S3 Ep142: قرار دادن X در X-Ops

S3 Ep142: قرار دادن X در X-Ops

تمبر زمان: 6 ژوئیه 2023 ساعت 3:58 بعد از ظهر
گره منبع: 2756318
by پل داکلین

قرار دادن X در X-OPS

ابتدا DevOps بود، سپس SecOps، سپس DevSecOps. یا باید SecDevOps باشد؟

پل داکلین با مت هولدکرافت، یکی از اعضای خودی Sophos X-Ops در مورد اینکه چگونه همه تیم‌های "Ops" شرکتی خود را با هم کار کنند، صحبت می‌کند و صحت امنیت سایبری به عنوان یک چراغ راهنما است.

پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud

با پل داکلین و مت هولدکرافت. موسیقی مقدماتی و بیرونی توسط ادیت ماج.

شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما

رونوشت را بخوانید

اردک.  سلام به همه.

به پادکست امنیت برهنه خوش آمدید.

همانطور که می شنوید، من داگ نیستم، من اردک هستم.

داگ این هفته در تعطیلات است، بنابراین دوست قدیمی و همکار امنیت سایبری من، مت هولدکرافت، برای این قسمت به من ملحق شده است.

مت، من و تو به روزهای اول سوفوس برمی گردیم…

... و زمینه ای که اکنون در آن کار می کنید، بخش امنیت سایبری چیزی است که به عنوان "DevSecOps" شناخته می شود.

وقتی صحبت از X-Ops به میان می‌آید، می‌توانید بگویید که تمام مقادیر ممکن X را در آنجا مشاهده کرده‌اید.

درباره اینکه چطور به جایی که الان هستید به ما بگویید، زیرا داستان جذابی است.

مت.  اولین کار من در Sophos مدیر و توسعه دهنده Lotus Notes بود و در آن زمان در اتاق تولید کار می کردم، بنابراین مسئولیت تکثیر فلاپی دیسک ها را بر عهده داشتم.

اینها فلاپی دیسک های واقعی بودند که می توانستید آنها را فلاپ کنید!

اردک.  [خنده بلند] بله، نوع 5.25 اینچی…

مت.  بله!

آن زمان، آسان بود.

امنیت فیزیکی داشتیم. شما می توانید شبکه را ببینید. می‌دانستید که یک کامپیوتر به شبکه متصل است زیرا مقداری کابل از پشت آن بیرون می‌آمد.

(اگرچه احتمالاً شبکه ای نبوده است زیرا شخصی ترمیناتور را از انتهای [کابل] گم کرده است.)

بنابراین، ما قوانین ساده و خوبی داشتیم در مورد اینکه چه کسی می‌تواند به کجا برود، و چه کسی می‌تواند چه چیزی را در چه چیزی بچسباند، و زندگی نسبتاً ساده بود.

اردک.  این روزها تقریباً برعکس است، اینطور نیست؟

اگر رایانه ای در شبکه نباشد، نمی تواند از نظر کمک به شرکت در رسیدن به اهدافش کار زیادی انجام دهد و مدیریت آن تقریباً غیرممکن است.

زیرا برای انجام هر کار مفیدی باید بتواند به ابر دسترسی پیدا کند، و شما باید بتوانید به عنوان یک فرد عملیات امنیتی از طریق ابر با آن ارتباط برقرار کنید تا مطمئن شوید که کاملاً درست است.

تقریباً وضعیت Catch-22 است، اینطور نیست؟

مت.  بله.

کاملاً برگردانده شده است.

بله، کامپیوتری که متصل نیست امن است... اما بی فایده است، زیرا هدف خود را برآورده نمی کند.

بهتر است به طور مداوم آنلاین باشید تا بتواند به طور مداوم آخرین به روز رسانی ها را دریافت کند، و شما بتوانید آن را زیر نظر داشته باشید و بتوانید تله متری واقعی را از آن دریافت کنید، نه اینکه چیزی داشته باشید که ممکن است یک روز در میان آن را بررسی کنید.

