S3 Ep146: Hãy cho chúng tôi biết về vi phạm đó! (Nếu bạn muốn.)

S3 Ep146: Hãy cho chúng tôi biết về vi phạm đó! (Nếu bạn muốn.)

Dấu thời gian: 3:2023 PM ngày 1 tháng 56 năm XNUMX
S3 Ep146: Hãy kể cho chúng tôi về vi phạm đó! (Nếu bạn muốn.) PlatoBlockchain Data Intelligence. Tìm kiếm dọc. Ái.
by Paul Ducklin

KỲ LẠ NHƯNG CÓ THẬT

Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.

Với Doug Aamoth và Paul Ducklin. Nhạc giới thiệu và kết thúc bởi Edith Mudge.

Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.

ĐỌC BẢNG BIỂU

CHÓ.  Cập nhật Firefox, khác Lỗi có tên ấn tượng, và SEC yêu cầu tiết lộ.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, tôi hy vọng bạn sẽ tự hào về tôi… Tôi biết bạn là một người đam mê đạp xe.

Hôm qua tôi đã đạp xe 10 dặm Mỹ, mà tôi tin là khoảng 16 km, trong khi kéo theo một đứa trẻ nhỏ nhưng không nặng lắm phía sau xe đạp trong một chiếc xe hai bánh.

Và tôi vẫn còn sống để kể câu chuyện.

Đó có phải là một chặng đường dài để đi xe đạp, Paul?

VỊT.  [CƯỜI] Nó phụ thuộc vào việc bạn thực sự cần đi bao xa.

Giống như, nếu bạn thực sự phải đi 1200 mét và bị lạc… [CƯỜI]

Niềm đam mê đạp xe của tôi rất cao, nhưng điều đó không có nghĩa là tôi cố tình đạp xe xa hơn mức cần thiết, bởi vì đó là cách di chuyển chính của tôi.

Nhưng 10 dặm là OK.

Bạn có biết rằng dặm Mỹ và dặm Anh là, trên thực tế, giống hệt nhau?

CHÓ.  Đó là tốt để biết!

VỊT.  Và đã xảy ra kể từ năm 1959, khi một loạt các quốc gia, theo tôi nghĩ, bao gồm Canada, Nam Phi, Úc, Hoa Kỳ và Vương quốc Anh đã cùng nhau thống nhất và đồng ý tiêu chuẩn hóa trên một “inch quốc tế”.

Tôi nghĩ rằng inch của Đế quốc nhỏ hơn rất, rất nhỏ và inch của Mỹ dài hơn rất, rất nhiều, với kết quả là inch (và do đó là thước Anh, bàn chân và dặm)…

…tất cả chúng đều được xác định theo đơn vị mét.

Một inch chính xác là 25.4mm

Ba con số đáng kể là tất cả những gì bạn cần.

CHÓ.  Lôi cuốn, hấp dẫn, quyến rũ!

Chà, nói về sự hấp dẫn, đã đến lúc chúng ta Tuần này trong Lịch sử Công nghệ phân khúc.

Tuần này, vào ngày 01 tháng 1981 năm XNUMX, Truyền hình Âm nhạc, còn được gọi là MTV, đã phát trực tiếp như một phần của các gói truyền hình vệ tinh và cáp của Mỹ, đồng thời giới thiệu đến công chúng các video âm nhạc.

Bài hát đầu tiên được phát [HÁT, THỰC TẾ RẤT TỐT] “Video Killed the Radio Star” của The Buggles.

Phù hợp vào thời điểm đó, mặc dù ngày nay thật trớ trêu khi MTV hiếm khi phát video âm nhạc nữa và không phát bất kỳ video âm nhạc mới nào, Paul.

VỊT.  Vâng, thật trớ trêu phải không, truyền hình cáp (nói cách khác, nơi bạn có dây điện chạy ngầm vào nhà) đã giết chết ngôi sao radio (hoặc không dây), và bây giờ có vẻ như truyền hình cáp, MTV… kiểu đó đã chết vì mọi người đều có mạng di động hoạt động không dây.

