Программы-вымогатели, кибербезопасность и связь между публичным и частным сектором безопасности

Нитин Натараджан – заместитель директора CISA (Агентство кибербезопасности и безопасности инфраструктуры) и имеет большой опыт в области кибербезопасности, в том числе надзор за критически важной инфраструктурой для Совета национальной безопасности США и Министерства здравоохранения и социальных служб США. 

В этой беседе с генеральным партнером a16z Джоэлем де ла Гарса (который ранее был директором по безопасности в Box и руководил группами безопасности во многих финансовых учреждениях) Натараджан объясняет, почему развивающийся ландшафт угроз кибербезопасности вынуждает организации всех размеров, а также физическим лицам — стать более кибер-подкованными. Он также затрагивает ряд других тем, в том числе то, как промышленность и правительство могут лучше всего работать вместе для обмена информацией и обеспечения защиты всех.

Это отредактированная версия живого обсуждения, состоявшегося в мае. Вы можете прослушать всю дискуссию в виде подкаста здесь.

---

ХОЭЛЬ ДЕ ЛА ГАРСА: Что вы и как CISA думаете о приоритизации угроз? Это похоже на ключ ко всему, что вы пытаетесь сделать.

НИТИН НАТАРАДЖАН: Когда мы рассматриваем расстановку приоритетов, все сводится к действительному пониманию того, что представляют собой эти системные риски. Как мы можем помочь рассказать историю каскадного анализа воздействия, чтобы люди могли принимать решения о том, куда инвестировать и от каких рисков инвестировать в защиту? 

Или как мы относимся к риску как к трехногой табуретке? Я думаю, что мы тратим много времени на разговоры об идентификации рисков. Мы тратим много времени на разговоры о снижении рисков. Мы забываем ту третью ногу, которая для меня каждый риск, который мы выявляем и не снижаем, мы принимаем. И мы всегда идем на некоторый риск. Я имею в виду, я подъехал сюда. Я поднялся на сцену. Я рискнул, приехав сюда. Я рискну уйти и, возможно, упасть.

Но как нам убедиться, что наши глаза широко открыты для того, что мы принимаем? И как нам понять эту картину рисков и использовать ее для определения приоритетов? И тогда как мы посмотрим на это по 16 критическим секторам, которые находятся на разных уровнях зрелости?

Такие отрасли, как финансовый сектор, получили измеримую отдачу от инвестиций в кибербезопасность, но у нас есть и другие сектора, которые не инвестировали в эту область так долго и не так много. Мы хотим иметь возможность реагировать на риски таким образом, чтобы признавать, что люди находятся в разных местах, и это касается как крупных транснациональных корпораций, так и малого бизнеса. Когда мы смотрим на риски цепочки поставок, большая часть этого риска связана не с крупными транснациональными корпорациями, а с малым бизнесом, который создает одну маленькую деталь, один критически важный виджет.

Поэтому расстановка приоритетов для нас является сложной задачей, потому что мы рассматриваем целые отрасли — по вертикали и по горизонтали. Но мы хотим попытаться действительно понять, что такое системный риск.

Средства массовой информации и индустрия безопасности, как правило, всегда говорят об одних и тех же угрозах. Какие вещи для вас важнее всего, о чем мы не слышим каждый день?

Я думаю, что самая большая угроза — это самоуспокоенность. Было много разговоров о том, кто такой противник и как он выглядит. И как мы занимаемся? Но что меня действительно беспокоит, так это заставить людей по-настоящему понять, что они потенциально могут стать жертвами, и как они воспринимают угрозу как свою.

Вещи как Взлом Colonial Pipeline и другие инциденты помогли в этом, когда люди думали в прошлом: «Я не могу быть жертвой. Никто за мной не пойдет: я малый бизнес, или я мелкая сельская юрисдикция, или я школа, и что там у вас. Они не беспокоятся обо мне. Их беспокоят Нью-Йоркские города мира, они беспокоятся о крупных многонациональных корпорациях». Я думаю, что мы видим то, что люди способны видеть, что угроза реальна для них. 

