Nitin Natarajan הוא סגן המנהל של CISA (הסוכנות לאבטחת סייבר ותשתיות), ובעלת ניסיון רב בתחום אבטחת הסייבר, כולל פיקוח על תשתיות קריטיות עבור המועצה לביטחון לאומי של ארה"ב ומשרד הבריאות ושירותי האנוש האמריקאי.
בדיון זה עם השותף הכללי של a16z ג'ואל דה לה גרזה (שהיה בעבר קצין אבטחה ראשי ב-Box, והוביל צוותי אבטחה במוסדות פיננסיים רבים), נטרג'אן מסביר מדוע נוף איומי אבטחת הסייבר המתפתח מאלץ ארגונים בכל הגדלים - כמו גם אנשים - כדי להיות יותר מביני סייבר. הוא מכסה גם מספר נושאים אחרים, כולל כיצד התעשייה והממשלה יכולים לעבוד יחד בצורה הטובה ביותר כדי לשתף מידע ולשמור על כולם מוגנים.
זוהי גרסה ערוכה של דיון חי שהתקיים במאי. אתה יכול האזינו לדיון כולו בצורת פודקאסט כאן.
ג'ואל דה לה גרזה: איך אתה, ואיך CISA, חושב על תעדוף איומים? זה נראה כמו מפתח לכל מה שאתה מנסה לעשות.
NITIN NATARAJAN: כשאנחנו מסתכלים על סדר עדיפויות, זה מסתכם בהבנה באמת מה הם הסיכונים המערכתיים האלה. כיצד אנו מסוגלים לעזור לספר את הסיפור של ניתוח השפעה מדורג, כך שאנשים יוכלו לקבל את ההחלטות היכן להשקיע ומאילו סיכונים להשקיע בהגנה?
או, איך אנחנו מסתכלים על סיכון בתור שרפרף בעל שלוש רגליים? אני חושב שאנחנו מבלים הרבה זמן בדיבור על זיהוי סיכונים. אנו מבלים זמן רב בדיבור על הפחתת סיכונים. אנחנו שוכחים את הרגל השלישית, שבעיני היא זו כל סיכון שאנו מזהים ואיננו מפחיתים, אנו מקבלים. ואנחנו תמיד מקבלים איזה סיכון. כלומר, נסעתי לכאן. עליתי על הבמה. לקחתי סיכון כשבאתי לכאן. אקח סיכון בכך שאעזוב ואולי אפול.
אבל איך נוודא שהעיניים שלנו פקוחות לרווחה למה שאנחנו מקבלים? ואיך אנחנו מבינים את נוף הסיכון הזה ומשתמשים בו כדי להניע את סדר העדיפויות שלנו? ואז איך אנחנו מסתכלים על זה על פני 16 מגזרים קריטיים שנמצאים ברמות שונות של בגרות?
לתעשיות כמו המגזר הפיננסי הייתה החזר השקעה שניתן לכמת מהשקעה באבטחת סייבר, אבל יש לנו מגזרים אחרים שלא השקיעו כל כך הרבה זמן או הרבה בתחום הזה. אנחנו רוצים להיות מסוגלים להתמודד עם סיכונים בצורה שמכירה בכך שאנשים נמצאים במקומות שונים, וזה מדבר לתאגידים רב לאומיים גדולים וגם לעסקים קטנים. כשאנחנו מסתכלים על סיכוני שרשרת האספקה, הרבה מהסיכון הזה לא נמצא בתאגידים רב לאומיים גדולים, אלא בעסק הקטן שיוצר את החתיכה הקטנה האחת, הווידג'ט האחד הזה שהוא קריטי.
אז תעדוף עבורנו הוא אתגר מכיוון שאנו מסתכלים על פני תעשיות שלמות - אנכית ואופקית. אבל מה שאנחנו רוצים לנסות ולעשות זה להבין באמת מהו הסיכון המערכתי הזה.
התקשורת ותעשיית האבטחה נוטות לדבר תמיד על אותם איומים. מה הם כמה דברים שחשובים לך, שאנחנו לא שומעים עליהם כל יום?
