Нитин Натараджан – заместитель директора CISA (Агентство кибербезопасности и безопасности инфраструктуры) и имеет большой опыт в области кибербезопасности, в том числе надзор за критически важной инфраструктурой для Совета национальной безопасности США и Министерства здравоохранения и социальных служб США.
В этой беседе с генеральным партнером a16z Джоэлем де ла Гарса (который ранее был директором по безопасности в Box и руководил группами безопасности во многих финансовых учреждениях) Натараджан объясняет, почему развивающийся ландшафт угроз кибербезопасности вынуждает организации всех размеров, а также физическим лицам — стать более кибер-подкованными. Он также затрагивает ряд других тем, в том числе то, как промышленность и правительство могут лучше всего работать вместе для обмена информацией и обеспечения защиты всех.
Это отредактированная версия живого обсуждения, состоявшегося в мае. Вы можете прослушать всю дискуссию в виде подкаста здесь.
ХОЭЛЬ ДЕ ЛА ГАРСА: Что вы и как CISA думаете о приоритизации угроз? Это похоже на ключ ко всему, что вы пытаетесь сделать.
НИТИН НАТАРАДЖАН: Когда мы рассматриваем расстановку приоритетов, все сводится к действительному пониманию того, что представляют собой эти системные риски. Как мы можем помочь рассказать историю каскадного анализа воздействия, чтобы люди могли принимать решения о том, куда инвестировать и от каких рисков инвестировать в защиту?
Или как мы относимся к риску как к трехногой табуретке? Я думаю, что мы тратим много времени на разговоры об идентификации рисков. Мы тратим много времени на разговоры о снижении рисков. Мы забываем ту третью ногу, которая для меня каждый риск, который мы выявляем и не снижаем, мы принимаем. И мы всегда идем на некоторый риск. Я имею в виду, я подъехал сюда. Я поднялся на сцену. Я рискнул, приехав сюда. Я рискну уйти и, возможно, упасть.
Но как нам убедиться, что наши глаза широко открыты для того, что мы принимаем? И как нам понять эту картину рисков и использовать ее для определения приоритетов? И тогда как мы посмотрим на это по 16 критическим секторам, которые находятся на разных уровнях зрелости?
Такие отрасли, как финансовый сектор, получили измеримую отдачу от инвестиций в кибербезопасность, но у нас есть и другие сектора, которые не инвестировали в эту область так долго и не так много. Мы хотим иметь возможность реагировать на риски таким образом, чтобы признавать, что люди находятся в разных местах, и это касается как крупных транснациональных корпораций, так и малого бизнеса. Когда мы смотрим на риски цепочки поставок, большая часть этого риска связана не с крупными транснациональными корпорациями, а с малым бизнесом, который создает одну маленькую деталь, один критически важный виджет.
Поэтому расстановка приоритетов для нас является сложной задачей, потому что мы рассматриваем целые отрасли — по вертикали и по горизонтали. Но мы хотим попытаться действительно понять, что такое системный риск.
Средства массовой информации и индустрия безопасности, как правило, всегда говорят об одних и тех же угрозах. Какие вещи для вас важнее всего, о чем мы не слышим каждый день?
Я думаю, что самая большая угроза — это самоуспокоенность. Было много разговоров о том, кто такой противник и как он выглядит. И как мы занимаемся? Но что меня действительно беспокоит, так это заставить людей по-настоящему понять, что они потенциально могут стать жертвами, и как они воспринимают угрозу как свою.
Вещи как Взлом Colonial Pipeline и другие инциденты помогли в этом, когда люди думали в прошлом: «Я не могу быть жертвой. Никто за мной не пойдет: я малый бизнес, или я мелкая сельская юрисдикция, или я школа, и что там у вас. Они не беспокоятся обо мне. Их беспокоят Нью-Йоркские города мира, они беспокоятся о крупных многонациональных корпорациях». Я думаю, что мы видим то, что люди способны видеть, что угроза реальна для них.
