1ヶ月か2ヶ月前、私は、一般的にシマウマと呼ばれる不明瞭な病気について医師と議論していました。 私は医学的診断のための効果的なデータマイニング戦略の文脈でこれらのシマウマを検討していたが、彼は興味深い点を作った。 彼らが新しい医師に教えることの一つは、”あなたが蹄を聞くとき、シマウマではなく馬を考える”というフレーズです。”原則は非常に簡単です—オッズは、患者がまれな、ありそうもないものよりも一般的な診断を持っています。 単純だが例示的な例は、以下の通りである(医師の家族から盗まれた):
思春期の女性患者は、頭痛、疲労、断続的な発熱の三週間の病歴を提示したが、歴史的に健康であった。 身体検査は目立たず、時折の発熱を除いて、注意の唯一の症状は彼女が色が薄いということでした。 シマウマは髄膜炎または脳腫瘍であった可能性があり、経験の浅い開業医は数千ドルの検査を命じ、患者に複数の処置を施すことになります。 しかし、定期的な血球数は、彼女が単に貧血であることを示しました—馬—そしてちょうど余分な鉄が必要でした。 ルール:シマウマを除外せずに馬を考える。
人間としての私たちが物事を複雑にする傾向があるというこの原則は、私と共鳴しますが、最近のサイバーセキュリティのニュースで顕著に紹介され
この問題を検討するために、コンピュータワームとも呼ばれるコンピュータの種類の三つの類似したウイルスについて議論しましょう。
私たちの最初のワームは”コードレッド”と呼ばれています。 これは、ホストのシステム上で任意のコードを一度実行できるWindowsウイルスでした。 さらに、このワームはWindows webサーバーに感染し、次のメッセージを表示します。
もちろん、このワームはパッチが適用されていないマシンで他の感染可能なホス この脆弱性のためのパッチは、Code Redの攻撃の一ヶ月前に提供されていましたが、いくつかの機関がそれをインストールしました。 これは、複数のセクターのIT部門に大きな頭痛と恥ずかしさを引き起こしました。
私たちの第二のワームはNimdaです。 Nimdaは、電子メールを含む5つの異なる方法で自分自身をコンピュータに転送することができます。 ホストが感染した電子メールを開いていなくても、コードを実行できる最初のワームの1つになりました。 Nimdaは連邦裁判所の労働者が電子的に裁判所のファイルにアクセスするのを止め、感染した裁判所の文書は一つずつ掃除されなければならなかった。 Nimdaは、Code Redと同様に、既にパッチが適用されているWindowsの脆弱性を悪用しました。 しかし、それは複数のエントリポイントと急速な広がりのために大幅に広い損傷を引き起こ
私たちの第三のワームはWannaCryです。 最後の2つのワームと同じように、MicrosoftはWannaCryの脅威から保護するパッチを提供していました。 しかし、ここには関連する詳細が少しあります:パッチはもともとWindows XPオペレーティングシステム用に発行されていませんでした。 これにはユーザーの不満がいくつかありましたが、Windows XPはこの発生時に3年以上「サポート終了」になっていたことに注意してください(詳細は後述)。 WannaCryはマシンのローカルファイルを暗号化し、ユーザーに次のメッセージを提供しました:
ユーザーは”身代金”を支払うか、ファイルへのアクセスを永久に失う 同時に、ワームはパッチが適用されていない脆弱性を持っていた他のマシンに感染を拡散しようとし続けます。 幸いなことに、スマートなマルウェア研究者が特定して活性化した”キルスイッチ”があり、ワームの可能性の多くは決して実現されませんでした。
私がこの投稿を終えたとき、Petyaと呼ばれる新しいランサムウェアの悪用が世界中のシステムに感染し始めました。 Techcrunchによると、「この状況に関するすべては、世界中の多くの政府や企業がWannaCryを真剣に受け止めず、システムにパッチを適用できず、現在価格を支払っているこ”
Brian Krebsが言ったように、”Eternal Blue exploitにWindows updateをまだ適用していない組織や個人は、今すぐパッチを適用する必要があります。 しかし、Petyaは、大規模なネットワークの内部に広がるために、その袖の上に他のトリックを持っている可能性がある兆候があります。”これは、Petyaが単にオープニングの一斉射撃である可能性があることを示唆しています。
これらの悪用のすべての背後にある共通のスレッドは、システムが迅速にパッチを適用されなかったため、これらのワームにさらされたということです。 これらは、実際には、予防可能な問題でした。 しかし、これを本当に興味深いものにしているのは、最初のワームは2001年に、最後は2017年にあったということです。 それは16年後、私たちは同じ問題を経験していることはどのようにしていますか?