אני חושב שהאיום הגדול ביותר הוא שאננות. דיברו שם הרבה על מי היריב ואיך נראה היריב. ואיך אנחנו מתעסקים? אבל מה שאני באמת מודאג לגביו זה לגרום לאנשים להבין באמת את הפוטנציאל שהם יכולים להיות קורבן, וכיצד הם תופסים את האיום שלהם.
דברים כמו פריצת צינור קולוניאלי ותקריות אחרות עזרו לזה, שבהם אנשים חשבו בעבר, "אני לא יכול להיות קורבן. אף אחד לא ירדוף אחרי: אני עסק קטן, או שאני אזור שיפוט כפרי קטן, או אני בית ספר, ומה יש לך. הם לא דואגים לי. הם מודאגים לגבי ערי ניו יורק בעולם, הם מודאגים לגבי תאגידים רב לאומיים גדולים". אני חושב שמה שאנחנו רואים זה שאנשים מסוגלים לראות שהאיום אמיתי עבורם.
היה לנו תקרית עם מחוז בית ספר קטן שהיה קורבן של תוכנות כופר. הם התקשרו למספר ואמרו: "אין לנו כסף. אנחנו רק מחוז בית הספר הקטן הזה. אתה לא מבין." והתוקפים אמרו, "לא, אנחנו יודעים כמה כסף יש לך".
איך אתה חושב על לשבור חלק מהקהות הזו או מהשאננות הזו בצד של הציבור הרחב?
אני חושב שזה חינוך. זה גורם לצרכן לשאול שאלות. אז אם אתה הולך לבנק, למשל, האם הבנק משתמש באימות רב-גורמי? אתה רוצה לחפש את סוגי היכולות האלה, כמו גם מה המוסד הזה עושה למידע האישי שלך ולמשאבים שלך, ומה הערך שם.
אני חושב לגרום לאנשים להבין אפילו דברים כמו אינטרנט של דברים, ושאנחנו מכניסים הרבה יותר נקודות תורפה לעולם, זה חשוב. כלומר, יש לנו מקררים המחוברים לאינטרנט. אני לא נגד. אני לא יודע מה זה עושה אחרת מהמקרר שלי. אבל כל הדברים האלה מביאים נקודות תורפה חדשות.
לפני כמה ימים אמרתי למישהו בצחוק שאשמח לחזור לישן שלי מוטורולה StarTAC ימים. הבאנו הרבה יכולות וטכנולוגיה למכשירים הניידים שלנו. אבל עם זה, הבאנו סיכון. ואני חושב שלא הקדשנו מספיק זמן לדבר על הסיכון, כי אנחנו מדברים על גודל הפיקסלים והיכולת לשחק משחקים.
אני חושב שאנחנו צריכים גם לחנך את הדור הבא. אפשר לטעון, אני אבוד. אני מאמין במה שאני מאמין, אתה יודע, ואיך אתה משנה את דעתי? אבל אני מסתכל על הילדים שלי שיוצאים מבית הספר התיכון, ואנשים אומרים, "אוי, הם כל כך בעל ידע בסייבר." והייתי אומר שהם לא - הייתי מציע שהם כן מתמצא בטכנולוגיה. הם השתמשו באייפד מהזמן שהם היו בני חודשיים, אבל הם עדיין מדביקים את הסיסמה על גב האייפד או על גב המקלדת שלהם.
אז אני חושב שהשווינו חוכמה טכנית עם חכמת סייבר. אנחנו צריכים לגרום להם להתמצא בתחום הסייבר. אנחנו צריכים לבנות את זה לתוך הדור הבא כדי שהם באמת יבנו את זה בחיי היומיום שלהם, הן מבחינה אישית והן מבחינה מקצועית.
האם יש איומים שאנחנו פשוט אובססיביים מדי לגביהם וכנראה מסיטים את דעתנו מהסיכון האמיתי?