Cái gì đến sẽ đến, Douglas.

CHÓ.  Được rồi, chúng ta hãy nói về các bản cập nhật Firefox này.

Chúng tôi nhận được gấp đôi số lượng bản cập nhật Firefox trong tháng này vì chúng đang trong chu kỳ 28 ngày:

Firefox sửa một loạt lỗi trong hai bản phát hành đầu tiên trong tháng này

Không có ngày nào trong vòng đầu tiên ra khỏi cổng này, mà là một số khoảnh khắc có thể dạy được.

Chúng tôi đã liệt kê có thể một nửa trong số này trong bài viết của bạn và một điều thực sự nổi bật với tôi là: Quyền tiềm năng yêu cầu bỏ qua thông qua clickjacking.

VỊT.  Vâng, clickjacking cũ tốt một lần nữa.

Tôi thích thuật ngữ đó bởi vì nó mô tả khá nhiều những gì nó là.

Bạn bấm vào một nơi nào đó, nghĩ rằng bạn đang bấm vào một nút hoặc một liên kết vô hại, nhưng bạn đang vô tình cho phép điều gì đó xảy ra mà không rõ ràng từ những gì màn hình hiển thị dưới con trỏ chuột của bạn.

Vấn đề ở đây dường như là trong một số trường hợp, chẳng hạn như khi hộp thoại cấp quyền sắp bật lên từ Firefox, hãy nói: “Bạn có thực sự chắc chắn muốn cho phép trang web này sử dụng máy ảnh của mình không? có quyền truy cập vào vị trí của bạn? sử dụng micrô của bạn?”…

…tất cả những điều mà, vâng, bạn muốn được hỏi.

Rõ ràng, nếu bạn có thể đưa trình duyệt đến điểm hiệu suất (một lần nữa, hiệu suất so với bảo mật), nơi nó đang cố gắng theo kịp, thì bạn có thể trì hoãn sự xuất hiện của cửa sổ bật lên về quyền.

Nhưng bằng cách có một nút ở nơi cửa sổ bật lên sẽ xuất hiện và thu hút người dùng nhấp vào nút đó, bạn có thể thu hút lượt nhấp, nhưng lượt nhấp sau đó sẽ được gửi đến hộp thoại cấp quyền mà bạn chưa thấy rõ.

Một loại điều kiện cuộc đua trực quan, nếu bạn muốn.

CHÓ.  OK, và một cái khác là: Canvas ngoài màn hình có thể đã bỏ qua các hạn chế về nguồn gốc chéo.

Bạn tiếp tục nói rằng một trang web có thể nhìn trộm hình ảnh được hiển thị trong một trang khác từ một trang web khác.

VỊT.  Điều đó không nên xảy ra, phải không?

CHÓ.  Không!

VỊT.  Thuật ngữ biệt ngữ cho điều đó là “chính sách cùng nguồn gốc”.

Nếu bạn đang chạy trang web X và bạn gửi cho tôi một đống JavaScript đặt toàn bộ tải cookie, thì tất cả những thứ đó được lưu trữ trong trình duyệt.

Nhưng chỉ JavaScript khác từ trang X mới có thể đọc lại dữ liệu đó.

Thực tế là bạn đang duyệt trang X trong một tab và trang Y trong tab kia không cho phép họ xem được trang kia đang làm gì và trình duyệt phải tách biệt tất cả nội dung đó.

Điều đó rõ ràng là khá quan trọng.

Và có vẻ như ở đây, theo như tôi hiểu, nếu bạn đang hiển thị một trang chưa được hiển thị…

…một canvas ngoài màn hình, là nơi bạn tạo, nếu thích, một trang web ảo và sau đó tại một thời điểm nào đó trong tương lai, bạn nói: “Ngay bây giờ tôi đã sẵn sàng để hiển thị nó,” và chơi lô tô, trang xuất hiện ở tất cả một lần.

