een maand of twee geleden had ik een gesprek met een arts over obscure ziekten — meestal aangeduid als zebra ‘ s. Terwijl ik deze zebra ‘ s overwoog in de context van effectieve data mining strategieën voor medische diagnose, maakte hij een interessant punt. Een van de dingen die ze nieuwe artsen leren is de uitdrukking “als je hoeven hoort, denk paard, niet zebra.”Het principe is vrij eenvoudig-de kans is groot dat de patiënt de meest voorkomende diagnose heeft dan een zeldzame, onwaarschijnlijke. Een eenvoudig maar illustratief voorbeeld zou het volgende zijn (gestolen van een lid van de familie van een arts):
een adolescente vrouwelijke patiënt vertoont een geschiedenis van drie weken van hoofdpijn, vermoeidheid en intermitterende koorts, maar was historisch gezond. Het lichamelijk onderzoek was onopvallend en afgezien van de af en toe koorts, het enige symptoom van Opmerking was dat ze bleek van kleur was. De zebra kan meningitis of een hersentumor zijn geweest-en de onervaren beoefenaar zou duizenden dollars testen bestellen en de patiënt aan meerdere procedures onderwerpen. Maar een routine bloedonderzoek toonde aan dat ze gewoon bloedarmoede had — het paard — en gewoon extra ijzer nodig had. De regel: denk paard zonder uit te sluiten zebra ‘ s.
dit principe van hoe wij als mensen de neiging hebben om dingen te ingewikkeld te maken, resoneert met mij, maar voor een totaal andere sector die prominent aanwezig is in het nieuws van late cybersecurity.
om dit probleem te bespreken, bespreken we drie soortgelijke virussen van de computervariant, ook bekend als computerwormen.
onze eerste worm heet “Code Red”. Dit was een Windows-virus dat willekeurige code eenmaal kon uitvoeren op het systeem van de host. Bovendien zou de worm een Windows webserver infecteren en het volgende bericht tonen:
en natuurlijk zou de worm zoeken naar andere infecteerbare hosts in ongepatchte machines te verspreiden en te vinden. Een patch voor deze kwetsbaarheid was aangeboden een maand voordat Code Red ‘ S aanvallen, maar weinig instellingen geïnstalleerd. Dit veroorzaakte aanzienlijke hoofdpijn en verlegenheid aan IT-afdelingen in meerdere sectoren.
onze tweede worm is Nimda. Nimda kon zichzelf overzetten naar een computer op vijf verschillende manieren, inclusief e-mail. Het werd een van de eerste wormen in staat zijn om de code uit te voeren, zelfs als de host niet de geïnfecteerde e-mail te openen. Nimda stopte met de federale rechtbank werknemers toegang tot gerechtelijke bestanden elektronisch en de geïnfecteerde rechtbank documenten moesten worden schoongemaakt een voor een. Nimda, net als Code Red, uitgebuit een reeds gepatchte Windows kwetsbaarheid. Toch veroorzaakte het aanzienlijk grotere schade als gevolg van de meerdere toegangspunten en snelle verspreiding.
onze derde worm is WannaCry. Net als bij de laatste twee wormen, Microsoft had een patch die zou hebben beschermd tegen de WannaCry bedreiging aangeboden. Echter, er is een beetje detail hier dat relevant is: een patch werd niet oorspronkelijk uitgegeven voor het Windows XP-besturingssysteem. Er was een aantal gebruikers frustratie met dit, maar opgemerkt moet worden dat Windows XP was op “einde van de ondersteuning” voor meer dan drie jaar op het moment van deze uitbraak (meer hierover later). WannaCry versleutelde bestanden lokaal op de machine en bood het volgende bericht aan gebruikers:
de gebruiker had de keuze om het “losgeld” te betalen of de toegang tot hun bestanden permanent te verliezen. Tegelijkertijd, de worm zou blijven proberen en verspreid de infectie naar andere machines die de ongepatchte kwetsbaarheid had. Gelukkig, er was een” kill switch ” die een slimme malware onderzoeker geïdentificeerd en geactiveerd en een groot deel van het potentieel van de worm werd nooit gerealiseerd.
toen ik dit bericht afmaakte, begon een nieuwe ransomware exploit genaamd Petya systemen over de hele wereld te infecteren. Per TechCrunch, ” alles over deze situatie geeft aan dat tal van overheden en bedrijven over de hele wereld nam WannaCry niet serieus, niet in geslaagd om patch hun systemen en betalen nu de prijs.”
zoals Brian Krebs zei, ” organisaties en individuen die de Windows update nog niet hebben toegepast voor de Eternal Blue exploit moeten nu patchen. Er zijn echter aanwijzingen dat Petya andere trucs in de mouw kan hebben om zich te verspreiden binnen grote netwerken.”Dit suggereert dat Petya kan gewoon de opening salvo, allemaal als gevolg van slechte patching praktijken.
