Ransomware, Cyber-Savviness ja Public-Private Security Connection

Nitin Natarajan on apulaisjohtaja CISA (Cybersecurity and Infrastructure Security Agency), ja hänellä on laaja kokemus kyberturvallisuusalasta, mukaan lukien kriittisen infrastruktuurin valvonta Yhdysvaltain kansallisen turvallisuusneuvoston ja Yhdysvaltain terveys- ja henkilöstöministeriön palveluksessa. 

Tässä keskustelussa a16z:n pääkumppanin Joel de la Garzan kanssa (joka oli aiemmin Boxin turvallisuuspäällikkö ja on johtanut turvatiimejä useissa rahoituslaitoksissa) Natarajan selittää, miksi kehittyvä kyberturvallisuusuhat pakottavat kaikenkokoiset organisaatiot – sekä yksilöitä – tullakseen tietoisemmiksi kybertietoiseksi. Hän käsittelee myös monia muita aiheita, kuten sitä, kuinka teollisuus ja hallitus voivat parhaiten työskennellä yhdessä tietojen jakamiseksi ja kaikkien suojelemiseksi.

Tämä on muokattu versio live-keskustelusta, joka käytiin toukokuussa. Sinä pystyt Kuuntele koko keskustelu podcast-muodossa täältä.

---

JOEL DE LA GARZA: Miten sinä ja miten CISA ajattelee uhkien priorisoimista? Se näyttää avaimelta kaikkeen, mitä yrität tehdä.

NITIN NATARAJAN: Kun tarkastelemme priorisointia, on kyse siitä, että ymmärrämme todella, mitä nämä järjestelmäriskit ovat. Kuinka voimme auttaa kertomaan peräkkäisen vaikutusanalyysin tarinan, jotta ihmiset voivat tehdä päätöksiä siitä, mihin sijoittaa ja miltä riskeiltä suojautumiseen investoidaan? 

Tai miten katsomme riskiä kolmijalkaisena jakkarana? Luulen, että käytämme paljon aikaa puhuessamme riskien tunnistamisesta. Käytämme paljon aikaa puhumalla riskien vähentämisestä. Unohdamme sen kolmannen jalan, joka minulle on sitä Jokainen tunnistamamme riski, jota emme vähennä, hyväksymme. Ja hyväksymme aina riskin. Tarkoitan, ajoin tänne. Kävelin lavalle. Otin riskin tullessani tänne. Otan riskin lähtemällä ja mahdollisesti kaatumalla.

Mutta kuinka voimme varmistaa, että silmämme ovat avoinna sille, mitä hyväksymme? Ja miten ymmärrämme tuon riskimaiseman ja käytämme sitä priorisoimme? Ja miten sitten tarkastellaan tätä 16 kriittisen alan eri kypsyysasteilla?

Rahoitussektorin kaltaisilla toimialoilla on kyberturvallisuuteen investoimalla saatu määrällinen tuotto sijoitetulle pääomalle, mutta meillä on muita aloja, jotka eivät ole investoineet niin kauan tai yhtä paljon tälle alueelle. Haluamme pystyä käsittelemään riskejä tavalla, joka tunnustaa ihmisten olevan eri paikoissa ja joka puhuttelee suuria monikansallisia yrityksiä sekä pieniä yrityksiä. Kun tarkastelemme toimitusketjun riskejä, suuri osa riskeistä ei ole suurissa monikansallisissa yrityksissä, vaan pienissä yrityksissä, jotka luovat sen yhden pienen palan, yhden kriittisen widgetin.

Joten priorisointi on meille haaste, koska tarkastelemme kokonaisia ​​toimialoja – vertikaalisesti ja horisontaalisesti. Mutta haluamme yrittää todella ymmärtää, mikä tämä järjestelmäriski on.

Media ja turvallisuusala puhuvat aina samoista uhista. Mitkä ovat sinulle mielessäsi olevia asioita, joista emme kuule joka päivä?

Mielestäni suurin uhka on omahyväisyys. Siellä on puhuttu paljon siitä, kuka vastustaja on ja miltä vastustaja näyttää. Ja miten osallistumme? Mutta olen todella huolissani siitä, että saan ihmiset todella ymmärtämään heidän mahdollisuutensa joutua uhriksi ja kuinka he näkevät uhan omakseen.