Vấn đề xảy ra với việc cố gắng đảm bảo rằng nội dung mà bạn đang hiển thị ẩn không vô tình làm rò rỉ dữ liệu, mặc dù cuối cùng nó không bao giờ được hiển thị cho người dùng.

Họ đã phát hiện ra điều đó, hoặc nó đã được tiết lộ một cách có trách nhiệm và nó đã được vá.

Và hai cái đó, tôi nghĩ, được bao gồm trong cái gọi là lỗ hổng cấp độ “Cao”.

Hầu hết những người khác là “Trung bình”, ngoại trừ truyền thống của Mozilla, “Chúng tôi đã tìm thấy rất nhiều lỗi thông qua kỹ thuật làm mờ và thông qua các kỹ thuật tự động; chúng tôi đã không thăm dò chúng để tìm hiểu xem liệu chúng có thể bị khai thác hay không, nhưng chúng tôi sẵn sàng cho rằng ai đó đã cố gắng hết sức có thể làm được điều đó.”

Đó là lời thừa nhận mà cả hai chúng ta đều rất thích, Doug... bởi vì các lỗi tiềm ẩn đáng bị loại bỏ, ngay cả khi bạn cảm thấy chắc chắn trong thâm tâm rằng sẽ không ai tìm ra cách khai thác chúng.

Bởi vì trong lĩnh vực an ninh mạng, bạn không bao giờ được nói không bao giờ!

CHÓ.  Được rồi, bạn đang tìm Firefox 116 hoặc nếu bạn đang dùng bản phát hành mở rộng, 115.1.

Tương tự với Thunderbird

Và hãy chuyển sang… oh, anh bạn!

Paul, điều này thật thú vị!

Chúng tôi có một BWAIN mới sau một BWAIN kép vào tuần trước: một lỗi có tên ấn tượng.

Cái này được gọi là Va chạm + Sức mạnh:

Xung đột về hiệu năng và bảo mật một lần nữa trong cuộc tấn công “Collide+Power”

VỊT.  [CƯỜI] Vâng, thật thú vị phải không, khi họ chọn một cái tên có dấu cộng trong đó?

CHÓ.  Vâng, điều đó làm cho nó khó nói.

VỊT.  Bạn không thể có dấu cộng trong tên miền của mình, vì vậy tên miền là collidepower.com.

CHÓ.  Được rồi, hãy để tôi đọc từ chính các nhà nghiên cứu, và tôi trích dẫn:

Nguyên nhân của vấn đề là các thành phần CPU được chia sẻ, chẳng hạn như hệ thống bộ nhớ trong, kết hợp dữ liệu của kẻ tấn công và dữ liệu từ bất kỳ ứng dụng nào khác, dẫn đến tín hiệu rò rỉ kết hợp trong mức tiêu thụ điện năng.

Do đó, khi biết dữ liệu của chính mình, kẻ tấn công có thể xác định các giá trị dữ liệu chính xác được sử dụng trong các ứng dụng khác.

VỊT.  [CƯA] Vâng, điều đó rất hợp lý nếu bạn đã biết họ đang nói về điều gì!

Để thử và giải thích điều này bằng tiếng Anh đơn giản (tôi hy vọng tôi đã hiểu điều này một cách chính xác)…

Điều này dẫn đến các vấn đề về hiệu suất so với bảo mật mà chúng ta đã nói trước đây, bao gồm podcast của tuần trước với chảy máu não lỗi (nhân tiện, nghiêm trọng hơn nhiều):

Zenbleed: Việc tìm kiếm hiệu suất CPU có thể khiến mật khẩu của bạn gặp rủi ro như thế nào

Có cả đống dữ liệu được lưu giữ bên trong CPU (“được lưu trong bộ nhớ cache” là thuật ngữ kỹ thuật của nó) để CPU không cần phải đi tìm nạp dữ liệu đó sau này.

Vì vậy, có rất nhiều thứ nội bộ mà bạn không thực sự quản lý được; CPU chăm sóc nó cho bạn.

