S3 Tập142: Đưa X vào X-Ops

Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.

VỊT.  Chào mọi người.

Chào mừng bạn đến với podcast Bảo mật Trần trụi.

Như bạn có thể nghe, tôi không phải Doug, tôi là Vịt.

Doug đang đi nghỉ tuần này, vì vậy tôi được tham gia vào tập này bởi người bạn lâu năm và đồng nghiệp an ninh mạng của tôi, Matt Holdcroft.

Matt, bạn và tôi quay trở lại những ngày đầu của Sophos…

…và lĩnh vực bạn làm việc hiện tại là bộ phận an ninh mạng của cái được gọi là “DevSecOps”.

Khi nói đến X-Ops, bạn có thể nói rằng bạn đã ở đó với tất cả các giá trị có thể có của X.

Hãy cho chúng tôi biết điều gì đó về cách bạn đạt được vị trí hiện tại, bởi vì đó là một câu chuyện hấp dẫn.

---

MATT.  Công việc đầu tiên của tôi tại Sophos là Quản trị viên và Nhà phát triển Lotus Notes, và tôi đã làm việc trong Phòng Sản xuất khi đó, vì vậy tôi chịu trách nhiệm sao chép các đĩa mềm.

Đây là những đĩa mềm THỰC SỰ, mà bạn thực sự có thể thất bại!

---

VỊT.  [LỚN CƯỜI] Vâng, loại 5.25″…

---

MATT.  Có!

Hồi đó, thật dễ dàng.

Chúng tôi có an ninh vật lý; bạn có thể thấy mạng; bạn biết một máy tính đã được kết nối mạng vì nó có một chút dây cáp đi ra phía sau.

(Mặc dù nó có thể không được kết nối mạng vì ai đó đã làm mất thiết bị đầu cuối ở cuối [cáp].)

Vì vậy, chúng tôi có những quy tắc đơn giản, hay về việc ai có thể đi đến đâu, và ai có thể dán cái gì vào cái gì, và cuộc sống khá đơn giản.

---

VỊT.  Những ngày này, nó gần như ngược lại, phải không?

Nếu một máy tính không kết nối mạng, thì nó sẽ không thể giúp công ty đạt được mục tiêu của mình và gần như không thể quản lý được.

Bởi vì nó cần có khả năng tiếp cận đám mây để làm bất cứ điều gì hữu ích và bạn cần có khả năng tiếp cận nó, với tư cách là người điều hành bảo mật, thông qua đám mây, để đảm bảo rằng nó luôn hoạt động tốt.

Nó gần như là một tình huống Catch-22, phải không?

---

MATT.  Vâng.

Nó hoàn toàn lộn ngược.

Vâng, một máy tính không được kết nối là an toàn… nhưng nó cũng vô dụng, bởi vì nó không hoàn thành mục đích của nó.

Tốt hơn hết là bạn nên liên tục trực tuyến để có thể liên tục nhận được các bản cập nhật mới nhất và bạn có thể theo dõi nó, đồng thời bạn có thể nhận được phép đo từ xa thực tế từ nó, thay vì có thứ gì đó mà bạn có thể kiểm tra cách ngày.

---

VỊT.  Như bạn nói, thật trớ trêu khi việc lên mạng vô cùng rủi ro, nhưng đó cũng là cách duy nhất để quản lý rủi ro đó, đặc biệt là trong một môi trường mà mọi người không có mặt tại văn phòng hàng ngày.

---

MATT.  Vâng, ý tưởng Mang theo thiết bị của riêng bạn [BYOD] sẽ không quay trở lại trong ngày, phải không?

Nhưng chúng tôi đã có Build Your Own Device khi tôi gia nhập Sophos.

Bạn phải đặt hàng các bộ phận và xây dựng chiếc PC đầu tiên của mình.

Đó là một nghi thức của đoạn văn!

---

VỊT.  Nó khá đẹp…

…bạn có thể chọn, trong lý do, phải không?

---

MATT.  [CƯỜI] Vâng!

---

VỊT.  Tôi có nên giảm bớt dung lượng ổ đĩa một chút không, và sau đó có lẽ tôi có thể có [DRAMATIC VOICE] TÁM MEGABYTES RAM!!?!

