egy — két hónappal ezelőtt megbeszélést folytattam egy orvossal homályos betegségekről-általában zebráknak nevezik. Miközben ezeket a zebrákat az orvosi diagnózis hatékony adatbányászati stratégiáinak összefüggésében fontolgattam, érdekes pontot tett. Az egyik dolog, amit új orvosoknak tanítanak, az a mondat: “amikor patákat hallasz, gondolj a lóra, ne a zebrára.”Az elv meglehetősen egyszerű — az esély az, hogy a betegnek gyakoribb diagnózisa van, mint egy ritka, valószínűtlen. Egy egyszerű, de szemléltető példa lenne a következő (ellopták egy orvos családtagjától):
egy serdülő női beteg három hetes fejfájással, fáradtsággal és időszakos lázzal rendelkezik, de történelmileg egészséges volt. A fizikális vizsgálat nem volt figyelemre méltó, és eltekintve az alkalmi lázaktól, az egyetlen tünet az volt, hogy halvány színű volt. A zebra lehetett agyhártyagyulladás vagy agydaganat — és a tapasztalatlan orvos több ezer dollárnyi vizsgálatot rendelt el, és a beteget több beavatkozásnak vetette alá. De a rutin vérkép azt mutatta, hogy egyszerűen vérszegény volt — a ló—, és csak extra vasra volt szüksége. A szabály: Gondolj a lóra anélkül, hogy kizárnád a zebrákat.
ez az elv, hogy mi, emberek hajlamosak vagyunk túlbonyolítani a dolgokat, visszhangzik velem, de egy teljesen más szektor számára, amely kiemelkedően szerepelt a késői kiberbiztonság híreiben.
ennek a kérdésnek a megfontolásához beszéljünk meg három hasonló számítógépes vírusról, más néven számítógépes férgekről.
az első férget “Code Red” – nek hívják. Ez egy Windows vírus volt, amely tetszőleges kódot tudott végrehajtani egyszer a gazdagép rendszerén. Ezenkívül a féreg megfertőzi a Windows webszervert, és a következő üzenetet jeleníti meg:
és természetesen a féreg terjedni fog, és más fertőzhető gazdagépeket talál a javítatlan gépekben. A biztonsági rés javítását egy hónappal a Code Red támadásai előtt ajánlották fel, de kevés intézmény telepítette. Ez jelentős fejfájást és zavart okozott az informatikai részlegeknek több ágazatban.
a második féreg Nimda. Nimda öt különböző módon átviheti magát egy számítógépre, beleértve az e-mailt is. Ez lett az egyik első féreg, amely akkor is képes végrehajtani a kódját, ha a gazdagép nem nyitotta meg a fertőzött e-mailt. A Nimda megtiltotta a szövetségi bírósági dolgozóknak, hogy elektronikus úton hozzáférjenek a bírósági iratokhoz, és a fertőzött bírósági iratokat egyenként meg kellett tisztítani. A Nimda, akárcsak a Code Red, kihasználta a már javított Windows biztonsági rést. Mégis jelentősen nagyobb károkat okozott a többszörös belépési pontok és a gyors terjedés miatt.
harmadik féregünk a WannaCry. Csakúgy, mint az utolsó két férgnél, a Microsoft olyan javítást ajánlott fel, amely megvédte volna a WannaCry fenyegetését. Van azonban egy kis részlet, ami releváns: a Windows XP operációs rendszerhez eredetileg nem adtak ki javítást. Volt némi felhasználói frusztráció ezzel kapcsolatban, de meg kell jegyezni, hogy a Windows XP a kitörés idején több mint három évig volt a “támogatás végén” (erről bővebben később). A WannaCry titkosította a gépen található fájlokat, és a következő üzenetet ajánlotta fel a felhasználóknak:
a felhasználó választhat, hogy kifizeti a “váltságdíjat”, vagy véglegesen elveszíti a fájlokhoz való hozzáférést. Ugyanakkor a féreg továbbra is megpróbálja elterjeszteni a fertőzést más gépekre, amelyek nem javították a sebezhetőséget. Szerencsére volt egy “kill switch”, amelyet egy intelligens malware kutató azonosított és aktivált, és a féreg potenciáljának nagy része soha nem valósult meg.
ahogy befejeztem ezt a bejegyzést, egy új ransomware exploit nevű Petya kezdett megfertőzni rendszerek szerte a világon. A TechCrunch szerint ” minden, ami ezzel a helyzettel kapcsolatos, azt jelzi, hogy a világ számos kormánya és vállalata nem vette komolyan a WannaCry-t, nem javította ki rendszereit, és most megfizetik az árát.”
ahogy Brian Krebs mondta: “azoknak a szervezeteknek és magánszemélyeknek, akik még nem alkalmazták a Windows update for the Eternal Blue exploit programot, most javítaniuk kell. Vannak azonban arra utaló jelek, hogy Petya más trükkökkel is rendelkezik a hüvelyében, hogy elterjedjen a nagy hálózatokon belül.”Ez arra utal, hogy Petya egyszerűen a nyitó salvo lehet, mindez a rossz foltozási gyakorlatokból származik.