אנחנו מבלים הרבה זמן בהסתכלות על הטווח הקצר. זה הטבע, זה כברירת מחדל. אנחנו מתמקדים במה שיש כאן ועכשיו, במה שלפנינו. אבל אני לא יודע אם אנחנו מבלים מספיק זמן בהסתכלות על הטווח הארוך יותר - אם אנחנו באמת, באמת מסתכלים על איך נראה חוסן בעוד 5 שנים, 10 שנים, 15 שנים. ואני חושב שזה בגלל שזה קשה. אנחנו לא יודעים איפה הטכנולוגיה עומדת להיות בעוד 5 או 10 שנים, אז קשה לאמוד היכן להתמקד. אז אנחנו מתמקדים במה שמיד עומד מולנו.
אני חושב שאנחנו צריכים להשקיע יותר זמן בחוסן לטווח ארוך הזה, כי זה ייקח זמן לבנות אותו. כשאני מסתכל על פתרונות ארגוניים, או בממשל, הרבה מהסוגים האלה הם מאמצים רב-שנתיים. ולעתים קרובות, לפחות בתהליך הרכישה הממשלתית, עד שקבענו את ההיקף שלנו וביצענו את הרכישה, זה כבר מיושן. ואנחנו פשוט מתחילים את המחזור מחדש.
הדבר הגדול ביותר הוא לעסוק איתנו. יש לנו קשרים מצוינים עם השותפים שאנו יודעים. הדאגה הכי גדולה שלי היא שיש לנו הרבה שותפים לא יודע.
בואו נדבר על המצב עם רוסיה ואוקראינה. אחד הדברים שהיו מאוד מעניינים כצופה פסיבי הוא שלא היה לנו את אותו הכאוס שהיה לנו בעבר - NotPetya והדברים האלה שנועדו ופותחו כדי לשבש את אוקראינה אבל יצאו ושיבשו את המסחר העולמי. נראה שבאיטרציה הזו, נגרם הרבה פחות נזק נלווה.
האם זה בגלל שרק עלינו רמה ואנחנו עושים הרבה? האם זו העבודה של הממשלה לנהוג בתקנים ולהודיע לאנשים? כי קיבלנו את מגן למעלה הודעה שהרבה מהדירקטורים שאני נמצא בהם, והאנשים שאיתם אני עובד, לקחו ברצינות רבה.
אני חושב שזה השתנה מכמה צדדים. בהחלט היו שינויים עם היריב וחלק מהגישות שם. אני חושב שבהחלט יש שינויים מהצד הממשלתי והעבודה שעשינו במשך כמה שנים כדי באמת להעלות את הרף. הרבה מזה נובע משיתוף פעולה עם התעשייה, והרבה מהסוגים האלה של דברים שעזרו לתעשייה להיות עמידה יותר. אני חושב שאנשים מאמינים באבטחת סייבר יותר ממה שהם האמינו לפני מספר שנים. וכך, כל הדברים האלה ביחד הביאו אותנו למקום טוב.
הייתי בתחום בריאות הציבור במשך זמן מה, ואנחנו נלחמים במגיפות כבר הרבה זמן. זה לא חדש לנו. ונלחמנו במגיפות, אני זוכר כאשר H1N1 - מה שחשבנו שהוא מגיפה - פגע. מעט ידענו. ואתה יודע, מה שבעצם אמרנו אז זה שלא נוכל ללכת לעבודה מרחוק או לעבודה מרחוק כי מערכות ה-IT לא יכלו להתמודד עם זה. ובכן, מהר קדימה 12 שנים והצלחנו. הגענו לזה לא רק בגלל המעבר לענן - הרבה דברים הובילו אותנו למקום שבו אנחנו נמצאים היום.
אז אני חושב שכשאנחנו מסתכלים על NotPetya לעומת עכשיו, חלק מזה הוא בעצם גם שינויים בצד היריב, שינויים בצד שלנו וגם שינויים בזוגיות ובמערכת היחסים. Shields Up היא דוגמה מצוינת שבה אנו מסוגלים להישען קדימה ולחלוק הרבה יותר מידע עם שותפים בתעשייה, הן ברמה המסווגת והן ברמה הלא מסווגת. איך אנחנו משיגים מידע שם? איך נגרום לאנשים לסמוך על המידע שאנחנו מוציאים שם?
