Ransomware, Cyber-Savviness ja avaliku ja erasektori turvaühendus

Nitin Natarajan on direktori asetäitja CISA (Küberturvalisuse ja infrastruktuuri turvaagentuur) ning tal on laialdased kogemused küberjulgeoleku valdkonnas, sealhulgas USA riikliku julgeolekunõukogu ning USA tervishoiu- ja inimteenuste ministeeriumi kriitilise infrastruktuuri järelevalve. 

Selles arutelus a16z peapartneri Joel de la Garzaga (kes oli varem Boxi turvaülem ja juhtinud turvameeskondi paljudes finantsasutustes) selgitab Natarajan, miks arenev küberjulgeolekuohtude maastik sunnib igas suuruses organisatsioone – aga ka üksikisikud – saada küberteadlikumaks. Ta käsitleb ka mitmeid muid teemasid, sealhulgas seda, kuidas tööstus ja valitsus saaksid teabe jagamiseks ja kõigi kaitsmiseks kõige paremini koostööd teha.

See on mais toimunud otsevestluse redigeeritud versioon. Sa saad kuulake kogu arutelu podcasti kujul siit.

---

JOEL DE LA GARZA: Kuidas teie ja kuidas CISA ohtude tähtsuse järjekorda seadmisest mõtleb? See näib olevat võti kõigele, mida proovite teha.

NITIN NATARAJAN: Kui me vaatame prioriteetide seadmist, taandub see nende süsteemsete riskide tegelikule mõistmisele. Kuidas saame aidata rääkida kaskaadmõjuanalüüsi lugu, et inimesed saaksid teha otsuseid, kuhu investeerida ja milliste riskide eest kaitsmiseks investeerida? 

Või kuidas me vaatame riski kui kolmejalgset taburetti? Ma arvan, et me kulutame palju aega riskide tuvastamisest rääkimisele. Me kulutame palju aega riskide maandamisest rääkimisele. Me unustame selle kolmanda jala, mis minu jaoks on see kõik riskid, mille me tuvastame ja mida me ei vähenda, nõustume. Ja me võtame alati teatud riski. Tähendab, ma sõitsin siia üles. Kõndisin lavale. Võtsin riski, tulles siia. Ma võtan riski, lahkudes ja võib-olla kukkudes.

Aga kuidas tagada, et meie silmad on pärani avatud selle suhtes, mida me aktsepteerime? Ja kuidas me mõistame seda riskimaastikku ja kasutame seda prioriteetide seadmiseks? Ja kuidas me siis vaatame seda 16 kriitilises sektoris, mis on erineva küpsusastmega?

Sellistel tööstusharudel nagu finantssektor on küberjulgeolekusse investeerides olnud mõõdetav investeeringutasuvus, kuid meil on ka teisi sektoreid, mis ei ole sellesse valdkonda nii kaua või nii palju investeerinud. Tahame riskidega tegeleda viisil, mis tunnistab, et inimesed on erinevates kohtades, ja mis kõnetaks nii suuri rahvusvahelisi korporatsioone kui ka väikeettevõtteid. Kui me vaatame tarneahela riske, siis suur osa sellest riskist ei peitu suurtes rahvusvahelistes korporatsioonides, vaid väikeettevõttes, mis loob selle väikese tüki, selle ühe vidina, mis on kriitilise tähtsusega.

Seega on prioriteetide seadmine meie jaoks väljakutse, sest vaatleme terveid tööstusharusid – vertikaalselt ja horisontaalselt. Kuid see, mida me tahame proovida ja teha, on tõesti mõista, mis see süsteemne risk on.

Meedia ja turvatööstus kipuvad alati rääkima samadest ohtudest. Millised on teie jaoks olulised asjad, millest me iga päev ei kuule?

Ma arvan, et suurim oht ​​on rahulolu. Seal on palju räägitud sellest, kes on vastane ja milline see vastane välja näeb. Ja kuidas me kaasa lööme? Kuid ma tõesti muretsen selle pärast, et inimesed mõistaksid tõeliselt nende ohvrite potentsiaali ja seda, kuidas nad tajuvad ohtu enda omaks.

Asjad nagu Koloonia torujuhtme häkkimine ja sellele on kaasa aidanud muud juhtumid, kus inimesed on varem mõelnud: „Ma ei saa olla ohver. Keegi ei tule mulle järele: ma olen väikeettevõte või ma olen väike maapiirkondade jurisdiktsioon või ma olen kool ja mis sul on. Nad ei muretse minu pärast. Nad on mures maailma New Yorgi linnade pärast, nad on mures suurte rahvusvaheliste korporatsioonide pärast. Ma arvan, et see, mida me näeme, on see, et inimesed näevad, et oht on nende jaoks reaalne. 

