S3 Ep142: Das X in X-Ops setzen

S3 Ep142: Das X in X-Ops setzen

Zeitstempel: 6. Juli 2023, 3:58 Uhr
Quellknoten: 2756318
by Paul Ducklin

Das X in X-OPS setzen

Zuerst gab es DevOps, dann SecOps, dann DevSecOps. Oder sollte das SecDevOps sein?

Paul Ducklin spricht mit Sophos

Kein Audioplayer unten? Hören Direkt auf Soundcloud.

Mit Paul Ducklin und Matt Holdcroft. Intro- und Outro-Musik von Edith Mudge.

Ihr könnt uns auf hören Soundcloud, Apple Podcasts, Google Podcasts, Spotify und überall, wo gute Podcasts zu finden sind. Oder lass es einfach fallen URL unseres RSS-Feeds in Ihren Lieblings-Podcatcher.

LESEN SIE DAS TRANSKRIPT

ENTE.  Hallo zusammen.

Willkommen beim Naked Security-Podcast.

Wie Sie hören können, bin ich nicht Doug, ich bin Duck.

Da Doug diese Woche im Urlaub ist, begleitet mich in dieser Folge mein langjähriger Freund und Cybersicherheitskollege Matt Holdcroft.

Matt, du und ich gehen zurück in die Anfänge von Sophos …

…und der Bereich, in dem Sie derzeit arbeiten, ist der Cybersicherheitsteil von „DevSecOps“.

Wenn es um X-Ops geht, waren Sie für alle möglichen Werte von X da, könnte man sagen.

Erzählen Sie uns etwas darüber, wie Sie dorthin gekommen sind, wo Sie jetzt sind, denn es ist eine faszinierende Geschichte.

MATT.  Mein erster Job bei Sophos war Lotus Notes Admin und Developer, und ich arbeitete im damaligen Produktionsraum, also war ich für das Duplizieren von Disketten verantwortlich.

Das waren ECHTE Disketten, die man tatsächlich floppen konnte!

ENTE.  [LAUTES LACHEN] Ja, die 5.25″-Sorte…

MATT.  Ja!

Damals war es einfach.

Wir hatten physische Sicherheit; man konnte das Netzwerk sehen; Sie wussten, dass ein Computer vernetzt war, weil an der Rückseite ein Stück Kabel herauskam.

(Obwohl es wahrscheinlich nicht vernetzt war, weil jemand den Abschlusswiderstand am Ende [des Kabels] verloren hatte.)

Wir hatten also schöne, einfache Regeln darüber, wer wohin gehen durfte und wer was in was stecken durfte, und das Leben war ziemlich einfach.

ENTE.  Heutzutage ist es fast umgekehrt, nicht wahr?

Wenn ein Computer nicht mit dem Netzwerk verbunden ist, kann er dem Unternehmen nicht viel dabei helfen, seine Ziele zu erreichen, und es wird fast als unmöglich angesehen, ihn zu verwalten.

Denn es muss in der Lage sein, die Cloud zu erreichen, um irgendetwas Nützliches zu tun, und Sie als Sicherheitsbeauftragter müssen in der Lage sein, über die Cloud darauf zuzugreifen, um sicherzustellen, dass es auf dem neuesten Stand ist.

Es ist fast eine Zwickmühle, nicht wahr?

MATT.  Ja.

Es ist völlig umgedreht.

Ja, ein Computer, der nicht angeschlossen ist, ist sicher ... aber er ist auch nutzlos, weil er seinen Zweck nicht erfüllt.

Es ist besser, ständig online zu sein, damit Sie ständig die neuesten Updates erhalten, ein Auge darauf haben und echte Telemetriedaten erhalten, anstatt etwas zu haben, das Sie jeden zweiten Tag überprüfen müssen.

ENTE.  Wie Sie sagen, ist es ironisch, dass das Online-Gehen äußerst riskant ist, aber es ist auch die einzige Möglichkeit, dieses Risiko zu bewältigen, insbesondere in einem Umfeld, in dem die Leute nicht jeden Tag im Büro erscheinen.

