miesiąc lub dwa temu rozmawiałem z lekarzem na temat niejasnych chorób — powszechnie nazywanych zebrami. Podczas gdy rozważałem te zebry w kontekście skutecznych strategii eksploracji danych w diagnostyce medycznej, zrobił interesujący punkt. Jedną z rzeczy, których uczą nowych lekarzy, jest zdanie ” Kiedy słyszysz kopyta, myśl o koniu, nie o zebrze.”Zasada jest dość prosta-szanse są takie, że pacjent ma bardziej powszechną diagnozę niż rzadką, nieprawdopodobną. Prosty, ale ilustracyjny przykład byłby następujący (skradziony od członka rodziny lekarza):
dorastająca pacjentka ma trzytygodniową historię bólu głowy, zmęczenia i przerywanej gorączki, ale była historycznie zdrowa. Badanie fizykalne było nijakie i oprócz sporadycznych gorączek, jedynym objawem zauważenia było to, że była blada w Kolorze. Zebra mogła być zapaleniem opon mózgowych lub guzem mózgu-a niedoświadczony lekarz zleciłby tysiące dolarów badań i poddał pacjenta wielu zabiegom. Ale rutynowa morfologia krwi wykazała, że była po prostu anemiczna — koń-i po prostu potrzebowała dodatkowego żelaza. Zasada: myśl konia bez wykluczania zebr.
ta zasada, w jaki sposób my, jako ludzie, mamy tendencję do komplikowania rzeczy, rezonuje ze mną, ale dla zupełnie innego sektora, który pojawił się na pierwszym miejscu w wiadomościach o późnym cyberbezpieczeństwie.
aby rozważyć ten problem, omówmy trzy podobne wirusy odmiany komputerowej, znane również jako robaki komputerowe.
nasz pierwszy robak nazywa się”Code Red”. Był to wirus Windows, który mógł wykonać dowolny kod raz w systemie hosta. Ponadto robak zainfekowałby serwer sieciowy Windows i wyświetliłby następujący komunikat:
i oczywiście robak szukałby rozprzestrzeniania się i znajdowania innych zainfekowanych hostów na niezrównanych maszynach. Łatka dla tej luki została zaproponowana na miesiąc przed atakami Code Red, ale kilka instytucji ją zainstalowało. Spowodowało to znaczne bóle głowy i zakłopotanie działów IT w wielu sektorach.
naszym drugim robakiem jest Nimda. Nimda może przenieść się do komputera na pięć różnych sposobów, w tym e-mail. Stał się jednym z pierwszych robaków, które mogły wykonać swój kod, nawet jeśli host nie otworzył zainfekowanej wiadomości e-mail. Nimda powstrzymała pracowników sądu federalnego od elektronicznego dostępu do akt sądowych, a zainfekowane dokumenty sądowe musiały być czyszczone jeden po drugim. Nimda, podobnie jak Code Red, wykorzystała już załataną lukę w systemie Windows. Spowodowało to jednak znacznie większe szkody z powodu wielu punktów wejścia i szybkiego rozprzestrzeniania się.
nasz trzeci robak to WannaCry. Podobnie jak w przypadku dwóch ostatnich robaków, Microsoft zaoferował łatkę, która chroniłaby przed zagrożeniem WannaCry. Jednak jest tu trochę szczegółów, które są istotne: łata nie została pierwotnie wydana dla systemu operacyjnego Windows XP. Było trochę frustracji użytkownika z tym, ale należy zauważyć, że Windows XP był „koniec wsparcia” przez ponad trzy lata w czasie tego wybuchu (więcej na ten temat później). WannaCry zaszyfrował pliki lokalne na maszynie i zaoferował użytkownikom następującą wiadomość:
użytkownik miał możliwość zapłacenia „okupu” lub utraty dostępu do swoich plików na stałe. W tym samym czasie robak nadal próbował rozprzestrzeniać infekcję na inne maszyny, które miały niezrównaną podatność. Na szczęście był „kill switch”, który inteligentny badacz złośliwego oprogramowania zidentyfikował i aktywował, a większość potencjału robaka nigdy nie została zrealizowana.
kiedy kończyłem ten post, Nowy exploit ransomware o nazwie Petya zaczął infekować Systemy na całym świecie. Per TechCrunch, ” wszystko o tej sytuacji wskazuje, że wiele rządów i firm na całym świecie nie traktowało WannaCry poważnie, nie łatało swoich systemów i teraz płacą za to cenę.”
jak powiedział Brian Krebs, ” organizacje i osoby, które jeszcze nie zastosowały Windows update dla exploita Eternal Blue, powinny teraz łatać. Istnieją jednak przesłanki, że Petya może mieć inne sztuczki w rękawie, aby rozprzestrzenić się wewnątrz dużych sieci.”Sugeruje to, że Petya może być po prostu salwą otwierającą, a wszystko to w wyniku złych praktyk łatania.
wspólnym wątkiem tych wszystkich exploitów jest to, że systemy nie zostały szybko poprawione i dlatego były narażone na te robaki. Były to w rzeczywistości problemy, którym można było zapobiec. Ale to, co sprawia, że jest to naprawdę interesujące, to to, że pierwsze robaki były w 2001 roku, a ostatnie w 2017 roku. Jak to jest, że 16 lat później doświadczamy tego samego problemu?
