Ransomware, Cyber-Savviness und die öffentlich-private Sicherheitsverbindung

Nitin Natarajan ist der stellvertretende Direktor von CISA (Cybersecurity and Infrastructure Security Agency) und verfügt über umfangreiche Erfahrung im Bereich Cybersicherheit, einschließlich der Überwachung kritischer Infrastrukturen für den US National Security Council und das US Department of Health and Human Services. 

In diesem Gespräch mit a16z-General Partner Joel de la Garza (der zuvor Chief Security Officer bei Box war und Sicherheitsteams bei zahlreichen Finanzinstituten geleitet hat) erklärt Natarajan, warum die sich entwickelnde Landschaft der Cybersicherheitsbedrohungen Unternehmen jeder Größe zwingt – und Einzelpersonen – um mehr Cyber-Erfahrung zu erlangen. Er behandelt auch eine Reihe anderer Themen, darunter die Frage, wie Industrie und Regierung am besten zusammenarbeiten können, um Informationen auszutauschen und alle zu schützen.

Dies ist eine bearbeitete Version einer Live-Diskussion, die im Mai stattfand. Du kannst Hören Sie sich hier die gesamte Diskussion in Podcast-Form an.

---

JOEL DE LA GARZA: Wie denken Sie und wie denkt CISA über die Priorisierung von Bedrohungen? Das scheint ein Schlüssel zu allem zu sein, was Sie zu tun versuchen.

NITIN NATARAJAN: Wenn wir uns die Priorisierung ansehen, kommt es darauf an, wirklich zu verstehen, was diese systemischen Risiken sind. Wie können wir dazu beitragen, die Geschichte der kaskadierenden Wirkungsanalyse zu erzählen, damit die Menschen Entscheidungen darüber treffen können, wo sie investieren und vor welchen Risiken sie sich schützen sollen? 

Oder wie sehen wir das Risiko als dreibeiniger Hocker? Ich denke, wir verbringen viel Zeit damit, über Risikoidentifikation zu sprechen. Wir verbringen viel Zeit damit, über Risikominderung zu sprechen. Wir vergessen das dritte Bein, das für mich das ist Jedes Risiko, das wir identifizieren und nicht mindern, akzeptieren wir. Und wir gehen immer ein gewisses Risiko ein. Ich meine, ich bin hierher gefahren. Ich ging auf die Bühne. Ich bin ein Risiko eingegangen, indem ich hier heraufgekommen bin. Ich gehe ein Risiko ein, indem ich gehe und möglicherweise falle.

Aber wie stellen wir sicher, dass unsere Augen weit offen sind für das, was wir akzeptieren? Und wie verstehen wir diese Risikolandschaft und nutzen sie, um unsere Priorisierung voranzutreiben? Und wie sehen wir das dann in 16 kritischen Sektoren, die sich in unterschiedlichen Reifegraden befinden?

Branchen wie der Finanzsektor haben eine quantifizierbare Kapitalrendite aus Investitionen in Cybersicherheit erzielt, aber wir haben andere Sektoren, die nicht so lange oder so viel in diesen Bereich investiert haben. Wir möchten in der Lage sein, Risiken auf eine Weise anzugehen, die anerkennt, dass sich Menschen an unterschiedlichen Orten befinden, und die sowohl große multinationale Konzerne als auch kleine Unternehmen anspricht. Wenn wir uns die Lieferkettenrisiken ansehen, liegt ein Großteil dieses Risikos nicht in großen multinationalen Konzernen, sondern in den kleinen Unternehmen, die dieses eine kleine Stück, dieses eine kritische Element, herstellen.

Daher ist die Priorisierung für uns eine Herausforderung, weil wir über ganze Branchen hinweg schauen – vertikal und horizontal. Aber was wir versuchen wollen, ist wirklich zu verstehen, was dieses systemische Risiko ist.

Die Medien und die Sicherheitsindustrie neigen dazu, immer von denselben Bedrohungen zu sprechen. Was sind einige Dinge, die Ihnen am Herzen liegen, von denen wir nicht jeden Tag hören?

Ich denke, die größte Gefahr ist Selbstgefälligkeit. Es wurde viel darüber geredet, wer der Widersacher ist und wie der Widersacher aussieht. Und wie engagieren wir uns? Aber was mir wirklich Sorgen bereitet, ist, die Menschen dazu zu bringen, ihr Potenzial, ein Opfer zu sein, wirklich zu verstehen und wie sie die Bedrohung als ihre wahrnehmen.

