Un mese o due fa stavo discutendo con un medico su malattie oscure — comunemente chiamate zebre. Mentre stavo considerando queste zebre nel contesto di efficaci strategie di data mining per la diagnosi medica, ha fatto un punto interessante. Una delle cose che insegnano ai nuovi medici è la frase ” Quando senti gli zoccoli, pensa al cavallo, non alla zebra.”Il principio è abbastanza semplice-le probabilità sono che il paziente abbia la diagnosi più comune di una rara, improbabile. Un esempio semplice ma illustrativo sarebbe il seguente (rubato a un membro della famiglia del medico):
Una paziente adolescente presenta una storia di tre settimane di mal di testa, affaticamento e febbri intermittenti ma era storicamente sana. L’esame fisico era insignificante e, a parte le febbri occasionali, l’unico sintomo di nota era che era di colore pallido. La zebra avrebbe potuto essere meningite o un tumore al cervello — e il professionista inesperto avrebbe ordinato migliaia di dollari di test e sottoporre il paziente a più procedure. Ma un esame emocromocitometrico di routine ha mostrato che era semplicemente anemica-il cavallo-e aveva solo bisogno di ferro extra. La regola: pensa al cavallo senza escludere le zebre.
Questo principio di come noi come esseri umani tendiamo a complicare eccessivamente le cose risuona con me, ma per un settore completamente diverso che ha caratterizzato in primo piano nelle notizie di tardo — sicurezza informatica.
Per considerare questo problema, discutiamo di tre virus simili della varietà di computer, noti anche come worm di computer.
Il nostro primo worm si chiama “Code Red”. Questo era un virus di Windows che poteva eseguire codice arbitrario una volta sul sistema dell’host. Inoltre, il worm infetterebbe un server Web Windows e visualizzerà il seguente messaggio:
E, naturalmente, il worm cercherà di diffondersi e trovare altri host infettabili in macchine senza patch. Una patch per questa vulnerabilità era stata offerta un mese prima degli attacchi di Code Red, ma poche istituzioni l’hanno installata. Ciò ha causato notevoli mal di testa e imbarazzo ai reparti IT in più settori.
Il nostro secondo worm è Nimda. Nimda potrebbe trasferire se stessa a un computer in cinque modi diversi, tra cui e-mail. È diventato uno dei primi worm in grado di eseguire il suo codice anche se l’host non ha aperto l’e-mail infetta. Nimda ha impedito ai lavoratori della corte federale di accedere elettronicamente ai file del tribunale e i documenti del tribunale infetti dovevano essere puliti uno per uno. Nimda, come Code Red, ha sfruttato una vulnerabilità di Windows già patchata. Tuttavia, ha causato danni significativamente più ampi a causa dei molteplici punti di ingresso e della rapida diffusione.
Il nostro terzo worm è WannaCry. Proprio come con gli ultimi due worm, Microsoft aveva offerto una patch che avrebbe protetto contro la minaccia WannaCry. Tuttavia, c’è un po ‘ di dettaglio qui che è rilevante: una patch non è stata originariamente emessa per il sistema operativo Windows XP. C’era una certa frustrazione degli utenti con questo, ma va notato che Windows XP era alla “Fine del supporto” per oltre tre anni al momento di questo focolaio (ne parleremo più avanti). WannaCry ha crittografato i file locali sulla macchina e ha offerto il seguente messaggio agli utenti:
L’utente aveva la scelta di pagare il “riscatto” o perdere l’accesso ai propri file in modo permanente. Allo stesso tempo, il worm avrebbe continuato a cercare di diffondere l’infezione ad altre macchine che avevano la vulnerabilità senza patch. Fortunatamente, c’era un “kill switch” che un ricercatore di malware intelligente ha identificato e attivato e gran parte del potenziale del worm non è mai stato realizzato.
Mentre stavo finendo questo post, un nuovo exploit ransomware chiamato Petya ha iniziato a infettare i sistemi in tutto il mondo. Per TechCrunch, ” Tutto ciò che riguarda questa situazione indica che molti governi e aziende in tutto il mondo non hanno preso sul serio WannaCry, non sono riusciti a rattoppare i loro sistemi e ora stanno pagando il prezzo.”
Come ha detto Brian Krebs, ” Le organizzazioni e gli individui che non hanno ancora applicato l’aggiornamento di Windows per l’eterno blu exploit dovrebbero patch ora. Tuttavia, ci sono indicazioni che Petya potrebbe avere altri trucchi nella manica per diffondersi all’interno di grandi reti.”Questo suggerisce che Petya potrebbe essere semplicemente la salva di apertura, il tutto derivante da pratiche di patch scadenti.
