S3 Ep142: Menempatkan X di X-Ops

Tidak ada pemutar audio di bawah? Mendengarkan langsung di Soundcloud.

BEBEK.  Halo semua.

Selamat datang di podcast Naked Security.

Seperti yang Anda dengar, saya bukan Doug, saya Bebek.

Doug sedang berlibur minggu ini, jadi teman lama dan rekan keamanan siber saya, Matt Holdcroft, bergabung dalam episode ini.

Matt, Anda dan saya kembali ke masa-masa awal Sophos…

…dan bidang tempat Anda bekerja sekarang adalah bagian keamanan siber dari apa yang dikenal sebagai “DevSecOps”.

Ketika datang ke X-Ops, Anda telah berada di sana untuk semua nilai X yang mungkin, Anda mungkin berkata.

Beri tahu kami sesuatu tentang bagaimana Anda sampai ke tempat Anda sekarang, karena ini adalah kisah yang menarik.

---

MAT.  Pekerjaan pertama saya di Sophos adalah Admin dan Pengembang Lotus Notes, dan saya bekerja di Ruang Produksi saat itu, jadi saya bertanggung jawab untuk menggandakan floppy disk.

Ini adalah floppy disk NYATA, yang sebenarnya bisa Anda gagal!

---

BEBEK.  [TERTAWA KERAS] Ya, tipe 5.25″…

---

MAT.  Iya nih!

Saat itu, itu mudah.

Kami memiliki keamanan fisik; Anda bisa melihat jaringan; Anda tahu komputer terhubung ke jaringan karena ada sedikit kabel yang keluar dari belakang.

(Meskipun mungkin tidak terhubung ke jaringan karena seseorang telah kehilangan terminator di ujung [kabel].)

Jadi, kami memiliki aturan yang bagus dan sederhana tentang siapa yang bisa pergi ke mana, dan siapa yang bisa menempel pada apa, dan hidup itu cukup sederhana.

---

BEBEK.  Hari-hari ini, hampir sebaliknya, bukan?

Jika komputer tidak ada dalam jaringan, maka komputer tidak dapat berbuat banyak untuk membantu perusahaan mencapai tujuannya, dan hampir dianggap tidak mungkin untuk dikelola.

Karena itu harus dapat menjangkau cloud untuk melakukan sesuatu yang berguna, dan Anda harus dapat menjangkaunya, sebagai petugas operasi keamanan, melalui cloud, untuk memastikan semuanya berjalan lancar.

Ini hampir seperti situasi Catch-22, bukan?

---

MAT.  Ya.

Ini benar-benar terbalik.

Ya, komputer yang tidak tersambung memang aman… tetapi juga tidak berguna, karena tidak memenuhi tujuannya.

Lebih baik untuk terus online sehingga dapat terus mendapatkan pembaruan terkini, dan Anda dapat mengawasinya, dan Anda bisa mendapatkan telemetri kehidupan nyata darinya, daripada memiliki sesuatu yang mungkin Anda periksa setiap hari.

---

BEBEK.  Seperti yang Anda katakan, adalah ironi bahwa online sangat berisiko, tetapi itu juga satu-satunya cara untuk mengelola risiko itu, terutama di lingkungan di mana orang tidak muncul di kantor setiap hari.

---

MAT.  Ya, ide Bawa Perangkat Anda Sendiri [BYOD] tidak akan terbang kembali ke masa lalu, bukan?

Namun kami memiliki Bangun Perangkat Anda Sendiri ketika saya bergabung dengan Sophos.

Anda diharapkan untuk memesan suku cadang dan membuat PC pertama Anda.

Itu adalah ritus peralihan!

---

BEBEK.  Itu cukup bagus…

… Anda bisa memilih, dengan alasan, bukan?

---

MAT.  [TERTAWA] Ya!

---

BEBEK.  Haruskah saya mengurangi sedikit ruang disk, dan kemudian mungkin saya dapat memiliki [SUARA DRAMATIS] DELAPAN MEGABYTE RAM!!?!