اردک.  همانطور که شما می گویید، طعنه آمیز است که آنلاین شدن عمیقاً مخاطره آمیز است، اما همچنین تنها راه برای مدیریت این خطر است، به ویژه در محیطی که افراد هر روز در دفتر حاضر نمی شوند.

مت.  بله، ایده Bring Your Own Device [BYOD] در آن روز پرواز نمی کند، اینطور است؟

اما زمانی که من به Sophos پیوستم، دستگاه خود را بسازید.

از شما انتظار می رفت که قطعات را سفارش دهید و اولین رایانه شخصی خود را بسازید.

این یک آیین بود!

اردک.  خیلی قشنگ بود…

... شما می توانید انتخاب کنید، در حد عقل، نمی توانید؟

مت.  [خنده] بله!

اردک.  آیا باید کمی فضای دیسک را کمتر کنم و شاید بتوانم [صدای دراماتیک] هشت مگابایت رم داشته باشم!!؟!

مت.  زمانی که ما شروع کردیم، دوران 486، فلاپی و فکس بود، اینطور نیست؟

یادم می آید اولین پنتیوم وارد شرکت شد و این بود: «وای! بهش نگاه کن!"

اردک.  سه نکته اصلی شما برای اپراتورهای امنیت سایبری امروزی چیست؟

از آنجا که آنها بسیار متفاوت از قدیمی هستند، "اوه، بیایید فقط مراقب بدافزار باشیم و بعد، وقتی آن را پیدا کردیم، می رویم و آن را تمیز می کنیم."

مت.  یکی از چیزهایی که از آن زمان بسیار تغییر کرده است، پل، این است که در آن زمان، شما یک دستگاه آلوده داشتید، و همه ناامید بودند که دستگاه را ضدعفونی کنند.

یک ویروس اجرایی *همه* فایل های اجرایی روی کامپیوتر را آلوده می کند، و بازگرداندن آن به حالت "خوب" واقعاً اتفاقی بود، زیرا اگر هر گونه عفونتی را از دست دادید (با فرض اینکه می توانستید ضد عفونی کنید)، به حالت اول باز می گردید. به محض استناد به آن پرونده

و ما مانند الان امضای دیجیتال و مانیفست و غیره نداشتیم که بتوانید به یک وضعیت شناخته شده برگردید.

اردک.  انگار بدافزار بخش کلیدی مشکل بود، زیرا مردم انتظار داشتند که شما آن را تمیز کنید، و اساساً مگس را از پماد بردارید، و سپس شیشه پماد را به عقب برگردانید و بگویید: «اکنون استفاده از آن بی خطر است، مردم. "

مت.  انگیزه تغییر کرده است، زیرا در آن زمان نویسندگان ویروس می‌خواستند تا جایی که ممکن است فایل‌ها را آلوده کنند، و آنها اغلب فقط «برای سرگرمی» این کار را انجام می‌دادند.

در حالی که این روزها می خواهند سیستمی را بگیرند.

بنابراین آنها علاقه ای به آلوده کردن هر فایل اجرایی ندارند.

آنها فقط کنترل آن کامپیوتر را برای هر هدفی می خواهند.

اردک.  در واقع، حتی ممکن است هیچ فایل آلوده ای در طول حمله وجود نداشته باشد.

آن‌ها می‌توانند به این دلیل نفوذ کنند که از کسی یک رمز عبور خریده‌اند، و سپس، وقتی وارد شدند، به‌جای اینکه بگویند: «هی، بگذار یک ویروس از بین برود که انواع آلارم‌ها را به صدا در می‌آورد»…

آنها می گویند، "بیایید فقط ابزارهای حیله گر sysadmin را دریابیم که ما می توانیم به روش هایی استفاده کنیم که یک sysadmin واقعی هرگز استفاده نمی کند."

مت.  از بسیاری جهات، واقعاً مخرب نبود تا اینکه…

... یادم می آید که وقتی توصیف یک ویروس خاص به نام "ریپر" را خواندم وحشت کردم.

