Ransomware, Cyber-Savviness și conexiunea de securitate public-privată

Nitin Natarajan este director adjunct al CISA (Cybersecurity and Infrastructure Security Agency) și are o experiență vastă în spațiul securității cibernetice, inclusiv în supravegherea infrastructurii critice pentru Consiliul Național de Securitate al SUA și Departamentul de Sănătate și Servicii Umane al SUA. 

În această discuție cu partenerul general a16z, Joel de la Garza (care a fost anterior ofițer de securitate la Box și a condus echipe de securitate la numeroase instituții financiare), Natarajan explică de ce peisajul evolutiv al amenințărilor de securitate cibernetică forțează organizațiile de toate dimensiunile – precum și indivizi — pentru a deveni mai cunoscători cibernetici. El acoperă, de asemenea, o serie de alte subiecte, inclusiv modul în care industria și guvernul pot colabora cel mai bine pentru a împărtăși informații și a menține toată lumea protejată.

Aceasta este o versiune editată a unei discuții live care a avut loc în mai. Poti ascultați întreaga discuție sub formă de podcast aici.

---

JOEL DE LA GARZA: Cum credeți dumneavoastră și cum crede CISA despre prioritizarea amenințărilor? Asta pare a fi o cheie a tot ceea ce încerci să faci.

NITIN NATARAJAN: Pe măsură ce ne uităm la prioritizare, se rezumă la a înțelege cu adevărat care sunt acele riscuri sistemice. Cum putem ajuta să spunem povestea analizei de impact în cascadă, astfel încât oamenii să poată lua decizii cu privire la unde să investească și la ce riscuri să investească în protecție? 

Sau, cum privim riscul ca un scaun cu trei picioare? Cred că petrecem mult timp vorbind despre identificarea riscurilor. Petrecem mult timp vorbind despre reducerea riscurilor. Uităm al treilea picior, care pentru mine este asta fiecare risc pe care îl identificăm și pe care nu îl atenuăm, îl acceptăm. Și acceptăm întotdeauna un anumit risc. Adică, am condus până aici. Am urcat pe scenă. Am riscat venind aici. Îmi voi risca plecând și, eventual, căzând.

Dar cum ne asigurăm că ochii noștri sunt larg deschiși la ceea ce acceptăm? Și cum înțelegem acest peisaj de risc și cum îl folosim pentru a ne determina prioritizarea? Și atunci cum privim acest lucru în 16 sectoare critice care se află la diferite niveluri de maturitate?

Industrii precum sectorul financiar au avut o rentabilitate cuantificabilă a investiției din investițiile în securitate cibernetică, dar avem alte sectoare care nu au investit atât de mult sau la fel de mult în acest domeniu. Dorim să fim capabili să abordăm riscul într-un mod care să recunoască faptul că oamenii se află în locuri diferite și care vorbește atât cu marile corporații multinaționale, cât și cu întreprinderile mici. Pe măsură ce ne uităm la riscurile lanțului de aprovizionare, o mare parte din acest risc nu rezidă în marile corporații multinaționale, ci în afacerile mici care creează acea bucată mică, acel widget care este critic.

Deci, prioritizarea pentru noi este o provocare, deoarece analizăm industrii întregi - pe verticală și pe orizontală. Dar ceea ce vrem să încercăm și să facem este să înțelegem cu adevărat care este acel risc sistemic.

Mass-media și industria de securitate tind să vorbească întotdeauna despre aceleași amenințări. Care sunt unele lucruri care sunt în primul rând pentru tine despre care nu auzim în fiecare zi?

Cred că cea mai mare amenințare este automulțumirea. S-a vorbit mult acolo despre cine este adversarul și cum arată adversarul. Și cum ne angajăm? Dar ceea ce mă îngrijorează cu adevărat este să-i fac pe oameni să înțeleagă cu adevărat potențialul ca ei să fie o victimă și modul în care percep ei amenințarea ca fiind a lor.

Lucrurile de genul Hack Colonial Pipeline și alte incidente au ajutat la asta, când oamenii s-au gândit în trecut: „Nu pot fi o victimă. Nimeni nu o să vină după mine: sunt o mică afacere, sau sunt o mică jurisdicție rurală, sau sunt o școală, și ce ai tu. Nu sunt îngrijorați pentru mine. Sunt îngrijorați de orașele din New York ale lumii, sunt îngrijorați de marile corporații multinaționale.” Cred că ceea ce vedem este că oamenii sunt capabili să vadă că amenințarea este reală pentru ei. 

