ランサムウェア、サイバー知識、および官民のセキュリティ接続

NitinNatarajanはの副所長です CISA (サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー）、および米国国家安全保障会議および米国保健社会福祉省の重要なインフラストラクチャの監督を含む、サイバーセキュリティ分野での豊富な経験があります。 

ナタラジャンは、a16zのジェネラルパートナーであるJoel de la Garza（以前はBoxの最高セキュリティ責任者であり、多くの金融機関のセキュリティチームを率いてきました）とのこのディスカッションで、進化するサイバーセキュリティの脅威の状況があらゆる規模の組織を強制している理由を説明します。個人—よりサイバーに精通するようになります。 彼は、業界と政府が情報を共有し、すべての人を保護するためにどのように最善の協力をすることができるかなど、他の多くのトピックもカバーしています。

これは、XNUMX月に行われたライブディスカッションの編集バージョンです。 あなたはできる ここでポッドキャスト形式でディスカッション全体を聞く.

---

JOEL DE LA GARZA： 脅威の優先順位付けについて、どのように、そしてCISAはどのように考えていますか？ それはあなたがやろうとしているすべての鍵のようです。

NITIN NATARAJAN： 優先順位付けを見ると、これらのシステミックリスクが何であるかを実際に理解することになります。 カスケード影響分析のストーリーをどのように伝えて、人々がどこに投資し、どのようなリスクから保護するかを決定できるようにするにはどうすればよいでしょうか。 

または、XNUMX本足のスツールとしてリスクをどのように見ていますか？ 私たちはリスクの特定について話すことに多くの時間を費やしていると思います。 私たちはリスク軽減について話すことに多くの時間を費やしています。 私にとってはそれであるその第XNUMXの足を忘れます 私たちが特定し、軽減しないすべてのリスクを受け入れています。 そして、私たちは常にある程度のリスクを受け入れます。 つまり、私はここまで車で行きました。 ステージに上がった。 私はここに来ることで危険を冒しました。 私は立ち去り、おそらく転倒することでリスクを冒します。

しかし、私たちが受け入れているものに対して私たちの目が広く開かれていることをどのように確認するのでしょうか？ そして、そのリスクの状況をどのように理解し、それを使用して優先順位を決定するのでしょうか。 そして、さまざまな成熟度にある16の重要なセクターにわたってこれをどのように見るのでしょうか。

金融セクターのような業界は、サイバーセキュリティへの投資から定量化可能な投資収益率を持っていますが、その分野にそれほど長くまたは多くの投資をしていない他のセクターがあります。 私たちは、人々がさまざまな場所にいることを認め、大規模な多国籍企業や中小企業に話しかける方法でリスクに対処できるようにしたいと考えています。 サプライチェーンのリスクを見ると、そのリスクの多くは大規模な多国籍企業にあるのではなく、そのXNUMXつの小さなピース、つまり重要なXNUMXつのウィジェットを作成している中小企業にあります。

したがって、業界全体（垂直方向と水平方向）を対象としているため、優先順位付けは課題です。 しかし、私たちが試したいのは、そのシステミックリスクが何であるかを本当に理解することです。

メディアとセキュリティ業界は常に同じ脅威について話す傾向があります。 私たちが毎日聞いていない、あなたにとって頭に浮かぶことは何ですか？

最大の脅威は自己満足だと思います。 敵が誰であるか、そして敵がどのように見えるかについて、そこには多くの話がありました。 そして、どのように関与しますか？ しかし、私が本当に心配しているのは、被害者になる可能性と、脅威を自分たちのものであると人々がどのように認識しているかを人々に本当に理解してもらうことです。

のようなもの 植民地時代のパイプラインハック そして他の事件はそれを助けました、人々が過去に考えたところで、「私は犠牲者になることはできません。 私は中小企業であるか、地方の小さな管轄区域であるか、学校であるか、そしてあなたは何を持っていますか。 彼らは私を心配していません。 彼らは世界のニューヨークの都市を心配しており、大規模な多国籍企業を心配しています。」 私たちが見ているのは、脅威が自分たちにとって現実のものであることが人々にわかるということだと思います。 