---

MAT.  Itu adalah era 486es, disket dan faks, saat kita mulai, bukan?

Saya ingat Pentium pertama masuk ke perusahaan, dan itu adalah, “Wow! Lihat itu!"

---

BEBEK.  Apa tiga Tips Utama Anda untuk operator keamanan siber saat ini?

Karena mereka sangat berbeda dari yang lama, "Oooh, mari kita awasi malware dan kemudian, ketika kita menemukannya, kita akan pergi dan membersihkannya."

---

MAT.  Salah satu hal yang banyak berubah sejak saat itu, Paul, adalah, dulu, Anda memiliki mesin yang terinfeksi, dan semua orang sangat ingin mendisinfeksi mesin itu.

Virus yang dapat dieksekusi akan menginfeksi *semua* file yang dapat dieksekusi di komputer, dan mengembalikannya ke keadaan "baik" benar-benar serampangan, karena jika Anda melewatkan infeksi apa pun (dengan asumsi Anda dapat mendisinfeksi), Anda akan kembali ke titik awal seperti segera setelah file itu dipanggil.

Dan kami tidak memiliki, seperti yang kami miliki sekarang, tanda tangan digital dan manifes dan seterusnya di mana Anda dapat kembali ke keadaan yang diketahui.

---

BEBEK.  Seolah-olah malware adalah bagian utama dari masalah, karena orang mengharapkan Anda untuk membersihkannya, dan pada dasarnya menghilangkan lalat dari salep, dan kemudian mengembalikan toples salep dan berkata, “Ini aman untuk digunakan sekarang, teman-teman. .”

---

MAT.  Motivasinya berubah, karena pada umumnya pembuat virus ingin menginfeksi sebanyak mungkin file, dan mereka sering melakukannya “untuk bersenang-senang”.

Padahal hari-hari ini, mereka ingin menangkap sebuah sistem.

Jadi mereka tidak tertarik menginfeksi setiap executable.

Mereka hanya ingin menguasai komputer itu, untuk tujuan apa pun.

---

BEBEK.  Bahkan, mungkin tidak ada file yang terinfeksi selama serangan itu.

Mereka dapat membobol masuk karena mereka telah membeli kata sandi dari seseorang, dan kemudian, ketika mereka masuk, alih-alih mengatakan, "Hei, biarkan virus lepas yang akan memicu semua jenis alarm"…

... mereka akan berkata, "Mari kita temukan alat sysadmin licik apa yang sudah ada yang dapat kita gunakan dengan cara yang tidak akan pernah dilakukan oleh sysadmin yang sebenarnya."

---

MAT.  Dalam banyak hal, itu tidak benar-benar berbahaya sampai…

…Saya ingat merasa ngeri ketika membaca deskripsi virus tertentu yang disebut “Ripper”.

Alih-alih hanya menginfeksi file, itu akan menyebar dan memutar-mutar bit di sistem Anda secara diam-diam.

Jadi, seiring waktu, file apa pun atau sektor apa pun di disk Anda dapat rusak secara halus.

Enam bulan kemudian, Anda mungkin tiba-tiba menemukan bahwa sistem Anda tidak dapat digunakan, dan Anda tidak tahu perubahan apa yang telah dilakukan.

Saya ingat itu cukup mengejutkan saya, karena, sebelumnya, virus sangat mengganggu; beberapa memiliki motif politik; dan beberapa hanya orang yang bereksperimen dan "bersenang-senang".

Virus pertama ditulis sebagai latihan intelektual.

Dan saya ingat, dulu, kami tidak dapat benar-benar melihat cara untuk memonetisasi infeksi, meskipun itu mengganggu, karena Anda memiliki masalah, "Bayar ke rekening bank ini", atau "Tinggalkan uangnya di bawah batu ini di taman lokal”…

…yang selalu rentan ditangkap oleh pihak berwenang.