Asiat kuten Colonial Pipeline hakata ja muut tapahtumat ovat auttaneet sitä, kun ihmiset ovat aiemmin ajatellut: "En voi olla uhri. Kukaan ei tule perässäni: olen pieni yritys tai pieni maaseutualue, tai olen koulu, ja mitä sinulla on. He eivät ole minusta huolissaan. He ovat huolissaan maailman New Yorkin kaupungeista, he ovat huolissaan suurista monikansallisista yrityksistä. Luulen, että me näemme, että ihmiset pystyvät näkemään, että uhka on todellinen heille. 

Meillä oli tapaus pienen koulupiirin kanssa, joka joutui kiristysohjelmien uhriksi. He soittivat numeroon ja sanoivat: ”Meillä ei ole rahaa. Olemme vain tämä pieni koulupiiri. Sinä et ymmärrä." Ja hyökkääjät sanoivat: "Ei, me tiedämme, kuinka paljon rahaa sinulla on."

Mitä ajattelet tämän tunnottomuuden tai itsetyytyväisyyden purkamisesta suuren yleisön puolelta?

Minusta se on koulutusta. Se saa kuluttajan esittämään kysymyksiä. Joten jos menet esimerkiksi pankkiin, käyttääkö pankki monivaiheista todennusta? Haluat etsiä tämän tyyppisiä ominaisuuksia sekä sitä, mitä kyseinen laitos tekee henkilökohtaisille tiedoillesi ja resursseillesi ja mitä arvoa niillä on.

Uskon, että ihmiset ymmärtävät jopa sellaisia ​​asioita Esineiden internet, ja se, että tuomme maailmaan paljon enemmän haavoittuvuuksia, on tärkeää. Tarkoitan, että meillä on jääkaappi, joka on kytketty Internetiin. En ole sitä vastaan. En tiedä mitä se tekee eri tavalla kuin jääkaappini. Mutta kaikki nämä asiat tuovat uusia haavoittuvuuksia. 

Sanoin vitsillä jollekin toissapäivänä, että haluaisin mielelläni palata vanhaan Motorola StarTAC päivää. Olemme tuoneet mobiililaitteisiin paljon ominaisuuksia ja teknologiaa. Mutta sillä toimme riskin. Enkä usko, että olemme käyttäneet tarpeeksi aikaa puhumiseen riskeistä, koska puhumme pikselien koosta ja kyvystä pelata pelejä.

Mielestäni meidän on myös koulutettava seuraava sukupolvi. Voidaan väittää, että olen hukassa. Uskon siihen, mitä uskon, ja kuinka muutat mieleni? Mutta katson lapsiani, jotka ovat tulossa lukiosta, ja ihmiset ovat kuin: "Voi, he ovat niin kybertaitava.” Ja sanoisin, että eivät ole – tarjoaisin, että ovat tekniikkataitoista. He ovat käyttäneet iPadeja kahden kuukauden iästä lähtien, mutta silti he teippaavat salasanan iPadin tai näppäimistön takaosaan.

Joten luulen, että olemme rinnastaneet tekniikan tajua with kybertietoisuutta. Meidän on tehtävä heistä kybertaitoja. Meidän on rakennettava se seuraavaan sukupolveen, jotta he voivat todella rakentaa sen jokapäiväiseen elämäänsä, sekä henkilökohtaisesti että ammatillisesti.

Onko olemassa uhkia, joihin olemme liian pakkomielteisiä ja jotka todennäköisesti häiritsevät meitä todellisesta riskistä?

Käytämme paljon aikaa katsomalla lyhyellä aikavälillä. Se on luontoa, se on oletuksena. Keskitymme siihen, mikä on tässä ja nyt, mikä on edessämme. Mutta en tiedä, käytämmekö tarpeeksi aikaa tarkastellaksemme pidemmällä aikavälillä – jos katsomme todella, todella, miltä sietokyky näyttää 5 vuoden, 10 vuoden, 15 vuoden kuluttua. Ja luulen sen johtuvan siitä, että se on vaikeaa. Emme tiedä, missä teknologia on 5 tai 10 vuoden kuluttua, joten on vaikea arvioida, mihin keskittyä. Joten keskitymme siihen, mikä on välittömästi edessämme.