Dinge wie Colonial Pipeline Hack und andere Vorfälle haben dabei geholfen, wo Menschen in der Vergangenheit dachten: „Ich kann kein Opfer sein. Niemand wird nach mir kommen: Ich bin ein kleines Unternehmen, oder ich bin eine kleine ländliche Gerichtsbarkeit, oder ich bin eine Schule, und was auch immer. Sie machen sich keine Sorgen um mich. Sie machen sich Sorgen um die New Yorker Städte der Welt, sie machen sich Sorgen um große multinationale Konzerne.“ Ich denke, was wir sehen, ist, dass die Menschen erkennen können, dass die Bedrohung für sie real ist. 

Wir hatten einen Vorfall mit einem kleinen Schulbezirk, der Opfer von Ransomware wurde. Sie riefen die Nummer an und sagten: „Wir haben kein Geld. Wir sind nur dieser kleine Schulbezirk. Du verstehst nicht.“ Und die Angreifer sagten: „Nein, wir wissen, wie viel Geld Sie haben.“

Wie denken Sie darüber, etwas von dieser Taubheit oder dieser Selbstgefälligkeit auf Seiten der Öffentlichkeit abzubauen?

Ich denke, es ist Bildung. Es bringt den Verbraucher dazu, Fragen zu stellen. Wenn Sie also beispielsweise zu einer Bank gehen, verwendet die Bank die Multi-Faktor-Authentifizierung? Sie möchten nach diesen Arten von Fähigkeiten suchen sowie nach dem, was diese Institution mit Ihren persönlichen Daten und Ihren Ressourcen macht und welchen Wert sie haben.

Ich denke, die Leute dazu zu bringen, auch solche Dinge zu verstehen Internet der Dinge, und dass wir viel mehr Schwachstellen in die Welt einführen, ist wichtig. Ich meine, wir haben Kühlschränke, die mit dem Internet verbunden sind. Ich bin nicht dagegen. Ich weiß nicht, was es anders macht als mein Kühlschrank. Aber all diese Dinge bringen neue Schwachstellen mit sich. 

Ich habe neulich jemandem scherzhaft gesagt, dass ich gerne zu meinem alten zurückkehren würde Motorola StarTAC Tage. Wir haben viele Fähigkeiten und Technologien in unsere Mobilgeräte gesteckt. Aber damit haben wir ein Risiko gebracht. Und ich glaube nicht, dass wir genug Zeit damit verbracht haben, über das Risiko zu sprechen, denn wir sprechen über die Pixelgröße und die Fähigkeit, Spiele zu spielen.

Ich denke, wir müssen auch die nächste Generation erziehen. Ich bin wohl verloren. Ich glaube, was ich glaube, weißt du, und wie änderst du meine Meinung? Aber ich sehe meine Kinder an, die aus der High School kommen, und die Leute sagen: „Oh, sie sind so Cyber-versiert.“ Und ich würde sagen, dass sie es nicht sind – ich würde anbieten, dass sie es sind technisch versiert. Sie benutzen iPads, seit sie zwei Monate alt waren, aber sie kleben das Passwort immer noch auf die Rückseite des iPads oder auf die Rückseite ihrer Tastatur.

Ich denke also, dass wir uns gleichgestellt haben technisches Verständnis mit Cyber-Erfahrung. Wir müssen sie Cyber-fähig machen. Wir müssen es in die nächste Generation einbauen, damit sie es wirklich in ihr tägliches Leben einbauen kann, sowohl persönlich als auch beruflich.

Gibt es Bedrohungen, von denen wir einfach zu besessen sind und die uns wahrscheinlich vom eigentlichen Risiko ablenken?

Wir verbringen viel Zeit damit, kurzfristig zu denken. Es ist die Natur, es ist standardmäßig. Wir konzentrieren uns auf das, was im Hier und Jetzt ist, was vor uns liegt. Aber ich weiß nicht, ob wir genug Zeit damit verbringen, längerfristig zu schauen – ob wir wirklich, wirklich sehen, wie Resilienz in 5 Jahren, 10 Jahren, 15 Jahren aussieht. Und ich denke, das liegt daran, dass es schwer ist. Wir wissen nicht, wo sich die Technologie in 5 oder 10 Jahren befinden wird, daher ist es schwer einzuschätzen, worauf wir uns konzentrieren sollen. Also konzentrieren wir uns auf das, was uns unmittelbar bevorsteht.

