For en måned Eller To Siden hadde Jeg en diskusjon med en lege om obskure sykdommer-ofte referert til som zebraer. Mens jeg vurderte disse zebras i sammenheng med effektive data mining strategier for medisinsk diagnose, gjorde han et interessant poeng. En av de tingene som de lærer nye leger er uttrykket » Når du hører hovene, tror hest, ikke sebra.»Prinsippet er ganske enkelt-oddsen er at pasienten har den mer vanlige diagnosen enn en sjelden, usannsynlig en. Et enkelt, men illustrativt eksempel ville være følgende (stjålet fra et familiemedlem fra en lege):
en ung kvinnelig pasient presenterer med en tre ukers historie med hodepine, tretthet og intermitterende feber, men var historisk sunn. Den fysiske eksamen var unremarkable og bortsett fra sporadiske feber, det eneste symptomet på notatet var at hun var blek i fargen. Sebraen kunne ha vært meningitt eller hjernesvulst-og den uerfarne utøveren ville bestille tusenvis av dollar av tester og utsette pasienten for flere prosedyrer. Men en rutinemessig blodtelling viste at hun bare var anemisk-hesten – og bare trengte ekstra jern. Regelen: Tenk hest uten å utelukke zebras.
dette prinsippet om hvordan vi som mennesker har en tendens til å overkomplisere ting resonerer med meg, men for en helt annen sektor som har vært fremtredende i nyheten om sen cybersikkerhet.
for å vurdere dette problemet, la oss diskutere tre lignende virus av datamaskinens variasjon, også kjent som datormasker.
Vår første orm kalles «Kode Rød». Dette Var Et Windows-virus som kunne utføre vilkårlig kode en gang på vertssystemet. I tillegg vil ormen infisere En Windows webserver og vise følgende melding:
og selvfølgelig vil ormen se ut til å spre seg og finne andre infectable verter i upatchede maskiner. En oppdatering for dette sikkerhetsproblemet ble tilbudt en måned før Code Reds angrep, men få institusjoner installerte Det. Dette førte til betydelig hodepine OG forlegenhet FOR IT-avdelinger i flere sektorer.
Vår andre orm Er Nimda. Nimda kunne overføre seg til en datamaskin på fem forskjellige måter, inkludert e-post. Det ble en av de første ormene som kunne utføre koden selv om verten ikke åpnet den infiserte e-posten. Nimda stoppet Føderale domstolsarbeidere fra å få tilgang til rettsmapper elektronisk, og de infiserte rettsdokumentene måtte rengjøres en etter en. Nimda, som Code Red, utnyttet Et Allerede patched Windows-sårbarhet. Likevel forårsaket det betydelig større skade på grunn av flere inngangspunkter og rask spredning.
Vår tredje orm Er WannaCry. Akkurat Som med de to siste ormene, Hadde Microsoft tilbudt En patch som ville ha beskyttet Mot wannacry-trusselen. Det er imidlertid litt detalj her som er relevant: en oppdatering ble ikke opprinnelig utstedt For Windows XP-operativsystemet. Det var litt brukerfrustrasjon med dette, Men Det bør bemerkes At Windows XP var på «Slutt På Støtte» i over tre år på tidspunktet for dette utbruddet (mer om dette senere). Wannacry krypterte filer lokalt til maskinen og tilbød følgende melding til brukere:
brukeren hadde valget mellom å betale «løsepenger» eller miste tilgang til filene permanent. Samtidig ville ormen fortsette å forsøke å spre infeksjonen til andre maskiner som hadde den uopprettede sårbarheten. Heldigvis, det var en «kill switch» som en smart malware forsker identifisert og aktivert og mye av ormen potensial ble aldri realisert.
Da jeg var ferdig med dette innlegget, begynte En ny ransomware-utnyttelse Kalt Petya å infisere systemer over hele verden. Per TechCrunch, » alt om denne situasjonen indikerer at mange regjeringer Og selskaper rundt om i verden ikke tok WannaCry seriøst, klarte ikke å lappe sine systemer og betaler nå prisen.»