У нас был инцидент с небольшим школьным округом, который стал жертвой программы-вымогателя. Они позвонили по указанному номеру и сказали: «У нас нет денег. Мы всего лишь крошечный школьный округ. Вы не понимаете. А нападавшие сказали: «Нет, мы знаем, сколько у вас денег».

Что вы думаете о том, чтобы разрушить часть этого оцепенения или этого самоуспокоения со стороны широкой публики?

Я думаю, это образование. Это заставляет потребителя задавать вопросы. Итак, если вы идете в банк, например, использует ли банк многофакторную аутентификацию? Вы хотите искать эти типы возможностей, а также то, что это учреждение делает с вашей личной информацией и вашими ресурсами, и какова их ценность.

Я думаю, что заставить людей понять даже такие вещи, как Интернет вещей, и то, что мы представляем миру гораздо больше уязвимостей, очень важно. Я имею в виду, у нас есть холодильники, подключенные к Интернету. Я не против. Я не знаю, чем он отличается от моего холодильника. Но все эти вещи приносят новые уязвимости. 

На днях я в шутку сказал кому-то, что хотел бы вернуться к своему старому Моторола СтарТАС дней. Мы привнесли много возможностей и технологий в наши мобильные устройства. Но с этим мы принесли риск. И я не думаю, что мы уделили достаточно времени разговорам о риске, потому что мы говорим о размере пикселя и возможности играть в игры.

Я думаю, что нам также необходимо воспитывать подрастающее поколение. Пожалуй, я потерялся. Я верю в то, во что верю, знаешь, а как ты передумаешь? Но я смотрю на своих детей, которые заканчивают школу, и люди говорят: «О, они такие кибер-подкованных». И я бы сказал, что это не так — я бы предположил, что они технически подкованные. Они пользуются iPad с двухмесячного возраста, но до сих пор прикрепляют пароль к задней панели iPad или клавиатуре.

Итак, я думаю, что мы приравняли техническая смекалка кибер-сообразительность. Мы должны сделать их кибер-подкованными. Нам нужно встроить его в следующее поколение, чтобы они действительно встроили его в свою повседневную жизнь, как в личном, так и в профессиональном плане.

Есть ли угрозы, на которых мы слишком зациклены и которые, вероятно, отвлекают нас от реального риска?

Мы проводим много времени, глядя на краткосрочную перспективу. Это природа, это по умолчанию. Мы концентрируемся на том, что происходит здесь и сейчас, на том, что находится перед нами. Но я не знаю, тратим ли мы достаточно времени на долгосрочную перспективу — действительно ли мы смотрим на то, как будет выглядеть устойчивость через 5, 10, 15 лет. И я думаю, это потому, что это тяжело. Мы не знаем, где будут технологии через 5 или 10 лет, поэтому трудно определить, на чем сосредоточиться. Поэтому мы фокусируемся на том, что находится непосредственно перед нами.

Я думаю, что нам нужно уделять больше времени этой долгосрочной устойчивости, потому что для ее создания потребуется время. Когда я смотрю на решения для предприятий или в правительстве, многие из этих вещей требуют многолетних усилий. И часто, по крайней мере, в процессе государственных закупок, к тому времени, когда мы определяем масштаб и осуществляем приобретение, оно уже устаревает. И мы просто начинаем цикл заново.

Самое главное — это общение с нами. У нас прекрасные отношения с партнерами что мы знаем. Больше всего меня беспокоит то, что у нас много партнеров. не знаю.

Поговорим о ситуации с Россией и Украиной. Одна из вещей, которая была очень интересна как пассивный наблюдатель, заключается в том, что у нас не было такого хаоса, который был в прошлом — NotPetya и эти вещи, которые были разработаны и разработаны, чтобы разрушить Украину, но вырвались наружу и разрушили мировую торговлю. Кажется, что в этой итерации было намного меньше побочного ущерба. 

Это потому, что мы только что повысили уровень и много делаем? Это работа государственных стандартов вождения и информирование людей? Потому что мы получили Щиты вверх объявление о том, что многие форумы, в которых я состою, и люди, с которыми я работаю, отнеслись очень серьезно. 