Ich denke, wir müssen mehr Zeit für diese längerfristige Resilienz aufwenden, weil es einige Zeit dauern wird, sie aufzubauen. Wenn ich mir Unternehmenslösungen oder Behörden ansehe, sind viele dieser Dinge mehrjährige Bemühungen. Und oft, zumindest im staatlichen Übernahmeprozess, ist es zu dem Zeitpunkt, an dem wir unseren Umfang festgelegt und die Übernahme durchgeführt haben, bereits veraltet. Und wir beginnen den Kreislauf einfach von neuem.

Das Größte ist, sich mit uns zu beschäftigen. Wir haben gute Beziehungen zu den Partnern das wissen wir. Meine größte Sorge ist, dass wir viele Partner haben Ich weiß es nicht.

Lassen Sie uns über die Situation mit Russland und der Ukraine sprechen. Als passiver Beobachter war eines der Dinge, die sehr interessant waren, dass wir nicht das gleiche Chaos wie in der Vergangenheit hatten – NotPetya und diese Dinge, die entworfen und entwickelt wurden, um die Ukraine zu stören, aber herauskamen und den globalen Handel störten. Es scheint, dass es in dieser Iteration viel weniger Kollateralschäden gegeben hat. 

Liegt das daran, dass wir gerade aufgestiegen sind und viel tun? Ist es die Arbeit der Regierung, Standards zu fahren und die Menschen darüber zu informieren? Denn wir haben die Schilde hoch Ankündigung, die viele der Vorstände, in denen ich sitze, und die Leute, mit denen ich arbeite, sehr ernst genommen haben. 

Ich denke, das hat sich auf mehreren Seiten geändert. Es gab definitiv Änderungen beim Gegner und einigen der Ansätze dort. Ich denke, es gibt definitiv Veränderungen von Regierungsseite und die Arbeit, die wir in den mehreren Jahren geleistet haben, um die Messlatte wirklich höher zu legen. Vieles davon ist auf die Zusammenarbeit mit der Industrie zurückzuführen, und viele dieser Dinge haben der Industrie geholfen, widerstandsfähiger zu werden. Ich denke, die Menschen glauben mehr an Cybersicherheit als noch vor einigen Jahren. Und all diese Dinge zusammen haben uns an einen guten Ort gebracht.

Ich war eine Weile im Bereich der öffentlichen Gesundheit tätig, und wir kämpfen seit langem gegen Pandemien. Das ist uns nicht neu. Und wir kämpften gegen Pandemien, ich erinnere mich, als H1N1 – was wir für eine Pandemie hielten – zuschlug. Wenig wussten wir. Und wissen Sie, was wir damals tatsächlich gesagt haben, war, dass wir nicht zu einer vollständigen Telearbeits- oder Telearbeitshaltung übergehen konnten, weil die IT-Systeme damit nicht umgehen konnten. Nun, spulen wir 12 Jahre vor und wir haben es geschafft. Das ist uns nicht nur durch den Wechsel in die Cloud gelungen – viele Dinge haben uns dorthin geführt, wo wir heute stehen.

Ich denke also, wenn wir NotPetya im Vergleich zu jetzt betrachten, ist ein Teil davon wirklich sowohl Änderungen auf der gegnerischen Seite, Änderungen auf unserer Seite als auch Änderungen in der Partnerschaft und der Beziehung. Shields Up ist ein großartiges Beispiel, bei dem wir uns nach vorne lehnen und viel mehr Informationen mit Industriepartnern teilen können, sowohl auf klassifizierter als auch auf nicht klassifizierter Ebene. Wie kommen wir dort an Informationen? Wie bringen wir Menschen dazu, den Informationen zu vertrauen, die wir veröffentlichen?

Unser Ziel ist es am Ende des Tages nicht, jedes geheime Dokument an alle herauszugeben oder alle mit einer Sicherheitsüberprüfung freizugeben. Wir werden diese Informationen niemals zeitnah veröffentlichen. Es geht darum, die Informationen so zu verbreiten, dass die Leute sie tatsächlich nutzen können. Im Laufe der Jahre habe ich eine Art Mantra für den Informationsaustausch entwickelt. Für mich ist es: Wie bringen wir die richtigen Informationen rechtzeitig zu den richtigen Personen, was zu besser informiert Entscheidung fällen. Auch wenn die Entscheidung dieselbe ist, ist sie zumindest besser informiert.