---

MATT.  Đó là thời đại của 486es, đĩa mềm và fax, khi chúng ta bắt đầu, phải không?

Tôi nhớ những chiếc Pentium đầu tiên được đưa vào công ty, và đó là, “Chà! Nhìn nó!"

---

VỊT.  Ba lời khuyên hàng đầu của bạn cho các nhà khai thác an ninh mạng ngày nay là gì?

Bởi vì chúng rất khác so với cái cũ, “Ồ, chúng ta hãy coi chừng phần mềm độc hại và sau đó, khi chúng tôi tìm thấy nó, chúng tôi sẽ dọn dẹp nó.”

---

MATT.  Paul, một trong những thứ đã thay đổi rất nhiều kể từ đó, đó là ngày trước, bạn có một chiếc máy bị nhiễm virus và mọi người đều cố gắng khử trùng chiếc máy đó.

Một loại vi-rút có thể thực thi sẽ lây nhiễm *tất cả* các tệp thực thi trên máy tính và việc đưa nó trở lại trạng thái “tốt” thực sự rất khó hiểu, bởi vì nếu bạn bỏ lỡ bất kỳ sự lây nhiễm nào (giả sử bạn có thể khử trùng), thì bạn sẽ quay lại trạng thái bình thường như ngay sau khi tập tin đó được gọi.

Và chúng tôi không có, như chúng tôi có bây giờ, chữ ký điện tử và bảng kê khai, v.v., nơi bạn có thể quay lại trạng thái đã biết.

---

VỊT.  Có vẻ như phần mềm độc hại là mấu chốt của vấn đề, bởi vì mọi người mong đợi bạn dọn sạch nó, và về cơ bản là loại bỏ con ruồi khỏi lọ thuốc mỡ, sau đó đưa lại lọ thuốc mỡ và nói: “Mọi người có thể sử dụng ngay bây giờ .”

---

MATT.  Động cơ đã thay đổi, bởi vì hồi đó những người viết vi-rút muốn lây nhiễm càng nhiều tệp càng tốt, và họ thường chỉ làm điều đó “cho vui”.

Trong khi những ngày này, họ muốn nắm bắt một hệ thống.

Vì vậy, họ không quan tâm đến việc lây nhiễm mọi tệp thực thi.

Họ chỉ muốn kiểm soát máy tính đó, cho bất kỳ mục đích gì.

---

VỊT.  Trên thực tế, thậm chí có thể không có bất kỳ tệp bị nhiễm nào trong cuộc tấn công.

Họ có thể đột nhập vì họ đã mua mật khẩu từ ai đó, và sau đó, khi họ vào được, thay vì nói: “Này, hãy thả một con vi-rút sẽ kích hoạt đủ loại báo động”…

…họ sẽ nói, “Hãy tìm những công cụ quản trị hệ thống xảo quyệt nào đã có ở đó mà chúng ta có thể sử dụng theo cách mà một quản trị hệ thống thực thụ sẽ không bao giờ làm được.”

---

MATT.  Theo nhiều cách, nó không thực sự độc hại cho đến khi…

…Tôi nhớ mình đã kinh hoàng khi đọc mô tả về một loại vi-rút cụ thể có tên là “Ripper”.

Thay vì chỉ lây nhiễm các tập tin, nó sẽ âm thầm di chuyển và xoay các bit trên hệ thống của bạn.

Vì vậy, theo thời gian, bất kỳ tệp hoặc bất kỳ khu vực nào trên đĩa của bạn đều có thể bị hỏng một cách tinh vi.

Sáu tháng sau, bạn có thể đột nhiên thấy rằng hệ thống của mình không sử dụng được nữa và bạn không biết những thay đổi nào đã được thực hiện.

Tôi nhớ rằng điều đó khiến tôi khá sốc, bởi vì trước đó, vi-rút đã gây khó chịu; một số có động cơ chính trị; và một số chỉ là những người đang thử nghiệm và “vui vẻ”.

Những con virus đầu tiên được viết như một bài tập trí tuệ.

Và tôi nhớ, ngày trước, chúng tôi thực sự không thể tìm ra cách nào để kiếm tiền từ việc lây nhiễm, mặc dù chúng rất khó chịu, bởi vì bạn gặp vấn đề về “Trả tiền vào tài khoản ngân hàng này” hoặc “Để tiền dưới tảng đá này trong công viên địa phương”…

…vốn luôn dễ bị chính quyền thu nhặt.