به جای اینکه فقط فایل‌ها را آلوده کند، به اطراف می‌چرخد و بیت‌های سیستم شما را بی‌صدا می‌چرخاند.

بنابراین، با گذشت زمان، هر فایل یا هر بخش روی دیسک شما می تواند به طور نامحسوس خراب شود.

شش ماه بعد، ممکن است ناگهان متوجه شوید که سیستم شما غیرقابل استفاده است و نمی دانید چه تغییراتی ایجاد شده است.

به یاد دارم که برای من کاملاً تکان دهنده بود، زیرا قبل از آن ویروس ها آزاردهنده بودند. برخی انگیزه های سیاسی داشتند. و برخی فقط افرادی بودند که آزمایش می کردند و «تفریح ​​می کردند».

اولین ویروس ها به عنوان یک تمرین فکری نوشته شدند.

و من به یاد دارم، در آن روزگار، ما واقعاً نمی‌توانستیم راهی برای کسب درآمد از عفونت‌ها ببینیم، حتی اگر آنها آزاردهنده بودند، زیرا شما این مشکل را داشتید: «آن را به این حساب بانکی بپردازید» یا «پول را زیر پا بگذارید». این صخره در پارک محلی…

... که همیشه مستعد دستگیری مقامات بود.

سپس، البته، بیت کوین آمد. [خنده]

این باعث شد کل بدافزار از نظر تجاری قابل دوام باشد، که تا آن زمان اینطور نبود.

اردک.  پس بیایید به آن نکات برتر برگردیم، مت!

به عنوان سه کاری که اپراتورهای امنیت سایبری می توانند انجام دهند که در صورت تمایل، بیشترین سود را به آنها می دهد، چه چیزی را توصیه می کنید؟

مت.  OK را بزنید.

همه قبلاً این را شنیده اند: پچ کردن.

شما باید وصله کنید، و باید اغلب وصله کنید.

هر چه مدت طولانی تر وصله زدن را ترک کنید... مثل این است که نزد دندانپزشک نروید: هر چه بیشتر آن را ترک کنید، بدتر می شود.

به احتمال زیاد به یک تغییر اساسی دست خواهید یافت.

اما اگر اغلب وصله می‌کنید، حتی اگر با مشکلی مواجه می‌شوید، احتمالاً می‌توانید با آن کنار بیایید و به مرور زمان برنامه‌های خود را بهتر خواهید کرد.

اردک.  در واقع، ارتقاء از مثلاً OpenSSL 3.0 به 3.1 بسیار بسیار ساده تر از ارتقاء از OpenSSL 1.0.2 به OpenSSL 3.1 است.

مت.  و اگر کسی محیط شما را بررسی می‌کند و می‌تواند ببیند که شما در مورد وصله‌های خود به‌روز نمی‌شوید، خوب، «چه چیز دیگری وجود دارد که می‌توانیم از آن بهره‌برداری کنیم؟ ارزش یک نگاه دیگر را دارد!»

در حالی که کسی که به طور کامل وصله شده است… احتمالاً بیشتر از همه چیز آگاه است.

مثل قدیم است راهنمای هیچکشان در مورد کهکشان: تا زمانی که حوله خود را دارید، آنها فرض می کنند که شما همه چیز دیگر را دارید.

بنابراین، اگر شما به طور کامل وصله شده اید، احتمالاً در بالای همه چیز هستید.

اردک.  بنابراین، ما وصله می کنیم.

دومین کاری که باید انجام دهیم چیست؟

مت.  شما فقط می توانید آنچه را که می دانید وصله کنید.

پس مورد دوم این است: نظارت.

شما باید دارایی خود را بشناسید.

تا آنجا که می دانید چه چیزی در دستگاه های شما اجرا می شود، اخیراً تلاش زیادی برای SBOM ها انجام شده است. لایحه مواد نرم افزاری.

زیرا مردم فهمیده اند که این کل زنجیره است…

اردک.  دقیقا!

