měsíc nebo dva lety jsem měl diskusi s lékařem o temný chorob — obyčejně odkazoval se na jako zebry. Zatímco jsem zvažoval tyto zebry v kontextu účinných strategií dolování dat pro lékařskou diagnostiku, udělal zajímavý bod. Jednou z věcí, které učí nové lékaře, je fráze “ když slyšíte kopyta, myslete na koně, ne zebra.“Princip je poměrně jednoduchý-je pravděpodobné, že pacient má běžnější diagnózu než vzácná, nepravděpodobná. Jednoduchý, ale názorný příklad by byl následující (odcizení od lékaře, člena rodiny):
dospívající žena pacient s třítýdenní historii bolesti hlavy, únava, občasné horečky, ale byl historicky zdravé. Fyzická zkouška byla všední a kromě občasných horeček, jediným příznakem poznámky bylo, že měla bledou barvu. Zebra mohla být meningitida nebo nádor na mozku — a nezkušené lékaře bych, aby tisíce dolarů testů a podrobit pacienta více postupů. Ale rutinní krevní obraz ukázal, že byla prostě anemická-kůň-a potřebovala jen další železo. Pravidlo: myslete na koně, aniž byste vyloučili zebry.
Tento princip, jak jsme jako lidé mají tendenci komplikovat rezonuje se mnou, ale z úplně jiného odvětví, které má uváděný prominentně ve zprávách — kybernetické bezpečnosti.
abychom tento problém zvážili, pojďme diskutovat o třech podobných virech počítačové odrůdy, známé také jako počítačové červy.
náš první červ se nazývá „červený kód“. Jednalo se o virus Windows, který mohl spustit libovolný kód jednou v systému hostitele. Kromě toho, worm by infikovat Windows web server a zobrazí následující zprávy:
A samozřejmě červ bude vypadat šířit a najít jiné infectable hostí v neopravených stroje. Oprava této chyby zabezpečení byla nabídnuta měsíc před útoky Code Red, ale jen málo institucí ji nainstalovalo. To způsobilo značné bolesti hlavy a rozpaky IT oddělením ve více odvětvích.
naším druhým červem je Nimda. Nimda se mohla přenést do počítače pěti různými způsoby, včetně e-mailu. Stal se jedním z prvních červů, který dokázal spustit svůj kód, i když hostitel neotevřel infikovaný e-mail. Nimda zastavila pracovníky federálního soudu v elektronickém přístupu k soudním spisům a infikované soudní dokumenty musely být vyčištěny jeden po druhém. Nimda, stejně jako Code Red, využila již opravenou zranitelnost systému Windows. Přesto způsobila podstatně větší škody kvůli více vstupním bodům a rychlému šíření.
naším třetím červem je WannaCry. Stejně jako u posledních dvou červů společnost Microsoft nabídla opravu, která by chránila před hrozbou WannaCry. Je zde však trochu detailů, které jsou relevantní: oprava nebyla původně vydána pro operační systém Windows XP. Došlo k určité frustraci uživatelů, ale je třeba poznamenat, že Windows XP byl v době tohoto vypuknutí více než tři roky na „konci podpory“ (více o tom později). WannaCry šifrované soubory na místní zařízení a podává následující zprávu uživatelům:
uživatel měl na výběr buď zaplatit „výkupné“, nebo ztratí přístup k jejich soubory trvale. Současně by se červ i nadále pokoušel šířit infekci na další stroje, které měly neopravenou zranitelnost. Naštěstí došlo k „kill switch“, který inteligentní výzkumník malwaru identifikoval a aktivoval a velká část potenciálu červa nebyla nikdy realizována.
když jsem dokončoval tento příspěvek, začal nový ransomware exploit nazvaný Petya infikovat systémy po celém světě. Per TechCrunch, „všechno o této situaci naznačuje, že spousta vlád a společností po celém světě nebrala WannaCry vážně, nedokázala opravit své systémy a nyní platí cenu.“
Jako Brian Krebs řekl, „Organizace a jednotlivci, kteří dosud aplikovaného systému Windows update pro Věčné Modré exploit by měl patch teď. Existují však náznaky, že Péťa může mít v rukávu další triky, jak se šířit uvnitř velkých sítí.“To naznačuje, že Petya může být jednoduše úvodní salvou, která je výsledkem špatných opravných postupů.
společným jmenovatelem za všechny tyto činy je, že systémy nebyly okamžitě opravené, a proto byly vystaveny tyto červy. Ve skutečnosti to byly problémy, kterým lze předejít. Ale to, co je opravdu zajímavé, je to, že první červi byli v roce 2001 a poslední v roce 2017. Jak je možné, že o 16 let později zažíváme stejný problém?