ランサムウェアの被害者である小さな学区で事件が発生しました。 彼らはその番号に電話して言った、「私たちはお金がありません。 私たちはこの小さな学区です。 分かりません。」 そして、攻撃者は「いいえ、私たちはあなたがどれだけのお金を持っているか知っています」と言いました。

一般大衆の側のしびれや自己満足のいずれかを分解することについてどう思いますか？

教育だと思います。 消費者に質問をさせています。 たとえば、銀行に行く場合、銀行は多要素認証を使用していますか？ あなたは、それらのタイプの機能、およびその機関があなたの個人情報とあなたのリソースに対して何をするか、そしてそこでの価値は何かを探したいと思っています。

のようなことでも人々に理解してもらうと思います モノのインターネット、そして私たちが世界にもっと多くの脆弱性を導入していることは重要です。 つまり、インターネットに接続された冷蔵庫があります。 私はそれに反対していません。 冷蔵庫と何が違うのかわかりません。 しかし、これらすべてが新たな脆弱性をもたらしています。 

先日、冗談めかして昔に戻りたいと言った モトローラ StarTAC 日々。 モバイルデバイスに多くの機能とテクノロジーを導入しました。 しかし、それで、私たちはリスクをもたらしました。 そして、私たちはピクセルサイズとゲームをプレイする能力について話しているので、リスクについて話すのに十分な時間を費やしたとは思いません。

次世代の教育も必要だと思います。 間違いなく、私は迷子になっています。 私は私が信じていることを信じています、あなたは知っています、そしてあなたは私の心をどのように変えますか？ でも高校を卒業する子供たちを見ると、「ああ、そうだね。 サイバーに精通している。」 そして、私は彼らがそうではないと言うでしょう—私は彼らがそうであることを提供します ハイテクに精通。 彼らはXNUMXか月前からiPadを使用してきましたが、それでもパスワードをiPadの背面またはキーボードの背面にテープで貼り付けています。

だから、私たちは同一視したと思います 技術の知識 　 サイバー知識。 それらをサイバーに精通させる必要があります。 私たちは、彼らが個人的にも職業的にもそれを彼らの日常生活に真に組み込むために、それをその次世代に組み込む必要があります。

私たちがあまりにも夢中になっていて、おそらく本当のリスクから私たちをそらす脅威はありますか？

私たちは短期的な見方に多くの時間を費やしています。 それは自然であり、デフォルトです。 私たちは今ここにあるもの、目の前にあるものに焦点を合わせています。 しかし、私たちが長期的に見て十分な時間を費やしているかどうかはわかりません。実際に、5年、10年、15年でレジリエンスがどのように見えるかを本当に見ているのであれば。 難しいからだと思います。 5年後または10年後にテクノロジーがどこに行くのかわからないため、どこに焦点を合わせるかを判断するのは困難です。 ですから、私たちはすぐに直面していることに焦点を合わせます。

長期的なレジリエンスの構築には時間がかかるため、より多くの時間を費やす必要があると思います。 私がエンタープライズソリューション、または政府で見るとき、それらのタイプのものの多くは複数年にわたる努力です。 そして、多くの場合、少なくとも政府の買収プロセスでは、スコープを設定して買収を完了するまでに、すでに時代遅れになっています。 そして、サイクルを再開します。

最大のことは私たちと関わることです。 私たちはパートナーと素晴らしい関係を築いています 私たちが知っていること。 私の最大の懸念は、私たちのパートナーがたくさんいることです 知らない.

ロシアとウクライナの状況について話しましょう。 パッシブオブザーバーとして非常に興味深いことのXNUMXつは、過去と同じ混乱がなかったことです。 NotPetya そして、ウクライナを混乱させるために設計され開発されたが、世界の商取引を混乱させたこれらのもの。 この反復では、巻き添え被害が大幅に減少したようです。 

レベルアップしたばかりで、たくさんやっているからですか？ それは、基準を推進し、人々に知らせる政府の仕事ですか？ 私たちが得たので シールドアップ 私が参加しているボードの多く、そして私が一緒に仕事をしている人々が非常に真剣に受け止めているという発表。 

これは多面的に変わったと思います。 敵とそこへのアプローチのいくつかには間違いなく変化がありました。 政府側からは間違いなく変化があり、実際に水準を上げるために私たちが数年にわたって行ってきた作業はあると思います。 その多くは業界とのコラボレーションによるものであり、業界の回復力を高めるのに役立ったこれらのタイプの多くのものです。 人々は数年前よりもサイバーセキュリティを信じていると思います。 そして、そういうわけで、それらすべてが一緒になって私たちは良い場所にたどり着きました。