Som Brian Krebs sa, » Organisasjoner og enkeltpersoner som ennå ikke har brukt Windows update for Eternal Blue exploit bør lappe nå. Det er imidlertid indikasjoner På At Petya kan ha andre triks opp i ermet for å spre seg inn i store nettverk.»Dette tyder På At Petya kan rett og slett være åpningen salvo, alt som følge av dårlig patching praksis.
den røde tråden bak alle disse utnyttelsene er at systemene ikke ble raskt lappet og derfor ble utsatt for disse ormene. Disse var faktisk forebyggbare problemer. Men det som gjør dette virkelig interessant er at de første ormene var i 2001 og den siste var i 2017. Hvordan er det at 16 år senere, vi opplever det samme problemet?
på slutten Av 1990-tallet og tidlig på 2000-tallet da Vi bygde OpenTable, vurderte vi aldri spørsmål om cybersikkerhet da vi var så fokusert på hyperscaling virksomheten og de kjente truslene var minimal. Men lidelse gjennom Nimda og Code Red fikk meg til å våkne opp. Jeg gikk til Vårt Styre På OpenTable og orienterte dem om de nye truslene i cyberrommet og hvordan nettverket vårt kunne være sårbart for det. Det vil direkte påvirke stabiliteten, skalerbarheten og integriteten til vår virksomhet, og derfor bør vi investere i å gjøre den sikrere. Jeg foreslo for en sikkerhetsplan fokusert på å gjøre sikkerhetsgrunnlaget bra, og det ble finansiert. Mens sikkerhet forblir et pågående problem, og jeg er sikker på at det bekymrer De Åpne folkene i dag, ble det i hovedsak en løst prosess, og vi var i stand til å bygge på et stabilt fundament.
kjernen bak den grunnleggende tilnærmingen var enkel. Patch systemene i tide, kontrollere hva som kan sees Av Internett og riktig tillatelse systemer. En bruker bør ha minimumstillatelser for å oppnå det de trenger. Denne grunnleggende tilnærmingen forhindrer bemerkelsesverdig en enorm sikkerhetseksponering. Dette er» hest » – tilnærmingen.
denne følelsen ble gjentatt i En Nylig O ‘Reilly Security podcast,» Dave Lewis på fasthet av løsbare sikkerhetsproblemer». Lewis, En global sikkerhetsadvokat Hos Akamai, gjorde følgende punkt som klart resonerer:
» For Tjue år siden da jeg begynte å jobbe med sikkerhet, hadde vi et definert sett med ting vi måtte håndtere kontinuerlig. Etter hvert som våre miljøer utvides med ting som cloud computing, har vi tatt det kjernesettet av bekymringer og multiplisert dem pluss, pluss, pluss. Ting som vi burde ha gjort det bra for 20 år siden-som patching, kapitalforvaltning – har blitt langt verre på dette punktet. Vi har vokst vår sikkerhetsgjeld til uhåndterlige nivåer i mange tilfeller. Folk som er ansvarlige for patching ender opp med å passere den plikten ned til neste junior person i kø når de går videre i karrieren. Og at junior person i sin tur sender den videre til hvem som kommer opp bak dem. Så, patching tendens til å være noe som er shunted til veikant. Som et resultat fortsetter problemet å vokse.»
historiens moral er at vi må gå tilbake til det grunnleggende for å stoppe denne mangelen på fremgang i et kritisk område. Da Jeg var Chief Information Officer (CIO) I Chicago, brukte jeg betydelig tid og krefter på å bygge ut et cybersikkerhetsprogram. Dessverre, på alle nivåer av regjeringen som er et område som fortsatt underbemannet, underthought og under-resourced. Som vi er nyskapende og flytte til flere digitale systemer, er det en av de mest kritiske problemene som regjeringen må regne med.
Til tross for de åpenbare fordelene med en hest tilnærming til sikkerhet, SOM CIO jeg ble stadig bombardert av leverandører som tilbyr høyt spesialiserte systemer for svært spesifikke brukstilfeller. Jeg nektet å gjøre disse typer sebra utgifter når jeg ikke engang kunne dekke for hesten. Så vi startet et program med fokus på fundamentet, og bygge derfra når det er praktisk.
Byråer må vurdere disse grunnleggende cyberhygiene trinnene som grunnlag for å gjøre kritiske fremskritt:
- Hold deg oppdatert på patching og gjør det til en avdelings / byrå prioritet – det er kjedelig, men det er effektivt.
- Riktig tillatelsessystemer med de minste tillatelsene som er nødvendige.
- bruk ALLTID SSL for webtrafikk. https://https.cio.gov/
- byråets leder trenger en senior cybersecurity ressurs som forstår teknologi.
det er ingen unnskyldning for å la historien gjenta seg. Den dårlige praksisen for ti år siden bør ikke fortsette å plage organisasjoner i dag, og den mest effektive måten å forhindre morgendagens cyberangrep er å satse på hesten.