Я думаю, что это изменилось с нескольких сторон. Там точно были изменения с противником и какие-то подходы. Я думаю, что определенно есть изменения со стороны правительства и работы, которую мы проделали за несколько лет, чтобы действительно поднять планку. Во многом это связано с сотрудничеством с промышленностью и многими другими вещами, которые помогли отрасли стать более устойчивой. Я думаю, что люди верят в кибербезопасность больше, чем несколько лет назад. Итак, все эти вещи вместе привели нас к хорошему месту.

Я некоторое время работал в сфере общественного здравоохранения, и мы долгое время боролись с пандемиями. Это не ново для нас. И мы боролись с пандемиями, я помню, когда ударил H1N1 — то, что мы считали пандемией. Мы мало знали. И вы знаете, что мы на самом деле сказали тогда, что мы не можем полностью перейти на удаленную работу или удаленную работу, потому что ИТ-системы не могут с этим справиться. Что ж, перенесемся на 12 лет вперед, и мы справились. Мы добились этого не только благодаря переходу в облако — многое привело нас туда, где мы находимся сегодня.

Так что я думаю, что когда мы смотрим на NotPetya по сравнению с настоящим моментом, частью этого являются как изменения на стороне противника, так и изменения на нашей стороне, а также изменения в партнерстве и отношениях. Shields Up — отличный пример, когда мы можем идти вперед и делиться гораздо большим количеством информации с отраслевыми партнерами, как на секретном, так и на несекретном уровне. Как мы получаем информацию там? Как заставить людей доверять информации, которую мы публикуем?

Наша цель, в конце концов, не в том, чтобы донести до всех каждый секретный документ или получить всех с допуском к секретным материалам. Мы никогда не получим эту информацию своевременно. Это получение информации таким образом, чтобы люди могли ее использовать. За эти годы я разработал своего рода мантру по обмену информацией. Для меня это: Как своевременно донести нужную информацию до нужных людей, чтобы более информированный принятие решения. Так что, хотя решение такое же, по крайней мере, оно лучше информировано.

И поэтому, когда мы смотрели на это событие и на то, что мы видели, у нас были механизмы для получения информации. У нас были люди, верящие в качество поступающей информации. Я также думаю, что есть смысл наклониться вперед и сказать, что у нас не так много информации. И мы увидели действительно уникальные вещи. У нас было много информации, которую мы могли довольно быстро передать из секретного пространства на трибуну — в некоторых случаях в рекордно короткие сроки — и действительно смогли использовать ее, чтобы подтолкнуть людей к принятию решений о том, какие действия им следует предпринять. Поэтому я думаю, что это был сильный и эффективный ответ.

Но все дело в сотрудничестве и партнерстве, потому что мы не просто размещаем информацию, если ее нельзя использовать. И пока мы не получим обратную связь и не создадим эти системы таким образом, чтобы мы могли работать вместе, мы не изменим это. национальный пейзаж, поскольку мы смотрим на критически важную инфраструктуру.

Я смотрю на своих детей, которые заканчивают школу, и люди говорят: «О, они такие кибер-подкованных». И я бы сказал, что это не так — я бы предположил, что они технически подкованные. Они пользуются iPad с двухмесячного возраста, но до сих пор прикрепляют пароль к задней панели iPad или клавиатуре.

Я хотел бы узнать ваше мнение о программах-вымогателях. Администрация подошла к этому очень серьезно. И так уж получилось, что это в основном сосредоточено в областях, которые сейчас воюют друг с другом. Мне любопытен ваш подход к борьбе с программами-вымогателями и то, как вы, возможно, боретесь с некоторыми из них. Потому что кажется, что, может быть, стало лучше…

Я сделаю свою пробку для наш сайт вымогателей, где мы попытались собрать все вместе на центральном веб-сайте, чтобы получить информацию. Но я думаю, что многое зависит от образования. Это обучение людей тому, что вы не получите миллион долларов по электронной почте — вы получите большой бумажный чек, кто-то подойдет к вашей двери и позвонит в звонок. Я думаю, все сводится к тому, чтобы дать людям понять, кто является потенциальными жертвами.

Мы имеем инцидент с небольшим школьным округом, который стал жертвой программы-вымогателя. Они позвонили по указанному номеру и сказали: «У нас нет денег. Мы всего лишь крошечный школьный округ. Вы не понимаете.