Và trung tâm của cuộc tấn công này dường như diễn ra như thế này…

Những gì kẻ tấn công làm là truy cập vào các vị trí bộ nhớ khác nhau theo cách mà bộ lưu trữ bộ nhớ cache bên trong ghi nhớ các vị trí bộ nhớ đó, do đó, nó không phải đọc lại chúng ra khỏi RAM nếu chúng được sử dụng lại nhanh chóng.

Vì vậy, kẻ tấn công bằng cách nào đó lấy được các giá trị bộ đệm này chứa đầy các mẫu bit đã biết, các giá trị dữ liệu đã biết.

Và sau đó, nếu nạn nhân có bộ nhớ mà *họ* đang sử dụng thường xuyên (ví dụ: các byte trong khóa giải mã), nếu giá trị của chúng đột nhiên bị CPU đánh giá là có nhiều khả năng được sử dụng lại hơn một trong các giá trị của kẻ tấn công, nó loại bỏ giá trị của kẻ tấn công ra khỏi vị trí bộ nhớ cache siêu nhanh bên trong đó và đặt giá trị mới, giá trị của nạn nhân vào đó.

Và những gì các nhà nghiên cứu này đã phát hiện ra (và theo như lý thuyết và thực tế về cuộc tấn công, đây là một điều khá tuyệt vời để khám phá)…

Số lượng bit khác nhau giữa giá trị cũ trong bộ đệm và giá trị mới *thay đổi lượng năng lượng cần thiết để thực hiện thao tác cập nhật bộ đệm*.

Do đó, nếu bạn có thể đo mức tiêu thụ năng lượng của CPU đủ chính xác, bạn có thể suy luận về giá trị dữ liệu nào được ghi vào bộ nhớ cache bên trong, ẩn, nếu không thì vô hình bên trong CPU mà CPU cho rằng không phải việc của bạn.

Khá hấp dẫn, Doug!

CHÓ.  Nổi bật.

OK, có một số biện pháp giảm nhẹ.

Phần đó, nó bắt đầu: “Trước hết, bạn không cần phải lo lắng,” nhưng cũng gần như tất cả các CPU đều bị ảnh hưởng.

VỊT.  Vâng, thật thú vị phải không?

Nó nói “trước hết” (văn bản bình thường) “bạn" (in nghiêng) "không cần phải lo lắng" (in đậm). [CƯỜI]

Vì vậy, về cơ bản, sẽ không có ai tấn công bạn bằng điều này, nhưng có lẽ các nhà thiết kế CPU muốn nghĩ về điều này trong tương lai nếu có bất kỳ cách nào khác. [CƯỜI]

Tôi nghĩ rằng đó là một cách thú vị để đặt nó.

CHÓ.  OK, vì vậy giảm thiểu về cơ bản là tắt siêu phân luồng.

nó vận hành như vậy sao?

VỊT.  Siêu phân luồng làm cho điều này trở nên tồi tệ hơn nhiều, theo như tôi có thể thấy.

Chúng tôi đã biết rằng siêu phân luồng là một vấn đề bảo mật vì đã có rất nhiều lỗ hổng phụ thuộc vào nó trước đây.

Đó là nơi một CPU, chẳng hạn, có 16 lõi giả vờ có XNUMX lõi, nhưng thực ra chúng không nằm trong các phần riêng biệt của chip.

Chúng thực sự là các cặp lõi giả chia sẻ nhiều thiết bị điện tử hơn, nhiều bóng bán dẫn hơn, nhiều tụ điện hơn, có lẽ là một ý tưởng hay vì lý do bảo mật.

Nếu bạn đang chạy OpenBSD cũ tốt, tôi nghĩ rằng họ đã quyết định rằng siêu phân luồng quá khó để bảo mật với các biện pháp giảm nhẹ; cũng có thể chỉ cần tắt nó đi.

Vào thời điểm bạn đã đạt được hiệu suất mà các biện pháp giảm thiểu yêu cầu, bạn cũng có thể không đạt được nó.

Vì vậy, tôi nghĩ rằng tắt siêu phân luồng sẽ miễn dịch rất nhiều cho bạn chống lại cuộc tấn công này.