de rode draad achter al deze exploits is dat systemen niet onmiddellijk werden gepatcht en daarom werden blootgesteld aan deze wormen. Dit waren in feite te voorkomen problemen. Maar wat dit echt interessant maakt is dat de eerste wormen in 2001 waren en de laatste in 2017. Hoe komt het dat we 16 jaar later hetzelfde probleem hebben?In de late jaren 1990 en vroege jaren 2000, toen we OpenTable aan het bouwen waren, hebben we nooit rekening gehouden met cybersecurity, omdat we zo gefocust waren op hyperscaling van het bedrijf en de bekende bedreigingen minimaal waren. Maar door het lijden door Nimda en Code Red werd ik wakker. Ik ging naar onze Raad van bestuur bij OpenTable en informeerde hen over de opkomende bedreigingen in de cyberruimte en hoe ons netwerk kwetsbaar zou kunnen zijn. Het zou een directe impact hebben op de stabiliteit, schaalbaarheid en integriteit van ons bedrijf en daarom moeten we investeren in het veiliger maken ervan. Ik pleitte voor een veiligheidsplan gericht op het doen van de veiligheid basisprincipes goed, en het werd gefinancierd. Hoewel beveiliging een voortdurend probleem bleef, en ik weet zeker dat het de OpenTable mensen vandaag de dag zorgen baart, werd het in wezen een opgelost proces en konden we bouwen op een stabiele basis.
de kern achter de fundamentele benadering was eenvoudig. Patch uw systemen op een tijdige manier, controle wat kan worden gezien door het Internet en goed toestemming systemen. Een gebruiker moet de minimale rechten hebben om te bereiken wat ze nodig hebben. Deze basisbenadering voorkomt Opmerkelijk een enorme hoeveelheid blootstelling aan beveiliging. Dit is de “paard” aanpak.Dit gevoel werd weerspiegeld in een recente podcast van O ‘ Reilly Security, “Dave Lewis on the tenacity of solvable security problems”. Lewis, een global security advocate bij Akamai, maakte het volgende punt dat duidelijk weerklinkt:
” meer dan twintig jaar geleden, toen ik begon te werken in security, hadden we een gedefinieerde set van dingen waar we continu mee te maken hadden. Naarmate onze omgevingen zich uitbreiden met zaken als cloud computing, hebben we die kernset van zorgen genomen en ze vermenigvuldigd plus, plus, plus. Dingen die we 20 jaar geleden goed hadden moeten doen – zoals patchen, vermogensbeheer-zijn op dit moment veel erger geworden. We hebben onze veiligheidsschuld in veel gevallen tot onbeheersbaar niveau laten groeien. Mensen die verantwoordelijk zijn voor patching uiteindelijk het doorgeven van die taak naar de volgende junior persoon in de rij als ze vooruit in hun carrière. En die junior persoon geeft het op zijn beurt door aan degene die achter hen komt. Dus, patchen heeft de neiging om iets dat wordt gemeden aan de kant. Als gevolg daarvan blijft het probleem groeien.”
the moral of the story is that we need to return to the basics to stop this gebrek aan vooruitgang in a critical area. Toen ik de Chief Information Officer (CIO) van de stad Chicago was, heb ik veel tijd en moeite besteed aan het opbouwen van een cybersecurity-programma. Helaas is dat op alle bestuursniveaus een gebied dat nog steeds onderbezet is, onvoldoende doordacht en onvoldoende middelen heeft. Omdat we innoveren en naar meer digitale systemen gaan, is het een van de meest kritieke kwesties waar de overheid rekening mee moet houden.Ondanks de duidelijke voordelen van een paardenaanpak op het gebied van veiligheid, was CIO I voortdurend verontwaardigd over verkopers die zeer gespecialiseerde systemen voor zeer specifieke gebruiksgevallen aanbieden. Ik weigerde dit soort Zebra uitgaven te doen toen ik het paard niet eens kon dekken. Dus begonnen we een programma gericht op de stichting, en bouwen van daaruit als praktisch.
agentschappen moeten deze fundamentele stappen op het gebied van cyber hygiëne beschouwen als een basis voor het maken van kritische vooruitgang:
- blijf op de hoogte van patching en maak het een departementale / agentschap prioriteit-het is saai, maar het is effectief.
- correct machtigingssystemen met de minimaal noodzakelijke machtigingen.
- voor webverkeer, Gebruik altijd SSL. https://https.cio.gov/
- de directeur van het Agentschap heeft behoefte aan een senior cybersecurity resource die technologie begrijpt.
er is geen excuus om toe te staan dat de geschiedenis zich herhaalt. De slechte praktijken van tien jaar geleden moeten vandaag de dag organisaties niet blijven kwellen, en de meest effectieve manier om de cyberaanvallen van morgen te voorkomen is om op het paard te wedden.