У нас был инцидент с небольшим школьным округом, который стал жертвой программы-вымогателя. Они позвонили по указанному номеру и сказали: «У нас нет денег. Мы всего лишь крошечный школьный округ. Вы не понимаете. А нападавшие сказали: «Нет, мы знаем, сколько у вас денег».
Что вы думаете о том, чтобы разрушить часть этого оцепенения или этого самоуспокоения со стороны широкой публики?
Я думаю, это образование. Это заставляет потребителя задавать вопросы. Итак, если вы идете в банк, например, использует ли банк многофакторную аутентификацию? Вы хотите искать эти типы возможностей, а также то, что это учреждение делает с вашей личной информацией и вашими ресурсами, и какова их ценность.
Я думаю, что заставить людей понять даже такие вещи, как Интернет вещей, и то, что мы представляем миру гораздо больше уязвимостей, очень важно. Я имею в виду, у нас есть холодильники, подключенные к Интернету. Я не против. Я не знаю, чем он отличается от моего холодильника. Но все эти вещи приносят новые уязвимости.
На днях я в шутку сказал кому-то, что хотел бы вернуться к своему старому Моторола СтарТАС дней. Мы привнесли много возможностей и технологий в наши мобильные устройства. Но с этим мы принесли риск. И я не думаю, что мы уделили достаточно времени разговорам о риске, потому что мы говорим о размере пикселя и возможности играть в игры.
Я думаю, что нам также необходимо воспитывать подрастающее поколение. Пожалуй, я потерялся. Я верю в то, во что верю, знаешь, а как ты передумаешь? Но я смотрю на своих детей, которые заканчивают школу, и люди говорят: «О, они такие кибер-подкованных». И я бы сказал, что это не так — я бы предположил, что они технически подкованные. Они пользуются iPad с двухмесячного возраста, но до сих пор прикрепляют пароль к задней панели iPad или клавиатуре.
Итак, я думаю, что мы приравняли техническая смекалка кибер-сообразительность. Мы должны сделать их кибер-подкованными. Нам нужно встроить его в следующее поколение, чтобы они действительно встроили его в свою повседневную жизнь, как в личном, так и в профессиональном плане.
Есть ли угрозы, на которых мы слишком зациклены и которые, вероятно, отвлекают нас от реального риска?
Мы проводим много времени, глядя на краткосрочную перспективу. Это природа, это по умолчанию. Мы концентрируемся на том, что происходит здесь и сейчас, на том, что находится перед нами. Но я не знаю, тратим ли мы достаточно времени на долгосрочную перспективу — действительно ли мы смотрим на то, как будет выглядеть устойчивость через 5, 10, 15 лет. И я думаю, это потому, что это тяжело. Мы не знаем, где будут технологии через 5 или 10 лет, поэтому трудно определить, на чем сосредоточиться. Поэтому мы фокусируемся на том, что находится непосредственно перед нами.
Я думаю, что нам нужно уделять больше времени этой долгосрочной устойчивости, потому что для ее создания потребуется время. Когда я смотрю на решения для предприятий или в правительстве, многие из этих вещей требуют многолетних усилий. И часто, по крайней мере, в процессе государственных закупок, к тому времени, когда мы определяем масштаб и осуществляем приобретение, оно уже устаревает. И мы просто начинаем цикл заново.
Самое главное — это общение с нами. У нас прекрасные отношения с партнерами что мы знаем. Больше всего меня беспокоит то, что у нас много партнеров. не знаю.
Поговорим о ситуации с Россией и Украиной. Одна из вещей, которая была очень интересна как пассивный наблюдатель, заключается в том, что у нас не было такого хаоса, который был в прошлом — NotPetya и эти вещи, которые были разработаны и разработаны, чтобы разрушить Украину, но вырвались наружу и разрушили мировую торговлю. Кажется, что в этой итерации было намного меньше побочного ущерба.