Điều thứ hai bạn có thể làm là, như các tác giả đã in đậm: đừng lo. [CON GÁI]

CHÓ.  Đó là một giảm thiểu tuyệt vời! [CƯỜI]

VỊT.   Có một chút tuyệt vời (Tôi sẽ phải đọc nó ra, Doug)…

Có một điều tuyệt vời mà chính các nhà nghiên cứu đã phát hiện ra rằng để có được bất kỳ loại thông tin đáng tin cậy nào, họ đã nhận được tốc độ dữ liệu ở đâu đó trong khoảng từ 10 bit đến 100 bit mỗi giờ từ hệ thống.

Tôi tin rằng ít nhất các CPU Intel có một biện pháp giảm thiểu mà tôi tưởng tượng sẽ giúp chống lại điều này.

Và điều này đưa chúng ta trở lại với MSR, những thanh ghi dành riêng cho kiểu máy mà chúng ta đã nói về tuần trước với Zenbleed, nơi có một chút ma thuật mà bạn có thể bật nói rằng, "Đừng làm những việc mạo hiểm."

Có một tính năng bạn có thể đặt được gọi là lọc RAPL, và RAPL là viết tắt của chạy giới hạn công suất trung bình.

Nó được sử dụng bởi các chương trình muốn xem CPU hoạt động như thế nào cho mục đích quản lý điện năng, vì vậy bạn không cần phải đột nhập vào phòng máy chủ và đặt màn hình điện năng lên dây có đầu dò nhỏ trên bo mạch chủ. [CƯỜI]

Bạn thực sự có thể khiến CPU cho bạn biết nó đang sử dụng bao nhiêu năng lượng.

Ít nhất thì Intel cũng có chế độ này được gọi là lọc RAPL, chế độ này cố tình gây ra hiện tượng giật hình hoặc lỗi.

Vì vậy, bạn sẽ nhận được kết quả trung bình là chính xác, nhưng ở mỗi cá nhân đọc sẽ bị tắt.

CHÓ.  Bây giờ chúng ta hãy chú ý đến thỏa thuận mới này của SEC.

Ủy ban An ninh và Trao đổi đang yêu cầu giới hạn tiết lộ trong bốn ngày đối với các vi phạm an ninh mạng:

SEC yêu cầu giới hạn tiết lộ bốn ngày đối với các vi phạm an ninh mạng

Nhưng (A) bạn có thể quyết định xem một cuộc tấn công có đủ nghiêm trọng để báo cáo hay không và (B) giới hạn bốn ngày không bắt đầu cho đến khi bạn quyết định điều gì đó đủ quan trọng để báo cáo, Paul.

Vì vậy, một khởi đầu thuận lợi, nhưng có lẽ không tích cực như chúng ta mong muốn?

VỊT.  Tôi đồng ý với đánh giá của bạn ở đó, Doug.

Nghe có vẻ tuyệt vời khi tôi lần đầu tiên nhìn vào nó: “Này, bạn đã tiết lộ bốn ngày này nếu bạn gặp sự cố vi phạm dữ liệu hoặc an ninh mạng.”

Nhưng sau đó có một chút về, "Chà, nó phải được coi là một vấn đề quan trọng," một thuật ngữ pháp lý có nghĩa là nó thực sự đủ quan trọng để đáng được tiết lộ ngay từ đầu.

Và sau đó tôi đến đoạn đó (và đó không phải là một thông cáo báo chí dài của SEC) đại loại như sau: “Ngay sau khi bạn quyết định rằng bạn thực sự nên báo cáo điều này, thì bạn vẫn còn bốn ngày. để báo cáo nó.”

Bây giờ, tôi tưởng tượng rằng, về mặt pháp lý, đó không hoàn toàn là cách nó sẽ hoạt động. Doug

Có lẽ chúng ta đang hơi khắc nghiệt trong bài viết?

