Erik：是的，看看这种技术如何联系起来很有趣，对吧？代代相传，你知道的，你最终可以制作一个故事情节，但是，当然，提前预测这一点非常具有挑战性。

格雷格：没错。这一切都始于移动性以及我们如何实现移动性，然后，一旦我们将移动性推向市场并启用了移动性，然后，突然之间，每个人都开始真正关心安全移动性以及您如何理解设备是什么，他们在哪里，他们在做什么，这开启了一个全新的安全时代，这就是我一直以来的空间。我认为这是目前技术中最有趣、最令人兴奋的领域之一。

Erik：你会说今天的现状是什么？我的意思是，这是一个话题——一段时间以来，对于广泛的物联网设备领域来说，它一直是一个危险信号，但你知道，它显然仍然是一个未解决的问题。就我们的安全能力以及设备制造商和运营商对安全要求的认识而言，我们今天处于什么位置？

Greg：你知道，我认为在过去的几年里，人们的意识肯定会显着提高。特别是，一些广为人知的攻击和利用从 WannaCry 开始，以及最近的一些勒索软件攻击。但我认为，行业的现状，世界的现状，几乎每个 CISO 都会同意的极少数事情之一是他们的资产数据库 CMDB 是错误的，这很了不起。

他们知道有些连接到他们网络的设备根本没有在他们的资产数据库中注册。他们知道他们的资产数据库中有很多设备不再连接到他们的网络。之所以会发生这种情况，是因为，多年来，尝试对设备进行清点和分类的过程非常手动。他们派人出去给设备贴标签，然后将这些信息输入数据库或电子表格。而且，很多时候，企业内不同的部门和不同的组织做事的方式非常不同，所以你最终会得到一些历史上被忽视和投资不足的东西。坦率地说，这是一个真正的问题，因为很难说清楚如果您实际上无法分辨并且不知道连接到您的网络的内容，那么这是一个非常强大的安全故事。

当我们进入一个环境时，我们通常会发现网络上的实际情况与组织知道的情况之间的差距通常约为 15% 到 20% 到 25%。这是一个非常可怕的统计数据，因为那些不为人知、不被理解的设备，根据定义，是组织中最容易受到攻击的设备，因为如果你不了解它，那么你的几率非常大'没有做修补、更新和确保应用适当的安全策略之类的事情。

Erik：是的，有趣的是，现在我们有了这个 PATCH 法案，保护和改造网络安全，国会提出的网络医疗保健法案，因为，你知道，这是不仅 CISO 同意的主题之一，而且实际上是共和党和民主党同意的主题之一你知道，两者都支持保护我们的医疗保健系统的目标。但是让国会介入来研究设备安全等话题有点不寻常，对吧？您会期望监管机构或行业本身将在这里带头。为什么你看到国会现在参与这个特定的话题？

格雷格：我认为，是的，这最终表明这确实已经跨越并成为人类生命和保护人们的一个非常关注的问题，因为如果你看看最近许多勒索软件攻击的影响，大多数时候，医疗保健领域的勒索软件攻击实际上是为了破坏其背后的犯罪分子，使其能够从医院、医疗保健提供者那里榨取金钱。

但我认为，当您在医疗保健环境中破坏日常运营，阻止医生和护士以及面向患者的人员遵守他们的标准最佳实践时，从定义上讲，这会危及人的生命，这就是我认为这是监管机构非常关注的问题，我认为这就是为什么你开始看到国会，你知道，共和党人和民主党人聚在一起说，“看，这是一个至关重要的领域，我们需要做点什么。”

而且我认为在这种情况下，在联邦层面采取监管行动是有充分理由的，因为如果你看一下医疗设备和医疗设备，就会发现有这么多不同的制造商，这么多不同的技术正在被使用，几乎医疗保健提供者不可能跟踪他们必须跟上速度的所有不同供应商。

所以，让政府建立一些最低标准，比如你要向这个行业销售医疗设备，你需要同意一些基本做法，你需要实施这些做法，以便医疗保健提供者有一个基线了解您的软件所包含的内容，以及您作为制造商将要实施和维护的实践的基线期望。