Kemudian, tentu saja, Bitcoin datang. [TAWA]

Itu membuat seluruh malware layak secara komersial, yang sampai saat itu tidak.

---

BEBEK.  Jadi, mari kita kembali ke Tips Teratas itu, Matt!

Apa yang Anda sarankan sebagai tiga hal yang dapat dilakukan oleh operator keamanan siber yang memberi mereka, jika Anda mau, keuntungan terbesar?

---

MAT.  OK.

Semua orang pernah mendengar ini sebelumnya: Menambal.

Anda harus menambal, dan Anda harus sering menambal.

Semakin lama Anda meninggalkan tambalan… itu seperti tidak pergi ke dokter gigi: semakin lama Anda meninggalkannya, semakin buruk jadinya.

Anda lebih cenderung mencapai perubahan besar.

Tetapi jika Anda sering menambal, bahkan jika Anda mengalami masalah, Anda mungkin dapat mengatasinya, dan seiring waktu Anda akan membuat aplikasi Anda lebih baik.

---

BEBEK.  Memang, jauh lebih mudah untuk memutakhirkan dari, katakanlah, OpenSSL 3.0 ke 3.1 daripada memutakhirkan dari OpenSSL 1.0.2 ke OpenSSL 3.1.

---

MAT.  Dan jika seseorang menyelidiki lingkungan Anda dan mereka dapat melihat bahwa Anda tidak memperbarui tambalan Anda… itu, “Apa lagi yang bisa kami manfaatkan? Layak untuk dilihat lagi!

Sedangkan seseorang yang sepenuhnya ditambal… mereka mungkin lebih unggul.

Ini seperti yang lama Hitchhiker's Guide to the Galaxy: selama Anda memiliki handuk, mereka menganggap Anda memiliki yang lainnya.

Jadi, jika Anda sepenuhnya ditambal, Anda mungkin berada di atas segalanya.

---

BEBEK.  Jadi, kami sedang menambal.

Apa hal kedua yang perlu kita lakukan?

---

MAT.  Anda hanya dapat menambal apa yang Anda ketahui.

Jadi hal kedua adalah: Pemantauan.

Anda harus tahu harta Anda.

Sejauh mengetahui apa yang berjalan di mesin Anda, baru-baru ini ada banyak upaya yang dilakukan dengan SBOM, Perangkat Lunak Bill of Material.

Karena orang-orang telah mengerti bahwa itu adalah keseluruhan rantai…

---

BEBEK.  Persis!

---

MAT.  Tidak ada gunanya mendapatkan peringatan yang mengatakan, "Ada kerentanan di perpustakaan ini dan itu," dan respons Anda adalah, "Oke, apa yang harus saya lakukan dengan pengetahuan itu?"

Mengetahui mesin apa yang sedang berjalan, dan apa yang sedang berjalan di mesin tersebut…

… dan, membawanya kembali ke penambalan, “Apakah mereka benar-benar memasang tambalan?”

---

BEBEK.  Atau seorang penjahat menyelinap masuk dan pergi, “Aha! Mereka pikir mereka sudah ditambal, jadi jika mereka tidak memeriksa ulang bahwa mereka tetap ditambal, mungkin saya dapat menurunkan versi salah satu sistem ini dan membuka pintu belakang untuk diri saya lebih lama lagi, karena mereka pikir mereka punya masalah disortir.”

Jadi saya rasa klisenya adalah, “Selalu ukur, jangan pernah berasumsi.”

Sekarang saya rasa saya tahu apa tip ketiga Anda, dan saya curiga ini akan menjadi yang paling sulit/paling kontroversial.

Jadi biarkan saya melihat apakah saya benar… apa itu?

---

MAT.  Saya akan mengatakan itu adalah: Membunuh. (Atau Menyisihkan.)

Seiring waktu, sistem bertambah… mereka dirancang, dan dibangun, dan orang-orang terus bergerak.