Am avut un incident cu un mic district școlar care a fost victimă a unui ransomware. Au sunat la numărul și au spus: „Nu avem bani. Suntem doar acest mic district școlar. Nu înțelegi.” Iar atacatorii au spus: „Nu, știm câți bani aveți”.

Cum te gândești să distrugi o parte din această amorțeală sau acea complezență din partea publicului larg?

Cred că e educație. Îl face pe consumator să pună întrebări. Deci, dacă mergi la o bancă, de exemplu, banca folosește autentificarea cu mai mulți factori? Vrei să cauți acele tipuri de capabilități, precum și ce face instituția informațiilor tale personale și resurselor tale și care este valoarea acolo.

Cred că a face oamenii să înțeleagă chiar și lucruri precum internetul Lucrurilor, și că introducem mult mai multe vulnerabilități în lume, este important. Adică, avem frigidere conectate la internet. Nu sunt împotrivă. Nu știu ce face diferit de frigiderul meu. Dar toate aceste lucruri aduc noi vulnerabilități. 

Am spus în glumă cuiva zilele trecute că mi-ar plăcea să mă întorc la vechiul meu Motorola StarTAC zile. Am adus o mulțime de capacități și tehnologie în dispozitivele noastre mobile. Dar cu asta, am adus riscuri. Și nu cred că am petrecut suficient timp vorbind despre risc, pentru că vorbim despre dimensiunea pixelilor și capacitatea de a juca.

Cred că trebuie să educăm și generația următoare. Probabil, sunt pierdut. Cred ceea ce cred, știi, și cum mă răzgândești? Dar mă uit la copiii mei care ies de la liceu, iar oamenii spun: „Oh, sunt atât de cyber-savvy.” Și aș spune că nu sunt - aș oferi că sunt Priceput în ale tehnologiei. Au folosit iPad-uri de când aveau două luni, dar încă lipează parola pe spatele iPad-ului sau pe spatele tastaturii.

Deci, cred că ne-am echivalat pricepere tehnologică cu inteligență cibernetică. Trebuie să-i facem cunoscători în domeniul cibernetic. Trebuie să o integrăm în acea generație următoare pentru ca ei să o integreze cu adevărat în viața lor de zi cu zi, atât pe plan personal, cât și profesional.

Există amenințări de care suntem mult prea obsedați și, probabil, ne distrag atenția de la riscul real?

Petrecem mult timp privind pe termen scurt. Este natura, este implicit. Ne concentrăm pe ceea ce este aici și acum, ceea ce este în fața noastră. Dar nu știu dacă petrecem suficient timp privind pe termen mai lung – dacă ne uităm cu adevărat, cu adevărat, la cum arată reziliența peste 5 ani, 10 ani, 15 ani. Și cred că este pentru că este greu. Nu știm unde va fi tehnologia în 5 sau 10 ani, așa că este greu de evaluat unde să ne concentrăm. Așa că ne concentrăm asupra a ceea ce ne confruntă imediat.

Cred că trebuie să petrecem mai mult timp pe această rezistență pe termen mai lung, deoarece va dura timp pentru ao construi. Când mă uit la soluții de întreprindere sau la guvern, multe dintre aceste tipuri de lucruri sunt eforturi pe mai mulți ani. Și adesea, cel puțin în procesul de achiziție guvernamentală, până când ne-am stabilit domeniul de aplicare și am făcut achiziția, este deja depășită. Și începem din nou ciclul.

Cel mai mare lucru este să te implici cu noi. Avem relații grozave cu partenerii că știm. Cea mai mare îngrijorare a mea este că avem o mulțime de parteneri nu știu.

Să vorbim despre situația cu Rusia și Ucraina. Unul dintre lucrurile care a fost foarte interesant ca observator pasiv este că nu am avut același haos pe care l-am avut în trecut - NotPetya și aceste lucruri care au fost concepute și dezvoltate pentru a perturba Ucraina, dar au ieșit și au perturbat comerțul global. Se pare că, în această iterație, au fost mult mai puține daune colaterale. 

Asta pentru că tocmai am crescut nivelul și facem multe? Este munca guvernului de a conduce standardele și de a informa oamenii? Pentru că am primit Scuturi Sus anunț că multe dintre consiliile în care mă aflu și oamenii cu care lucrez au luat foarte în serios. 