המטרה שלנו בסופו של יום היא לא להוציא כל מסמך מסווג לכולם או לקבל את כולם בסיווג ביטחוני. לעולם לא נקבל את המידע הזה בזמן. זה מוציא את המידע החוצה בצורה שאנשים באמת יכולים להשתמש בו. במהלך השנים, פיתחתי סוג של מנטרה על שיתוף מידע. מבחינתי זה: כיצד נביא את המידע הנכון לאנשים הנכונים בזמן שיביא לכך מיודע יותר קבלת החלטות. אז למרות שההחלטה זהה, לפחות היא מושכלת יותר.
אז כשהסתכלנו על האירוע הזה, ומה שראינו, היו לנו את המנגנונים להוציא מידע. היו לנו אנשים שהאמינו באיכות המידע שיצא. אני גם חושב שיש ערך בלהישען קדימה ולומר שאין לנו הרבה מידע. וראינו כמה דברים באמת ייחודיים. היה לנו מידע רב שהצלחנו להגיע מהמרחב המסווג אל הפודיום די מהר - בזמן שיא, במקרים מסוימים - ובאמת יכולנו להשתמש בו כדי להניע את קבלת ההחלטות של אנשים לגבי הפעולות שהם צריכים לנקוט. אז אני חושב שזו הייתה תגובה חזקה ויעילה.
אבל הכל קשור לשיתוף הפעולה והשותפות, כי לא רק אנחנו מוציאים מידע אם לא ניתן לנצל אותו. ועד שנוכל לקבל את המשוב ובאמת לבנות את המערכות האלה בצורה שתאפשר לנו לעבוד ביחד, אנחנו לא משנים את זה לאומי נוף בזמן שאנו מסתכלים על תשתית קריטית.
אני מסתכל על הילדים שלי שיוצאים מבית הספר התיכון, ואנשים אומרים, "אוי, הם כל כך בעל ידע בסייבר." והייתי אומר שהם לא - הייתי מציע שהם כן מתמצא בטכנולוגיה. הם השתמשו באייפד מהזמן שהם היו בני חודשיים, אבל הם עדיין מדביקים את הסיסמה על גב האייפד או על גב המקלדת שלהם.
אשמח לקבל את דעתך על תוכנת כופר. הממשל נהיה מאוד רציני לגבי זה. ובמקרה זה מתרכז בעיקר באזורים שנלחמים עכשיו זה עם זה. אני סקרן לגבי הגישה שלך להתמודדות עם תוכנות כופר ואיך אתה אולי משפיל חלק מזה. כי זה נראה כאילו זה השתפר...
אני אכין את התקע שלי עבור אתר תוכנת הכופר שלנו, שם ניסינו לחבר הכל באתר מרכזי כדי להוציא את המידע החוצה. אבל אני חושב שהרבה מסתכם בחינוך. זה ללמד אנשים שאתה לא הולך לקבל מיליון דולר באימייל - אתה הולך לקבל צ'ק גדול, מישהו יבוא לדלת שלך ויצלצל בפעמון. אני חושב שזה מסתכם לתת לאנשים להבין מי הם הקורבנות הפוטנציאליים.
היה לנו תקרית עם מחוז בית ספר קטן שהיה קורבן של תוכנות כופר. הם התקשרו למספר ואמרו: "אין לנו כסף. אנחנו רק מחוז בית הספר הקטן הזה. אתה לא מבין."
והתוקפים אמרו, "לא, אנחנו יודעים כמה כסף יש לך. יש לנו את דפי חשבון הבנק שלך. אנחנו יודעים כמה יש לך. ואנחנו יודעים כמה אתה יכול לשלם ומה שאנחנו מבקשים ממך די תואם את הסכום שיש לך בבנק. אז אנחנו לא לוקחים הכל, אנחנו משאירים קצת משהו. אבל, באמת, זה מה שאנחנו רוצים".
