Vor ein oder zwei Monaten hatte ich eine Diskussion mit einem Arzt über obskure Krankheiten — allgemein als Zebras bezeichnet. Während ich diese Zebras im Zusammenhang mit effektiven Data-Mining-Strategien für die medizinische Diagnose in Betracht zog, machte er einen interessanten Punkt. Eines der Dinge, die sie neuen Ärzten beibringen, ist der Satz „Wenn Sie Hufe hören, denken Sie an Pferd, nicht an Zebra.“ Das Prinzip ist ganz einfach — die Chancen stehen gut, dass der Patient die häufigste Diagnose hat als eine seltene, unwahrscheinliche. Ein einfaches, aber anschauliches Beispiel wäre das folgende (gestohlen von einem Arzt Familienmitglied):
Eine jugendliche Patientin präsentiert mit einer dreiwöchigen Geschichte von Kopfschmerzen, Müdigkeit und intermittierendem Fieber, war aber historisch gesund. Die körperliche Untersuchung war unauffällig und abgesehen von gelegentlichem Fieber, Das einzige bemerkenswerte Symptom war, dass sie blass war. Das Ergebnis könnte eine Meningitis oder ein Hirntumor gewesen sein — und der unerfahrene Praktiker würde Tausende von Dollar an Tests bestellen und den Patienten mehreren Verfahren unterziehen. Aber ein routinemäßiges Blutbild zeigte, dass sie einfach anämisch war — das Pferd – und nur zusätzliches Eisen brauchte. Die Regel: Denken Sie Pferd, ohne Zebras auszuschließen.
Dieses Prinzip, wie wir Menschen dazu neigen, Dinge zu verkomplizieren, schwingt bei mir mit, aber für einen völlig anderen Sektor, der in den Nachrichten der letzten Zeit eine herausragende Rolle gespielt hat — Cybersicherheit.
Um dieses Problem zu betrachten, lassen Sie uns drei ähnliche Viren der Computersorte diskutieren, die auch als Computerwürmer bekannt sind.
Unser erster Wurm heißt „Code Red“. Dies war ein Windows-Virus, der einmal beliebigen Code auf dem Hostsystem ausführen konnte. Darüber hinaus würde der Wurm einen Windows-Webserver infizieren und die folgende Meldung anzeigen:
Und natürlich würde sich der Wurm ausbreiten und andere infizierbare Hosts in ungepatchten Computern finden. Ein Patch für diese Sicherheitsanfälligkeit war einen Monat vor den Angriffen von Code Red angeboten worden, aber nur wenige Institutionen installierten ihn. Dies verursachte erhebliche Kopfschmerzen und Verlegenheit für IT-Abteilungen in mehreren Sektoren.
Unser zweiter Wurm ist Nimda. Nimda konnte sich auf fünf verschiedene Arten auf einen Computer übertragen, einschließlich E-Mail. Es war einer der ersten Würmer, der seinen Code ausführen konnte, selbst wenn der Host die infizierte E-Mail nicht geöffnet hatte. Nimda hielt Bundesgericht Arbeiter Zugriff auf Gerichtsakten elektronisch und die infizierten Gerichtsdokumente mussten eins nach dem anderen gereinigt werden. Nimda nutzte wie Code Red eine bereits gepatchte Windows-Sicherheitsanfälligkeit aus. Es verursachte jedoch aufgrund der mehrfachen Eintrittspunkte und der schnellen Ausbreitung erheblich größere Schäden.
Unser dritter Wurm ist WannaCry. Genau wie bei den letzten beiden Würmern hatte Microsoft einen Patch angeboten, der vor der WannaCry-Bedrohung geschützt hätte. Allerdings gibt es hier ein bisschen Detail, das relevant ist: Ein Patch wurde ursprünglich nicht für das Windows XP-Betriebssystem ausgegeben. Es gab einige Frustrationen der Benutzer, aber es sollte beachtet werden, dass Windows XP zum Zeitpunkt dieses Ausbruchs über drei Jahre lang am „Ende des Supports“ war (dazu später mehr). WannaCry verschlüsselte Dateien lokal auf dem Computer und bot den Benutzern die folgende Nachricht an:
Der Benutzer hatte die Wahl, das „Lösegeld“ zu zahlen oder den Zugriff auf seine Dateien dauerhaft zu verlieren. Gleichzeitig versuchte der Wurm weiterhin, die Infektion auf andere Computer mit der nicht gepatchten Sicherheitsanfälligkeit zu verbreiten. Glücklicherweise gab es einen „Kill Switch“, den ein intelligenter Malware-Forscher identifizierte und aktivierte, und ein Großteil des Potenzials des Wurms wurde nie realisiert.
Als ich diesen Beitrag beendete, begann ein neuer Ransomware-Exploit namens Petya, Systeme auf der ganzen Welt zu infizieren. Laut TechCrunch „deutet alles an dieser Situation darauf hin, dass viele Regierungen und Unternehmen auf der ganzen Welt WannaCry nicht ernst genommen haben, ihre Systeme nicht gepatcht haben und jetzt den Preis zahlen.“
Wie Brian Krebs sagte: „Organisationen und Einzelpersonen, die das Windows Update für den Exploit Eternal Blue noch nicht angewendet haben, sollten jetzt patchen. Es gibt jedoch Hinweise darauf, dass Petya möglicherweise andere Tricks im Ärmel hat, um sich in großen Netzwerken zu verbreiten.“ Dies deutet darauf hin, dass Petya einfach die Eröffnungssalve sein könnte, die alle aus schlechten Patching-Praktiken resultiert.
