Izsiljevalska programska oprema, kibernetska podkovanost in javno-zasebna varnostna povezava

Nitin Natarajan je namestnik direktorja CISA (Agencija za kibernetsko varnost in varnost infrastrukture) in ima bogate izkušnje na področju kibernetske varnosti, vključno z nadzorom kritične infrastrukture za Svet za nacionalno varnost ZDA in Ministrstvo za zdravje in socialne zadeve ZDA. 

V tej razpravi z generalnim partnerjem a16z Joelom de la Garzo (ki je bil prej glavni varnostnik pri Boxu in je vodil varnostne ekipe v številnih finančnih institucijah) Natarajan pojasnjuje, zakaj razvijajoče se okolje groženj kibernetske varnosti sili organizacije vseh velikosti – pa tudi posamezniki — da postanejo bolj podkovani s kibernetskimi storitvami. Pokriva tudi številne druge teme, vključno s tem, kako lahko industrija in vlada najbolje sodelujeta pri izmenjavi informacij in zagotavljanju zaščite vseh.

To je urejena različica razprave v živo, ki je potekala maja. Ti lahko poslušajte celotno razpravo v obliki podcasta tukaj.

---

JOEL DE LA GARZA: Kako vi in ​​kako CISA razmišljate o dajanju prednosti grožnjam? Zdi se, da je to ključ do vsega, kar poskušate narediti.

NITIN NATARAJAN: Ko pogledamo prednostno razvrščanje, gre za resnično razumevanje teh sistemskih tveganj. Kako lahko pomagamo povedati zgodbo o kaskadni analizi vpliva, da se bodo ljudje lahko odločili, kam vlagati in pred katerimi tveganji vlagati, da bi se zaščitili? 

Ali pa, kako na tveganje gledamo kot na trinožni stol? Mislim, da veliko časa porabimo za pogovore o prepoznavanju tveganja. Veliko časa namenjamo pogovorom o zmanjševanju tveganja. Pozabili smo na tisto tretjo nogo, ki je zame to vsako tveganje, ki ga prepoznamo in ga ne ublažimo, sprejmemo. In vedno sprejmemo nekaj tveganja. Mislim, pripeljal sem se sem. Stopil sem na oder. Tvegal sem, ko sem prišel sem. Tvegal bom z odhodom in morebitnim padcem.

Kako pa poskrbimo, da so naše oči široko odprte za to, kar sprejemamo? In kako razumemo to pokrajino tveganja in jo uporabimo za določanje prednostnih nalog? In kako potem gledamo na to v 16 kritičnih sektorjih, ki so na različnih stopnjah zrelosti?

Industrije, kot je finančni sektor, so imele merljivo donosnost naložbe v kibernetsko varnost, vendar imamo druge sektorje, ki niso vlagali tako dolgo ali toliko na to področje. Želimo biti sposobni obravnavati tveganje na način, ki priznava, da so ljudje na različnih mestih, in to govori tako o velikih multinacionalnih korporacijah kot tudi o malih podjetjih. Ko pogledamo tveganja v dobavni verigi, velik del tega tveganja ne prebiva v velikih multinacionalnih korporacijah, ampak v malih podjetjih, ki ustvarjajo ta majhen košček, ta en pripomoček, ki je kritičen.

Zato je določanje prednosti za nas izziv, ker gledamo po celotnih panogah – navpično in vodoravno. Toda tisto, kar želimo poskusiti in storiti, je, da resnično razumemo, kaj je to sistemsko tveganje.

Mediji in varnostna industrija vedno govorijo o istih grožnjah. Katere so nekatere stvari, ki so vam na prvem mestu in o katerih ne slišimo vsak dan?

Mislim, da je največja grožnja samozadovoljstvo. Veliko se je govorilo o tem, kdo je nasprotnik in kako nasprotnik izgleda. In kako sodelujemo? Toda tisto, kar me resnično skrbi, je, da bi ljudje resnično razumeli možnost, da so žrtve, in kako dojemajo, da je grožnja njihova.

Tako stvari Colonial Pipeline kramp k temu so pomagali tudi drugi dogodki, ko so ljudje v preteklosti mislili: »Ne morem biti žrtev. Nihče ne bo prišel za menoj: sem majhno podjetje, ali sem majhna podeželska jurisdikcija, ali sem šola, in kaj imate. Niso zaskrbljeni zame. Skrbijo jih svetovna mesta New York, skrbijo jih velike multinacionalne korporacije.« Mislim, da vidimo, da ljudje vidijo, da je grožnja za njih resnična. 

