Acum o lună sau două aveam o discuție cu un medic despre boli obscure-denumite în mod obișnuit zebre. În timp ce mă gândeam la aceste zebre în contextul strategiilor eficiente de extragere a datelor pentru diagnosticul medical, el a făcut un punct interesant. Unul dintre lucrurile pe care le învață noii medici este expresia „când auzi copite, gândește-te cal, nu zebră.”Principiul este destul de simplu — șansele sunt ca pacientul să aibă diagnosticul mai comun decât unul rar, improbabil. Un exemplu simplu, dar ilustrativ ar fi următorul (furat de la un membru al familiei medicului):
o pacientă adolescentă prezintă o istorie de trei săptămâni de dureri de cap, oboseală și febră intermitentă, dar a fost sănătoasă din punct de vedere istoric. Examenul fizic a fost cufundată și în afară de febra ocazionale, singurul simptom de nota a fost că ea a fost palid în culoare. Zebra ar fi putut fi meningită sau o tumoare pe creier — iar practicantul neexperimentat ar comanda mii de dolari de teste și ar supune pacientul la mai multe proceduri. Dar un număr de sânge de rutină a arătat că era pur și simplu anemică — calul — și avea nevoie doar de fier suplimentar. Regula: gândiți-vă calul fără a exclude zebrele.
acest principiu al modului în care noi, ca oameni, avem tendința de a complica lucrurile, rezonează cu mine, dar pentru un sector complet diferit, care a apărut în mod proeminent în știrile despre securitatea cibernetică târzie.
pentru a lua în considerare această problemă, să discutăm trei viruși similari ai soiului de computer, cunoscuți și sub numele de viermi de computer.
primul nostru vierme se numește „Cod roșu”. Acesta a fost un virus Windows care ar putea executa cod arbitrar o dată pe sistemul gazdei. În plus, viermele ar infecta un server Web Windows și va afișa următorul mesaj:
și, desigur, viermele ar căuta să se răspândească și să găsească alte gazde infectabile în mașini nepatchate. Un patch pentru această vulnerabilitate fusese oferit cu o lună înainte de atacurile Code Red, dar puține instituții l-au instalat. Acest lucru a provocat dureri de cap substanțiale și jenă departamentelor IT din mai multe sectoare.
al doilea vierme al nostru este Nimda. Nimda se poate transfera pe un computer în cinci moduri diferite, inclusiv prin e-mail. A devenit unul dintre primii viermi care și-a putut executa codul chiar dacă gazda nu a deschis e-mailul infectat. Nimda a oprit lucrătorii instanțelor federale să acceseze electronic dosarele instanțelor, iar documentele instanței infectate trebuiau curățate unul câte unul. Nimda, la fel ca Cod roșu, a exploatat o vulnerabilitate Windows deja patch-uri. Cu toate acestea, a provocat daune semnificativ mai mari din cauza punctelor de intrare multiple și a răspândirii rapide.
al treilea vierme este WannaCry. La fel ca și în cazul ultimelor două viermi, Microsoft a oferit un patch care ar fi protejat împotriva amenințării WannaCry. Cu toate acestea, există un pic de detaliu aici care este relevant: un patch nu a fost emis inițial pentru sistemul de operare Windows XP. A existat o oarecare frustrare a utilizatorilor cu acest lucru, dar trebuie remarcat faptul că Windows XP se afla la „sfârșitul asistenței” de peste trei ani în momentul acestui focar (mai multe despre acest lucru mai târziu). WannaCry a criptat fișierele locale la mașină și a oferit utilizatorilor următorul mesaj:
utilizatorul a avut posibilitatea de a alege să plătească „răscumpărarea” sau să piardă accesul la fișierele lor permanent. În același timp, viermele va continua să încerce să răspândească infecția la alte mașini care aveau vulnerabilitatea nepatată. Din fericire, a existat un „kill switch” pe care un cercetător inteligent de malware l-a identificat și activat și o mare parte din potențialul viermelui nu a fost niciodată realizat.
în timp ce terminam acest post, Un nou exploit ransomware numit Petya a început să infecteze sisteme de pe tot globul. Conform TechCrunch, ” totul despre această situație indică faptul că o mulțime de guverne și companii din întreaga lume nu au luat în serios WannaCry, nu au reușit să-și corecteze sistemele și acum plătesc prețul.”
după cum spunea Brian Krebs, ” organizațiile și persoanele care nu au aplicat încă Windows update pentru exploatarea Eternal Blue ar trebui să patch-uri acum. Cu toate acestea, există indicii că Petya ar putea avea alte trucuri în mânecă pentru a se răspândi în interiorul rețelelor mari.”Acest lucru sugerează că Petya poate fi pur și simplu salvo de deschidere, Toate rezultate din practici slabe de patch-uri.