Und als wir uns dieses Ereignis und das, was wir sahen, ansahen, hatten wir die Mechanismen, um Informationen nach draußen zu bringen. Wir hatten Leute, die an die Qualität der Informationen glaubten, die herauskamen. Ich denke auch, dass es sinnvoll ist, sich nach vorne zu lehnen und zu sagen, dass wir nicht viele Informationen haben. Und wir haben einige wirklich einzigartige Dinge gesehen. Wir hatten viele Informationen, die wir ziemlich schnell aus dem geheimen Bereich auf das Podium bringen konnten – in einigen Fällen in Rekordzeit – und konnten diese wirklich nutzen, um die Entscheidungsfindung der Menschen darüber zu beeinflussen, welche Maßnahmen sie ergreifen sollten. Ich denke also, es war eine starke und effektive Reaktion.

Aber es dreht sich alles um die Zusammenarbeit und Partnerschaft, denn nicht nur wir veröffentlichen Informationen, wenn sie nicht verwendet werden können. Und bis wir das Feedback bekommen und diese Systeme wirklich so bauen können, dass wir zusammenarbeiten können, ändern wir das nicht national Landschaft, wenn wir kritische Infrastrukturen betrachten.

Ich sehe meine Kinder an, die gerade von der High School kommen, und die Leute sagen: „Oh, sie sind so Cyber-versiert.“ Und ich würde sagen, dass sie es nicht sind – ich würde anbieten, dass sie es sind technisch versiert. Sie benutzen iPads, seit sie zwei Monate alt waren, aber sie kleben das Passwort immer noch auf die Rückseite des iPads oder auf die Rückseite ihrer Tastatur.

Ich würde gerne Ihre Meinung zu Ransomware erfahren. Die Verwaltung nimmt es sehr ernst. Und es ist einfach so, dass es sich hauptsächlich auf die Bereiche konzentriert, die jetzt miteinander kämpfen. Ich bin neugierig auf Ihre Herangehensweise an den Umgang mit Ransomware und wie Sie vielleicht etwas davon entschärfen. Weil es so aussieht, als wäre es vielleicht besser geworden …

Ich werde meinen Stecker für machen unsere Ransomware-Website, wo wir versucht haben, alles auf einer zentralen Website zusammenzufassen, um die Informationen zu verbreiten. Aber ich denke, viel hängt von der Bildung ab. Es geht darum, die Leute darüber aufzuklären, dass Sie keine Million Dollar per E-Mail bekommen werden – Sie werden einen großen Papierscheck bekommen, jemand wird an Ihre Tür kommen und klingeln. Ich denke, es kommt darauf an, den Menschen verständlich zu machen, wer die potenziellen Opfer sind.

Wir hatten ein Vorfall mit einem kleinen Schulbezirk, der Opfer von Ransomware wurde. Sie riefen die Nummer an und sagten: „Wir haben kein Geld. Wir sind nur dieser kleine Schulbezirk. Du verstehst nicht.“

Und die Angreifer sagten: „Nein, wir wissen, wie viel Geld Sie haben. Wir haben Ihre Kontoauszüge. Wir wissen, wie viel Sie haben. Und wir wissen, wie viel Sie bezahlen können, und was wir von Ihnen verlangen, entspricht ziemlich genau dem, was Sie auf der Bank haben. Also nehmen wir nicht alles, wir lassen ein bisschen von etwas. Aber das ist es wirklich, was wir wollen.“

Und der Schulbezirk sagte: „Nun, Sie wollen Bitcoin. Ich weiß nicht, wie ich das machen soll.“ 

„Wir haben einen Helpdesk. Wir haben Helpdesks in 14 verschiedenen Sprachen, die Ihnen helfen können, Bitcoin zu bekommen. Wie können wir Ihnen also helfen?“

Ich denke also, dass wir bei Ransomware den Menschen die Schwachstellen, die Risiken, die potenziellen Ziele und die Möglichkeiten verständlich machen müssen die zu ergreifenden Maßnahmen [siehe CISA Joint Advisory 2021 Ransomware Trends]. Und die monetären Auswirkungen. Bei Ransomware-Angriffen und anderen Arten von Dingen, die wir sehen, sind die Menschen Krankengymnastik Benutzer. Aber ich glaube auch, dass die Leute anfangen, darauf zu achten. Ich glaube, die Leute fangen an, nicht mehr auf alles zu klicken.