Imeli smo incident z majhnim šolskim okrožjem, ki je bilo žrtev izsiljevalske programske opreme. Poklicali so na številko in rekli: »Nimamo denarja. Smo le ta majhen šolski okoliš. Ne razumeš.” In napadalci so rekli: "Ne, vemo, koliko denarja imate."

Kako razmišljate o tem, da bi zmanjšali del te otopelosti ali samozadovoljstva na strani splošne javnosti?

Mislim, da je to izobraževanje. Potrošnika spodbuja k postavljanju vprašanj. Torej, če greste na primer v banko, ali banka uporablja večfaktorsko avtentikacijo? Želite iskati te vrste zmogljivosti, pa tudi, kaj ta institucija naredi z vašimi osebnimi podatki in vašimi viri ter kakšna je vrednost tega.

Mislim, da bi ljudje razumeli celo stvari, kot je Internet stvari, in da v svet vnašamo veliko več ranljivosti, je pomembno. Mislim, imamo hladilnike povezane z internetom. Nisem proti temu. Ne vem, kaj počne drugače kot moj hladilnik. Toda vse te stvari prinašajo nove ranljivosti. 

Pred dnevi sem nekomu v šali rekel, da bi se rad vrnil na staro Motorola StarTAC dnevi. V naše mobilne naprave smo vnesli veliko zmogljivosti in tehnologije. Toda s tem smo prinesli tveganje. In mislim, da nismo porabili dovolj časa za govorjenje o tveganju, ker govorimo o velikosti slikovnih pik in zmožnosti igranja iger.

Mislim, da moramo vzgajati tudi naslednje generacije. Verjetno sem izgubljen. Verjamem, kar verjamem, veš, in kako spremeniš moje mnenje? Toda pogledam svoje otroke, ki prihajajo iz srednje šole, in ljudje si rečejo: "Oh, tako so kibernetsko podkovana.” In rekel bi, da niso — ponudil bi, da so tehnično zdrava. iPade uporabljajo odkar so bili stari dva meseca, vendar še vedno nalepijo geslo na zadnjo stran iPada ali na zadnjo stran tipkovnice.

Torej, mislim, da smo se izenačili tehnična podkovanost z kibernetska podkovanost. Narediti jih moramo kibernetsko podkovane. To moramo vgraditi v naslednjo generacijo, da jo bodo resnično vgradili v svoje vsakdanje življenje, tako osebno kot poklicno.

Ali obstajajo grožnje, s katerimi smo preprosto preveč obsedeni in nas verjetno odvračajo od resničnega tveganja?

Veliko časa porabimo za kratkoročno gledanje. To je narava, to je privzeto. Osredotočamo se na to, kar je tukaj in zdaj, kar je pred nami. Ne vem pa, ali namenjamo dovolj časa gledanju na daljši rok – če res, resnično gledamo, kako izgleda odpornost čez 5 let, 10 let, 15 let. In mislim, da zato, ker je težko. Ne vemo, kje bo tehnologija čez 5 ali 10 let, zato je težko oceniti, kam se osredotočiti. Zato se osredotočamo na tisto, kar je takoj pred nami.

Mislim, da moramo več časa nameniti tej dolgoročni odpornosti, ker bo potreben čas, da jo zgradimo. Ko gledam rešitve za podjetja ali vlado, je veliko teh stvari večletnih prizadevanj. In pogosto, vsaj v postopku državnega pridobivanja, ko določimo svoj obseg in opravimo nakup, je že zastarel. In spet začnemo cikel.

Največja stvar je sodelovanje z nami. S partnerji imamo odlične odnose da vemo. Najbolj me skrbi, da imamo veliko partnerjev ne vem.

Pogovorimo se o situaciji z Rusijo in Ukrajino. Ena od stvari, ki je bila kot pasivni opazovalec zelo zanimiva, je, da nismo imeli istega kaosa, kot smo ga imeli v preteklosti - NePetja in te stvari, ki so bile zasnovane in razvite, da bi motile Ukrajino, a so prišle ven in motile svetovno trgovino. Zdi se, da je bilo v tej ponovitvi veliko manj kolateralne škode. 

Je to zato, ker smo pravkar dosegli višjo raven in delamo veliko? Je to delo vlade glede voznih standardov in obveščanja ljudi? Ker smo dobili Ščiti gor obvestilo, ki so ga številni upravni odbori, v katerih sem, in ljudje, s katerimi delam, vzeli zelo resno. 