Sau đó, tất nhiên, Bitcoin xuất hiện. [CƯỜI]

Điều đó làm cho toàn bộ phần mềm độc hại trở nên khả thi về mặt thương mại, điều mà cho đến lúc đó thì không.

---

VỊT.  Vì vậy, hãy quay lại với những Mẹo hàng đầu đó, Matt!

Bạn có lời khuyên gì về ba điều mà các nhà khai thác an ninh mạng có thể làm để mang lại cho họ, nếu bạn muốn, lợi nhuận cao nhất?

---

MATT.  OK.

Mọi người đều đã nghe điều này trước đây: Vá.

Bạn phải vá, và bạn phải vá thường xuyên.

Bạn để vết vá càng lâu… nó giống như việc bạn không đi khám nha sĩ: bạn càng để lâu, tình trạng sẽ càng tồi tệ hơn.

Bạn có nhiều khả năng đạt được một sự thay đổi đột phá.

Nhưng nếu bạn vá lỗi thường xuyên, ngay cả khi bạn gặp sự cố, bạn có thể đối phó với điều đó và theo thời gian, bạn sẽ làm cho ứng dụng của mình tốt hơn.

---

VỊT.  Thật vậy, nâng cấp từ OpenSSL 3.0 lên 3.1 dễ dàng hơn nhiều so với nâng cấp từ OpenSSL 1.0.2 lên OpenSSL 3.1.

---

MATT.  Và nếu ai đó đang thăm dò môi trường của bạn và họ có thể thấy rằng bạn không cập nhật bản vá của mình… thì, thì, “Còn điều gì khác mà chúng ta có thể khai thác? Nó đáng để xem xét lại!”

Trong khi một người nào đó đã được vá đầy đủ… thì có lẽ họ giỏi hơn mọi thứ.

Nó giống như cái cũ Hướng dẫn về thiên hà của Hitchhiker's: miễn là bạn có khăn tắm của mình, họ cho rằng bạn có mọi thứ khác.

Vì vậy, nếu bạn đã vá đầy đủ, thì có lẽ bạn đang ở trên đầu mọi thứ khác.

---

VỊT.  Vì vậy, chúng tôi đang vá.

Điều thứ hai chúng ta cần làm là gì?

---

MATT.  Bạn chỉ có thể vá những gì bạn biết về.

Vì vậy, điều thứ hai là: Giám sát.

Bạn phải biết tài sản của bạn.

Theo như những gì đang chạy trên máy của bạn, gần đây đã có rất nhiều nỗ lực với SBOM, Phần mềm Hóa đơn vật tư.

Bởi vì mọi người đã hiểu rằng đó là cả chuỗi…

---

VỊT.  Chính xác!

---

MATT.  Thật không hay khi nhận được cảnh báo nói rằng, “Có một lỗ hổng trong thư viện này nọ,” và câu trả lời của bạn là, “OK, tôi phải làm gì với kiến ​​thức đó?”

Biết những máy nào đang chạy và những gì đang chạy trên những máy đó…

…và, đưa nó trở lại để vá, “Họ đã thực sự cài đặt các bản vá chưa?”

---

VỊT.  Hoặc có kẻ gian lẻn vào rồi biến mất, “A ha! Họ nghĩ rằng họ đã được vá lỗi, vì vậy nếu họ không kiểm tra kỹ xem họ đã được vá chưa, có lẽ tôi có thể hạ cấp một trong những hệ thống này và mở cho mình một cửa hậu mãi mãi, vì họ nghĩ rằng họ đã gặp sự cố sắp xếp.”

Vì vậy, tôi đoán câu nói sáo rỗng là, "Luôn đo lường, không bao giờ giả định."

Bây giờ tôi nghĩ tôi biết mẹo thứ ba của bạn là gì và tôi nghi ngờ đó sẽ là mẹo khó nhất/gây tranh cãi nhất.

Vì vậy, hãy để tôi xem liệu tôi có đúng không… nó là gì?

---

MATT.  Tôi sẽ nói đó là: Giết chết. (Hoặc loại bỏ.)