مت.  دریافت هشداری که می‌گوید «یک آسیب‌پذیری در فلان کتابخانه وجود دارد» خوب نیست، و پاسخ شما این است: «باشه، با این دانش چه کار کنم؟»

دانستن اینکه چه ماشین‌هایی در حال اجرا هستند و چه چیزهایی روی آن ماشین‌ها کار می‌کنند…

... و با برگرداندن آن به وصله، "آیا آنها واقعاً وصله ها را نصب کرده اند؟"

اردک.  یا یک کلاهبردار دزدیده شده و رفته است، «آها! آنها فکر می کنند وصله شده اند، بنابراین اگر دوباره بررسی نکنند که وصله مانده اند، شاید بتوانم یکی از این سیستم ها را پایین بیاورم و برای همیشه یک درب پشتی برای خودم باز کنم، زیرا فکر می کنند مشکل را دارند. مرتب شده است.»

بنابراین حدس می‌زنم کلیشه‌ای وجود دارد: «همیشه اندازه‌گیری کن، هرگز فرض نکن».

حالا فکر می‌کنم می‌دانم نکته سوم شما چیست، و گمان می‌کنم سخت‌ترین/جنجال‌برانگیزترین نکته باشد.

پس بذار ببینم درست میگم… چیه؟

مت.  من می گویم این است: کشتن. (یا بکش.)

با گذشت زمان، سیستم‌ها افزایش می‌یابند… آنها طراحی و ساخته می‌شوند و افراد به پیش می‌روند.

اردک.  [خنده] آکریت! [خنده بلندتر]

چیزی شبیه کلسیفیکاسیون…

مت.  یا خرچنگ…

اردک.  آره! [خنده]

مت.  بارناکلز در کشتی بزرگ شرکت شما.

آنها ممکن است کار مفیدی انجام دهند، اما ممکن است این کار را با فناوری انجام دهند که پنج سال پیش یا ده سال پیش در زمان طراحی سیستم رایج بود.

همه ما می دانیم که توسعه دهندگان چگونه یک مجموعه ابزار جدید یا یک زبان جدید را دوست دارند.

هنگامی که نظارت می کنید، باید مراقب این چیزها باشید، و اگر این سیستم در حال طولانی شدن است، باید تصمیم سخت بگیرید و آن را از بین ببرید.

و مجدداً، مانند وصله کردن، هرچه بیشتر آن را رها کنید، احتمال بیشتری وجود دارد که بچرخید و بگویید: «این سیستم اصلاً چه می‌کند؟»

بسیار مهم است که همیشه به آن فکر کنید wifecycwe هنگامی که یک سیستم جدید را پیاده سازی می کنید.

به این فکر کنید، "خوب، این نسخه 1 من است، اما چگونه می خواهم آن را بکشم؟ کی قراره بمیره؟"

برخی از انتظارات را برای کسب و کار، برای مشتریان داخلی خود قرار دهید، و همین امر برای مشتریان خارجی نیز صدق می کند.

اردک.  بنابراین، مت، توصیه شما چیست که من می‌دانم می‌تواند برای کسی که در تیم امنیتی است (معمولاً با بزرگ‌تر شدن شرکت سخت‌تر می‌شود) کار بسیار دشواری باشد تا به آنها در فروش ایده کمک کند؟

به عنوان مثال، "شما دیگر مجاز به کدنویسی با OpenSSL 1 نیستید. باید به نسخه 3 بروید. برای من مهم نیست که چقدر سخت است!"

وقتی همه افراد شرکت به شما فشار می آورند، چگونه این پیام را منتقل می کنید؟

مت.  اول از همه ... شما نمی توانید دیکته کنید.

شما باید استانداردهای واضحی ارائه دهید و آن ها باید توضیح داده شوند.

این فروش را دریافت کردید زیرا ما زودتر بدون رفع مشکل ارسال کردیم؟

این تحت الشعاع تبلیغات بدی قرار خواهد گرفت که آسیب‌پذیری داریم یا آسیب‌پذیری را حمل کرده‌ایم.