pod koniec lat 90. i na początku lat 2000., kiedy tworzyliśmy OpenTable, nigdy nie rozważaliśmy kwestii cyberbezpieczeństwa, ponieważ byliśmy tak skoncentrowani na hiperskalowaniu firmy, a znane zagrożenia były minimalne. Jednak cierpienie przez Nimdę i Kod Czerwony sprawiło, że się obudziłem. Poszedłem do naszego zarządu w OpenTable i poinformowałem ich o pojawiających się zagrożeniach w przestrzeni cybernetycznej i o tym, jak nasza sieć może być podatna na to. Miałoby to bezpośredni wpływ na stabilność, skalowalność i integralność naszej działalności, a zatem powinniśmy inwestować w zwiększenie jej bezpieczeństwa. Opowiadałem się za planem bezpieczeństwa, skupiającym się na dobrych podstawach bezpieczeństwa i został on sfinansowany. Podczas gdy bezpieczeństwo pozostawało stałym problemem i jestem pewien, że niepokoi to dzisiaj ludzi z OpenTable, stało się zasadniczo rozwiązanym procesem i byliśmy w stanie zbudować na stabilnych fundamentach.
podstawa fundamentalnego podejścia była prosta. Załatać swoje systemy w odpowiednim czasie, kontrolować to, co może być postrzegane przez Internet i odpowiednio systemy uprawnień. Użytkownik powinien mieć minimalne uprawnienia, aby osiągnąć to, czego potrzebuje. To podstawowe podejście znacząco zapobiega ogromnej ekspozycji na bezpieczeństwo. To jest podejście „konia”.
to uczucie zostało powtórzone w niedawnym podcaście O ’ Reilly Security, „Dave Lewis on the uporczywość rozwiązywalnych problemów bezpieczeństwa”. Lewis, globalny rzecznik bezpieczeństwa w Akamai, wypowiedział się w następujący sposób:
„dwadzieścia lat temu, kiedy zaczynałem pracę w dziedzinie bezpieczeństwa, mieliśmy określony zestaw rzeczy, z którymi musieliśmy się stale zmagać. W miarę jak nasze środowiska rozszerzają się o takie rzeczy, jak przetwarzanie w chmurze, wzięliśmy ten podstawowy zestaw zmartwień i pomnożyliśmy je plus, plus, plus. Rzeczy, które powinniśmy robić dobrze 20 lat temu – jak łatanie, zarządzanie aktywami-stały się znacznie gorsze w tym momencie. W wielu przypadkach zwiększyliśmy nasz dług bezpieczeństwa do poziomu nie do opanowania. Ludzie, którzy są odpowiedzialni za łatanie, kończą przekazując ten obowiązek następnemu młodszemu człowiekowi w kolejce, gdy idą do przodu w swojej karierze. A ta młodsza osoba z kolei przekazuje ją temu, kto podchodzi od tyłu. Tak więc łatanie jest czymś, co jest odrzucane na uboczu. W rezultacie problem wciąż rośnie.”
morał tej historii polega na tym, że musimy wrócić do podstaw, aby powstrzymać ten brak postępu w krytycznym obszarze. Kiedy byłem dyrektorem ds. informacji (CIO) w mieście Chicago, poświęciłem dużo czasu i wysiłku na tworzenie programu cyberbezpieczeństwa. Niestety, na wszystkich szczeblach rządu jest to obszar, w którym brakuje personelu, niedociągnięć i niedostatecznych zasobów. Ponieważ wprowadzamy innowacje i przechodzimy do większej liczby systemów cyfrowych, jest to jedna z najważniejszych kwestii, z którymi rząd musi się liczyć.
pomimo oczywistych korzyści płynących z końskiego podejścia do bezpieczeństwa, jako CIO byłem stale blokowany przez dostawców oferujących wysoce wyspecjalizowane systemy do bardzo konkretnych przypadków użycia. Odmówiłam tego typu wydatków na zebry, kiedy nie mogłam nawet pokryć konia. Rozpoczęliśmy więc program skupiający się na fundamentach i budowaniu od nich, kiedy jest to praktyczne.
agencje muszą rozważyć te podstawowe kroki w zakresie cyberbezpieczeństwa jako podstawę do dokonania krytycznych postępów:
- Bądź na bieżąco z łataniem i spraw, aby był to priorytet departamentalny/agencyjny — jest nudny, ale skuteczny.
- prawidłowo systemy uprawnień z minimalnymi niezbędnymi uprawnieniami.
- w przypadku ruchu internetowego Zawsze używaj protokołu SSL. https://https.cio.gov/
- dyrektor Agencji potrzebuje wyższego szczebla ds. cyberbezpieczeństwa, który rozumie technologię.
nie ma wymówki, aby historia się powtarzała. Złe praktyki sprzed dziesięciu lat nie powinny nadal dręczyć organizacji dzisiaj, a najskuteczniejszym sposobem zapobiegania atakom cybernetycznym jutra jest postawienie na konia.