Meil oli juhtum väikese koolipiirkonnaga, mis langes lunavara ohvriks. Nad helistasid numbrile ja ütlesid: "Meil pole raha. Oleme lihtsalt see pisike koolipiirkond. Sa ei saa aru." Ja ründajad ütlesid: "Ei, me teame, kui palju teil raha on."

Kuidas te arvate selle tuimuse või enesega rahulolu murdmisest üldsuse poolel?

Ma arvan, et see on haridus. See paneb tarbijad küsimusi esitama. Nii et kui lähete näiteks panka, kas pank kasutab mitmefaktorilist autentimist? Soovite otsida seda tüüpi võimeid, samuti seda, mida see asutus teie isikuandmete ja teie ressurssidega teeb ning milline on selle väärtus.

Ma arvan, et inimesed saavad aru isegi sellistest asjadest nagu Asjade Internet, ja see, et toome maailmas palju rohkem turvaauke, on oluline. See tähendab, et meil on internetiga ühendatud külmikud. Ma ei ole selle vastu. Ma ei tea, mida see minu külmkapist teisiti teeb. Kuid kõik need asjad toovad kaasa uusi haavatavusi. 

Ütlesin teisel päeval kellelegi naljaga pooleks, et tahaksin hea meelega oma vana juurde tagasi minna Motorola StarTAC päevadel. Oleme oma mobiilseadmetesse toonud palju võimalusi ja tehnoloogiat. Kuid sellega tõime kaasa riski. Ja ma arvan, et me ei ole kulutanud piisavalt aega riskidest rääkimisele, sest me räägime pikslite suurusest ja mängude mängimise võimalusest.

Ma arvan, et peame harima ka järgmist põlvkonda. Väidetavalt olen ma eksinud. Ma usun seda, mida usun, ja kuidas sa mu meelt muudad? Aga ma vaatan oma lapsi, kes tulevad keskkoolist välja, ja inimesed ütlevad: "Oh, nad on nii kübertark.” Ja ma ütleksin, et nad ei ole - ma pakun, et nad on tehniliselt kokkuhoidlik. Nad on iPade kasutanud alates kahekuuseks saamisest, kuid nad kleebivad endiselt parooli iPadi või klaviatuuri tagaküljele.

Niisiis, ma arvan, et oleme võrdsustatud tehniline taiplikkus koos kübertarkus. Peame muutma nad küberteadlikuks. Peame selle järgmisesse põlvkonda sisse ehitama, et nad saaksid selle oma igapäevaellu nii isiklikult kui ka tööalaselt tõeliselt kaasata.

Kas on ohte, et oleme lihtsalt liiga kinnisideeks ja tõenäoliselt tõmbavad meid tegelikust riskist eemale?

Me kulutame palju aega lühiajaliselt vaadates. See on loodus, see on vaikimisi. Keskendume sellele, mis on siin ja praegu, mis on meie ees. Kuid ma ei tea, kas kulutame piisavalt aega pikemas perspektiivis vaadates – kui me tõesti vaatame, milline näeb välja vastupidavus 5 aasta, 10 aasta, 15 aasta pärast. Ja ma arvan, et see on sellepärast, et see on raske. Me ei tea, kuhu tehnoloogia 5 või 10 aasta pärast jõuab, seega on raske hinnata, kuhu keskenduda. Seega keskendume sellele, mis meile kohe vastu vaatab.

Ma arvan, et peame kulutama rohkem aega sellele pikemaajalisele vastupidavusele, sest selle loomine võtab aega. Kui ma vaatan ettevõtete lahendusi või valitsust, siis paljud seda tüüpi asjad on mitmeaastased jõupingutused. Ja sageli, vähemalt valitsuse omandamise protsessis, on see aeg juba aegunud, kui oleme oma ulatuse määranud ja omandanud. Ja me lihtsalt alustame tsüklit uuesti.

Kõige suurem asi on meiega suhtlemine. Meil on partneritega suurepärased suhted et me teame. Minu suurim mure on see, et meil on palju partnereid ei tea.

Räägime olukorrast Venemaa ja Ukrainaga. Üks asi, mis passiivse vaatlejana on olnud väga huvitav, on see, et meil pole olnud samasugust kaost nagu varem – Mitte Petya ja need asjad, mis olid kavandatud ja arendatud Ukraina häirimiseks, kuid mis said välja ja häirisid ülemaailmset kaubandust. Tundub, et selles iteratsioonis on kõrvalkahju palju vähem. 

Kas see on sellepärast, et oleme just saavutanud taseme ja teeme palju? Kas see on valitsuse töö, et järgida sõidustandardeid ja inimestele teada anda? Sest me saime Kaitsed üles teade, et paljud juhatused, kus ma osalen, ja inimesed, kellega koos töötan, võtsid väga tõsiselt. 