Это потому, что мы только что повысили уровень и много делаем? Это работа государственных стандартов вождения и информирование людей? Потому что мы получили Щиты вверх объявление о том, что многие форумы, в которых я состою, и люди, с которыми я работаю, отнеслись очень серьезно.
Я думаю, что это изменилось с нескольких сторон. Там точно были изменения с противником и какие-то подходы. Я думаю, что определенно есть изменения со стороны правительства и работы, которую мы проделали за несколько лет, чтобы действительно поднять планку. Во многом это связано с сотрудничеством с промышленностью и многими другими вещами, которые помогли отрасли стать более устойчивой. Я думаю, что люди верят в кибербезопасность больше, чем несколько лет назад. Итак, все эти вещи вместе привели нас к хорошему месту.
Я некоторое время работал в сфере общественного здравоохранения, и мы долгое время боролись с пандемиями. Это не ново для нас. И мы боролись с пандемиями, я помню, когда ударил H1N1 — то, что мы считали пандемией. Мы мало знали. И вы знаете, что мы на самом деле сказали тогда, что мы не можем полностью перейти на удаленную работу или удаленную работу, потому что ИТ-системы не могут с этим справиться. Что ж, перенесемся на 12 лет вперед, и мы справились. Мы добились этого не только благодаря переходу в облако — многое привело нас туда, где мы находимся сегодня.
Так что я думаю, что когда мы смотрим на NotPetya по сравнению с настоящим моментом, частью этого являются как изменения на стороне противника, так и изменения на нашей стороне, а также изменения в партнерстве и отношениях. Shields Up — отличный пример, когда мы можем идти вперед и делиться гораздо большим количеством информации с отраслевыми партнерами, как на секретном, так и на несекретном уровне. Как мы получаем информацию там? Как заставить людей доверять информации, которую мы публикуем?
Наша цель, в конце концов, не в том, чтобы донести до всех каждый секретный документ или получить всех с допуском к секретным материалам. Мы никогда не получим эту информацию своевременно. Это получение информации таким образом, чтобы люди могли ее использовать. За эти годы я разработал своего рода мантру по обмену информацией. Для меня это: Как своевременно донести нужную информацию до нужных людей, чтобы более информированный принятие решения. Так что, хотя решение такое же, по крайней мере, оно лучше информировано.
И поэтому, когда мы смотрели на это событие и на то, что мы видели, у нас были механизмы для получения информации. У нас были люди, верящие в качество поступающей информации. Я также думаю, что есть смысл наклониться вперед и сказать, что у нас не так много информации. И мы увидели действительно уникальные вещи. У нас было много информации, которую мы могли довольно быстро передать из секретного пространства на трибуну — в некоторых случаях в рекордно короткие сроки — и действительно смогли использовать ее, чтобы подтолкнуть людей к принятию решений о том, какие действия им следует предпринять. Поэтому я думаю, что это был сильный и эффективный ответ.
Но все дело в сотрудничестве и партнерстве, потому что мы не просто размещаем информацию, если ее нельзя использовать. И пока мы не получим обратную связь и не создадим эти системы таким образом, чтобы мы могли работать вместе, мы не изменим это. национальный пейзаж, поскольку мы смотрим на критически важную инфраструктуру.
Я смотрю на своих детей, которые заканчивают школу, и люди говорят: «О, они такие кибер-подкованных». И я бы сказал, что это не так — я бы предположил, что они технически подкованные. Они пользуются iPad с двухмесячного возраста, но до сих пор прикрепляют пароль к задней панели iPad или клавиатуре.
Я хотел бы узнать ваше мнение о программах-вымогателях. Администрация подошла к этому очень серьезно. И так уж получилось, что это в основном сосредоточено в областях, которые сейчас воюют друг с другом. Мне любопытен ваш подход к борьбе с программами-вымогателями и то, как вы, возможно, боретесь с некоторыми из них. Потому что кажется, что, может быть, стало лучше…
Я сделаю свою пробку для наш сайт вымогателей, где мы попытались собрать все вместе на центральном веб-сайте, чтобы получить информацию. Но я думаю, что многое зависит от образования. Это обучение людей тому, что вы не получите миллион долларов по электронной почте — вы получите большой бумажный чек, кто-то подойдет к вашей двери и позвонит в звонок. Я думаю, все сводится к тому, чтобы дать людям понять, кто является потенциальными жертвами.