MATT.  Ja, die Idee von „Bring Your Own Device“ (BYOD) hat sich damals nicht durchgesetzt, oder?

Aber wir hatten „Build Your Own Device“, als ich zu Sophos kam.

Von Ihnen wurde erwartet, dass Sie die Teile bestellen und Ihren ersten PC bauen.

Das war ein Übergangsritus!

ENTE.  Es war ganz nett…

… Sie könnten im Rahmen der Vernunft wählen, nicht wahr?

MATT.  [GELACHTEN] Ja!

ENTE.  Sollte ich etwas weniger Speicherplatz nehmen, dann habe ich vielleicht [DRAMATISCHE STIMME] ACHT MEGABYTES RAM!!?!

MATT.  Es war die Ära der 486er, Disketten und Faxe, als wir anfingen, nicht wahr?

Ich erinnere mich, dass die ersten Pentiums in das Unternehmen kamen und es hieß: „Wow! Schau es dir an!“

ENTE.  Was sind Ihre drei Top-Tipps für die Cybersicherheitsbetreiber von heute?

Weil sie sich stark von den alten unterscheiden: „Oooh, lasst uns einfach auf Malware achten und wenn wir sie dann finden, werden wir sie bereinigen.“

MATT.  Eines der Dinge, die sich seitdem so sehr verändert haben, Paul, ist, dass es damals eine infizierte Maschine gab und jeder verzweifelt danach strebte, die Maschine zu desinfizieren.

Ein ausführbarer Virus würde *alle* ausführbaren Dateien auf dem Computer infizieren, und es war wirklich willkürlich, ihn wieder in einen „guten“ Zustand zu versetzen, denn wenn man eine Infektion übersehen würde (vorausgesetzt, man könnte desinfizieren), wäre man wieder bei Null sobald diese Datei aufgerufen wurde.

Und wir hatten nicht wie jetzt digitale Signaturen und Manifeste usw., mit denen man zu einem bekannten Zustand zurückkehren konnte.

ENTE.  Es ist, als ob die Malware der Hauptteil des Problems wäre, denn die Leute erwarteten von Ihnen, dass Sie sie bereinigen und im Grunde die Fliege aus der Salbe entfernen und dann das Salbenglas zurückgeben und sagen: „Es ist jetzt sicher zu verwenden, Leute.“ .“

MATT.  Die Motivation hat sich geändert, denn damals wollten die Virenschreiber generell so viele Dateien wie möglich infizieren, und das taten sie oft nur „zum Spaß“.

Heutzutage wollen sie ein System erobern.

Sie sind also nicht daran interessiert, jede ausführbare Datei zu infizieren.

Sie wollen lediglich die Kontrolle über diesen Computer haben, zu welchem ​​Zweck auch immer.

ENTE.  Tatsächlich sind während des Angriffs möglicherweise gar keine infizierten Dateien vorhanden.

Sie könnten einbrechen, weil sie jemandem ein Passwort abgekauft haben, und dann, wenn sie reinkommen, statt zu sagen: „Hey, lasst uns einen Virus loslassen, der alle möglichen Alarme auslöst“ …

…sie werden sagen: „Lasst uns einfach herausfinden, welche cleveren Systemadministrator-Tools es bereits gibt, die wir auf eine Weise nutzen können, die ein echter Systemadministrator niemals tun würde.“

MATT.  In vielerlei Hinsicht war es nicht wirklich bösartig, bis ...

…Ich erinnere mich, dass ich entsetzt war, als ich die Beschreibung eines bestimmten Virus namens „Ripper“ las.

Anstatt nur Dateien zu infizieren, würde es herumlaufen und stillschweigend Bits auf Ihrem System herumspielen.

Daher kann es im Laufe der Zeit passieren, dass jede Datei oder jeder Sektor auf Ihrer Festplatte auf subtile Weise beschädigt wird.

Sechs Monate später könnten Sie plötzlich feststellen, dass Ihr System unbrauchbar ist und Sie keine Ahnung haben, welche Änderungen vorgenommen wurden.

Ich erinnere mich, dass das für mich ziemlich schockierend war, denn vorher waren Viren lästig gewesen; einige hatten politische Motive; und einige waren einfach Leute, die experimentierten und „Spaß hatten“.