Il filo conduttore dietro tutti questi exploit è che i sistemi non sono stati prontamente patchati e quindi sono stati esposti a questi worm. Questi erano, infatti, problemi prevenibili. Ma ciò che rende questo veramente interessante è che i primi worm erano nel 2001 e l’ultimo era nel 2017. Come è possibile che 16 anni dopo, stiamo vivendo lo stesso problema?
Alla fine degli anni 1990 e all’inizio degli anni 2000 mentre stavamo costruendo OpenTable, non abbiamo mai considerato i problemi della sicurezza informatica poiché eravamo così concentrati sull’iperscalazione del business e le minacce note erano minime. Tuttavia, la sofferenza attraverso Nimda e Codice Rosso mi ha fatto svegliare. Sono andato al nostro consiglio di amministrazione di OpenTable e li ho informati sulle minacce emergenti nello spazio informatico e su come la nostra rete potrebbe essere vulnerabile ad esso. Avrebbe un impatto diretto sulla stabilità, la scalabilità e l’integrità del nostro business e quindi dovremmo investire nel renderlo più sicuro. Ho sostenuto un piano di sicurezza incentrato sul fare bene le basi della sicurezza, ed è stato finanziato. Mentre la sicurezza è rimasta un problema in corso, e sono sicuro che preoccupa la gente OpenTable oggi, è diventato essenzialmente un processo risolto e siamo stati in grado di costruire su una base stabile.
Il nucleo dietro l’approccio fondamentale era semplice. Patch i sistemi in modo tempestivo, controllare ciò che può essere visto da Internet e sistemi di autorizzazione correttamente. Un utente dovrebbe avere le autorizzazioni minime per realizzare ciò di cui ha bisogno. Questo approccio di base impedisce notevolmente un’enorme quantità di esposizione alla sicurezza. Questo è l’approccio” cavallo”.
Questo sentimento è stato ripreso in un recente podcast di sicurezza O’Reilly, “Dave Lewis on the tenacity of solvable security problems”. Lewis, un sostenitore della sicurezza globale di Akamai, ha fatto il seguente punto che risuona chiaramente:
” Venti anni fa, quando ho iniziato a lavorare nel settore della sicurezza, avevamo un insieme definito di cose che dovevamo affrontare su base continua. Mentre i nostri ambienti si espandono con cose come il cloud computing, abbiamo preso quel nucleo di preoccupazioni e li abbiamo moltiplicati plus, plus, plus. Le cose che avremmo dovuto fare bene 20 anni fa – come le patch, la gestione patrimoniale-sono peggiorate di gran lunga a questo punto. Abbiamo cresciuto il nostro debito di sicurezza a livelli ingestibili in un sacco di casi. Le persone che sono responsabili per l’applicazione di patch finiscono per passare quel dovere verso il basso per la prossima persona junior in linea come si muovono in avanti nella loro carriera. E quella persona più giovane a sua volta lo passa a chi arriva dietro di loro. Quindi, la patch tende ad essere qualcosa che viene deviato sul ciglio della strada. Di conseguenza, il problema continua a crescere.”
La morale della storia è che dobbiamo tornare alle basi per fermare questa mancanza di progressi in un’area critica. Quando ero il Chief Information Officer (CIO) della città di Chicago, ho speso molto tempo e fatica a costruire un programma di sicurezza informatica. Purtroppo, a tutti i livelli di governo che è un settore che rimane a corto di personale, underthought e sotto-risorse. Mentre stiamo innovando e passando a sistemi più digitali, è una delle questioni più critiche che il governo deve fare i conti con.
Nonostante gli ovvi vantaggi di un approccio alla sicurezza a cavallo, come CIO ero costantemente barraged dai fornitori che offrono sistemi altamente specializzati per casi d’uso molto specifici. Mi sono rifiutato di fare questi tipi di spese zebra quando non riuscivo nemmeno a coprire per il cavallo. Così, abbiamo iniziato un programma incentrato sulla fondazione, e la costruzione da lì quando pratico.
Le agenzie devono considerare questi passaggi fondamentali di cyber igiene come una base per compiere progressi critici:
- Rimani aggiornato sulle patch e renderlo una priorità dipartimentale / agenzia-è noioso ma è efficace.
- Sistemi di autorizzazione correttamente con le autorizzazioni minime necessarie.
- Per il traffico web, utilizzare sempre SSL. https://https.cio.gov/
- Il dirigente dell’agenzia ha bisogno di una risorsa di sicurezza informatica senior che comprenda la tecnologia.
Non ci sono scuse per permettere alla storia di ripetersi. Le cattive pratiche di dieci anni fa non dovrebbero continuare a tormentare le organizzazioni di oggi, e il modo più efficace per prevenire gli attacchi informatici di domani è quello di scommettere sul cavallo.