А нападавшие сказали: «Нет, мы знаем, сколько у вас денег. У нас есть выписки с вашего банковского счета. Мы знаем, сколько у вас есть. И мы знаем, сколько вы можете заплатить, и то, что мы просим вас, вполне соизмеримо с тем, сколько у вас есть в банке. Так что мы не берем все, мы оставляем понемногу. Но на самом деле это то, чего мы хотим».

И школьный округ сказал: «Ну, вы хотите Биткойн. Я не знаю, как это сделать». 

«У нас есть служба поддержки. У нас есть службы поддержки на 14 разных языках, которые могут помочь вам получить биткойн. Так чем мы можем вам помочь?»

Поэтому я думаю, что с программами-вымогателями нам нужно дать людям понять уязвимости, риски, кто может быть целями и действия, которые нужно предпринять [см. совместный бюллетень CISA «Тенденции программ-вымогателей в 2021 г.»]. И денежное воздействие. С атаками программ-вымогателей и другими явлениями, которые мы наблюдаем, люди individual пользователи. Но я также думаю, что люди начинают обращать внимание. Я думаю, что люди начинают не нажимать на все подряд.

I do беспокоиться о таких вещах, как пандемии и о тех вещах, где у нас есть повышенный потенциал возможностей. Или кто-то с 300 электронными письмами во входящих, и ему просто нужно их просмотреть, кто становится жертвой таких вещей. И поэтому нам нужно поддерживать давление. Нам нужно поддерживать обмен сообщениями. 

И нам нужно, чтобы молодое поколение тоже это осознало. Потому что я совершил ошибку, просматривая почтовый ящик моего старшеклассника. И я не знаю, читают ли они свои электронные письма или что. Я не знаю, что у них есть… сотни, сотни электронных писем. Я даже не знаю, откуда они и как они их получили. Как воспитать следующее поколение, чтобы оно жило лучше?

Наша цель, в конце концов, не в том, чтобы донести до всех каждый секретный документ или получить всех с допуском к секретным материалам. . . . Для меня это: Как мы можем своевременно донести нужную информацию до нужных людей, что приведет к более информированный принятие решения.

Было бы здорово понять, как мы в частном секторе можем лучше взаимодействовать с правительством и помочь улучшить ситуацию. Потому что это один из тех командных видов спорта, когда мы все вместе проигрываем, если не выигрываем.

Я думаю, что самое главное — это взаимодействие с нами. У нас прекрасные отношения с партнерами что мы знаем. Больше всего меня беспокоит то, что у нас много партнеров. не знаю. Мы не знаем, где они и как туда добраться. CISA — это растущая организация: у нас по всей стране около 500 человек, и нам нужно продолжать их увеличивать, — но даже 500 человек — это капля в море. Итак, нам нужно знать, как взаимодействовать и с кем взаимодействовать. И именно в этом, я думаю, может помочь промышленность, потому что у отрасли гораздо больше возможностей, чтобы связать нас с теми нужными партнерами, которые могут помочь нам поднять эту планку устойчивости.

И тогда держите нас честными. Держите нас честными и обучайте нас. Вы знаете, мы действительно пытаемся идти вперед во многих наших проектах, потому что я думаю, что в прошлом было много опасений по поводу того, как мы взаимодействуем с промышленностью: «Что мы можем сделать?» — Что мы можем сказать? — Что мы не можем сказать? 

Теперь мы создали в CISA команду, которая действительно ориентирована на будущее, и мы не боимся такой вовлеченности. Да, есть линии, но в пределах этих линий у нас есть большая свобода действий. Мы действительно пытаемся оставаться в пределах этих ограждений — мы не хотим врезаться и сорваться со скалы — но пока мы остаемся в пределах этих ограждений, у нас все в порядке.

Поэтому я думаю, что самое важное — это рассказать нам то, чего мы не знаем. И я знаю, что мы многого не знаем. Но помощь в обучении нас тому, что это такое, помогая нам оставаться ответственными за то, что мы делаем или не делаем, я действительно думаю, что это поможет нам двигаться вперед и сделать те существенные скачки, которые мы должны сделать.

Опубликовано: 4 июля, 2022