I do Sorgen Sie sich um Dinge wie Pandemien und solche Dinge, bei denen wir ein erhöhtes Chancenpotenzial haben. Oder jemand, der 300 E-Mails in seinem Posteingang hat und sie nur durcharbeiten muss, der solchen Dingen zum Opfer fällt. Und deshalb müssen wir den Druck aufrechterhalten. Wir müssen die Nachrichtenübermittlung aufrechterhalten. 

Und wir müssen die jüngere Generation dazu bringen, dies auch zu erkennen. Weil ich den Fehler gemacht habe, den Posteingang meines Highschoolers zu durchsuchen. Und ich weiß nicht, ob sie ihre E-Mails gelesen haben oder was. Ich weiß nicht, was sie haben … es gibt Hunderte – Hunderte – von E-Mails. Ich weiß nicht einmal, woher sie kommen oder wie sie sie bekommen haben. Wie erziehen wir die nächste Generation zu einem besseren Ort?

Unser Ziel ist es am Ende des Tages nicht, jedes geheime Dokument an alle herauszugeben oder alle mit einer Sicherheitsüberprüfung freizugeben. . . . Für mich ist es: Wie bringen wir die richtigen Informationen rechtzeitig zu den richtigen Personen, was zu Ergebnissen führt besser informiert Entscheidung fällen.

Es wäre großartig zu verstehen, wie wir im Privatsektor besser mit der Regierung zusammenarbeiten und dazu beitragen können, dass die Dinge besser werden. Denn es ist so ein Mannschaftssport, bei dem wir alle zusammen verlieren, wenn wir nicht gewinnen.

Ich denke, das Größte ist, sich mit uns zu beschäftigen. Wir haben gute Beziehungen zu den Partnern das wissen wir. Meine größte Sorge ist, dass wir viele Partner haben Ich weiß es nicht. Wir wissen nicht, wo sie sind oder wie man dorthin kommt. CISA ist eine wachsende Organisation – wir haben landesweit Außendienstmitarbeiter von etwa 500 Mitarbeitern, und wir müssen weiter wachsen – aber selbst 500 Mitarbeiter sind ein Tropfen auf den heißen Stein. Wir müssen also wissen, wie und mit wem wir uns engagieren können. Und hier kann die Industrie meiner Meinung nach helfen, denn es gibt viel mehr Möglichkeiten für das Engagement der Industrie, uns mit den richtigen Partnern in Kontakt zu bringen, die uns helfen können, diese Messlatte für Widerstandsfähigkeit höher zu legen.

Und dann bleiben Sie uns ehrlich. Halten Sie uns ehrlich und erziehen Sie uns. Wissen Sie, wir versuchen wirklich, uns bei vielen unserer Engagements nach vorne zu lehnen, weil ich denke, dass es in der Vergangenheit viele Ängste darüber gab, wie wir mit der Industrie zusammenarbeiten: „Was können wir tun?“ „Was können wir sagen?“ „Was können wir nicht sagen?“ 

Wir haben jetzt bei CISA ein Team aufgebaut, das wirklich zukunftsorientiert ist und bei dem wir keine Angst vor diesem Engagement haben. Ja, es gibt Linien, aber wir haben innerhalb dieser Linien viel Spielraum. Wir versuchen wirklich, innerhalb dieser Leitplanken zu bleiben – wir wollen nicht durchbrechen und von der Klippe stürzen – aber solange wir innerhalb dieser Leitplanken bleiben, geht es uns gut.

Also denke ich, das Größte ist, uns zu sagen, was wir nicht wissen. Und ich weiß, dass es eine Menge gibt, was wir nicht wissen. Aber uns darüber aufzuklären, was das ist, uns dabei zu helfen, für das, was wir tun oder nicht tun, verantwortlich zu bleiben, wird uns meiner Meinung nach wirklich helfen, voranzukommen und die bedeutenden Sprünge zu machen, die wir machen müssen.

Veröffentlicht am 4. Juli 2022