Мы имеем инцидент с небольшим школьным округом, который стал жертвой программы-вымогателя. Они позвонили по указанному номеру и сказали: «У нас нет денег. Мы всего лишь крошечный школьный округ. Вы не понимаете.
А нападавшие сказали: «Нет, мы знаем, сколько у вас денег. У нас есть выписки с вашего банковского счета. Мы знаем, сколько у вас есть. И мы знаем, сколько вы можете заплатить, и то, что мы просим вас, вполне соизмеримо с тем, сколько у вас есть в банке. Так что мы не берем все, мы оставляем понемногу. Но на самом деле это то, чего мы хотим».
И школьный округ сказал: «Ну, вы хотите Биткойн. Я не знаю, как это сделать».
«У нас есть служба поддержки. У нас есть службы поддержки на 14 разных языках, которые могут помочь вам получить биткойн. Так чем мы можем вам помочь?»
Поэтому я думаю, что с программами-вымогателями нам нужно дать людям понять уязвимости, риски, кто может быть целями и действия, которые нужно предпринять [см. совместный бюллетень CISA «Тенденции программ-вымогателей в 2021 г.»]. И денежное воздействие. С атаками программ-вымогателей и другими явлениями, которые мы наблюдаем, люди individual пользователи. Но я также думаю, что люди начинают обращать внимание. Я думаю, что люди начинают не нажимать на все подряд.
I do беспокоиться о таких вещах, как пандемии и о тех вещах, где у нас есть повышенный потенциал возможностей. Или кто-то с 300 электронными письмами во входящих, и ему просто нужно их просмотреть, кто становится жертвой таких вещей. И поэтому нам нужно поддерживать давление. Нам нужно поддерживать обмен сообщениями.
И нам нужно, чтобы молодое поколение тоже это осознало. Потому что я совершил ошибку, просматривая почтовый ящик моего старшеклассника. И я не знаю, читают ли они свои электронные письма или что. Я не знаю, что у них есть… сотни, сотни электронных писем. Я даже не знаю, откуда они и как они их получили. Как воспитать следующее поколение, чтобы оно жило лучше?
Наша цель, в конце концов, не в том, чтобы донести до всех каждый секретный документ или получить всех с допуском к секретным материалам. . . . Для меня это: Как мы можем своевременно донести нужную информацию до нужных людей, что приведет к более информированный принятие решения.
Было бы здорово понять, как мы в частном секторе можем лучше взаимодействовать с правительством и помочь улучшить ситуацию. Потому что это один из тех командных видов спорта, когда мы все вместе проигрываем, если не выигрываем.
Я думаю, что самое главное — это взаимодействие с нами. У нас прекрасные отношения с партнерами что мы знаем. Больше всего меня беспокоит то, что у нас много партнеров. не знаю. Мы не знаем, где они и как туда добраться. CISA — это растущая организация: у нас по всей стране около 500 человек, и нам нужно продолжать их увеличивать, — но даже 500 человек — это капля в море. Итак, нам нужно знать, как взаимодействовать и с кем взаимодействовать. И именно в этом, я думаю, может помочь промышленность, потому что у отрасли гораздо больше возможностей, чтобы связать нас с теми нужными партнерами, которые могут помочь нам поднять эту планку устойчивости.
И тогда держите нас честными. Держите нас честными и обучайте нас. Вы знаете, мы действительно пытаемся идти вперед во многих наших проектах, потому что я думаю, что в прошлом было много опасений по поводу того, как мы взаимодействуем с промышленностью: «Что мы можем сделать?» — Что мы можем сказать? — Что мы не можем сказать?