所以，我认为这早就应该了，我认为这是因为人们真的认识到医疗设备和其他连接在医疗环境中的设备可能对我们的医疗保健系统构成的巨大风险可能不安全。

埃里克：我认为乌克兰的战争以及与俄罗斯日益紧张的局势加剧了这种风险。我不知道我们是否已经看到了人们预期的来自俄罗斯的额外网络犯罪的预期泛滥，但是，你知道，这肯定是一个前景。也许我们可以使用 PATCH 法案作为一种框架来考虑，你知道，公司实际上应该关注什么。

所以，那里有一些关键要素，所以它有一个计划来监控和识别漏洞，一旦设备获得批准，它就是一个向 FDA 传达和披露这些漏洞的计划，它是修补漏洞的过程，然后还向 FDA 披露了软件材料清单。所以，至少，你知道，这些是 PATCH 法案中涵盖的一些关键点，我并不是真的想批评 PATCH 法案，而只是想从你的角度了解，那些东西是对这个行业真的有意义吗？这些是公司在国会通过 PATCH 法案之前就应该积极做的事情吗？

我的意思是，当然，即使双方都支持某件事，也需要时间才能真正开始在现实世界中实施一项行动。那么，这些是人们应该已经采取行动的事情，还是您会建议公司在保护他们的设备时关注的一组单独的活动？

Greg：我看待 PATCH 法案的方式，因为我认为这是一项非常必要的立法，但无论如何，它还不足以确保在医疗环境中连接的所有设备都受到保护和安全.因此，仅仅一方面，PATCH 法案显然只适用于医疗设备本身。

如果您查看医疗保健环境，医疗设备至关重要，但它们仅占您在典型医疗保健环境中发现的设备的 15% 到 20%，而且坦率地说，还有很多其他设备，无论它们是否re 视频监控摄像头、HVAC 系统、建筑系统、停车场的大门，以及许多其他设备，这些设备不在 PATCH 法案的范围内，并且可能非常脆弱，所以没有人应该有任何幻想，当PATCH 法案通过并实施，现在我们已经解决了医疗保健的安全问题。

要说明的另一点是 PATCH 法案的真正作用，你知道，它建立了制造商和供应商必须遵循的一些最低标准和实践，以确保设备可以安全连接，就像可以修补和维护一样。所有这一切都很好，但要使其有效，还需要医疗保健提供者有能力监控这些设备。

如果他们不知道设备在那里，那么无论制造商采用什么技术，无论产品具有什么功能，如果它是医院的未知设备，它可能不会那么安全，所以它是非常重要的是，他们有能力进行监控，而且，您知道，医疗保健提供者自己正在实施最佳实践，以在连接时维护和操作该设备。

然后我认为我要说的最后一点是关于 PATCH 法案的一些非常棒的事情，你知道，它实现了对软件材料清单的要求，如果你愿意的话，对于软件的成分清单这正在这些医疗设备中实施，这是向前迈出的一大步，因为从理论上讲，它使您能够了解我们是否知道特定软件包存在漏洞，我们将使医疗保健提供者更容易去查看并说，你知道，“我的任何设备是否受到该漏洞的影响？”然后弄清楚他们需要做什么。但这是大量的信息，因此这也需要像 Ordr 这样的技术提供商和软件提供商加紧帮助组织使他们能够轻松确定存在哪些漏洞以及哪些设备受到影响，并帮助他们弄清楚如何迅速采取补救措施，因此仅提供可用信息非常重要，但您还需要能够使该信息可操作的系统和工具。

我要观察的关于 PATCH 法案的最后一件事对人们理解非常重要，那就是 PATCH 法案将适用于未来制造的设备，你知道，一旦国会通过立法，FDA 就会制定法规和指导方针，它们得到实施。但是，在医疗保健领域，就像在制造业和其他一些行业一样，你不能假设设备每两到三年就会更换一次，就像我们更换笔记本电脑和智能手机一样。很多时候，您会发现在医疗保健领域，设备的使用寿命为 10 年、12 年、15 年，因此已经有大量设备存在，价值数十亿美元的设备将成为在这些医疗保健提供者网络中连接了很多年，在未来的几十年里，这将需要得到保护，而且，你知道，PATCH 法案对这些遗留系统真的无能为力。这些将需要通过尽职调查和医疗保健提供者的努力以及 Ordr 和其他软件提供者的努力来保护，以帮助实现这一目标。