私はしばらくの間公衆衛生の場にいました、そして私達は長い間パンデミックと戦ってきました。 これは私たちにとって目新しいことではありません。 そして、私たちはパンデミックと戦っていました。H1N1（私たちがパンデミックだと思っていたもの）が襲ったときのことを覚えています。 私たちはほとんど知りませんでした。 そして、ご存知のとおり、当時私たちが実際に言ったことは、ITシステムがそれを処理できなかったため、完全なリモートワークまたはテレワークの姿勢に進むことができなかったということでした。 さて、12年早送りして、私たちはそれをやってのけました。 クラウドへの移行だけでなく、多くのことが今日の私たちを導いてくれました。

ですから、NotPetyaと現在を比較すると、その一部は、実際には、敵側の変化、私たちの側の変化、そしてパートナーシップと関係の変化の両方であると思います。 Shields Upは、分類されたレベルと分類されていないレベルの両方で、業界のパートナーと前向きになり、より多くの情報を共有できる優れた例です。 どうやって情報を入手するのですか？ 私たちが出した情報を人々に信頼させるにはどうすればよいでしょうか。

一日の終わりに私たちの目標は、すべての機密文書をすべての人に配布したり、セキュリティクリアランスですべての人をクリアしたりすることではありません。 その情報をタイムリーに入手することは決してありません。 それは人々が実際にそれを利用できる方法でそこに情報を手に入れています。 何年にもわたって、私は情報共有に関する一種のマントラを開発してきました。 私にとって、それは： 適切な情報を適切な人々にタイムリーに提供するには、どうすればよいでしょうか。 より多くの情報 意思決定。 したがって、決定は同じですが、少なくともそれはよりよく知らされています。

そして、このイベントと私たちが見たものを見たとき、私たちはそこに情報を得るメカニズムを持っていました。 出てくる情報の質を信じてもらう人がいました。 また、前かがみになって情報が少ないと言うことにも価値があると思います。 そして、私たちはいくつかの本当にユニークなものを見ました。 機密扱いのスペースから表彰台に非常に迅速に（場合によっては記録的な速さで）取得できた多くの情報があり、それを使用して、人々がどのような行動を取るべきかについての意思決定を促進することができました。 ですから、これは強力で効果的な対応だったと思います。

しかし、それはコラボレーションとパートナーシップがすべてです。なぜなら、情報を利用できない場合に情報を公開するのは私たちだけではないからです。 そして、フィードバックを受け取り、一緒に作業できるようにシステムを実際に構築できるようになるまで、それを変えることはありません。 国民 重要なインフラストラクチャを見ているときの風景。

高校を卒業する子供たちを見ると、「ああ、そうだね。 サイバーに精通している。」 そして、私は彼らがそうではないと言うでしょう—私は彼らがそうであることを提供します ハイテクに精通。 彼らはXNUMXか月前からiPadを使用してきましたが、それでもパスワードをiPadの背面またはキーボードの背面にテープで貼り付けています。

ランサムウェアをぜひご利用ください。 政権はそれについて非常に真剣になっています。 そして、たまたま、それは現在互いに戦っている地域に集中しているのです。 ランサムウェアに対処するためのあなたのアプローチと、おそらくその一部をどのように扇動しているのかについて興味があります。 おそらく良くなったように見えるので…

プラグを作ります 私たちのランサムウェアサイト、中央のWebサイトにすべてをまとめて、情報を入手しようとしました。 しかし、私は多くのことが教育に帰着すると思います。 それはあなたが電子メールで百万ドルを受け取らないことを人々に教育しています—あなたは大きな紙の小切手を受け取り、誰かがあなたのドアに来てベルを鳴らします。 被害者となる可能性のある人を人々に理解してもらうことが重要だと思います。

我々は持っていた ランサムウェアの被害者だった小さな学区での事件。 彼らはその番号に電話して言った、「私たちはお金がありません。 私たちはこの小さな学区です。 分かりません。」