ומחוז בית הספר אמר, "טוב, אתה רוצה ביטקוין. אני לא יודע איך לעשות את זה."
"יש לנו דלפק עזרה. יש לנו דלפקי עזרה ב-14 שפות שונות שיכולים לעזור לך להשיג ביטקוין. אז איך נוכל לעזור לך?"
אז אני חושב שעם תוכנת כופר אנחנו צריכים לתת לאנשים להבין את הפגיעויות, הסיכונים, מי המטרות שיכולות להיות, ו הפעולות שיש לנקוט [ראה ייעוץ משותף של CISA 2021 Trends Ransomware]. וההשפעה הכספית. עם התקפות כופר ועם סוגים אחרים של דברים שאנחנו רואים, אנשים כן בנפרד משתמשים. אבל אני גם חושב שאנשים מתחילים לשים לב. אני חושב שאנשים מתחילים לא ללחוץ על הכל.
I do לדאוג מדברים כמו מגיפות וסוגי דברים שבהם יש לנו פוטנציאל הזדמנויות מוגבר. או מישהו שיש לו 300 אימיילים בתיבת הדואר הנכנס שלו ורק צריך לעבור אותם, שנופל קורבן לדברים מהסוג הזה. ולכן אנחנו צריכים להמשיך בלחץ. אנחנו צריכים להמשיך את ההודעות.
ואנחנו צריכים לגרום גם לדור הצעיר להבין זאת. כי עשיתי את הטעות כשעיינתי בתיבת הדואר הנכנס של התיכון שלי. ואני לא יודע אם הם קוראים את המיילים שלהם, או מה. אני לא יודע מה יש להם... יש מאות - מאות - של מיילים. אני אפילו לא יודע מאיפה הם או איך הם השיגו אותם. איך נחנך את הדור הבא להיות במקום טוב יותר?
המטרה שלנו בסופו של יום היא לא להוציא כל מסמך מסווג לכולם או לקבל את כולם בסיווג ביטחוני. . . . מבחינתי, זה: איך נביא את המידע הנכון לאנשים הנכונים בזמן שיביא לתוצאה מיודע יותר קבלת החלטות.
זה יהיה נהדר להבין איך אנחנו יכולים, במגזר הפרטי, לתקשר טוב יותר עם הממשלה ולעזור לשפר את המצב. כי זה אחד מהעניינים של ספורט קבוצתי, שבו כולנו מפסידים ביחד אם לא ננצח.
אני חושב שהדבר הגדול ביותר הוא העיסוק בנו. יש לנו קשרים מצוינים עם השותפים שאנו יודעים. הדאגה הכי גדולה שלי היא שיש לנו הרבה שותפים לא יודע. אנחנו לא יודעים איפה הם, או איך להגיע לשם. CISA הוא ארגון צומח - יש לנו כוח שטח ברחבי המדינה של כ-500 אנשים, ואנחנו צריכים להמשיך להצמיח את זה - אבל אפילו 500 אנשים הם טיפה בדלי. לכן, אנחנו צריכים לדעת איך לעסוק ועם מי לתקשר. וזה המקום שבו אני חושב שהתעשייה יכולה לעזור, כי יש הרבה יותר הזדמנויות למעורבות בתעשייה כדי להתחבר לשותפים הנכונים האלה שיכולים לעזור לנו להעלות את רף החוסן הזה.
ואז לשמור אותנו כנים. שמור אותנו כנים וחנך אותנו. אתה יודע, אנחנו באמת מנסים להישען קדימה בהרבה מההתקשרויות שלנו, כי אני חושב שבעבר היה הרבה פחד לגבי האופן שבו אנחנו עוסקים בתעשייה: "מה אנחנו יכולים לעשות?" "מה אנחנו יכולים להגיד?" "מה אנחנו לא יכולים להגיד?"
