kuukausi tai pari sitten keskustelin lääkärin kanssa epämääräisistä sairauksista — joita yleisesti kutsutaan seeproiksi. Kun pohdin näitä seeproja lääketieteellisen diagnoosin tehokkaiden tiedonlouhintastrategioiden yhteydessä, hän esitti mielenkiintoisen seikan. Uusille lääkäreille opetetaan muun muassa sanonta ”Kun kuulet kavioita, ajattele hevosta, älä seepraa.”Periaate on melko yksinkertainen — todennäköisyys on, että potilaalla on yleisempi diagnoosi kuin harvinainen, epätodennäköinen sellainen. Yksinkertainen mutta kuvaava esimerkki olisi seuraava (lääkärin perheenjäseneltä varastettu):
nuori naispotilas, jolla on ollut kolmen viikon ajan päänsärkyä, väsymystä ja ajoittaista kuumetta, mutta joka oli historiallisesti terve. Fyysistä tutkimusta ei voinut huomata, – ja satunnaisten kuumeiden lisäksi ainoa oire oli, että hän oli kalpea. Seepra saattoi olla aivokalvontulehdus tai aivokasvain — ja kokematon lääkäri tilasi tuhansia dollareita testejä ja alisti potilaan useisiin toimenpiteisiin. Rutiininomainen veriarvo kuitenkin osoitti, että hän oli yksinkertaisesti aneeminen — hevonen — ja tarvitsi vain ylimääräistä rautaa. Sääntö: ajattele hevosta sulkematta pois seeproja.
tämä periaate siitä, miten me ihmisinä pyrimme liikaa monimutkaistamaan asioita, resonoi minussa, mutta täysin eri alalle, joka on ollut näkyvästi esillä myöhäis — kyberturvallisuuden uutisissa.
Tarkastellaanpa tätä asiaa käsittelemällä kolmea samanlaista tietokonelajin virusta, joita kutsutaan myös tietokonemadoiksi.
ensimmäinen matomme on nimeltään ”Code Red”. Tämä oli Windows-virus, joka pystyi suorittamaan mielivaltaista koodia kerran isännän järjestelmässä. Lisäksi mato tartuttaisi Windowsin WWW-palvelimen ja näyttäisi seuraavan viestin:
ja tietenkin mato näyttäisi leviävän ja löytävän muita tarttuvia isäntiä parittomista koneista. Paikkausta tälle haavoittuvuudelle oli tarjottu kuukausi ennen Code Redin hyökkäyksiä,mutta harva laitos asensi sen. Tämä aiheutti huomattavaa päänsärkyä ja hämmennystä IT-osastoille useilla sektoreilla.
toinen matomme on Nimda. Nimda voisi siirtää itsensä tietokoneeseen viidellä eri tavalla, kuten sähköpostitse. Siitä tuli yksi ensimmäisistä madoista, joka pystyi suorittamaan koodinsa, vaikka isäntä ei avannut saastunutta sähköpostia. Nimda esti liittovaltion oikeuden työntekijöitä pääsemästä käsiksi oikeuden asiakirjoihin sähköisesti ja saastuneet oikeuden asiakirjat jouduttiin puhdistamaan yksi kerrallaan. Nimda käytti Code Redin tavoin hyväkseen jo paikattua Windows-haavoittuvuutta. Se aiheutti kuitenkin huomattavasti laajempaa vahinkoa useiden sisääntuloaukkojen ja nopean leviämisen vuoksi.
kolmas matomme on WannaCry. Aivan kuten kahden edellisen madon kohdalla, Microsoft oli tarjonnut paikkausta, joka olisi suojannut WannaCry-uhalta. Kuitenkin, on hieman yksityiskohtia, jotka ovat merkityksellisiä: laastari ei alun perin myönnetty Windows XP-käyttöjärjestelmä. Oli joitakin käyttäjien turhautumista tähän, mutta on huomattava, että Windows XP oli ”End of Support” yli kolme vuotta aikaan tämän puhkeamisen (lisää tästä myöhemmin). WannaCry salasi tiedostoja paikallisesti koneelle ja tarjosi käyttäjille seuraavan viestin:
käyttäjä sai valita maksavansa ”lunnaat” tai menettävänsä pääsyn tiedostoihinsa pysyvästi. Samalla mato yrittäisi edelleen levittää tartuntaa muihin koneisiin, joilla oli unpatched-haavoittuvuus. Onneksi oli” kill switch”, jonka älykäs haittaohjelmatutkija tunnisti ja aktivoi, eikä suuri osa madon potentiaalista koskaan toteutunut.
kun olin viimeistelemässä tätä postausta, Uusi kiristyshaittaohjelma nimeltä Petya alkoi tartuttaa järjestelmiä ympäri maailmaa. Per TechCrunch, ” kaikki tässä tilanteessa osoittaa, että monet hallitukset ja yritykset ympäri maailmaa eivät ottaneet Wannacrya vakavasti, epäonnistuivat korjaamaan järjestelmiään ja maksavat nyt hinnan.”
kuten Brian Krebs sanoi, ” organisaatiot ja henkilöt, jotka eivät ole vielä soveltaneet Windows update for the Eternal Blue exploit pitäisi paikata nyt. On kuitenkin viitteitä siitä, että Petyalla saattaa olla hihassaan muitakin temppuja, joilla se voi levitä isojen verkkojen sisälle.”Tämä viittaa siihen, että Petya saattaa yksinkertaisesti olla avaussalvo, joka kaikki johtuu huonoista paikkauskäytännöistä.
kaikkien näiden urotöiden taustalla on se, että järjestelmiä ei paikattu nopeasti ja siksi ne altistettiin näille madoille. Nämä olivat itse asiassa estettävissä olevia ongelmia. Mutta mikä tekee tästä todella mielenkiintoista on, että ensimmäiset madot olivat vuonna 2001 ja viimeiset vuonna 2017. Miten on mahdollista, että 16 vuotta myöhemmin meillä on sama ongelma?
