för en månad eller två sedan hade jag en diskussion med en läkare om obskyra sjukdomar — vanligtvis kallade zebror. Medan jag övervägde dessa zebror i samband med effektiva data mining strategier för medicinsk diagnos, gjorde han en intressant punkt. En av de saker som de lär nya läkare är frasen ” när du hör hovar, tänk häst, inte zebra.”Principen är ganska enkel-oddsen är att patienten har den vanligaste diagnosen än en sällsynt, osannolik. Ett enkelt men illustrativt exempel skulle vara följande (stulen från en läkare familjemedlem):
en ung kvinnlig patient presenterar en tre veckors historia av huvudvärk, trötthet och intermittenta feber men var historiskt frisk. Den fysiska undersökningen var unremarkable och bortsett från enstaka feber, det enda symptomet att notera var att hon var blek i färg. Zebra kunde ha varit hjärnhinneinflammation eller hjärntumör — och den oerfarna utövaren skulle beställa tusentals dollar av tester och utsätta patienten för flera procedurer. Men ett rutinmässigt blodantal visade att hon helt enkelt var anemisk — hästen — och bara behövde extra järn. Regeln: Tänk häst utan att utesluta zebror.
denna princip om hur vi som människor tenderar att överkomplicera saker resonerar med mig, men för en helt annan sektor som har blivit framträdande i nyheterna om sen cybersäkerhet.
för att överväga denna fråga, låt oss diskutera tre liknande virus av datorsorten, även känd som datormaskar.
vår första mask kallas ”Code Red”. Detta var ett Windows-virus som kunde köra godtycklig kod en gång på värdens system. Dessutom skulle ormen infektera en Windows-webbserver och visa följande meddelande:
och naturligtvis skulle ormen se ut att sprida och hitta andra infekterbara värdar i oöverträffade maskiner. En patch för denna sårbarhet hade erbjudits en månad före Code Reds attacker, men få institutioner installerade den. Detta orsakade betydande huvudvärk och förlägenhet för IT-avdelningar i flera sektorer.
vår andra mask är Nimda. Nimda kunde överföra sig till en dator fem olika sätt, inklusive e-post. Det blev en av de första maskarna som kunde köra sin kod även om värden inte öppnade det infekterade e-postmeddelandet. Nimda stoppade federala domstolsarbetare från att få tillgång till domstolshandlingar elektroniskt och de infekterade domstolsdokumenten måste rengöras en efter en. Nimda, som Code Red, utnyttjade en redan patchad Windows-sårbarhet. Ändå orsakade det betydligt större skador på grund av flera ingångspunkter och snabb spridning.
vår tredje mask är WannaCry. Precis som med de två sista maskarna hade Microsoft erbjudit en patch som skulle ha skyddat mot WannaCry-hotet. Det finns dock lite detaljer här som är relevant: en patch utfärdades inte ursprungligen för operativsystemet Windows XP. Det fanns viss användarfrustration med detta, men det bör noteras att Windows XP var i ”slut på Support” i över tre år vid tidpunkten för detta utbrott (mer om detta senare). WannaCry krypterade filer lokala till maskinen och erbjöd följande meddelande till användare:
användaren hade valet att betala ”lösen” eller förlora åtkomst till sina filer permanent. Samtidigt skulle ormen fortsätta att försöka sprida infektionen till andra maskiner som hade den oöverträffade sårbarheten. Lyckligtvis fanns det en” kill switch ” som en smart malware-forskare identifierade och aktiverade och mycket av maskens potential realiserades aldrig.
när jag avslutade det här inlägget började ett nytt ransomware-utnyttjande som heter Petya infektera system över hela världen. Per TechCrunch, ” allt om denna situation indikerar att många regeringar och företag runt om i världen inte tog WannaCry på allvar, misslyckades med att lappa sina system och betalar nu priset.”
som Brian Krebs sa, ” organisationer och individer som ännu inte har tillämpat Windows update för Eternal Blue exploit bör lappa nu. Det finns dock indikationer på att Petya kan ha andra knep i ärmen för att sprida sig inuti stora nätverk.”Detta tyder på att Petya helt enkelt kan vara öppningsalvan, allt till följd av dåliga patchningsmetoder.