Mislim, da se je to spremenilo na več straneh. Zagotovo je prišlo do sprememb pri nasprotniku in nekaterih pristopih. Mislim, da so vsekakor spremembe s strani vlade in delo, ki smo ga opravili v nekaj letih, da bi resnično dvignili lestvico. Veliko tega je posledica sodelovanja z industrijo in veliko stvari, ki so industriji pomagale, da je postala bolj odporna. Mislim, da ljudje verjamejo v kibernetsko varnost bolj kot pred nekaj leti. In tako so nas vse te stvari skupaj pripeljale na dobro mesto.

Nekaj ​​časa sem bil na področju javnega zdravja in že dolgo se borimo s pandemijo. To za nas ni novo. In borili smo se s pandemijami, spomnim se, ko je udaril H1N1, kar smo mislili, da je pandemija. Malo smo vedeli. In veste, takrat smo pravzaprav rekli, da ne moremo preiti na popolno držo dela na daljavo ali dela na daljavo, ker sistemi IT tega niso zmogli. No, hitro naprej 12 let in uspelo nam je. Tega nam ni uspelo le zaradi prehoda v oblak – veliko stvari nas je pripeljalo do tega, kjer smo danes.

Zato mislim, da ko pogledamo NotPetya v primerjavi z zdaj, so del tega v resnici spremembe na nasprotni strani, spremembe na naši strani ter spremembe v partnerstvu in odnosu. Shields Up je odličen primer, ko se lahko nagnemo naprej in delimo veliko več informacij s partnerji v industriji, tako na tajni kot na nezaupni ravni. Kako pridemo do informacij? Kako pripravimo ljudi, da zaupajo informacijam, ki jih objavimo?

Naš cilj na koncu dneva ni, da vsak tajni dokument posredujemo vsem ali da vsi pridobimo varnostno preverjanje. Teh informacij ne bomo nikoli dobili pravočasno. To je posredovanje informacij na način, da jih lahko ljudje dejansko uporabijo. Z leti sem razvil nekakšno mantro o izmenjavi informacij. Zame je to: Kako pravočasno spraviti prave informacije do pravih ljudi, kar ima za posledico bolj informiran odločanje. Torej, čeprav je odločitev enaka, je vsaj bolje informirana.

In ko smo si ogledali ta dogodek in to, kar smo videli, smo imeli mehanizme za pridobivanje informacij. Imeli smo ljudi, ki so verjeli v kakovost informacij, ki so prihajale ven. Prav tako menim, da je smiselno nagniti se naprej in reči, da nimamo veliko informacij. In videli smo nekaj res edinstvenih stvari. Imeli smo veliko informacij, ki smo jih lahko precej hitro prenesli iz tajnega prostora na stopničke – v nekaterih primerih v rekordnem času – in smo jih resnično lahko uporabili, da smo spodbudili ljudi k odločanju o tem, kaj naj sprejmejo. Zato mislim, da je bil to močan in učinkovit odziv.

Vse pa je povezano s sodelovanjem in partnerstvom, saj ne dajemo samo mi informacij, če jih ni mogoče uporabiti. In dokler ne dobimo povratnih informacij in resnično zgradimo teh sistemov na način, ki nam omogoča sodelovanje, tega ne bomo spremenili nacionalni pokrajino, ko gledamo kritično infrastrukturo.

Gledam svoje otroke, ki prihajajo iz srednje šole, in ljudje si rečejo: »Oh, tako so kibernetsko podkovana.” In rekel bi, da niso — ponudil bi, da so tehnično zdrava. iPade uporabljajo odkar so bili stari dva meseca, vendar še vedno nalepijo geslo na zadnjo stran iPada ali na zadnjo stran tipkovnice.

Rad bi izvedel vaše mnenje o izsiljevalski programski opremi. Administracija se je zelo resno lotila tega. In tako se zgodi, da je večinoma osredotočeno na področja, ki se zdaj borijo med seboj. Zanima me, kakšen je vaš pristop k ravnanju z izsiljevalsko programsko opremo in kako morda nekaj od tega odpravite. Ker se zdi, da je morda bolje ...

Naredil bom svoj vtič za naše spletno mesto z izsiljevalsko programsko opremo, kjer smo poskušali vse skupaj združiti v osrednjo spletno stran, da bi informacije dobili ven. Mislim pa, da je veliko odvisno od izobrazbe. Ljudi izobražuje, da ne boste prejeli milijona dolarjev po e-pošti – dobili boste velik papirnati ček, nekdo bo prišel na vaša vrata in pozvonil. Mislim, da je treba ljudem dati vedeti, kdo so morebitne žrtve.

Sva imela incident z majhnim šolskim okrožjem, ki je bilo žrtev izsiljevalske programske opreme. Poklicali so na številko in rekli: »Nimamo denarja. Smo le ta majhen šolski okoliš. Ne razumeš.”