CHÓ.  Bạn phóng to các cuộc tấn công ransomware, nói rằng có một số loại khác nhau, vì vậy hãy nói về điều đó… điều quan trọng là xác định xem đây có phải là một cuộc tấn công quan trọng mà bạn cần báo cáo hay không.

Vậy chúng ta đang xem xét loại ransomware nào?

VỊT.  Vâng, chỉ để giải thích, tôi nghĩ đó là một phần quan trọng của việc này.

Không phải chỉ tay vào SEC, nhưng đây là điều dường như vẫn chưa xuất hiện ở nhiều hoặc bất kỳ quốc gia nào…

…liệu việc chỉ chịu một cuộc tấn công bằng mã độc tống tiền chắc chắn đủ để trở thành một vụ vi phạm dữ liệu quan trọng hay không.

Tài liệu SEC này không thực sự đề cập đến “R-word”.

Không có đề cập đến những thứ cụ thể ransomware.

Và ransomware là một vấn đề, phải không?

Trong bài viết, tôi muốn làm rõ rằng từ “ransomware” mà chúng ta vẫn sử dụng rộng rãi không còn là từ đúng nữa phải không?

Có lẽ chúng ta nên gọi nó là “phần mềm tống tiền” hoặc chỉ đơn giản là “tống tiền trên mạng”.

Tôi xác định ba loại tấn công ransomware chính.

Loại A là nơi kẻ gian không ăn cắp dữ liệu của bạn, chúng chỉ cần tranh giành dữ liệu của bạn tại chỗ.

Vì vậy, họ không cần phải tải lên một điều duy nhất.

Họ xáo trộn tất cả theo cách mà họ có thể cung cấp cho bạn khóa giải mã, nhưng bạn sẽ không thấy một byte dữ liệu nào rời khỏi mạng của mình như một dấu hiệu cho thấy có điều gì đó tồi tệ đang xảy ra.

Sau đó, có một cuộc tấn công bằng mã độc tống tiền Loại B, nơi mà những kẻ lừa đảo thực hiện, “Bạn biết không, chúng tôi sẽ không mạo hiểm ghi vào tất cả các tệp, để rồi bị bắt quả tang làm điều đó. Chúng tôi sẽ đánh cắp tất cả dữ liệu và thay vì trả tiền để lấy lại dữ liệu của bạn, bạn đang trả tiền cho sự im lặng của chúng tôi.”

Và sau đó, tất nhiên, có cuộc tấn công ransomware Loại C, và đó là: “Cả A và B.”

Đó là nơi những kẻ lừa đảo đánh cắp dữ liệu của bạn *và* chúng tranh giành dữ liệu đó và nói: “Này, nếu không phải thứ khiến bạn gặp rắc rối thì chính là thứ khác.”

Và thật tuyệt nếu biết cái mà tôi tin rằng nghề luật gọi là trọng yếu (nói cách khác, ý nghĩa pháp lý hoặc sự liên quan pháp lý đối với một quy định cụ thể)…

…điều đó xảy ra ở đâu, trong trường hợp bị tấn công bằng mã độc tống tiền.

CHÓ.  Chà, đây là thời điểm tốt để giới thiệu Người bình luận trong tuần của chúng tôi, Adam, về câu chuyện này.

Adam đưa ra suy nghĩ của mình về các loại tấn công ransomware khác nhau.

Vì vậy, bắt đầu với Loại A, nơi đây chỉ là một cuộc tấn công ransomware đơn giản, nơi chúng khóa các tệp và để lại ghi chú đòi tiền chuộc để mở khóa chúng…

Adam nói:

Nếu một công ty bị tấn công bởi ransomware, không tìm thấy bằng chứng về việc đánh cắp dữ liệu sau khi điều tra kỹ lưỡng và khôi phục dữ liệu của họ mà không phải trả tiền chuộc, thì tôi sẽ có xu hướng nói: “Không [cần tiết lộ]”.

VỊT.  Bạn đã làm đủ chưa?

CHÓ.  Vâng.