Erik：是的，你提到了制造业，所以如果我们对比这些医疗保健和制造业，我想它们在拥有很多传统设备方面有一些相似之处，在医疗保健领域它们有一些差异，你有很多越来越多的客人进入设施，所以我会说这是一个更加混乱的环境，但我想大多数黑客无论如何都是远程的，这不是手动入侵设备的人，所以我不知道这是否有影响，但是你会说什么——我的意思是，在保护工厂的人与保护医院的人的行为方式方面是否存在显着差异，或者挑战和补救措施是否基本相同？

格雷格：你知道，我认为，在很多方面，有很大的相似之处。您的前提是，在任何环境中，无论您是在谈论医疗保健还是制造业，您首先必须知道在该环境中连接了什么，并且您必须能够准确了解该设备是什么，无论资产是什么，它确实如此，它的行为方式。

如果你没有这样的理解，那么你的安全程序的其余部分真的会建立在一个非常不稳定的基础上。因此，无论您是从事医疗保健还是制造业，这一切都必须从可见性和了解设备是什么及其行为开始，然后转向了解和了解这些设备、它们的漏洞、它们的行为，以便您能够识别，您知道，“嘿，您的设备开始表现出与以往不同的行为，这是您应该关注的问题，”因为通常情况下，医疗设备或制造系统，他们不会在星期四早上醒来，突然开始做不同的事情，并使用与昨天不同的协议进行通信。因此，当您看到这些类型的更改时，这通常是您需要响应的异常情况。然后真正关键的是，你能够关闭循环，一旦你看到这些异常行为，你就能够采取行动。所以我认为这个框架与医疗保健和制造业非常相似。

但是有很大的不同——所使用的设备类型、它们使用的协议有很多不同，所以它不是 100% 相同，但从根本上说，相同的原则适用。而且我认为我们开始看到监管机构也开始关注制造业和其他关键行业。很明显，从公共安全的角度来看，从公共卫生的角度来看，为什么他们会专注于医疗保健，但你也开始看到政府在 CMMC（网络安全成熟度模型）中通过一些行政命令展示自己的力量，正在使用并说将要向联邦政府销售的组织必须遵守某些安全标准和实施政策，并依靠 NIST 能够发布这些指南。

因此，我认为您看到政府既使用其监管权力和权威，也看到其作为这些设备的巨大消费者的地位来强制改变并将最佳实践强加给制造商。

Erik：是的，好的，太好了，谢谢。现在让我们深入了解您的公司 Ordr，我们可以使用它，您知道，这也是一种更多地研究解决这里挑战的技术方法的方法。因此，您的价值主张，至少是网站上的标语，“查看、了解和保护每个连接的设备”，这样就非常简单和描述性，您知道，这里的目标是什么。在我们从技术上讲你在做什么之前，你能不能分享一下，你知道，你在和谁一起工作？而且我想我们已经在讨论您正在解决的问题，但是您支持这些公司的基本价值主张是什么？

格雷格：当然。你知道，价值主张真正归结为看到、知道、安全，我们帮助组织和通常的企业了解在他们的环境中连接的一切，然后能够使用关于连接的知识来理解设备行为。这就是我们使用人工智能和机器学习来构建行为模型的东西，所以我们可以说，例如，部署在网络中的视频监控摄像头，它真的应该只做以下三件事，你知道，说以下协议。在网络内部，它应该与这些一两个目的地对话。如果它离开企业网络，它只应该去这些非常有限的目的地集。