Die ersten Viren wurden als intellektuelle Übung geschrieben.

Und ich erinnere mich, dass wir damals keine Möglichkeit sahen, Infektionen zu Geld zu machen, auch wenn sie ärgerlich waren, weil man das Problem hatte: „Zahlen Sie es auf dieses Bankkonto ein“ oder „Lassen Sie das Geld unten.“ dieser Felsen im örtlichen Park“…

…was immer anfällig dafür war, von den Behörden aufgegriffen zu werden.

Dann kam natürlich Bitcoin. [LACHEN]

Das machte die ganze Malware-Sache kommerziell nutzbar, was bis dahin nicht der Fall war.

ENTE.  Kommen wir also zurück zu den Top-Tipps, Matt!

Was empfehlen Sie als die drei Dinge, die Cybersicherheitsbetreiber tun können, um ihnen, wenn Sie so wollen, das größte Preis-Leistungs-Verhältnis zu verschaffen?

MATT.  OK.

Jeder hat das schon einmal gehört: Patchen.

Man muss patchen, und zwar oft.

Je länger Sie mit dem Flicken warten, ist, als würden Sie nicht zum Zahnarzt gehen: Je länger Sie damit aufhören, desto schlimmer wird es.

Es ist wahrscheinlicher, dass Sie eine bahnbrechende Veränderung erleben.

Aber wenn Sie häufig Patches durchführen, können Sie damit wahrscheinlich zurechtkommen, auch wenn Sie auf ein Problem stoßen, und mit der Zeit werden Sie Ihre Anwendungen trotzdem verbessern.

ENTE.  Tatsächlich ist es viel, viel einfacher, beispielsweise von OpenSSL 3.0 auf 3.1 zu aktualisieren, als von OpenSSL 1.0.2 auf OpenSSL 3.1.

MATT.  Und wenn jemand Ihre Umgebung untersucht und feststellt, dass Sie bei Ihren Patches nicht auf dem neuesten Stand sind, lautet die Frage: „Was können wir sonst noch ausnutzen?“ Es lohnt sich, noch einmal hinzuschauen!“

Während jemand, der vollständig gepatcht ist, wahrscheinlich mehr den Überblick behält.

Es ist wie beim Alten Per Anhalter durch die Galaxis: Solange du dein Handtuch hast, gehen sie davon aus, dass du alles andere hast.

Wenn Sie also vollständig gepatcht sind, haben Sie wahrscheinlich alles andere im Griff.

ENTE.  Also, wir patchen.

Was müssen wir als Zweites tun?

MATT.  Sie können nur das patchen, was Sie wissen.

Das Zweite ist also: Netzwerk Performance.

Sie müssen Ihren Nachlass kennen.

Um zu wissen, was auf Ihren Maschinen läuft, wurden in letzter Zeit große Anstrengungen in die Entwicklung von SBOMs gesteckt Software-Stückliste.

Weil die Leute verstanden haben, dass es sich um die ganze Kette handelt ...

ENTE.  Genau!

MATT.  Es nützt nichts, eine Warnung zu erhalten, die besagt: „In dieser oder jener Bibliothek besteht eine Schwachstelle“, und Ihre Antwort lautet: „Okay, was mache ich mit diesem Wissen?“

Wissen, welche Maschinen laufen und was auf diesen Maschinen läuft …

… und um auf das Patchen zurückzukommen: „Haben sie die Patches tatsächlich installiert?“

ENTE.  Oder hat sich ein Gauner eingeschlichen und gesagt: „Aha! Sie glauben, dass sie gepatcht sind. Wenn sie also nicht noch einmal überprüfen, ob sie gepatcht geblieben sind, kann ich vielleicht eines dieser Systeme herunterstufen und mir eine Hintertür für immer mehr öffnen, weil sie denken, dass sie das Problem haben sortiert.“

Ich schätze, das Klischee lautet: „Immer messen, niemals annehmen.“

Jetzt denke ich, dass ich Ihren dritten Tipp kenne, und ich vermute, dass er der schwierigste/umstrittenste sein wird.