Cred că acest lucru s-a schimbat din mai multe părți. Cu siguranță au fost schimbări cu adversarul și unele dintre abordările de acolo. Cred că sunt cu siguranță schimbări din partea guvernului și din munca pe care am făcut-o de-a lungul mai multor ani pentru a ridica cu adevărat ștacheta. Multe dintre acestea se datorează colaborării cu industria și multe dintre acele tipuri de lucruri care au ajutat industria să devină mai rezistentă. Cred că oamenii cred în securitate cibernetică mai mult decât în ​​urmă cu câțiva ani. Și, așadar, toate aceste lucruri împreună ne-au dus într-un loc bun.

Am fost o vreme în spațiul de sănătate publică și ne luptăm cu pandemiile de mult timp. Acest lucru nu este nou pentru noi. Și ne luptam cu pandemii, îmi amintesc când a lovit H1N1 – ceea ce credeam că este o pandemie –. Puțin știam noi. Și, știți, ceea ce am spus de fapt pe atunci a fost că nu am putea merge la o poziție completă de lucru de la distanță sau de telemuncă, deoarece sistemele IT nu puteau face față. Ei bine, înainte rapid 12 ani și am reușit. Am reușit acest lucru nu doar din cauza tranziției către cloud - o mulțime de lucruri ne-au condus acolo unde suntem astăzi.

Așa că, când ne uităm la NotPetya față de acum, o parte din aceasta este într-adevăr atât schimbări din partea adversarului, schimbări din partea noastră, cât și schimbări ale parteneriatului și relației. Shields Up este un exemplu grozav în care suntem capabili să ne înclinăm înainte și să împărtășim mult mai multe informații cu partenerii din industrie, atât la nivel clasificat, cât și la nivel neclasificat. Cum obținem informații acolo? Cum îi facem pe oameni să aibă încredere în informațiile pe care le oferim?

Scopul nostru, la sfârșitul zilei, nu este să transmitem tuturor documentelor clasificate sau să obținem autorizația de securitate pentru toată lumea. Nu vom primi niciodată aceste informații în timp util. Este obținerea informațiilor într-un mod în care oamenii le pot utiliza efectiv. De-a lungul anilor, am dezvoltat un fel de mantră privind schimbul de informații. Pentru mine, este: Cum obținem informațiile potrivite persoanelor potrivite în timp util, astfel încât să rezulte mai informat luarea deciziilor. Deci, deși decizia este aceeași, cel puțin este mai bine informată.

Și așa că, în timp ce ne-am uitat la acest eveniment și la ceea ce am văzut, am avut mecanismele pentru a obține informații acolo. Am avut oameni care credeau în calitatea informațiilor care ieșea. De asemenea, cred că este util să ne înclinăm înainte și să spunem că nu avem multe informații. Și am văzut niște lucruri cu adevărat unice. Aveam o mulțime de informații pe care le-am putut obține de la spațiul clasificat pe podium destul de repede - în timp record, în unele cazuri - și am putut într-adevăr să le folosim pentru a determina oamenii să ia decizii cu privire la acțiunile pe care ar trebui să le întreprindă. Deci cred că a fost un răspuns puternic și eficient.

Dar totul ține de colaborare și parteneriat, pentru că nu suntem doar noi să punem informații acolo dacă nu pot fi utilizate. Și până când vom primi feedback și vom construi cu adevărat acele sisteme într-un mod care să ne permită să lucrăm împreună, nu vom schimba asta. naţional peisaj în timp ce ne uităm la infrastructura critică.

Mă uit la copiii mei care ies de la liceu, iar oamenii spun: „Oh, sunt atât de cyber-savvy.” Și aș spune că nu sunt - aș oferi că sunt Priceput în ale tehnologiei. Au folosit iPad-uri de când aveau două luni, dar încă lipează parola pe spatele iPad-ului sau pe spatele tastaturii.

Mi-ar plăcea să văd părerea dvs. despre ransomware. Administrația a devenit foarte serioasă. Și se întâmplă că este concentrat în mare parte în zonele care acum se luptă între ele. Sunt curios de abordarea dvs. de a trata cu ransomware și de cum respingeți o parte din acestea. Pentru că se pare că poate s-a îmbunătățit...

Îmi voi face priza pentru site-ul nostru ransomware, unde am încercat să punem totul împreună într-un site web central pentru a obține informațiile de acolo. Dar cred că multe se rezumă la educație. Este educarea oamenilor că nu vei primi un milion de dolari prin e-mail - vei primi un cec mare pe hârtie, cineva va veni la ușa ta și va suna. Cred că se rezumă la a permite oamenilor să înțeleagă cine sunt potențialele victime.

Noi am avut un incident cu un mic district școlar care a fost victimă a unui ransomware. Au sunat la numărul și au spus: „Nu avem bani. Suntem doar acest mic district școlar. Nu înțelegi.”