1990年代後半から2000年代初頭にかけて、OpenTableを構築していたとき、私たちはビジネスのハイパースケーリングに焦点を当て、既知の脅威は最小限であったため、サイ しかし、NimdaとCode Redを介して苦しんでいると、私は目を覚ますようになりました。 私はOpenTableの取締役会に行き、サイバー空間における新たな脅威と、私たちのネットワークがそれに対してどのように脆弱であるかについて説明しました。 それは私たちのビジネスの安定性、拡張性、完全性に直接影響を与えるため、より安全にするために投資する必要があります。 私はセキュリティの基本をうまくやることに焦点を当てたセキュリティ計画を提唱し、それは資金を供給されました。 セキュリティは継続的な問題であり、今日のOpenTableの人々を心配していると確信していますが、本質的に解決されたプロセスになり、安定した基盤の上に構築
基本的なアプローチの背後にあるコアは単純でした。 タイムリーにシステムにパッチを適用し、インターネットと適切に許可システムによって見ることができるものを制御します。 ユーザーは、必要なものを達成するための最小限の権限を持っている必要があります。 この基本的なアプローチは、膨大な量のセキュリティ露出を著しく防止します。 これは”馬”のアプローチです。
この感情は、最近のオライリーセキュリティポッドキャスト”Dave Lewis on the tenacity of solvable security problems”でエコーされました。 Akamaiのグローバルなセキュリティ擁護者であるLewis氏は、次の点に明確に共鳴しています。
「20年以上前、私がセキュリティの仕事を始めたとき、私たちは定義された一連のことを継続的に処理しなければなりませんでした。 私たちの環境がクラウドコンピューティングのようなもので拡大するにつれて、私たちはそのコアセットの心配を取り、それらをプラス、プラス、プラス 私たちが20年前にうまくやっていたはずのこと—パッチ適用、資産管理のように—この時点ではるかに悪化しています。 私たちは、多くのケースで管理不能なレベルに私たちのセキュリティ債務を成長しています。 パッチを適用するために責任がある人々は彼らのキャリアで進むと同時にラインの次の後輩人にその義務を渡すことを終える。 そして、その後輩は順番に彼らの後ろに来る誰にもそれを渡します。 だから、パッチを適用すると、道端にシャントされているものになる傾向があります。 その結果、問題は成長し続けています。”
物語の教訓は、重要な分野でのこの進歩の欠如を止めるためには、基本に戻る必要があるということです。 私がシカゴ市の最高情報責任者(CIO)だったとき、私はサイバーセキュリティプログラムを構築するためにかなりの時間と労力を費やしました。 悲しいことに、政府のすべてのレベルでは、人員不足、考え不足、資金不足のままの領域です。 私たちは革新し、より多くのデジタルシステムに移行しているように、それは政府が考慮する必要がある最も重要な問題の一つです。
セキュリティへの馬のアプローチの明らかな利点にもかかわらず、CIO Iは非常に特定のユースケースのための高度に特殊化されたシステムを提供するベ 私も馬のためにカバーすることができなかったとき、私はゼブラの支出のこれらのタイプを作ることを拒否しました。 そこで、私たちは基礎に焦点を当てたプログラムを開始し、実用的なときにそこから構築しました。
機関は、重要な進歩を遂げるための基礎として、これらの基本的なサイバー衛生手順を考慮する必要があります:
- パッチ適用に現在の滞在し、それを部門/代理店の優先順位にする—それは退屈ですが、それは効果的です。
- 必要最小限の権限を持つ適切な権限システム。
- webトラフィックの場合は、常にSSLを使用します。 https://https.cio.gov/
- 代理店の幹部には、技術を理解している上級サイバーセキュリティリソースが必要です。
歴史が繰り返されることを許す言い訳はありません。 十年前の貧しい慣行は、今日の組織を苦しめるために継続すべきではなく、明日のサイバー攻撃を防ぐための最も効果的な方法は、馬に賭けることです。