1990-luvun lopulla ja 2000-luvun alussa rakentaessamme OpenTable-järjestelmää emme koskaan ajatelleet kyberturvallisuuteen liittyviä kysymyksiä, koska keskityimme niin paljon liiketoiminnan hyperscalingiin ja tunnetut uhat olivat minimaalisia. Kuitenkin kärsimys Nimdan ja Code Redin kautta sai minut heräämään. Kävin OpenTablen johtokunnan luona ja Kerroin heille kyberavaruuden uhkista ja siitä, miten verkkomme voi olla haavoittuvainen sille. Se vaikuttaisi suoraan liiketoimintamme vakauteen, skaalautuvuuteen ja eheyteen, joten meidän tulisi panostaa sen turvallisuuden lisäämiseen. Kannatin turvallisuussuunnitelmaa, jossa keskitytään turvallisuuden perusasioiden hoitamiseen hyvin, ja se rahoitettiin. Vaikka turvallisuus pysyi jatkuva kysymys, ja olen varma, että se huolestuttaa OpenTable ihmiset tänään, se tuli olennaisesti ratkaistu prosessi ja pystyimme rakentamaan vakaalle pohjalle.
perusajatuksen ydin oli yksinkertainen. Paikata järjestelmät ajoissa, valvoa, mitä voidaan nähdä Internetissä ja oikein lupajärjestelmät. Käyttäjällä pitäisi olla vähimmäisoikeudet, jotta hän voi toteuttaa tarvitsemansa. Tämä peruslähestymistapa estää merkittävästi valtavan määrän turvallisuusriskiä. Tämä on” hevonen ” lähestymistapa.
tämä tunne toistui tuoreessa O ’ Reilly Security-podcastissa ”Dave Lewis on the tenacity of solvable security problems”. Lewis, joka toimi maailmanlaajuisen turvallisuuden puolestapuhujana Akamaissa, esitti seuraavan asian, joka selvästi resonoi:
”kaksikymmentä vuotta sitten, kun aloin työskennellä turvallisuusalalla, meillä oli määritelty joukko asioita, joita meidän piti käsitellä jatkuvasti. Kun ympäristömme laajenevat pilvipalvelujen kaltaisilla asioilla, olemme ottaneet tuon ydinsarjan huolet ja moninkertaistaneet ne plus, plus, plus. Asiat, jotka meidän olisi pitänyt tehdä hyvin 20 vuotta sitten — kuten paikkaus, omaisuudenhoito — ovat menneet tässä vaiheessa paljon huonompaan suuntaan. Olemme kasvattaneet vakuusvelkaa hallitsemattomalle tasolle monissa tapauksissa. Paikkausvastuussa olevat ihmiset päätyvät siirtämään tuon velvollisuuden seuraavalle jonossa olevalle juniorille, kun he etenevät urallaan eteenpäin. Ja se nuorempi henkilö puolestaan antaa sen sille, joka tulee heidän takanaan. Paikkailulla on siis taipumus olla jotain, jota vieroksutaan tienposkeen asti. Tämän seurauksena ongelma kasvaa jatkuvasti.”
tarinan opetus on, että meidän on palattava perusasioihin pysäyttääksemme tämän edistyksen puutteen kriittisellä alueella. Kun olin Chief Information Officer (CIO) kaupungin Chicago, käytin paljon aikaa ja vaivaa rakentaa ulos kyberturvallisuusohjelma. Valitettavasti tällä alalla on kaikilla hallinnon tasoilla edelleen liian vähän henkilökuntaa, harkintaa ja resursseja. Koska innovoimme ja siirrymme digitaalisempiin järjestelmiin, se on yksi kriittisimmistä kysymyksistä, jotka hallituksen on otettava huomioon.
huolimatta hevosen turva-asenteen ilmiselvistä hyödyistä, sillä CIO I oli jatkuvasti raivoissaan myyjille, jotka tarjosivat pitkälle erikoistuneita järjestelmiä hyvin erityisiin käyttötapauksiin. Kieltäydyin tekemästä tällaisia seeprakuluja, kun en pystynyt edes tuuraamaan hevosta. Aloitimme ohjelman, jossa keskityimme perustuksiin ja rakennamme sieltä käsin, kun se on käytännöllistä.
virastojen on pohdittava näitä kyberhygienian perusvaiheita kriittisen edistymisen perustana:
- Pysy ajan tasalla Paikkaus ja tehdä siitä osasto / virasto prioriteetti – se on tylsää, mutta se on tehokas.
- oikein käyttöoikeusjärjestelmät, joilla on tarvittavat vähimmäisoikeudet.
- verkkoliikenteessä käytetään aina SSL: ää. https://https.cio.gov/
- viraston johtoon tarvitaan vanhempi kyberturvallisuusresurssi, joka ymmärtää teknologiaa.
ei ole mitään tekosyytä antaa historian toistaa itseään. Kymmenen vuoden takaisten huonojen käytäntöjen ei pitäisi enää piinata järjestöjä tänä päivänä, ja tehokkain tapa estää huomisen kyberhyökkäykset on lyödä vetoa hevosen puolesta.