Mielestäni meidän on käytettävä enemmän aikaa tuohon pitkän aikavälin kestävyyteen, koska sen rakentaminen vie aikaa. Kun katson yritysratkaisuja tai hallitusta, monet tällaiset asiat ovat monivuotisia ponnisteluja. Ja usein, ainakin valtion hankintaprosessissa, se on jo vanhentunut siihen mennessä, kun olemme määrittäneet toiminta-alueen ja olemme tehneet hankinnan. Ja aloitamme syklin uudelleen.

Suurin asia on olla tekemisissä kanssamme. Meillä on hyvät suhteet kumppaneihin että tiedämme. Suurin huolenaiheeni on, että meillä on paljon kumppaneita en tiedä.

Puhutaanpa Venäjän ja Ukrainan tilanteesta. Yksi asia, joka on ollut erittäin mielenkiintoista passiivisena tarkkailijana, on se, että meillä ei ole ollut samaa kaaosta kuin aiemmin – NotPetya ja nämä asiat, jotka suunniteltiin ja kehitettiin häiritsemään Ukrainaa, mutta jotka pääsivät ulos ja häiritsivät maailmanlaajuista kauppaa. Näyttää siltä, ​​että tässä iteraatiossa sivuvaurioita on ollut paljon vähemmän. 

Johtuuko tämä siitä, että olemme juuri nousseet ja teemme paljon? Onko se hallituksen työ ajostandardien ja ihmisten tiedostamisen? Koska saimme Suojat ylös ilmoitus, että monet laudat, joissa olen, ja ihmiset, joiden kanssa työskentelen, ottivat erittäin vakavasti. 

Mielestäni tämä on muuttunut monelta suunnalta. Muutoksia vastustajassa ja eräissä lähestymistavoissa oli ehdottomasti. Uskon, että hallituksen puolelta ja useiden vuosien aikana tekemästämme työstä on ehdottomasti tapahtunut muutoksia rimaa todella nostaaksemme. Suuri osa siitä johtuu yhteistyöstä teollisuuden kanssa ja monista sellaisista asioista, jotka ovat auttaneet teollisuudesta muuttumaan kestävämmiksi. Luulen, että ihmiset uskovat kyberturvallisuuteen enemmän kuin muutama vuosi sitten. Ja niin, kaikki nämä asiat yhdessä ovat saaneet meidät hyvään paikkaan.

Olin kansanterveysalueella jonkin aikaa, ja olemme taistelleet pandemioita vastaan ​​pitkään. Tämä ei ole meille uutta. Ja taistelimme pandemioita vastaan, muistan, kun H1N1 – jonka luulimme olevan pandemia – iski. Vähän emme tienneet. Ja tiedäthän, se, mitä me itse asiassa sanoimme silloin, oli, että emme voineet mennä täydelliseen etätyö- tai etätyöasentoon, koska IT-järjestelmät eivät kestäneet sitä. No, kelattiin 12 vuotta eteenpäin ja saimme sen irti. Veimme sen pois paitsi pilveen siirtymisen vuoksi – monet asiat johtivat meidät siihen, missä olemme tänään.

Joten luulen, että kun tarkastelemme NotPetyaa verrattuna nyt, osa siitä on todella sekä muutoksia vastustajan puolella, muutoksia meidän puolellamme että muutoksia kumppanuudessa ja suhteessa. Shields Up on loistava esimerkki, jossa voimme nojata eteenpäin ja jakaa paljon enemmän tietoa alan kumppaneiden kanssa sekä luokitellulla että luokittelemattomalla tasolla. Miten saamme tietoa sieltä? Miten saamme ihmiset luottamaan siellä julkaisemiimme tietoihin?