den röda tråden bakom alla dessa exploater är att system inte omedelbart patchades och därför utsattes för dessa maskar. Dessa var i själva verket förebyggbara problem. Men det som gör detta riktigt intressant är att de första maskarna var 2001 och den sista var 2017. Hur kommer det sig att vi 16 år senare upplever samma problem?
i slutet av 1990-talet och början av 2000-talet när vi byggde OpenTable övervägde vi aldrig frågor om cybersäkerhet eftersom vi var så fokuserade på hyperskalning av verksamheten och de kända hoten var minimala. Men lidande genom Nimda och Code Red fick mig att vakna. Jag gick till vår styrelse på OpenTable och informerade dem om de framväxande hoten i cyberutrymmet och hur vårt nätverk kan vara sårbart för det. Det skulle direkt påverka stabiliteten, skalbarheten och integriteten i vår verksamhet och därmed bör vi investera i att göra den säkrare. Jag förespråkade en säkerhetsplan som fokuserade på att göra säkerhetsgrunderna bra, och den finansierades. Medan säkerhet förblev en pågående fråga, och jag är säker på att det oroar OpenTable-folket idag, blev det i huvudsak en löst process och vi kunde bygga på en stabil grund.
kärnan bakom det grundläggande tillvägagångssättet var enkelt. Patch dina system i tid, kontrollera vad som kan ses av Internet och korrekt tillståndssystem. En användare bör ha minimibehörigheter för att uppnå vad de behöver. Detta grundläggande tillvägagångssätt förhindrar anmärkningsvärt en enorm mängd säkerhetsexponering. Detta är” häst ” – metoden.
denna känsla upprepades i en nyligen O ’ Reilly-säkerhetspodcast, ”Dave Lewis on the tenacity of solvable security problems”. Lewis, en global säkerhetsförespråkare på Akamai, gjorde följande punkt som tydligt resonerar:
”för tjugo plus år sedan när jag började arbeta inom säkerhet hade vi en definierad uppsättning saker vi var tvungna att hantera kontinuerligt. När våra miljöer expanderar med saker som cloud computing har vi tagit den kärnuppsättningen av bekymmer och multiplicerat dem plus, plus, plus. Saker som vi borde ha gjort bra för 20 år sedan — som patching, Asset management — har blivit mycket värre vid denna tidpunkt. Vi har ökat vår säkerhetsskuld till oövervakliga nivåer i många fall. Människor som är ansvariga för patchning slutar passera den plikten ner till nästa juniorperson i linje när de går framåt i sin karriär. Och den yngre personen överför den i sin tur till vem som kommer upp bakom dem. Så, patching tenderar att vara något som shuntas till vägen. Som ett resultat fortsätter problemet att växa.”
historiens moral är att vi måste återvända till grunderna för att stoppa denna brist på framsteg inom ett kritiskt område. När jag var Chief Information Officer (CIO) i staden Chicago spenderade jag betydande tid och ansträngning på att bygga ut ett cybersäkerhetsprogram. Tyvärr, på alla nivåer av regeringen som är ett område som förblir underbemannade, undertanke och under resurser. När vi innoverar och flyttar till fler digitala system är det en av de mest kritiska frågorna som regeringen behöver räkna med.
trots de uppenbara fördelarna med en häst strategi för säkerhet, som CIO jag ständigt barraged av leverantörer som erbjuder högspecialiserade system för mycket specifika användningsfall. Jag vägrade att göra dessa typer av zebrautgifter när jag inte ens kunde täcka för hästen. Så vi startade ett program med fokus på stiftelsen och byggde därifrån när det var praktiskt.
byråer måste överväga dessa grundläggande cyber hygien steg som en grund för att göra kritiska framsteg:
- Håll dig uppdaterad om patching och gör det till en avdelnings — /byråprioritet-det är tråkigt men det är effektivt.
- korrekt behörighetssystem med nödvändiga minimibehörigheter.
- för webbtrafik, använd alltid SSL. https://https.cio.gov/
- byråns verkställande behöver en senior cybersäkerhetsresurs som förstår teknik.
det finns ingen ursäkt för att låta historien upprepa sig. De dåliga metoderna för tio år sedan borde inte fortsätta att plåga organisationer idag, och det mest effektiva sättet att förhindra morgondagens cyberattacker är att satsa på hästen.