firul comun din spatele tuturor acestor exploatări este că sistemele nu au fost patch-uri prompt și, prin urmare, au fost expuse acestor viermi. Acestea au fost, de fapt, probleme prevenibile. Dar ceea ce face acest lucru cu adevărat interesant este că primii viermi au fost în 2001 și ultimul a fost în 2017. Cum se face că 16 ani mai târziu, ne confruntăm cu aceeași problemă?
la sfârșitul anilor 1990 și începutul anilor 2000, pe măsură ce construiam OpenTable, nu am luat niciodată în considerare problemele de securitate cibernetică, deoarece eram atât de concentrați pe hiperscalarea afacerii, iar amenințările cunoscute erau minime. Cu toate acestea, suferința prin Nimda și cod roșu m-a făcut să mă trezesc. M-am dus la Consiliul nostru de administrație de la OpenTable și i-am informat despre amenințările emergente din spațiul cibernetic și despre modul în care rețeaua noastră ar putea fi vulnerabilă la aceasta. Ar avea un impact direct asupra stabilității, scalabilității și integrității afacerii noastre și, prin urmare, ar trebui să investim în a o face mai sigură. Am pledat pentru un plan de securitate axat pe a face elementele de bază de securitate bine, și a fost finanțat. În timp ce securitatea a rămas o problemă în curs de desfășurare și sunt sigur că îi îngrijorează pe cei care se pot deschide astăzi, a devenit în esență un proces rezolvat și am reușit să construim pe o bază stabilă.
nucleul din spatele abordării fundamentale a fost simplu. Patch sistemele dvs. în timp util, de control ceea ce poate fi văzut de Internet și sisteme de permisiune în mod corespunzător. Un utilizator ar trebui să aibă permisiunile minime pentru a realiza ceea ce au nevoie. Această abordare de bază previne remarcabil o cantitate enormă de expunere la securitate. Aceasta este abordarea „calului”.
acest sentiment a fost relatat într-un podcast recent de securitate O ‘ Reilly, „Dave Lewis despre tenacitatea problemelor de securitate rezolvabile”. Lewis, un avocat al securității globale la Akamai, a făcut următorul punct care rezonează în mod clar:
„acum douăzeci de ani, când am început să lucrez în securitate, aveam un set definit de lucruri cu care trebuia să ne confruntăm în mod continuu. Pe măsură ce mediile noastre se extind cu lucruri precum cloud computing, am luat acel set de griji de bază și le-am înmulțit plus, plus, plus. Lucrurile pe care ar fi trebuit să le facem bine acum 20 de ani — cum ar fi patch — urile, gestionarea activelor-s-au înrăutățit mult în acest moment. Am crescut datoria noastră de securitate la niveluri imposibil de gestionat într-o mulțime de cazuri. Oamenii care sunt responsabili pentru patch-uri ajung să treacă această datorie la următoarea persoană junior în linie pe măsură ce avansează în cariera lor. Și acea persoană junior, la rândul său, o transmite oricui vine în spatele lor. Deci, patch-uri tinde să fie ceva care este evitat la marginea drumului. Drept urmare, problema continuă să crească.”
Morala poveștii este că trebuie să ne întoarcem la elementele de bază pentru a opri această lipsă de progres într-un domeniu critic. Când am fost Chief Information Officer (CIO) al orașului Chicago, am petrecut timp și efort semnificativ construind un program de securitate cibernetică. Din păcate, la toate nivelurile de guvernare, acesta este un domeniu care rămâne insuficient, insuficient gândit și insuficient. Pe măsură ce inovăm și trecem la mai multe sisteme digitale, este una dintre cele mai critice probleme pe care guvernul trebuie să le ia în considerare.
în ciuda beneficiilor evidente ale unei abordări a calului în ceea ce privește securitatea, CIO I a fost constant deranjat de vânzătorii care ofereau sisteme extrem de specializate pentru cazuri de utilizare foarte specifice. Am refuzat să fac aceste tipuri de cheltuieli cu zebra când nici măcar nu puteam acoperi calul. Deci, am început un program concentrându-se pe fundație, și construirea de acolo, atunci când practic.
agențiile trebuie să ia în considerare aceste măsuri de bază de igienă cibernetică ca o bază pentru a face progrese critice:
- rămâneți la curent cu patch — urile și faceți-l o prioritate departamentală/agenție-este plictisitor, dar este eficient.
- sisteme de permisiune corespunzătoare cu permisiunile minime necesare.
- pentru traficul web, utilizați întotdeauna SSL. https://https.cio.gov/
- executivul Agenției are nevoie de o resursă de securitate cibernetică senior care înțelege tehnologia.
nu există nicio scuză pentru a permite istoriei să se repete. Practicile proaste de acum zece ani nu ar trebui să continue să chinuiască organizațiile de astăzi, iar cel mai eficient mod de a preveni atacurile cibernetice de mâine este să pariezi pe cal.