Theo thời gian, các hệ thống tích tụ lại… chúng được thiết kế, xây dựng và mọi người tiếp tục.

---

VỊT.  [CƯỜI] Tích lũy! [CƯỜI LỚN HƠN]

Giống như vôi hóa…

---

MATT.  Hay hà…

---

VỊT.  Đúng! [CƯỜI]

---

MATT.  Hàu trên con tàu vĩ đại của công ty bạn.

Họ có thể đang làm công việc hữu ích, nhưng có thể họ đang làm với công nghệ thịnh hành cách đây XNUMX năm hoặc XNUMX năm khi hệ thống được thiết kế.

Tất cả chúng ta đều biết các nhà phát triển yêu thích bộ công cụ mới hoặc ngôn ngữ mới như thế nào.

Khi bạn đang theo dõi, bạn cần để mắt đến những điều này và nếu hệ thống đó đang hoạt động lâu dài, bạn phải đưa ra quyết định khó khăn và loại bỏ nó.

Và một lần nữa, giống như với việc vá lỗi, bạn càng để nó lâu, bạn càng có nhiều khả năng quay lại và nói, "Hệ thống đó thậm chí còn làm được gì?"

Điều rất quan trọng là luôn luôn suy nghĩ về vòng đời khi bạn triển khai một hệ thống mới.

Hãy nghĩ xem, “Được rồi, đây là phiên bản 1 của tôi, nhưng tôi sẽ giết nó bằng cách nào? Khi nào nó sẽ chết?”

Đặt ra một số kỳ vọng cho doanh nghiệp, cho khách hàng nội bộ của bạn và điều tương tự cũng xảy ra với khách hàng bên ngoài.

---

VỊT.  Vì vậy, Matt, lời khuyên của bạn cho những gì tôi biết có thể là một công việc rất khó khăn đối với một người trong nhóm bảo mật (thường điều này trở nên khó khăn hơn khi công ty lớn hơn) để giúp họ bán ý tưởng?

Ví dụ: “Bạn không còn được phép viết mã bằng OpenSSL 1 nữa. Bạn phải chuyển sang phiên bản 3. Tôi không quan tâm nó khó như thế nào!”

Làm thế nào để bạn truyền tải thông điệp đó khi mọi người khác trong công ty đang đẩy lùi bạn?

---

MATT.  Trước hết… bạn không thể đọc chính tả.

Bạn cần đưa ra những tiêu chuẩn rõ ràng và những tiêu chuẩn đó cần được giải thích.

Bạn được giảm giá vì chúng tôi giao hàng sớm mà không khắc phục được sự cố?

Nó sẽ bị lu mờ bởi dư luận xấu rằng chúng tôi có lỗ hổng bảo mật hoặc chúng tôi vận chuyển có lỗ hổng bảo mật.

Luôn luôn tốt hơn để ngăn chặn hơn là sửa chữa.

---

VỊT.  Chắc chắn rồi!

---

MATT.  Tôi hiểu, từ cả hai phía, rằng điều đó thật khó khăn.

Nhưng càng để lâu càng khó thay đổi.

Thiết lập những điều này với, “Tôi sẽ sử dụng phiên bản này và sau đó tôi sẽ thiết lập và quên”?

Không!

Bạn phải xem cơ sở mã của mình và để biết có gì trong cơ sở mã của mình và nói: “Tôi đang dựa vào các thư viện này; Tôi đang dựa vào những tiện ích này,” v.v.

Và bạn phải nói, “Bạn cần nhận thức được rằng tất cả những thứ đó đều có thể thay đổi, và hãy đối mặt với nó.”

---

VỊT.  Vì vậy, có vẻ như bạn đang nói rằng liệu luật có bắt đầu yêu cầu các nhà cung cấp phần mềm rằng họ phải cung cấp Hóa đơn tài liệu phần mềm (SBOM, như bạn đã đề cập trước đó) hay không…

…dù sao thì bạn cũng thực sự cần duy trì một thứ như vậy bên trong tổ chức của mình, chỉ để bạn có thể đo lường vị trí của mình trên nền tảng an ninh mạng.

---

MATT.  Bạn không thể phản ứng về những điều đó.

Thật không hay khi nói, “Lỗ hổng đó đã được tung ra trên báo chí một tháng trước? Bây giờ chúng tôi đã kết luận rằng chúng tôi an toàn.”