我们建立了该模型和这种理解，这从根本上使我们能够确定该设备何时以及是否开始以与其功能不一致的方式运行，与它应该做的事情不一致，并提醒 IT .这非常重要，但是我们真正关注的地方，我认为我们与其他人有很大区别的地方是你现在需要说，好吧，我能做些什么呢？如果我看到一个表现不佳的视频监控摄像头，我该怎么办？我想将该设备从网络中删除吗？我只是想隔离它，非常严格地规范它的行为吗？我是否要保护它，以确保它不会超出我的网络或互联网上的任何人都无法访问该设备？

因此，它能够生成策略来保护这些设备，将它们锁定，以确保它们只以它们应该的方式运行，也就是说，实际上，关闭循环的关键组件。这就是我们的价值主张。它确实向您展示了您连接到网络的内容，帮助您了解漏洞和行为，然后确保您有一种自动方法来锁定这些设备并保护它们并确保它们只做这些事情他们应该做的。

Erik：我想公司在保护他们的设备方面面临的挑战之一是它是一个相当混乱的环境，对吧？您的原始设备制造商非常了解设备上的硬件和固件，但并不真正知道它们将如何在现实世界中使用。您的 IT 团队了解网络基础架构，但可能不了解每个设备的使用方式。运营商了解设备的使用方式，但不一定了解网络基础设施或网络安全挑战。所以你有这些不同的利益相关者，他们都有自己的专业知识，并且很适合这个，所以你提供了一个平台来解决这个问题。谁将是用户——谁是买方决策者，然后谁将是在那里管理或为这个过程提供输入的用户？

Greg：关于我们如何共同应对这种情况的关键挑战之一是，有这么多不同的利益相关者对设备的某些方面有洞察力。因此，例如，在医疗保健领域，您可能有临床工程、负责维护、维修和操作医疗设备的生物医学团队，因此他们非常关心这些设备的位置以及它们是否已打补丁和更新以及它们是否在使用中以及它们的使用量。

那么你有一个真正关心我如何知道这些设备上的任何漏洞的安全组织？他们不关心与生物医学组织相同的事情。然后你有网络团队负责确保这些设备已连接并且他们可以访问他们需要的信息。

因此，所有这些不同的群体都需要一组关于这些设备的特定信息，以用于他们自己的工作目的，而且通常你会发现他们最终拥有单独的工具和单独的系统。因此，您可能拥有拥有资产数据库的 IT 组织，而在医疗保健领域，生物医学临床工程组织拥有自己的资产数据库，或者，您知道，他们维护的电子表格，因此您最终没有只是不同的人具有不同的功能，但也有非常不同的系统，然后会变得非常不同步。

因此，我们真正关注的一件事是您如何提供单一的事实来源？只需提供一个数据湖，您可以在其中汇总我们所知道的有关这些连接设备的所有信息，然后让每个人都可以访问它，我们可以通过我们的用户界面做到这一点，我们为不同的角色构建了一种定制的用户界面，这样您就可以拥有生物医学工程师正在查看她完成工作所需知道的确切信息，这与 SOC 中的安全分析师完成工作所需的观点和信息大不相同。因此，它是一个建立在数据湖上的通用平台，具有不同的视图，但也与这些不同组成部分和利益相关者在日常工作中使用的工具以及他们管理工作流程的方式相集成。

所以真正关键的是我们提供了这个数据湖，这个公共信息集，所以有一个单一的事实来源，然后可以提供给所有其他正在使用的系统。这确实是我们的一种职能，当您打破组织之间的孤岛并将所有数据汇总到一个地方并让任何需要它的人访问时，这就是您作为一个组织取得天文数字的进步的方式。

埃里克：好的，知道了。当你现在解释它时，听起来相当简单。我想在实践中，在实际实施时会遇到很多挑战，无论是整合这些不同系统的技术挑战还是让人们购买和提供信息的人类挑战，你知道，我想有一些权衡，对吧？潜在地，当您开始根据人们希望如何使用设备的灵活性来保护事物时。你知道，当你帮助一家公司加入你的软件时，你通常会解决哪些重大挑战？