Теперь мы создали в CISA команду, которая действительно ориентирована на будущее, и мы не боимся такой вовлеченности. Да, есть линии, но в пределах этих линий у нас есть большая свобода действий. Мы действительно пытаемся оставаться в пределах этих ограждений — мы не хотим врезаться и сорваться со скалы — но пока мы остаемся в пределах этих ограждений, у нас все в порядке.
Поэтому я думаю, что самое важное — это рассказать нам то, чего мы не знаем. И я знаю, что мы многого не знаем. Но помощь в обучении нас тому, что это такое, помогая нам оставаться ответственными за то, что мы делаем или не делаем, я действительно думаю, что это поможет нам двигаться вперед и сделать те существенные скачки, которые мы должны сделать.
Опубликовано: 4 июля, 2022
Технологии, инновации и будущее глазами тех, кто его создает.
Мнения, выраженные в «сообщениях» (включая статьи, подкасты, видео и социальные сети), принадлежат лицам, цитируемым в них, и не обязательно являются взглядами AH Capital Management, LLC («a16z») или ее соответствующих аффилированных лиц. Определенная информация, содержащаяся здесь, была получена из сторонних источников, в том числе от портфельных компаний фондов, управляемых a16z. Хотя информация взята из источников, считающихся надежными, a16z не проводила независимую проверку такой информации и не делает никаких заявлений о неизменной точности информации или ее уместности в данной ситуации.
Этот контент предоставляется только в информационных целях и не может рассматриваться как юридическая, деловая, инвестиционная или налоговая консультация. Вы должны проконсультироваться со своими советниками по этим вопросам. Ссылки на любые ценные бумаги или цифровые активы предназначены только для иллюстративных целей и не представляют собой инвестиционную рекомендацию или предложение предоставить инвестиционные консультационные услуги. Кроме того, этот контент не предназначен и не предназначен для использования какими-либо инвесторами или потенциальными инвесторами, и на него нельзя полагаться ни при каких обстоятельствах при принятии решения об инвестировании в какой-либо фонд, управляемый a16z. (Предложение инвестировать в фонд a16z будет сделано только в меморандуме о частном размещении, договоре о подписке и другой соответствующей документации любого такого фонда, и их следует читать полностью.) Любые инвестиции или портфельные компании, упомянутые, упомянутые или описанные не являются репрезентативными для всех инвестиций в транспортные средства, управляемые a16z, и нет никаких гарантий, что инвестиции будут прибыльными или что другие инвестиции, сделанные в будущем, будут иметь аналогичные характеристики или результаты. Список инвестиций, сделанных фондами, управляемыми Andreessen Horowitz (за исключением инвестиций, в отношении которых эмитент не предоставил разрешение на публичное раскрытие информации a16z, а также необъявленных инвестиций в публично торгуемые цифровые активы), доступен по адресу https://a16z.com/investments/.
Диаграммы и графики, представленные в данном документе, предназначены исключительно для информационных целей и не должны использоваться при принятии любого инвестиционного решения. Прошлые показатели не свидетельствуют о будущих результатах. Содержание говорит только на указанную дату. Любые прогнозы, оценки, прогнозы, цели, перспективы и / или мнения, выраженные в этих материалах, могут быть изменены без предварительного уведомления и могут отличаться или противоречить мнениям, высказанным другими. Посмотри пожалуйста https://a16z.com/disclosures для дополнительной важной информации.
- Andreessen Horowitz
- Bitcoin
- блокчейн
- соответствие блокчейна
- блочная конференция
- coinbase
- Coingenius
- Консенсус
- криптоконференция
- криптодобыча
- криптовалюта
- децентрализованная
- Defi
- Цифровые активы
- Эфириума
- Инфраструктура
- обучение с помощью машины
- невзаимозаменяемый токен
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платоблокчейн
- ПлатонДанные
- платогейминг
- Polygon
- Доказательство доли
- W3
- зефирнет