Also lass mich sehen, ob ich recht habe ... was ist das?

MATT.  Ich würde sagen, es ist: Töten. (Oder Cull.)

Mit der Zeit vermehren sich Systeme, sie werden entworfen und gebaut, und die Menschen machen weiter.

ENTE.  [GELACHTEN] Accrete! [Lauteres Gelächter]

Ein bisschen wie Verkalkung…

MATT.  Oder Seepocken ...

ENTE.  Ja! [LACHEN]

MATT.  Seepocken auf dem großen Schiff Ihrer Firma.

Sie leisten möglicherweise nützliche Arbeit, tun dies jedoch möglicherweise mit einer Technologie, die vor fünf oder zehn Jahren, als das System entwickelt wurde, in Mode war.

Wir alle wissen, wie sehr Entwickler ein neues Toolset oder eine neue Sprache lieben.

Bei der Überwachung müssen Sie diese Dinge im Auge behalten, und wenn das System in die Jahre gekommen ist, müssen Sie die schwierige Entscheidung treffen und es abschalten.

Und noch einmal: Genau wie beim Patchen gilt auch hier: Je länger Sie damit beschäftigt sind, desto wahrscheinlicher ist es, dass Sie sich umdrehen und fragen: „Was macht dieses System überhaupt?“

Es ist sehr wichtig, immer darüber nachzudenken Lebenszyklus wenn Sie ein neues System implementieren.

Denken Sie darüber nach: „Okay, das ist meine Version 1, aber wie soll ich sie umbringen?“ Wann wird es sterben?“

Stellen Sie bestimmte Erwartungen an das Unternehmen, an Ihre internen Kunden und das Gleiche gilt auch für externe Kunden.

ENTE.  Also, Matt, was ist Ihr Rat? Ich bin mir bewusst, dass es für jemanden im Sicherheitsteam eine sehr schwierige Aufgabe sein kann (normalerweise wird dies schwieriger, je größer das Unternehmen wird), ihm beim Verkauf der Idee zu helfen?

Zum Beispiel: „Sie dürfen nicht mehr mit OpenSSL 1 programmieren. Sie müssen auf Version 3 umsteigen. Es ist mir egal, wie schwer es ist!“

Wie vermitteln Sie diese Botschaft, wenn alle anderen im Unternehmen Sie zurückdrängen?

MATT.  Erstens: Man kann nicht diktieren.

Man muss klare Maßstäbe setzen und diese müssen erklärt werden.

Der Ausverkauf, den Sie erhalten haben, weil wir früher versendet haben, ohne ein Problem zu beheben?

Es wird von der schlechten Publicity überschattet, dass wir eine Schwachstelle hatten oder dass wir mit einer Schwachstelle ausgeliefert wurden.

Vorbeugen ist immer besser als beheben.

ENTE.  Unbedingt!

MATT.  Ich verstehe von beiden Seiten, dass es schwierig ist.

Aber je länger man dabei bleibt, desto schwieriger wird es, etwas zu ändern.

Stellen Sie diese Dinge dar mit: „Ich werde diese Version verwenden und dann werde ich sie festlegen und vergessen“?

Nein!

Sie müssen sich Ihre Codebasis ansehen und wissen, was in Ihrer Codebasis enthalten ist, und sagen: „Ich verlasse mich auf diese Bibliotheken; Ich verlasse mich auf diese Versorgungsunternehmen“ und so weiter.

Und Sie müssen sagen: „Sie müssen sich darüber im Klaren sein, dass sich all diese Dinge ändern können, und sich dem stellen.“

ENTE.  Es hört sich also so an, als ob Sie sagen würden, ob das Gesetz beginnt, Softwareanbietern vorzuschreiben, dass sie eine Software-Stückliste (eine SBOM, wie Sie bereits erwähnt haben) bereitstellen müssen oder nicht …

…Sie müssen so etwas ohnehin in Ihrem Unternehmen aufrechterhalten, nur damit Sie messen können, wo Sie in Sachen Cybersicherheit stehen.

MATT.  Auf solche Dinge kann man nicht reagieren.