Iar atacatorii au spus: „Nu, știm câți bani aveți. Avem extrasele de cont bancar. Știm cât ai. Și știm cât poți plăti și ceea ce îți cerem este destul de proporțional cu cât ai primit la bancă. Deci nu luăm totul, lăsăm un pic din ceva. Dar, într-adevăr, asta este ceea ce ne dorim.”

Și districtul școlar a spus: „Ei bine, vrei Bitcoin. Nu știu cum să fac asta.” 

„Avem un birou de asistență. Avem birouri de asistență în 14 limbi diferite care vă pot ajuta să obțineți bitcoin. Deci cum te putem ajuta?”

Așadar, cred că cu ransomware-ul trebuie să lăsăm oamenii să înțeleagă vulnerabilitățile, riscurile, cine ar putea fi țintele și acțiunile de întreprins [vezi avizul comun CISA 2021 Trends ransomware]. Și impactul monetar. Cu atacurile ransomware și cu alte tipuri de lucruri pe care le vedem, oamenii sunt individ utilizatorii. Dar cred și că oamenii încep să fie atenți. Cred că oamenii încep să nu facă clic pe tot.

I do vă faceți griji pentru lucruri precum pandemiile și acele tipuri de lucruri în care avem un potențial de oportunitate crescut. Sau pe cineva cu 300 de e-mailuri în căsuța de e-mail și trebuie doar să treacă prin ele, care devine victima acestor tipuri de lucruri. Și deci trebuie să menținem presiunea. Trebuie să continuăm mesajele. 

Și trebuie să facem și generația tânără să realizeze acest lucru. Pentru că, am făcut greșeala să mă uit prin căsuța de e-mail a elevului meu de liceu. Și nu știu dacă și-au citit e-mailurile sau ce. Nu știu ce au... sunt sute – sute – de e-mailuri. Nici nu știu de unde sunt sau cum i-au luat. Cum educăm acea generație viitoare să fie într-un loc mai bun?

Scopul nostru, la sfârșitul zilei, nu este să transmitem tuturor documentelor clasificate sau să obținem o autorizație de securitate pentru toată lumea. . . . Pentru mine, este: Cum obținem informațiile potrivite către oamenii potriviți în timp util, astfel încât să rezulte mai informat luarea deciziilor.

Ar fi grozav să înțelegem cum putem, în sectorul privat, să ne angajăm mai bine cu guvernul și să contribuim la îmbunătățirea situației. Pentru că este unul dintre aceste lucruri legate de sporturile de echipă, în care pierdem cu toții împreună dacă nu câștigăm.

Cred că cel mai mare lucru este să te implici cu noi. Avem relații grozave cu partenerii că știm. Cea mai mare îngrijorare a mea este că avem o mulțime de parteneri nu știu. Nu știm unde sunt sau cum să ajungem acolo. CISA este o organizație în creștere - avem o forță de teren în întreaga țară de aproximativ 500 de oameni și trebuie să continuăm să creștem asta - dar chiar și 500 de oameni este o picătură în găleată. Deci, trebuie să știm cum să ne angajăm și cu cine să ne angajăm. Și aici cred că industria ne poate ajuta, pentru că există mult mai multe oportunități pentru implicarea industriei de a ne conecta cu acei parteneri potriviți care ne pot ajuta să ridicăm ștacheta rezilienței.

Și apoi ține-ne sinceri. Păstrează-ne sinceri și educă-ne. Știi, încercăm cu adevărat să ne înclinăm înainte în multe dintre angajamentele noastre, deoarece cred că, în trecut, a existat multă teamă cu privire la modul în care ne angajăm cu industria: „Ce putem face?” „Ce putem spune?” „Ce nu putem spune?” 

Am construit acum o echipă la CISA care este într-adevăr orientată spre viitor, unde nu ne este frică de acest angajament. Da, există linii, dar avem multă latitudine în aceste linii. Încercăm într-adevăr să rămânem în acele balustrade – nu vrem să ne prăbușim și să coborâm de pe stâncă – dar atâta timp cât stăm în acele balustrade, suntem bine.

Așa că cred că cel mai mare lucru este să ne spui ceea ce nu știm. Și știu că sunt multe pe care nu le știm. Dar ajutându-ne să ne educăm despre ceea ce sunt acestea, ajutându-ne să rămânem responsabili pentru ceea ce facem sau nu facem, cred cu adevărat că ne va ajuta să mergem mai departe și să facem acele salturi semnificative pe care trebuie să le facem.

Postat pe 4 iulie 2022