格雷格：当然。我们关注的真正挑战之一是确保将所有不同的利益相关者聚集在一起。因此，对于我们的解决方案，买方通常是安全组织中最常见的，但有时它由设备所有者领导，因此医疗保健中的制造运营或生物医学或试图实施分段过程甚至风险的网络组织合规性，该组织试图确保他们对设备相关风险有一个企业范围的看法。我们有多个不同的利益相关者，这确实是关键的事情之一，就是让人们在同一页面上，确保他们明白做到这一点的正确方法不是让每个人都有独立的不同系统，说话，但要带这些，你知道，一个共同的平台。

而且，很多时候，这有技术方面的问题，但也肯定有人员和流程，确保所有利益相关者都了解，你知道，对他们有什么好处，这样的解决方案如何帮助他们完成工作更好、更有效，以及他们将如何在现有的工作流程中结合和使用这项技术，因为没有人愿意进入并重新发明他们的工作方式以及他们日复一日的工作方式仅仅是因为正在使用一项新技术。

所以这种挑战，通常是我们与系统集成商、合作伙伴和咨询组织密切合作，帮助组织做出这些改变，不仅仅是实施技术，而是确保他们正在实施组织变革和流程需要落实到位才能成功。

Erik：是的，所以我可以想象与系统集成商的关系，尤其可能非常非常密切，因为他们通常是实施解决方案并提出建议的人。 OEM 厂商呢？有什么关系？因为如果我想到像飞利浦或西门子这样的公司，他们在不同的设施中有很多设备，所以他们可能有兴趣至少保护他们的设备，但是你最终可能会遇到一个分散的环境，其中一些设备有特殊平台和它之外的其他设备。您如何与原始设备制造商合作？他们——我的意思是，他们是你的客户，还是总是被视为某种合作伙伴？

Greg：他们可以是客户和合作伙伴。您考虑其中一些组织，您知道，当您进入医疗保健领域时，您可能会发现提供商有自己的专用网络，他们的设备安装在该网络上，在某些情况下，OEM 负责维护和保护，因此他们成为，在这方面，技术的消费者和用户的种类，因此我们可以提供有关设备正在做什么的见解并帮助实施安全性。

但他们也变成了——我们与他们密切合作。我们想了解，你知道，很明显，你知道，我们从制造商那里获取有关设备的所有漏洞和其他信息，以便我们可以向客户提供这些信息。我们现在可以汇总信息，因此一旦制造商表明他们的一种产品存在漏洞，现在医疗保健提供者的直接问题是，“我怎么知道我的哪些设备受到了影响，以及采取了哪些措施？我应该能够接受，如何将其与我的管理、事件管理解决方案结合起来？”你知道，所以这些关系，他们是非常非常重要的合作伙伴，他们也可以成为我们技术的非常好的客户和用户，因为他们有责任确保他们的设备和他们的网络是安全的。

埃里克：好的，好的，太好了。好吧，也许我们可以看一两个例子。如果我们有时间，也许我们可以看看医疗保健行业的一个和制造业的一个，然后快速浏览一下挑战是什么，也许你遇到的现有场景是什么，你和谁一起工作，您是如何部署的，并为我们提供了这种端到端的视角？

格雷格：是的，绝对的。我可以举一个医疗保健提供者的例子，所以我们与提供者合作，既有非常大的系统，也有小型社区医院，范围很广，但是，你知道，一个非常典型的场景是我们进来，组织有意识到他们不知道他们的环境中连接了什么，所以几乎总是这个旅程开始，嗯，帮助我们获得可见性并围绕我们所拥有的东西，你知道，这样我们就可以确保我们的资产数据库与时俱进。

您知道，与其中一家供应商合作，我们很快帮助他们了解了他们的医疗设备库存以及所有设施设备，环境中的其他连接设备，我们能够快速向他们展示哪些- 并帮助他们优先考虑并了解哪些设备具有最大价值、最重要和可能最脆弱，你知道，因此帮助他们确定风险优先级。在这种情况下，他们意识到他们有数千台设备连接到他们的网络并运行 Windows 7，这些设备显然是一个非常旧的并且在这一点上不受支持的操作系统，所以他们说，“哇，这些设备可能真的很脆弱，但更换所有这些设备将花费我们数千万美元，那么我们该怎么办？”