Ma arvan, et see muutus mitmest küljest. Kindlasti toimusid muudatused vastase ja sealsete lähenemiste osas. Ma arvan, et kindlasti on valitsuse poolel ja mitme aasta jooksul tehtud töös muudatusi, et latti tõeliselt tõsta. Suur osa sellest on tingitud koostööst tööstusega ja paljudest seda tüüpi asjadest, mis on aidanud tööstusel muutuda vastupidavamaks. Ma arvan, et inimesed usuvad küberjulgeolekusse rohkem kui mitu aastat tagasi. Ja nii, kõik need asjad koos on viinud meid heasse kohta.

Olin mõnda aega rahvatervise valdkonnas ja oleme pandeemiatega võidelnud pikka aega. See pole meile võõras. Ja me võitlesime pandeemiatega, ma mäletan, kui H1N1 – mida me arvasime olevat pandeemia – tabas. Me ei teadnud vähe. Ja teate, see, mida me siis tegelikult ütlesime, oli see, et me ei saa minna täielikku kaugtöö- või kaugtööasendisse, kuna IT-süsteemid ei saanud sellega hakkama. Noh, 12 aastat edasi ja saime hakkama. Tõmbasime selle ära mitte ainult pilvele ülemineku tõttu – paljud asjad viisid meid sinna, kus me praegu oleme.

Nii et ma arvan, et kui me vaatame NotPetya versus praegu, siis osa sellest on tõesti nii muutused vastase poolel, muutused meie poolel kui ka muutused partnerluses ja suhetes. Shields Up on suurepärane näide, kus saame edasi liikuda ja jagada palju rohkem teavet tööstuspartneritega nii salastatud kui ka salastamata tasemel. Kuidas me sealt infot saame? Kuidas panna inimesi meie poolt avaldatud teavet usaldama?

Meie eesmärk ei ole lõppude lõpuks saada iga salastatud dokument kõigile või saada kõik läbi julgeolekukontrolli. Me ei saa seda teavet kunagi õigeaegselt. See on teabe hankimine nii, et inimesed saaksid seda tegelikult kasutada. Aastate jooksul olen välja töötanud omamoodi mantra teabe jagamise kohta. Minu jaoks on see: Kuidas viia õige teave õigete inimesteni õigeaegselt, mis toob kaasa rohkem kursis otsuse tegemine. Ehkki otsus on sama, on see vähemalt paremini informeeritud.

Ja kui me vaatasime seda sündmust ja seda, mida me nägime, oli meil olemas mehhanismid teabe hankimiseks. Meil oli inimesi, kes uskusid väljatuleva teabe kvaliteeti. Arvan ka, et on väärtus ettepoole kalduda ja öelda, et meil pole palju teavet. Ja me nägime mõnda tõeliselt ainulaadset asja. Meil oli palju teavet, mille suutsime salastatud ruumist poodiumile jõuda üsna kiiresti – mõnel juhul rekordajaga – ja saime seda tõesti kasutada selleks, et suunata inimesi otsustama, milliseid meetmeid nad peaksid tegema. Nii et ma arvan, et see on olnud tugev ja tõhus vastus.

Kuid see kõik puudutab koostööd ja partnerlust, sest me ei anna ainult teavet, kui seda ei saa kasutada. Ja kuni me ei saa tagasisidet ja suudame need süsteemid tõesti üles ehitada viisil, mis võimaldab meil koostööd teha, ei muuda me seda. riiklik maastikku, kuna vaatleme kriitilist infrastruktuuri.

Vaatan oma lapsi, kes tulevad keskkoolist välja, ja inimesed ütlevad: „Oh, nad on nii kübertark.” Ja ma ütleksin, et nad ei ole - ma pakun, et nad on tehniliselt kokkuhoidlik. Nad on iPade kasutanud alates kahekuuseks saamisest, kuid nad kleebivad endiselt parooli iPadi või klaviatuuri tagaküljele.

Mulle meeldiks saada teie arvamust lunavara kohta. Administratsioon on seda väga tõsiselt võtnud. Ja lihtsalt nii juhtub, et see keskendub peamiselt piirkondadele, mis praegu omavahel võitlevad. Mind huvitab teie lähenemine lunavaraga tegelemisele ja sellele, kuidas te seda võib-olla rikute. Sest tundub, et see on ehk paremaks läinud…

Ma teen oma pistiku meie lunavarasait, kus püüdsime koondada kõik kesksele veebisaidile, et teave sealt välja saada. Aga ma arvan, et paljuski taandub haridusele. See on inimeste harimine, et te ei saa miljonit dollarit meili teel – saate suure pabertšeki, keegi tuleb teie ukse taha ja helistab kella. Ma arvan, et see taandub sellele, et lasta inimestel mõista, kes on potentsiaalsed ohvrid.