Tavoitteemme ei loppujen lopuksi ole saada jokaista turvaluokiteltua asiakirjaa kaikille tai saada kaikki selvitettyä turvallisuusselvityksellä. Emme koskaan saa sitä tietoa ajoissa. Se on tiedon saaminen ulos tavalla, jolla ihmiset voivat todella hyödyntää sitä. Vuosien varrella olen kehittänyt eräänlaisen mantran tiedon jakamisesta. Minulle se on: Kuinka saamme oikean tiedon oikeille ihmisille oikea-aikaisesti, mikä johtaa enemmän perillä päätöksenteko. Joten vaikka päätös on sama, se on ainakin paremmin perillä.

Ja niinpä kun katsoimme tätä tapahtumaa ja mitä näimme, meillä oli mekanismit saada tietoa sieltä. Meillä oli ihmisiä, jotka uskoivat tulevan tiedon laatuun. Mielestäni on myös arvokasta nojata eteenpäin ja sanoa, että meillä ei ole paljon tietoa. Ja näimme todella ainutlaatuisia asioita. Meillä oli paljon tietoa, jonka saimme luokitellusta paikasta korokkeelle melko nopeasti – joissakin tapauksissa ennätysajassa – ja pystyimme todella käyttämään sitä ihmisten päätöksentekoon siitä, mitä heidän pitäisi tehdä. Joten mielestäni se on ollut vahva ja tehokas vastaus.

Mutta kyse on yhteistyöstä ja kumppanuudesta, koska emme vain tuo tietoa, jos sitä ei voida hyödyntää. Ja ennen kuin voimme saada palautetta ja todella rakentaa järjestelmät tavalla, joka mahdollistaa yhteistyön, emme muuta sitä. kansallinen maisema, kun tarkastelemme kriittistä infrastruktuuria.

Katson lapsiani, jotka ovat tulossa lukiosta, ja ihmiset ovat kuin: "Voi, he ovat niin kybertaitava.” Ja sanoisin, että eivät ole – tarjoaisin, että ovat tekniikkataitoista. He ovat käyttäneet iPadeja kahden kuukauden iästä lähtien, mutta silti he teippaavat salasanan iPadin tai näppäimistön takaosaan.

Haluaisin kuulla mielipiteesi kiristysohjelmista. Hallitus on ottanut sen erittäin vakavasti. Ja sattuu vain niin, että se keskittyy enimmäkseen alueille, jotka nyt taistelevat keskenään. Olen utelias tapaasi käsitellä kiristyshaittaohjelmia ja kuinka voit hämätä niitä. Koska näyttää siltä, ​​että se on ehkä parantunut…

Teen pistokkeeni ransomware-sivustomme, jossa yritimme koota kaiken keskitetylle verkkosivustolle saadaksemme tiedot sieltä. Mutta mielestäni paljon on kiinni koulutuksesta. Se on ihmisten kouluttamista, että et saa miljoona dollaria sähköpostitse – saat ison paperisekin, joku tulee ovelle ja soittaa kelloa. Mielestäni se johtuu siitä, että ihmisten on annettava ymmärtää, keitä mahdolliset uhrit ovat.

Meillä oli tapaus pienen koulupiirin kanssa, joka joutui kiristysohjelmien uhriksi. He soittivat numeroon ja sanoivat: ”Meillä ei ole rahaa. Olemme vain tämä pieni koulupiiri. Sinä et ymmärrä."

Ja hyökkääjät sanoivat: "Ei, me tiedämme, kuinka paljon rahaa sinulla on. Meillä on pankkitilisi tiliotteet. Tiedämme kuinka paljon sinulla on. Ja tiedämme, kuinka paljon voit maksaa ja mitä pyydämme on melko verrannollinen siihen, kuinka paljon sinulla on pankissa. Joten emme ota kaikkea, jätämme vähän jotain. Mutta todella, tätä me haluamme."

Ja koulupiiri sanoi: "No, sinä haluat Bitcoinin. En tiedä miten se tehdään." 

"Meillä on tukipalvelu. Meillä on tukipisteitä 14 eri kielellä, jotka voivat auttaa sinua saamaan bitcoineja. Joten kuinka voimme auttaa sinua?"