In napadalci so rekli: »Ne, vemo, koliko denarja imate. Imamo izpiske vašega bančnega računa. Vemo, koliko imate. In vemo, koliko lahko plačate, in to, kar vas prosimo, je precej sorazmerno s tem, koliko imate na banki. Torej ne vzamemo vsega, nekaj malega pustimo. Toda v resnici je to tisto, kar si želimo.”

In šolski okoliš je rekel: »No, hočeš Bitcoin. Ne vem, kako naj to naredim.” 

»Imamo službo za pomoč uporabnikom. Imamo službe za pomoč v 14 različnih jezikih, ki vam lahko pomagajo pridobiti bitcoin. Torej, kako vam lahko pomagamo?"

Zato menim, da moramo z izsiljevalsko programsko opremo ljudem omogočiti, da razumejo ranljivosti, tveganja, kdo so lahko tarče in dejanja, ki jih je treba izvesti [glejte skupno svetovanje CISA Trendi izsiljevalske programske opreme 2021]. In denarni učinek. Z napadi izsiljevalske programske opreme in z drugimi vrstami stvari, ki jih vidimo, so ljudje individualna uporabniki. Mislim pa tudi, da so ljudje začeli biti pozorni. Mislim, da ljudje ne klikajo vsega.

I do skrbi za stvari, kot so pandemije in tiste vrste stvari, kjer imamo povečan potencial priložnosti. Ali nekdo, ki ima v mapi »Prejeto« 300 e-poštnih sporočil in jih mora samo prebrati, ki postane žrtev takšnih stvari. In zato moramo vzdrževati pritisk. Moramo nadaljevati s sporočanjem. 

In tega moramo pripraviti tudi do mlajše generacije. Ker sem naredila napako, ko sem brskala po mapi »Prejeto« svojega srednješolca. In ne vem, ali berejo svojo e-pošto ali kaj. Ne vem, kaj imajo ... obstaja na stotine - na stotine - e-poštnih sporočil. Sploh ne vem, od kod so in kako so jih dobili. Kako izobrazimo to naslednjo generacijo, da bo v boljšem kraju?

Naš cilj na koncu dneva ni, da vsak tajni dokument posredujemo vsem ali da vsi pridobimo varnostno preverjanje. . . . Zame je to: Kako pravočasno pridobiti prave informacije do pravih ljudi, kar ima za posledico bolj informiran odločanje.

Odlično bi bilo razumeti, kako lahko v zasebnem sektorju bolje sodelujemo z vlado in pomagamo izboljšati stvari. Ker je to ena od ekipnih športov, kjer vsi skupaj izgubimo, če ne zmagamo.

Mislim, da je največja stvar sodelovanje z nami. S partnerji imamo odlične odnose da vemo. Najbolj me skrbi, da imamo veliko partnerjev ne vem. Ne vemo, kje so, ali kako priti tja. CISA je rastoča organizacija – po vsej državi imamo terensko enoto s približno 500 ljudmi in to moramo še naprej povečevati – toda že 500 ljudi je kaplja čez rob. Zato moramo vedeti, kako sodelovati in s kom sodelovati. In tu mislim, da lahko industrija pomaga, ker obstaja veliko več priložnosti za sodelovanje industrije, da nas poveže s tistimi pravimi partnerji, ki nam lahko pomagajo dvigniti to lestvico odpornosti.

In potem naj bomo pošteni. Ohrani nas poštene in nas izobražuj. Veste, res se trudimo, da bi se nagnili naprej pri mnogih naših obveznostih, ker menim, da je bilo v preteklosti veliko strahu glede tega, kako sodelujemo z industrijo: "Kaj lahko storimo?" "Kaj lahko rečemo?" "Česa ne moremo reči?" 

V podjetju CISA smo zdaj zgradili ekipo, ki je res usmerjena v prihodnost in se ne bojimo tega sodelovanja. Da, obstajajo črte, vendar imamo znotraj teh črt veliko širine. Resnično poskušamo ostati znotraj teh varovalnih ograj – nočemo strmoglaviti skozenj in zleteti s pečine – toda dokler ostajamo znotraj teh varovalnih ograj, smo v redu.

Zato mislim, da je največja stvar povedati nam tisto, česar ne vemo. In vem, da veliko ne vemo. Toda pomoč pri izobraževanju o tem, kaj to so, pomoč, da ostanemo odgovorni za to, kar počnemo ali ne počnemo, mislim, da nam bo resnično pomagalo napredovati in narediti pomembne skoke, ki jih moramo narediti.

Objavljeno 4. julija 2022