Es hat keinen Sinn zu sagen: „Diese Schwachstelle, die vor einem Monat in der ganzen Presse verbreitet wurde? Wir sind jetzt zu dem Schluss gekommen, dass wir in Sicherheit sind.“

[GELACHTEN] Das ist nicht gut! [Mehr Gelächter]

Die Realität ist, dass jeder von diesem wahnsinnigen Ringen um die Behebung von Schwachstellen betroffen sein wird.

Es stehen möglicherweise einige große Herausforderungen am Horizont, etwa bei der Verschlüsselung.

Eines Tages könnte das NIST verkünden: „Wir vertrauen nichts mehr, was mit RSA zu tun hat.“

Und alle werden im selben Boot sitzen; Jeder wird sich bemühen müssen, eine neue, quantensichere Kryptographie zu implementieren.

An diesem Punkt wird es heißen: „Wie schnell können Sie die Lösung finden?“

Jeder wird das Gleiche tun.

Wenn Sie darauf vorbereitet sind; wenn Sie wissen, was zu tun ist; Wenn Sie Ihre Infrastruktur und Ihren Code gut verstehen ...

… wenn Sie an der Spitze stehen und sagen können: „Wir haben es in Tagen statt in Wochen geschafft“?

Das ist sowohl ein kommerzieller Vorteil als auch die richtige Vorgehensweise.

ENTE.  Lassen Sie mich Ihre drei Top-Tipps meiner Meinung nach zu vier zusammenfassen und prüfen, ob ich sie richtig verstanden habe.

Tipp 1 ist altbewährt Frühzeitig patchen; oft patchen.

Zwei Monate warten, wie man es in den Wannacry-Tagen gemacht hat … das war vor sechs Jahren nicht zufriedenstellend, und im Jahr 2023 ist es sicherlich viel, viel zu lang.

Selbst zwei Wochen sind zu lang; Sie müssen sich fragen: „Wenn ich das in zwei Tagen erledigen muss, wie könnte ich das schaffen?“

Tipp 2 ist Monitore, oder in meinen Klischeeworten: „Messen Sie immer, gehen Sie niemals davon aus.“

Auf diese Weise können Sie sicherstellen, dass die Patches, die dort sein sollen, wirklich vorhanden sind, und dass Sie tatsächlich herausfinden können, welche „Server im Schrank unter der Treppe“ jemand vergessen hat.

Tipp 3 ist Töten/ausmerzen, Das bedeutet, dass Sie eine Kultur aufbauen, in der Sie Produkte entsorgen können, die ihren Zweck nicht mehr erfüllen.

Und eine Art Hilfstipp 4 ist Seien Sie flink, Wenn also der Kill/Cull-Moment eintritt, können Sie es tatsächlich schneller als alle anderen tun.

Denn das ist gut für Ihre Kunden und verschafft Ihnen (wie Sie sagten) auch einen kommerziellen Vorteil.

Hat es das richtig gemacht?

MATT.  Klingt wie es!

ENTE.  [TRIUMPHANT] Vier einfache Dinge, die man heute Nachmittag tun kann. [LACHEN]

MATT.  Ja! [Mehr Gelächter]

ENTE.  Wie bei der Cybersicherheit im Allgemeinen handelt es sich doch eher um Reisen als um Ziele?

MATT.  Ja!

Und lassen Sie nicht zu, dass „das Beste“ der Feind des „Besseren“ ist. (Oder „gut“.)

Damit…

Patch.

Monitor.

Töten. (Oder Cull.)

Und: Sei flink… seien Sie bereit für Veränderungen.

ENTE.  Matt, das ist ein toller Abschluss.

Vielen Dank, dass Sie kurzfristig ans Mikrofon getreten sind.

Wie immer gilt für unsere Zuhörer: Wenn Sie Kommentare haben, können Sie diese auf der Website von Naked Security hinterlassen oder uns in den sozialen Netzwerken kontaktieren: @nakedsecurity.

Jetzt bleibt mir nur noch wie immer zu sagen: Bis zum nächsten Mal…

BEIDE.  Bleib sicher!

[MUSIKMODEM]

Zeitstempel:

Mehr von Nackte Sicherheit