我们能够帮助他们准确定位这些设备的位置，然后生成策略，然后通过他们的网络访问控制 NAC 解决方案实施，以便能够锁定这些设备并说：“好吧，如果我知道这些 Windows 7 设备极易受到攻击，我真的想确保它们在我的网络上被分段和保护，我严格控制这些设备可以做什么，我控制哪些外部系统可以与它们通信。”

所以它真的变成了一个非常优雅的过程，从了解连接的设备环境，使用该信息确定哪些设备最易受攻击，然后实施并与他们的不同供应商合作，并与他们的网络解决方案集成以确保这些设备受到保护.所以这就是——在规模上，这是一个巨大的实施，但这是我们与大多数医疗保健客户一起经历的过程。

Erik：我想，当你与一个部门合作时，你可能与一家医院合作，你可能与拥有多个设施的供应商合作，我想，在某种程度上，您可能在这里工作在不同的级别，但更常见的是什么，是否有权衡？如果您与一个部门合作，与跨医疗保健网络工作相比，您是否对此有特别的担忧？

格雷格：你知道，很多时候，医疗保健领域的对话可能会从医疗设备开始。这是第一个也是显而易见的。如果医院里有一个输液泵正在向我母亲输送药物，您需要确保该输液泵受到保护并且不易受到攻击。这是一种基础和明显的，这就是问题总是开始的地方。

但很快，它往往会变成，“哇，我们实际上已经拥有了所有这些其他系统。我们与环境连接的所有打印机、视频监控系统和物理安全系统呢？”你知道，那些不是——你脖子后面的头发不像恶意软件感染医疗设备的想法那样有反应，但是一旦恶意软件进入这些设备，它肯定会发生变化，它可以非常迅速地传播并影响关键任务系统。

因此，通常情况下，它通常会从一个意图扩大的部门开始，因为安全组织意识到，你知道，为了保护任何东西，我们真的需要看到一切，因为把我的所有医疗报告都说出来对我没有任何好处设备都被锁定并受到保护，但是，您知道，恶意软件通过其中一间病房中的联网电视进入环境，这就是它进入环境并传播的方式。因此，您确实需要打开一个非常大的视野并查看环境中的所有内容，以便您了解最大的漏洞和风险点可能在哪里，而它们通常不是您认为的。

但是你也提到了一个很好的问题，你知道，大型和非常分布式的环境，你知道，你也问过制造，你知道，你经常看到一个中央 IT 或安全组织可能负责维护和运营，您知道，世界各地的数百甚至数千个地点，这就是它真正重要的地方。他们没有 IT 人员，也没有可以进行手动盘点的人员，因此他们能够真正了解其环境中连接的内容的唯一方法是通过使用诸如 Ordr 之类的工具进行自动化.

这就是其中之一-当您查看其中一些制造或金融服务时，请考虑与主要系统相关联的所有银行，您知道，通常情况下，小型分布式环境中的 IT 人员有限，因此他们真正需要的是一个系统，让他们能够远程查看并准确了解他们所有环境中连接的内容，以及采取行动保护这些环境并在检测到漏洞时做出响应的能力。

所以，你看，医疗保健通常是很多相对较大的实现。你知道，你进入制造和金融服务领域，你往往拥有非常分散的网络，现场 IT 人员有限，因此它提供的自动化和可见性对于这些组织来说非常重要。

Erik：现在，你之前提到过一种简短的人工智能，所以我想如果你正在研究自动化，你有更传统的自动化模型，有一些你可以推出的基于规则的系统，你知道，如果你是对规则有信心，那么它应该可以工作，但我想在某些情况下，你并不确切知道关于识别风险和分类使用等规则应该是什么，所以这可能是人工智能介入的地方，但是你是在一种学习环境中，您将其推出并期望，月复一月，年复一年，系统将提高其对行为的理解？这个过程的自动化是如何工作的？