בנינו עכשיו צוות ב-CISA שהוא באמת נוטה קדימה במקום שבו אנחנו לא מפחדים מהמעורבות הזו. כן, יש קווים, אבל יש לנו הרבה קווי רוחב בתוך הקווים האלה. אנחנו באמת מנסים להישאר בתוך מעקות הבטיחות האלה - אנחנו לא רוצים להתרסק ולרדת מהצוק - אבל כל עוד אנחנו נשארים בתוך מעקות הבטיחות האלה, אנחנו בסדר.
אז אני חושב שהדבר הגדול ביותר הוא לספר לנו מה שאנחנו לא יודעים. ואני יודע שיש הרבה שאנחנו לא יודעים. אבל לעזור לנו ללמד אותנו מה הם, לעזור לנו להישאר אחראים על מה שאנחנו עושים או לא עושים, אני באמת חושב שזה יעזור לנו להתקדם ולעשות את הקפיצות המשמעותיות שאנחנו צריכים לעשות.
פורסם ב -4 ביולי 2022
טכנולוגיה, חדשנות ועתיד, כפי שסיפרו הבונים אותו.
תודה על ההרשמה.
בדוק בתיבת הדואר הנכנס שלך לקבלת הערת קבלת פנים.
הצפיות המובעות ב"פוסטים" (כולל מאמרים, פודקאסטים, סרטונים ומדיה חברתית) הן אלה של האנשים המצוטטים בהם ואינן בהכרח הדעות של AH Capital Management, LLC ("a16z") או החברות המסונפות שלה בהתאמה. מידע מסוים הכלול כאן התקבל ממקורות צד שלישי, כולל מחברות פורטפוליו של קרנות המנוהלות על ידי a16z. למרות שנלקחה ממקורות האמינים כאמינים, a16z לא אימתה מידע כזה באופן עצמאי ואינה מציגה מצגים לגבי הדיוק המתמשך של המידע או התאמתו למצב נתון.
תוכן זה מסופק למטרות מידע בלבד, ואין להסתמך עליו כייעוץ משפטי, עסקי, השקעות או מס. עליך להתייעץ עם היועצים שלך באשר לעניינים אלה. הפניות לניירות ערך או לנכסים דיגיטליים כלשהם נועדו למטרות המחשה בלבד, ואינן מהוות המלצת השקעה או הצעה לספק שירותי ייעוץ השקעות. יתר על כן, תוכן זה אינו מכוון ואינו מיועד לשימוש על ידי משקיעים או משקיעים פוטנציאליים כלשהם, ואין להסתמך עליו בשום פנים ואופן בעת קבלת החלטה להשקיע בקרן כלשהי המנוהלת על ידי a16z. (הצעה להשקעה בקרן a16z תתבצע רק על ידי מזכר ההנפקה הפרטית, הסכם המנוי ותיעוד רלוונטי אחר של כל קרן כזו ויש לקרוא אותה במלואה). המתוארים אינם מייצגים את כל ההשקעות בכלי רכב המנוהלים על ידי a16z, ואין כל ודאות שההשקעות יהיו רווחיות או שלהשקעות אחרות שיבוצעו בעתיד יהיו מאפיינים או תוצאות דומות. רשימה של השקעות שבוצעו על ידי קרנות המנוהלות על ידי אנדריסן הורוביץ (למעט השקעות שעבורן המנפיק לא נתן אישור ל-a16z לחשוף לציבור וכן השקעות בלתי מוקדמות בנכסים דיגיטליים הנסחרים בבורסה) זמינה בכתובת https://a16z.com/investments/.
תרשימים ותרשימים המסופקים בתוכם מיועדים למטרות מידע בלבד ואין להסתמך עליהם בעת קבלת החלטת השקעה כלשהי. ביצועי העבר אינם מעידים על תוצאות עתידיות. התוכן מדבר רק נכון לתאריך המצוין. כל תחזיות, הערכות, תחזיות, יעדים, סיכויים ו / או דעות המובעים בחומרים אלה עשויים להשתנות ללא הודעה מוקדמת ועשויים להיות שונים או מנוגדים לדעות שהביעו אחרים. בבקשה תראה https://a16z.com/disclosures למידע חשוב נוסף.