Der rote Faden hinter all diesen Exploits ist, dass Systeme nicht sofort gepatcht wurden und daher diesen Würmern ausgesetzt waren. Dies waren in der Tat vermeidbare Probleme. Aber was das wirklich interessant macht, ist, dass die ersten Würmer 2001 und die letzten 2017 waren. Wie kommt es, dass wir 16 Jahre später das gleiche Problem haben?
In den späten 1990er und frühen 2000er Jahren, als wir OpenTable bauten, haben wir nie Probleme der Cybersicherheit in Betracht gezogen, da wir uns so sehr auf die Hyperskalierung des Geschäfts konzentrierten und die bekannten Bedrohungen minimal waren. Das Leiden durch Nimda und Code Red hat mich jedoch zum Aufwachen gebracht. Ich ging zu unserem Board of Directors bei OpenTable und informierte sie über die aufkommenden Bedrohungen im Cyberspace und darüber, wie unser Netzwerk dafür anfällig sein könnte. Dies würde sich direkt auf die Stabilität, Skalierbarkeit und Integrität unseres Geschäfts auswirken, und daher sollten wir investieren, um es sicherer zu machen. Ich befürwortete einen Sicherheitsplan, der sich darauf konzentrierte, die Sicherheitsgrundlagen gut zu machen, und er wurde finanziert. Während die Sicherheit ein andauerndes Problem blieb, und ich bin sicher, dass es die OpenTable-Leute heute beunruhigt, wurde es im Wesentlichen ein gelöster Prozess und wir konnten auf einem stabilen Fundament aufbauen.
Der Kern hinter dem grundlegenden Ansatz war einfach. Patchen Sie Ihre Systeme rechtzeitig, kontrollieren Sie, was vom Internet gesehen werden kann, und konfigurieren Sie die Systeme ordnungsgemäß. Ein Benutzer sollte über die Mindestberechtigungen verfügen, um das zu erreichen, was er benötigt. Dieser grundlegende Ansatz verhindert bemerkenswert eine enorme Menge an Sicherheitsrisiken. Dies ist der „Pferde“ -Ansatz.
Dieses Gefühl wurde kürzlich in einem O’Reilly Security Podcast, „Dave Lewis on the tenacity of solvable security problems“, wiederholt. Lewis, ein Global Security Advocate bei Akamai, machte den folgenden Punkt deutlich, der eindeutig Anklang findet:
„Vor mehr als zwanzig Jahren, als ich anfing, im Sicherheitsbereich zu arbeiten, hatten wir eine Reihe definierter Dinge, mit denen wir uns kontinuierlich befassen mussten. Da sich unsere Umgebungen mit Dingen wie Cloud Computing erweitern, haben wir diesen Kernsatz von Sorgen genommen und sie plus, plus, plus multipliziert. Dinge, die wir vor 20 Jahren gut hätten machen sollen — wie Patching, Asset Management — sind an diesem Punkt viel schlimmer geworden. Wir haben unsere Sicherheitsschulden in vielen Fällen auf ein unüberschaubares Niveau gebracht. Leute, die für das Patchen verantwortlich sind, geben diese Pflicht am Ende an die nächste Junior-Person in der Reihe weiter, wenn sie in ihrer Karriere vorankommen. Und diese jüngere Person wiederum gibt es an den weiter, der hinter ihnen auftaucht. Das Patchen ist also in der Regel etwas, das auf die Strecke gebracht wird. Infolgedessen wächst das Problem weiter.“
Die Moral der Geschichte ist, dass wir zu den Grundlagen zurückkehren müssen, um diesen Mangel an Fortschritt in einem kritischen Bereich zu stoppen. Als ich Chief Information Officer (CIO) der Stadt Chicago war, habe ich viel Zeit und Mühe damit verbracht, ein Cybersicherheitsprogramm aufzubauen. Leider ist dies auf allen Regierungsebenen ein Bereich, der nach wie vor unterbesetzt, unterdacht und unterfinanziert ist. Da wir innovativ sind und zu mehr digitalen Systemen übergehen, ist dies eines der kritischsten Probleme, mit denen die Regierung rechnen muss.
Trotz der offensichtlichen Vorteile eines neuen Sicherheitsansatzes wurde ich als CIO ständig von Anbietern blockiert, die hochspezialisierte Systeme für sehr spezifische Anwendungsfälle anboten. Ich weigerte mich, diese Art von Zebrastreifen zu machen, wenn ich nicht einmal für das Pferd decken konnte. Also haben wir ein Programm gestartet, das sich auf das Fundament konzentriert und von dort aus baut, wenn es praktisch ist.
Agenturen müssen diese grundlegenden Schritte zur Cyberhygiene als Grundlage für kritische Fortschritte betrachten:
- Bleiben Sie beim Patchen auf dem Laufenden und machen Sie es zu einer Abteilungs— / Agenturpriorität – es ist langweilig, aber effektiv.
- Ordnungsgemäß Berechtigungssysteme mit den erforderlichen Mindestberechtigungen.
- Verwenden Sie für den Webverkehr immer SSL. https://https.cio.gov/
- Die Führungskraft der Agentur benötigt eine leitende Cybersicherheitsressource, die Technologie versteht.
Es gibt keine Entschuldigung, die Geschichte sich wiederholen zu lassen. Die schlechten Praktiken von vor zehn Jahren sollten Organisationen heute nicht weiter quälen, und der effektivste Weg, die Cyberangriffe von morgen zu verhindern, besteht darin, auf das Pferd zu setzen.