格雷格：这是一个很好的问题。肯定有一个训练过程。当我们在一个环境中安装时，我们真的需要学习，你知道，首先进入并对所有设备进行分类，你知道，基于我们所做的所有工作，我们解析的协议，数据包检查所以我们对设备进行分类，但还需要了解本地环境，它们所连接的网络，这样你就有了网络环境，所以现在你不仅可以开始了解设备是什么，还可以了解它是如何通信的以及它在哪里沟通。

学习基础分类的过程通常可以在几小时或几天内完成。你知道，你训练系统，它会学习网络环境，并随着时间的推移变得越来越好。机器学习真正发挥作用的地方是，如果您考虑一个拥有数十万连接设备和数千或数万种不同设备类型的企业环境，那么没有人可以在他们的脑海中追踪并了解，好的，当输液泵连接到我们的网络时，它的行为和行为方式是什么。打印机或索尼视频监控摄像头或任何其他设备呢？

大规模做到这一点的唯一方法是通过机器学习。好消息是，当我们考虑物联网设备和我们关注的这些非托管设备时，正如我们之前讨论的那样，它们是确定性的。他们一遍又一遍地做同样的事情，这使您能够为该类型的设备、该设备的配置文件构建一个非常准确的行为模型，这可以用来构建一个非常好的安全策略，因为你想做的是你想了解正常的良好行为是什么样的，以便你允许这样做。您不想让设备无法操作或无法使用，因为您阻止了必要的通信。所以你了解好的是什么样子，然后你可以用它来构建，说，好吧，现在我想确定——我想限制这个设备，只允许它做那些好事。

这最终是您可以实施的最大和最好的安全性，因为现在，您真的 - 如果出现任何问题，如果恶意软件进入环境，您可以真正限制爆炸半径，因为对于一个设备来说，它变得不可能已经非常紧密地进行了微分段，因此该设备无法与网络上的其他设备进行通信，并且恶意软件无法横向传播并不仅破坏一个设备或一种设备，而且破坏整个环境或整个企业。

埃里克：好的，好的。很有意思。格雷格，我想我们在这里已经涵盖了很多领域，但我想从你的角度来看，我们可能只是触及了这个话题的表面。有什么我应该问你的问题或你想谈的其他问题吗？

格雷格：不，我认为这是一次很棒的谈话。对此，我真的非常感激。我认为我真正强调的一件事是，你知道，对于你的组织来说，这可能是一项非常艰巨的任务。如果您查看大型企业甚至中型企业，您拥有数万或数十万台设备并且其中很多，您可能不知道它们是什么或它们做什么，有时可能是几乎瘫痪，说，“我从哪里开始？”

答案是你真的必须从能见度开始。包住你的手，你知道，基本卫生，把你的手包在环境中，了解连接的内容，了解这些设备的行为方式以及它们有哪些漏洞。这将是使您能够进入并确定风险评估优先级的关键，因为很少有组织能够在醒来时说：“你知道吗，现在是 6 月中旬，今天将是零信任日。我将在我的所有设备上实施零信任策略。”

它通常确定我的哪些设备风险最高，对我的运营最关键，让我推出策略，让我首先保护这些设备，然后一旦我完成了，让我回去获取下一组设备和下一组设备。因此，这不是一个事件，而是一个过程，而您通过该过程的工作方式是对设备所代表的风险具有良好的可见性和良好的理解，以便您可以优先考虑并打击最易受攻击的设备，最关键的设备并确保它们受到保护。

埃里克：太好了。是的。很好的建议。格雷格，如果我们的一些听众想要联系您的团队进行更深入的讨论，他们这样做的最佳方式是什么？

格雷格：当然。他们可以在 www.ordr.net 上找到我们，并且有一个联系我们按钮，我们很高兴有人与我们取得联系，您知道，展示解决方案的演示，如果看起来合适，把它放在他们手中，看看他们是否可以在他们的环境中使用它。

埃里克：太好了。谢谢你，格雷格。

格雷格：好的，超级。太感谢了。我真的很喜欢今天的谈话。