Joten mielestäni kiristysohjelmien avulla meidän on annettava ihmisten ymmärtää haavoittuvuudet, riskit, keitä kohde voisi olla ja suoritettavat toimet [katso CISA:n yhteinen neuvonta 2021 Ransomware Trends]. Ja rahallinen vaikutus. Kiristysohjelmahyökkäyksillä ja muun tyyppisillä asioilla, joita näemme, ihmiset ovat henkilökohtainen käyttäjiä. Mutta uskon myös, että ihmiset alkavat kiinnittää huomiota. Luulen, että ihmiset eivät alkaneet napsauttaa kaikkea.

I do olla huolissaan pandemioista ja sellaisista asioista, joissa meillä on lisääntynyt potentiaalipotentiaali. Tai joku, jolla on 300 sähköpostia postilaatikossaan ja jonka on vain päästävä ne läpi, joka joutuu tällaisten asioiden uhriksi. Ja siksi meidän on pidettävä paineita yllä. Meidän on jatkettava viestintää. 

Ja meidän on saatava myös nuorempi sukupolvi ymmärtämään tämä. Koska tein sen virheen, että selasin lukiolaiseni postilaatikkoa. Ja en tiedä lukevatko he sähköpostinsa vai mitä. En tiedä mitä heillä on… sähköposteja on satoja – satoja. En edes tiedä mistä he ovat kotoisin tai miten ne saivat. Miten koulutamme tämän seuraavan sukupolven olemaan paremmassa paikassa?

Tavoitteemme ei loppujen lopuksi ole saada jokaista turvaluokiteltua asiakirjaa kaikille tai saada kaikki selvitettyä turvallisuusselvityksellä. . . . Minulle se on: Kuinka saamme oikeat tiedot oikeille ihmisille oikea-aikaisesti, mikä johtaa enemmän perillä päätöksenteko.

Olisi hienoa ymmärtää, kuinka voimme yksityisellä sektorilla olla paremmin tekemisissä hallituksen kanssa ja auttaa parantamaan asioita. Koska se on yksi näistä joukkuelajeista, jossa me kaikki häviämme yhdessä, jos emme voita.

Mielestäni suurin asia on olla tekemisissä kanssamme. Meillä on hyvät suhteet kumppaneihin että tiedämme. Suurin huolenaiheeni on, että meillä on paljon kumppaneita en tiedä. Emme tiedä missä he ovat tai miten sinne pääsee. CISA on kasvava organisaatio – meillä on noin 500 ihmisen kenttäjoukkoja koko maassa, ja meidän on jatkettava sen kasvattamista – mutta jopa 500 ihmistä on pisara ämpäriin. Meidän on siis tiedettävä, miten ja kenen kanssa ollaan tekemisissä. Ja siinä uskon, että teollisuus voi auttaa, koska alalla on paljon enemmän mahdollisuuksia saada meidät yhteyteen oikeiden kumppaneiden kanssa, jotka voivat auttaa meitä nostamaan sitkeyden rimaa.

Ja sitten pidä meidät rehellisinä. Pidä meidät rehellisinä ja kouluta meitä. Tiedätkö, yritämme todella nojata eteenpäin monissa sitoumuksissamme, koska uskon, että aiemmin on ollut paljon pelkoa siitä, miten toimimme teollisuuden kanssa: "Mitä voimme tehdä?" "Mitä voimme sanoa?" "Mitä emme voi sanoa?" 

Olemme nyt rakentaneet CISAlle tiimin, joka on todella eteenpäin suuntautunut ja jossa emme pelkää tätä sitoutumista. Kyllä, linjoja on, mutta meillä on paljon leveysastetta näiden linjojen sisällä. Yritämme todella pysyä noiden suojakaiteiden sisällä – emme halua törmätä läpi ja mennä alas kalliolta – mutta niin kauan kuin pysymme näiden suojakaiteiden sisällä, olemme kunnossa.

Joten mielestäni suurin asia on kertoa meille se, mitä emme tiedä. Ja tiedän, että on paljon, mitä emme tiedä. Mutta se, että auttaa meitä kouluttamaan meitä siitä, mitä ne ovat, auttaa meitä pysymään vastuussa siitä, mitä teemme tai emme tee, todella uskon, että se auttaa meitä siirtymään eteenpäin ja tekemään ne merkittävät hyppyt, jotka meidän on tehtävä.

Lähetetty 4. heinäkuuta 2022