---

BEBEK.  [TERTAWA] Akret! [TERTAWA LEBIH KERAS]

Seperti kalsifikasi…

---

MAT.  Atau teritip…

---

BEBEK.  Ya! [TAWA]

---

MAT.  Teritip di kapal besar perusahaan Anda.

Mereka mungkin melakukan pekerjaan yang bermanfaat, tetapi mereka mungkin melakukannya dengan teknologi yang populer lima tahun lalu atau sepuluh tahun lalu ketika sistem itu dirancang.

Kita semua tahu bagaimana pengembang menyukai perangkat baru atau bahasa baru.

Saat Anda memantau, Anda perlu mengawasi hal-hal ini, dan jika sistem itu semakin lama berjalan, Anda harus mengambil keputusan sulit dan menghentikannya.

Dan lagi, sama seperti menambal, semakin lama Anda meninggalkannya, semakin besar kemungkinan Anda untuk berbalik dan berkata, "Apa yang dilakukan sistem itu?"

Ini sangat penting untuk selalu dipikirkan siklus hidup ketika Anda menerapkan sistem baru.

Pikirkan tentang, “Oke, ini versi 1 saya, tetapi bagaimana saya akan mematikannya? Kapan akan mati?”

Letakkan beberapa harapan di luar sana untuk bisnis, untuk pelanggan internal Anda, dan hal yang sama juga berlaku untuk pelanggan eksternal.

---

BEBEK.  Jadi, Matt, apa saran Anda untuk apa yang saya tahu bisa menjadi pekerjaan yang sangat sulit bagi seseorang yang berada di tim keamanan (biasanya ini semakin sulit seiring dengan semakin besarnya perusahaan) untuk membantu mereka menjual idenya?

Misalnya, “Anda tidak lagi diizinkan membuat kode dengan OpenSSL 1. Anda harus pindah ke versi 3. Saya tidak peduli betapa sulitnya!”

Bagaimana Anda menyampaikan pesan itu ketika semua orang di perusahaan membalas Anda?

---

MAT.  Pertama-tama… Anda tidak bisa mendikte.

Anda perlu memberikan standar yang jelas dan itu perlu dijelaskan.

Penjualan yang Anda dapatkan karena kami mengirim lebih awal tanpa memperbaiki masalah?

Itu akan dibayangi oleh publisitas buruk bahwa kami memiliki kerentanan atau bahwa kami mengirim dengan kerentanan.

Selalu lebih baik mencegah daripada memperbaiki.

---

BEBEK.  Benar!

---

MAT.  Saya mengerti, dari kedua sisi, itu sulit.

Tetapi semakin lama Anda meninggalkannya, semakin sulit untuk berubah.

Mengatur hal-hal ini dengan, "Saya akan menggunakan versi ini dan kemudian saya akan mengatur-dan-melupakan"?

Tidak!

Anda harus melihat basis kode Anda, dan untuk mengetahui apa yang ada di basis kode Anda, dan berkata, “Saya mengandalkan pustaka ini; Saya mengandalkan utilitas ini,” dan seterusnya.

Dan Anda harus mengatakan, "Anda perlu menyadari bahwa semua hal itu dapat berubah, dan menghadapinya."

---

BEBEK.  Jadi sepertinya Anda mengatakan bahwa apakah undang-undang mulai memberi tahu vendor perangkat lunak bahwa mereka harus menyediakan Software Bill of Materials (sebuah SBOM, seperti yang Anda sebutkan sebelumnya), atau tidak…

… Anda benar-benar perlu mempertahankan hal seperti itu di dalam organisasi Anda, hanya agar Anda dapat mengukur posisi Anda di pijakan keamanan siber.

---

MAT.  Anda tidak bisa reaktif tentang hal-hal itu.

Tidak ada gunanya mengatakan, “Kerentanan yang tersebar di seluruh pers sebulan yang lalu? Kami sekarang telah menyimpulkan bahwa kami aman.”