VỊT.  Bạn đã không hoàn toàn ngăn chặn nó, nhưng bạn đã làm điều tốt nhất tiếp theo, vì vậy bạn không cần phải nói với các nhà đầu tư của mình….

Điều trớ trêu là, Doug, nếu bạn đã làm điều đó với tư cách là một công ty, bạn có thể muốn nói với các nhà đầu tư của mình, “Này, đoán xem? Chúng tôi đã bị tấn công bằng mã độc tống tiền giống như những người khác, nhưng chúng tôi đã thoát khỏi cuộc tấn công đó mà không phải trả tiền, không tham gia với kẻ gian và không làm mất bất kỳ dữ liệu nào. Vì vậy, mặc dù chúng tôi không hoàn hảo, nhưng chúng tôi là điều tốt nhất tiếp theo.”

Và việc tiết lộ điều đó một cách tự nguyện có thể rất nặng nề, ngay cả khi luật quy định rằng bạn không cần phải làm vậy.

CHÓ.  Và sau đó, đối với Loại B, góc độ tống tiền, Adam nói:

Đó là một tình huống khó khăn.

Về mặt lý thuyết, tôi sẽ nói, "Có."

Nhưng điều đó có khả năng dẫn đến nhiều tiết lộ và danh tiếng kinh doanh bị tổn hại.

Vì vậy, nếu bạn có một loạt công ty xuất hiện và nói: “Hãy nhìn xem, chúng tôi đã bị tấn công bởi ransomware; chúng tôi không nghĩ có điều gì tồi tệ đã xảy ra; chúng tôi trả tiền cho những kẻ lừa đảo để giữ cho họ im lặng; và chúng tôi tin tưởng rằng họ sẽ không làm đổ đậu,” có thể nói như vậy…

…điều đó tạo ra một tình huống khó khăn, bởi vì điều đó có thể làm tổn hại đến danh tiếng của công ty, nhưng nếu họ không tiết lộ thì sẽ không ai biết.

VỊT.  Và tôi thấy rằng Adam cũng cảm thấy giống như cách mà cả bạn và tôi đã làm về công việc: “Bạn có bốn ngày, và không quá bốn ngày… kể từ thời điểm bạn nghĩ rằng bốn ngày đó sẽ bắt đầu.”

Anh ấy cũng đồn đại như vậy, phải không?

Ông nói:

Một số công ty có thể sẽ áp dụng các chiến thuật để trì hoãn rất nhiều việc quyết định liệu có tác động trọng yếu hay không.

Vì vậy, chúng tôi hoàn toàn không biết điều này sẽ diễn ra như thế nào và tôi chắc chắn rằng SEC cũng không biết.

Có thể cần một vài trường hợp thử nghiệm để họ tìm ra mức độ quan liêu phù hợp để đảm bảo rằng tất cả chúng ta đều học những gì chúng ta cần biết mà không buộc các công ty tiết lộ mọi trục trặc CNTT nhỏ từng xảy ra và chôn vùi tất cả chúng ta trong một đống giấy tờ.

Điều này về cơ bản dẫn đến sự mệt mỏi vi phạm, phải không?

Nếu bạn có quá nhiều tin xấu không quá quan trọng chỉ ập đến với bạn…

…bằng cách nào đó, thật dễ dàng để bỏ lỡ những điều thực sự quan trọng nằm trong số tất cả những câu hỏi “tôi có thực sự cần nghe về điều đó không?”

Thời gian sẽ trả lời, Douglas.

CHÓ.  Vâng, khó khăn!

Và tôi biết tôi nói điều này mọi lúc, nhưng chúng tôi sẽ theo dõi điều này, bởi vì sẽ rất thú vị khi xem điều này diễn ra.

Vì vậy, cảm ơn bạn, Adam, vì đã gửi bình luận đó.

VỊT.  Đúng vậy!

CHÓ.  Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị muốn gửi, chúng tôi rất muốn đọc trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…

CẢ HAI.  Giữ an toàn.

[CHẾ ĐỘ ÂM NHẠC]

Dấu thời gian:

Thêm từ An ninh trần trụi