[CƯA] Điều đó không tốt! [CƯỜI THÊM]

Thực tế là mọi người sẽ bị ảnh hưởng bởi những cuộc tranh giành điên cuồng này để khắc phục các lỗ hổng.

Có một số vấn đề lớn sắp xảy ra, có khả năng, với những thứ như mã hóa.

Một ngày nào đó, NIST có thể thông báo, “Chúng tôi không còn tin tưởng bất cứ điều gì liên quan đến RSA nữa.”

Và mọi người sẽ ở trên cùng một chiếc thuyền; mọi người sẽ phải tranh giành để triển khai mật mã mới, an toàn lượng tử.

Tại thời điểm đó, nó sẽ là, "Bạn có thể khắc phục sự cố của mình nhanh như thế nào?"

Mọi người sẽ làm điều tương tự.

Nếu bạn đã chuẩn bị cho nó; nếu bạn biết phải làm gì; nếu bạn hiểu rõ về cơ sở hạ tầng và mã của mình…

…nếu bạn có thể đứng đầu nhóm và nói, “Chúng tôi đã làm được điều đó trong vài ngày chứ không phải vài tuần”?

Đó là một lợi thế thương mại, cũng như là điều nên làm.

---

VỊT.  Vì vậy, hãy để tôi tóm tắt ba Mẹo hàng đầu của bạn thành những gì tôi nghĩ đã trở thành bốn và xem liệu tôi đã hiểu đúng chưa.

Mẹo 1 là cũ tốt Vá sớm; vá thường xuyên.

Chờ đợi hai tháng, giống như mọi người đã làm trong những ngày của Wannacry… điều đó không thỏa đáng sáu năm trước, và chắc chắn là còn lâu, quá lâu vào năm 2023.

Thậm chí hai tuần là quá dài; bạn cần nghĩ, “Nếu tôi cần làm việc này trong hai ngày, thì làm sao tôi có thể làm được?”

Mẹo 2 là Giám sát, hoặc theo cách nói sáo rỗng của tôi, "Luôn đo lường, không bao giờ giả định."

Bằng cách đó, bạn có thể đảm bảo rằng các bản vá được cho là thực sự có ở đó và để bạn thực sự có thể tìm ra “máy chủ trong tủ dưới cầu thang” mà ai đó đã quên.

Mẹo 3 là Giết/Cull, có nghĩa là bạn xây dựng một nền văn hóa trong đó bạn có thể vứt bỏ những sản phẩm không còn phù hợp với mục đích sử dụng.

Và một loại mẹo phụ trợ 4 là Hãy nhanh nhẹn, để khi khoảnh khắc Giết/Cull đó xuất hiện, bạn thực sự có thể làm điều đó nhanh hơn những người khác.

Bởi vì điều đó tốt cho khách hàng của bạn và nó cũng giúp bạn (như bạn đã nói) có lợi thế thương mại.

Nó có đúng không?

---

MATT.  Nghe có vẻ thích đấy!

---

VỊT.  [TRIUMPHANT] Bốn việc đơn giản cần làm chiều nay. [CƯỜI]

---

MATT.  Đúng! [CƯỜI THÊM]

---

VỊT.  Giống như an ninh mạng nói chung, chúng là những hành trình chứ không phải là điểm đến?

---

MATT.  Có!

Và đừng để “tốt nhất” là kẻ thù của “tốt hơn”. (Hoặc “tốt”.)

Vì thế…

Vá.

Giám sát.

Giết chết. (Hoặc là loại bỏ.)

Và: Nhanh nhẹn… hãy sẵn sàng cho sự thay đổi.

---

VỊT.  Matt, đó là một cách tuyệt vời để kết thúc.

Cảm ơn bạn rất nhiều vì đã bước lên micrô trong thời gian ngắn.

Như mọi khi, đối với thính giả của chúng tôi, nếu bạn có bất kỳ nhận xét nào, bạn có thể để lại chúng trên trang Naked Security hoặc liên hệ với chúng tôi trên mạng xã hội: @nakedsecurity.

Bây giờ tôi chỉ có thể nói, như thường lệ: Cho đến lần sau…

---

CẢ HAI.  Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]