[TERTAWA] Itu tidak baik! [LEBIH TERTAWA]

Kenyataannya adalah bahwa setiap orang akan terkena perebutan gila-gilaan ini untuk memperbaiki kerentanan.

Ada beberapa yang besar di cakrawala, berpotensi, dengan hal-hal seperti enkripsi.

Suatu hari, NIST mungkin mengumumkan, "Kami tidak lagi mempercayai apa pun yang berkaitan dengan RSA."

Dan semua orang akan berada di kapal yang sama; semua orang harus berebut untuk mengimplementasikan kriptografi baru yang aman-kuantum.

Pada titik itu, pertanyaannya adalah, "Seberapa cepat Anda bisa memperbaikinya?"

Semua orang akan melakukan hal yang sama.

Jika Anda siap untuk itu; jika Anda tahu apa yang harus dilakukan; jika Anda memiliki pemahaman yang baik tentang infrastruktur dan kode Anda…

… jika Anda bisa keluar di depan kelompok dan berkata, "Kami melakukannya dalam hitungan hari, bukan minggu"?

Itu keuntungan komersial, serta menjadi hal yang benar untuk dilakukan.

---

BEBEK.  Jadi, izinkan saya meringkas tiga Tips Teratas Anda menjadi apa yang menurut saya menjadi empat, dan lihat apakah saya melakukannya dengan benar.

Tip 1 sudah tua Menambal lebih awal; sering menambal.

Menunggu dua bulan, seperti yang dilakukan orang-orang di masa Wannacry… itu tidak memuaskan enam tahun lalu, dan itu pasti jauh, terlalu lama di tahun 2023.

Bahkan dua minggu terlalu lama; Anda perlu berpikir, "Jika saya perlu melakukan ini dalam dua hari, bagaimana saya bisa melakukannya?"

Tip 2 adalah Memantau, atau dalam kata-kata klise saya, "Selalu ukur, jangan pernah berasumsi."

Dengan begitu Anda dapat memastikan bahwa tambalan yang seharusnya ada benar-benar ada, dan agar Anda benar-benar dapat mengetahui tentang "server di lemari di bawah tangga" yang dilupakan seseorang.

Tip 3 adalah Bunuh / Bunuh, artinya Anda membangun budaya di mana Anda dapat membuang produk yang tidak lagi sesuai dengan tujuannya.

Dan semacam tambahan Tip 4 adalah Jadilah gesit, sehingga saat momen Kill/Cull itu tiba, Anda sebenarnya bisa melakukannya lebih cepat daripada orang lain.

Karena itu bagus untuk pelanggan Anda, dan itu juga menempatkan Anda (seperti yang Anda katakan) pada keuntungan komersial.

Apakah itu benar?

---

MAT.  Kedengarannya seperti itu!

---

BEBEK.  [MENANG] Empat hal sederhana yang harus dilakukan sore ini. [TAWA]

---

MAT.  Ya! [LEBIH TERTAWA]

---

BEBEK.  Seperti cybersecurity pada umumnya, itu adalah perjalanan, bukan, bukan tujuan?

---

MAT.  Iya nih!

Dan jangan biarkan "terbaik" menjadi musuh "lebih baik". (Atau "baik".)

Begitu…

Tambalan

Pantau.

Membunuh. (Atau Menyisihkan.)

Dan: Bersikaplah gesit… bersiaplah untuk perubahan.

---

BEBEK.  Matt, itu cara yang bagus untuk menyelesaikannya.

Terima kasih banyak telah melangkah ke mikrofon dalam waktu singkat.

Seperti biasa, untuk pendengar kami, jika Anda memiliki komentar, Anda dapat meninggalkannya di situs Keamanan Telanjang, atau hubungi kami di media sosial: @nakedsecurity.

Sekarang tinggal saya yang mengatakan, seperti biasa: Sampai lain kali…

---

KEDUA.  Tetap aman!

[MODEM MUSIK]