V pozdní 1990 a brzy 2000s, jak jsme stavěli OpenTable, jsme se nikdy považovat za otázky kybernetické bezpečnosti, jak jsme se soustředili na to, hyperscaling podnikání a známé hrozby byly minimální. Utrpení přes Nimdu a červený kód mě však přimělo probudit se. Šel jsem do naší správní rady v OpenTable a informoval jsem je o vznikajících hrozbách v kybernetickém prostoru a o tom, jak by naše síť mohla být vůči němu zranitelná. To by přímý dopad na stabilitu, škálovatelnost a integritu našeho podnikání, a proto bychom měli investovat do dělat to bezpečnější. Obhajoval jsem bezpečnostní plán zaměřený na dobré základy bezpečnosti a byl financován. Zatímco bezpečnost zůstává diskutovanou otázkou, a jsem si jistý, že to trápí OpenTable lidi dnes, to se stalo v podstatě vyřešen proces a my jsme byli schopni stavět na stabilní základ.
jádro základního přístupu bylo jednoduché. Opravte své systémy včas, kontrolujte, co je vidět na internetu a správně povolujte systémy. Uživatel by měl mít minimální oprávnění k dosažení toho, co potřebuje. Tento základní přístup pozoruhodně zabraňuje enormnímu množství bezpečnostní expozice. Toto je přístup „koně“.
tento sentiment byl zopakován v nedávném podcastu O ‚Reilly Security“ Dave Lewis o houževnatosti řešitelných bezpečnostních problémů“. Lewis, globální bezpečnost advokát u Akamai, následující bod, který jasně rezonuje:
„před Dvaceti plus lety, když jsem začal pracovat v oblasti bezpečnosti, měli jsme vymezený soubor věcí, které jsme museli řešit průběžně. Jako naše prostředí rozšířit o věci, jako je cloud computing, vzali jsme se, že základní soubor starosti a násobí je plus, plus, plus. Věci, které jsme měli dělat dobře před 20 lety — jako oprava, správa aktiv – se v tomto bodě zhoršily. Náš bezpečnostní dluh jsme v mnoha případech narostli na nezvladatelnou úroveň. Lidé, kteří jsou zodpovědní za opravu, nakonec tuto povinnost předají další juniorské osobě v řadě, když se ve své kariéře pohybují kupředu. A ten junior to zase předává tomu, kdo za nimi přijde. Tak, oprava má tendenci být něco, co je posunuto na vedlejší kolej. V důsledku toho problém stále roste.“
morální příběhu je, že se musíme vrátit k základům, aby zastavit tento nedostatek pokroku v kritické oblasti. Když jsem byl hlavním informačním ředitelem (CIO) města Chicago, strávil jsem značný čas a úsilí budováním programu kybernetické bezpečnosti. Bohužel, na všech úrovních vlády je to oblast, která zůstává nedostatečná, promyšlená a nedostatečná. Protože inovujeme a přecházíme k více digitálním systémům, je to jedna z nejkritičtějších otázek, s nimiž musí vláda počítat.
Přes zjevné výhody kůň přístup k bezpečnosti, jako CIO byl jsem neustále barraged prodejci nabízejí vysoce specializované systémy pro velmi specifické případy použití. Odmítl jsem dělat takové zebry, když jsem nemohl ani pokrýt koně. Tak, zahájili jsme program zaměřený na nadaci, a odtud stavět, když je to praktické.
Agentur je třeba zvážit tyto základní počítačové hygieny kroky jako základ pro výrobu kritických pokrok:
- aktuální informace o záplatování, a aby to oddělení/agentura prioritou — to je nudné, ale je to účinné.
- správně povolovací systémy s minimálními potřebnými oprávněními.
- pro webový provoz vždy používejte SSL. https://https.cio.gov/
- výkonný pracovník agentury potřebuje vysoce postavený zdroj kybernetické bezpečnosti, který rozumí technologiím.
neexistuje žádná omluva, aby se historie opakovala. Špatné praktiky před deseti lety by dnes neměly nadále trápit organizace a nejúčinnějším způsobem, jak zabránit kybernetickým útokům zítřka, je vsadit na koně.