そして、攻撃者は、「いいえ、私たちはあなたがどれだけのお金を持っているか知っています。 私たちはあなたの銀行口座の明細書を持っています。 私たちはあなたがどれだけ持っているか知っています。 そして、私たちはあなたが支払うことができる金額を知っています、そして私たちがあなたに求めているものはあなたが銀行に持っている金額にかなり釣り合っています。 だから私たちはすべてを取っているのではなく、少し何かを残しています。 しかし、実際には、これが私たちが望んでいることです。」

そして学区は、「まあ、あなたはビットコインが欲しいです。 どうすればいいのかわかりません。」 

「ヘルプデスクがあります。 ビットコインの取得に役立つ14の異なる言語のヘルプデスクがあります。 では、どのようにお手伝いできますか？」

したがって、ランサムウェアでは、脆弱性、リスク、標的となる可能性のある人物、および 取るべき行動 [CISA共同アドバイザリー2021ランサムウェアトレンドを参照]。 そして金銭的な影響。 ランサムウェア攻撃や私たちが目にしている他の種類のものでは、人々は 個人 ユーザー。 しかし、人々も注目し始めていると思います。 人々はすべてをクリックしないようになっていると思います。

I do パンデミックのようなものや、機会の可能性が高まるような種類のものについて心配してください。 または、受信トレイに300通の電子メールがあり、それらを通過する必要がある人は、これらの種類のものの犠牲になります。 そして、私たちは圧力をかけ続ける必要があります。 メッセージングを継続する必要があります。 

そして、私たちは若い世代にもこれを実現させる必要があります。 なぜなら、高校生の受信トレイを見るのを間違えたからです。 そして、彼らが彼らの電子メールを読んだかどうか、または何を読んだかはわかりません。 彼らが何をしているのかわかりません…何百、何百ものメールがあります。 彼らがどこから来たのか、どうやって彼らを手に入れたのかさえ私は知りません。 その次世代をより良い場所にいるように教育するにはどうすればよいでしょうか。

一日の終わりに私たちの目標は、すべての機密文書をすべての人に配布したり、セキュリティクリアランスですべての人をクリアしたりすることではありません。 。 。 。 私にとって、それは次のとおりです。適切な情報を適切な人々にタイムリーに提供する方法。 より多くの情報 意思決定。

民間部門において、政府との関わりを深め、物事をより良くするためにどのように役立つことができるかを理解することは素晴らしいことです。 それはこれらのチームスポーツのXNUMXつであり、勝てなければ私たち全員が一緒に負けるからです。

最大のことは私たちとの関わりだと思います。 私たちはパートナーと素晴らしい関係を築いています 私たちが知っていること。 私の最大の懸念は、私たちのパートナーがたくさんいることです 知らない。 彼らがどこにいるのか、どうやってそこに着くのかはわかりません。 CISAは成長を続ける組織であり、全国に500人ほどのフィールドフォースがあり、それを成長させ続ける必要がありますが、500人でさえもバケツになります。 ですから、私たちはどのように関与し、誰と関与するかを知る必要があります。 そして、それが業界が役立つと私が思うところです。なぜなら、業界の関与が、私たちがその回復力の水準を上げるのを助けることができる適切なパートナーとつながるためのより多くの機会があるからです。

そして、私たちを正直に保ちます。 私たちを正直に保ち、私たちを教育してください。 ご存知のように、私たちは多くの取り組みに積極的に取り組んでいます。これまで、業界との関わり方について多くの恐れがあったと思います。「私たちは何ができるでしょうか」。 「何と言えますか？」 「何が言えないの？」 

私たちはCISAにチームを作りましたが、それは本当に前向きであり、その関与を恐れることはありません。 はい、線はありますが、それらの線には多くの緯度があります。 私たちは本当にそれらのガードレール内に留まろうとしています—衝突して崖から降りたくないのです—しかし、それらのガードレール内に留まっている限り、私たちは大丈夫です。

ですから、最大のことは、私たちが知らないことを教えてくれることだと思います。 そして、私たちが知らないことがたくさんあることを私は知っています。 しかし、それらが何であるかについて私たちを教育するのを助け、私たちがしていることまたはしていないことに責任を持ち続けるのを助けることは、私たちが前進し、私たちが行う必要のある重要なジャンプをするのに役立つと本当に思います。

4年2022月XNUMX日に投稿