a közös szál mögött minden ilyen hasznosítja, hogy a rendszerek nem voltak azonnal folt, ezért voltak kitéve ezeknek a férgeknek. Ezek valójában megelőzhető problémák voltak. De ami igazán érdekessé teszi ezt, az az, hogy az első férgek 2001-ben, az utolsó pedig 2017-ben voltak. Hogy lehet, hogy 16 évvel később ugyanazt a problémát tapasztaljuk?
az 1990-es évek végén és a 2000-es évek elején, amikor az OpenTable-t építettük, soha nem vettük figyelembe a kiberbiztonság kérdéseit, mivel annyira az üzlet hiperskálázására összpontosítottunk, és az ismert fenyegetések minimálisak voltak. Azonban a Nimda és a vörös kód okozta szenvedés felébresztett. Elmentem az OpenTable igazgatótanácsához, és tájékoztattam őket a kibertérben megjelenő fenyegetésekről, és arról, hogy a hálózatunk hogyan lehet sebezhető. Ez közvetlenül befolyásolná üzleti tevékenységünk stabilitását, skálázhatóságát és integritását, ezért befektetnünk kell annak biztonságosabbá tételébe. Javasoltam egy biztonsági tervet, amely a biztonsági alapokra összpontosít, és finanszírozta. Míg a biztonság továbbra is folyamatos kérdés maradt, és biztos vagyok benne, hogy ez aggasztja a nyitható embereket ma, lényegében megoldott folyamat lett, és stabil alapokra tudtunk építeni.
az alapvető megközelítés lényege egyszerű volt. Patch a rendszerek egy időben, ellenőrzik, hogy mit lehet látni az interneten, és megfelelően engedélyezési rendszerek. A Felhasználónak rendelkeznie kell a szükséges minimális engedélyekkel. Ez az alapvető megközelítés figyelemre méltóan megakadályozza a hatalmas mennyiségű biztonsági expozíciót. Ez a” ló ” megközelítés.
ezt az érzést visszhangozta egy nemrégiben O ‘Reilly biztonsági podcast,” Dave Lewis A megoldható biztonsági problémák kitartásáról”. Lewis, az Akamai globális biztonsági szószólója a következő pontot tette, amely egyértelműen visszhangzik:
” húsz plusz évvel ezelőtt, amikor elkezdtem dolgozni a biztonság területén, volt egy meghatározott dolog, amellyel folyamatosan foglalkoznunk kellett. Ahogy a környezetünk olyan dolgokkal bővül, mint a felhőalapú számítástechnika, fogtuk az alapvető gondokat, és megsokszoroztuk őket plusz, plusz, plusz. Azok a dolgok, amelyeket 20 évvel ezelőtt jól kellett volna csinálnunk — mint például a javítás, a vagyonkezelés — ezen a ponton sokkal rosszabbá váltak. A biztonsági adósságunkat sok esetben kezelhetetlen szintre növeltük. Azok az emberek, akik felelősek a javításért, végül átadják ezt a feladatot a következő junior személynek a sorban, miközben előrelépnek karrierjükben. És ez a junior személy továbbadja annak, aki mögötte jön. Így, folt általában valami, ami shunted az út mentén. Ennek eredményeként a probléma folyamatosan növekszik.”
a történet tanulsága az, hogy vissza kell térnünk az alapokhoz, hogy megállítsuk a fejlődés hiányát egy kritikus területen. Amikor Chicago városának információs igazgatója (CIO) voltam, jelentős időt és erőfeszítést töltöttem egy kiberbiztonsági program kiépítésével. Sajnos a kormányzat minden szintjén ez egy olyan terület, amely továbbra is kevés a személyzettel, alulgondolt és alulfinanszírozott. Az innováció és a digitális rendszerek felé való elmozdulás során ez az egyik legkritikusabb kérdés, amellyel a kormánynak számolnia kell.
annak ellenére, hogy a ló megközelítésének nyilvánvaló előnyei vannak a biztonság szempontjából, mivel a CIO i-t folyamatosan akadályozták a gyártók, akik nagyon speciális rendszereket kínáltak nagyon speciális felhasználási esetekhez. Elutasítottam az ilyen típusú zebra kiadásokat, amikor még a lovat sem tudtam fedezni. Ezért elindítottunk egy programot, amely az alapítványra összpontosít, és onnan építünk, ha praktikus.
az ügynökségeknek figyelembe kell venniük ezeket az alapvető kiberhigiénés lépéseket a kritikus fejlődés alapjaként:
- Legyen naprakész a javítással kapcsolatban, és tegye osztályos/ügynökségi prioritássá — unalmas, de hatékony.
- megfelelő jogosultsági rendszerek a szükséges minimális engedélyekkel.
- webes forgalom esetén mindig SSL-t használjon. https://https.cio.gov/
- az ügynökség vezetőjének szüksége van egy vezető kiberbiztonsági erőforrásra, aki megérti a technológiát.
nincs mentség arra, hogy a történelem megismételje önmagát. A tíz évvel ezelőtti rossz gyakorlatoknak nem szabad továbbra is kínozniuk a szervezeteket, a holnap számítógépes támadásainak megelőzésének leghatékonyabb módja pedig a lóra fogadás.