Meil oli juhtum väikese koolipiirkonnaga, mis langes lunavara ohvriks. Nad helistasid numbrile ja ütlesid: "Meil pole raha. Oleme lihtsalt see pisike koolipiirkond. Sa ei saa aru."

Ja ründajad ütlesid: "Ei, me teame, kui palju teil raha on. Meil on teie pangakonto väljavõtted. Me teame, kui palju teil on. Ja me teame, kui palju saate maksta ja see, mida me teilt küsime, on üsna proportsionaalne teie pangas oleva summaga. Nii et me ei võta kõike, me jätame natuke midagi. Aga tegelikult, see on see, mida me tahame."

Ja koolipiirkond ütles: "Noh, sa tahad Bitcoini. Ma ei tea, kuidas seda teha." 

"Meil on kasutajatugi. Meil on 14 erinevas keeles tugipunktid, mis aitavad teil bitcoine hankida. Niisiis, kuidas me saame teid aidata?"

Nii et ma arvan, et lunavara puhul peame võimaldama inimestel mõista haavatavusi, riske, kes võiksid olla sihtmärgid ja toimingud, mida teha [vt CISA ühist nõuannet 2021. aasta lunavaratrendidest]. Ja rahaline mõju. Lunavararünnakute ja muude asjadega, mida me näeme, on inimesed eraldi kasutajad. Kuid ma arvan ka, et inimesed hakkavad tähelepanu pöörama. Ma arvan, et inimesed ei hakka kõigele klõpsama.

I do muretsema selliste asjade pärast nagu pandeemiad ja seda tüüpi asjad, mille puhul meil on suurenenud võimaluste potentsiaal. Või keegi, kelle postkastis on 300 meili ja kes peab need lihtsalt läbi saama, kes satub seda tüüpi asjade ohvriks. Ja seega peame survet hoidma. Peame sõnumite saatmist jätkama. 

Ja me peame panema ka noorema põlvkonna seda mõistma. Sest ma tegin selle vea, et vaatasin läbi oma keskkooliõpilase postkasti. Ja ma ei tea, kas nad loevad oma e-kirju või mis. Ma ei tea, mis neil on… seal on sadu – sadu – e-kirju. Ma isegi ei tea, kust nad pärit on või kuidas nad need said. Kuidas me kasvatame seda järgmist põlvkonda paremasse kohta?

Meie eesmärk ei ole lõppude lõpuks saada iga salastatud dokument kõigile või saada kõik läbi julgeolekukontrolli. . . . Minu jaoks on see järgmine: kuidas saada õiget teavet õigete inimesteni õigeaegselt, mille tulemuseks on rohkem kursis otsuse tegemine.

Oleks tore mõista, kuidas saaksime erasektoris valitsusega paremini suhelda ja asju paremaks muuta. Sest see on üks sellistest meeskonnaspordi asjadest, kus me kõik koos kaotame, kui me ei võida.

Ma arvan, et kõige suurem asi on meiega suhtlemine. Meil on partneritega suurepärased suhted et me teame. Minu suurim mure on see, et meil on palju partnereid ei tea. Me ei tea, kus nad on või kuidas sinna saada. CISA on kasvav organisatsioon – meil on umbes 500 inimesest koosnev välijõud ja me peame seda jätkuvalt kasvatama –, kuid isegi 500 inimest on tilk ämbris. Seega peame teadma, kuidas ja kellega suhelda. Ja see on koht, kus ma arvan, et tööstus saab aidata, sest tööstuse kaasamisel on palju rohkem võimalusi, et viia meid ühendusse nende õigete partneritega, kes aitavad meil seda vastupidavuse latti tõsta.

Ja siis olge ausad. Hoidke meid ausana ja harige meid. Teate, me püüame paljudes töösuhetes tõesti edasi liikuda, sest ma arvan, et minevikus on olnud palju hirmu selle pärast, kuidas me tööstusega suhtleme: "Mida me teha saame?" "Mida me saame öelda?" "Mida me ei saa öelda?" 

Oleme nüüd loonud CISA-s meeskonna, mis on tõesti ettepoole suunatud ja me ei karda seda kaasamist. Jah, seal on jooni, kuid meil on nende ridade sees palju laiuskraade. Püüame tõesti nende kaitsepiirete piires püsida – me ei taha läbi kukkuda ja kaljult alla sõita –, kuid seni, kuni me nende piirde vahel püsime, on kõik korras.

Nii et ma arvan, et kõige suurem asi on meile öelda, mida me ei tea. Ja ma tean, et me ei tea palju. Kuid ma tõesti arvan, et see aitab meil edasi liikuda ja teha olulisi hüppeid, mida me teeme.

Postitatud 4. juuli 2022