همیشه پیشگیری بهتر از اصلاح است.

اردک.  کاملا!

مت.  از هر دو طرف می فهمم که سخت است.

اما هر چه بیشتر آن را ترک کنید، تغییر آن سخت تر می شود.

تنظیم این چیزها با "من می خواهم از این نسخه استفاده کنم و سپس تنظیم و فراموش کنم"؟

نه!

شما باید به پایگاه کد خود نگاه کنید، و بدانید که چه چیزی در پایگاه کد شما وجود دارد، و بگویید: "من به این کتابخانه ها متکی هستم. من به این ابزارهای کمکی متکی هستم» و غیره.

و شما باید بگویید: "شما باید آگاه باشید که همه آن چیزها در معرض تغییر هستند و با آن روبرو شوید."

اردک.  بنابراین به نظر می رسد که شما می گویید که آیا قانون شروع می کند به فروشندگان نرم افزار می گوید که آنها باید یک لایحه مواد نرم افزاری (یک SBOM، همانطور که قبلاً ذکر کردید) ارائه کنند یا نه…

...شما واقعاً باید به هر حال چنین چیزی را در سازمان خود حفظ کنید، فقط برای اینکه بتوانید جایگاه خود را در زمینه امنیت سایبری اندازه بگیرید.

مت.  شما نمی توانید نسبت به آن چیزها واکنش نشان دهید.

خوب نیست بگوییم، «این آسیب‌پذیری که یک ماه پیش در مطبوعات پخش شد؟ اکنون به این نتیجه رسیده ایم که در امنیت هستیم.»

[خنده] این خوب نیست! [خنده بیشتر]

واقعیت این است که همه با این تقلاهای دیوانه وار برای رفع آسیب پذیری ها مورد ضرب و شتم قرار خواهند گرفت.

برخی از موارد بزرگ در افق وجود دارد، به طور بالقوه، با چیزهایی مانند رمزگذاری.

یک روز، NIST ممکن است اعلام کند، "ما دیگر به هیچ چیزی در ارتباط با RSA اعتماد نداریم."

و همه در یک قایق خواهند بود. همه باید برای اجرای رمزنگاری جدید و ایمن کوانتومی تلاش کنند.

در آن مرحله، "چقدر سریع می توانید راه حل خود را حل کنید؟"

همه قراره همین کارو بکنن

اگر برای آن آماده هستید؛ اگر می دانید چه کاری انجام دهید؛ اگر درک خوبی از زیرساخت و کد خود دارید…

اگر می توانید در راس گروه قرار بگیرید و بگویید: "ما این کار را در چند روز انجام دادیم تا هفته ها"؟

این یک مزیت تجاری و همچنین کار درستی است.

اردک.  بنابراین، اجازه دهید سه نکته برتر شما را در مواردی که فکر می کنم به چهار نکته تبدیل شده اند، خلاصه کنم و ببینم آیا آنها را درست متوجه شده ام یا خیر.

نکته 1 قدیمی است وصله زود هنگام؛ اغلب وصله کنید

دو ماه انتظار، مانند مردم در روزهای Wannacry... شش سال پیش رضایت بخش نبود، و مطمئناً در سال 2023 بسیار طولانی است.

حتی دو هفته خیلی طولانی است. شما باید فکر کنید، "اگر لازم باشد این کار را در دو روز انجام دهم، چگونه می توانم این کار را انجام دهم؟"

نکته 2 است مانیتور ، یا به قول کلیشه ای من، «همیشه اندازه بگیرید، هرگز فرض نکنید».

به این ترتیب می‌توانید مطمئن شوید که وصله‌هایی که قرار است وجود داشته باشند واقعاً وجود دارند، و به این ترتیب می‌توانید در مورد آن «سرورهای داخل کمد زیر پله‌ها» که کسی فراموش کرده‌اند، اطلاعاتی کسب کنید.

نکته 3 است کشتن/کشتن، به این معنی که شما فرهنگی را ایجاد می کنید که در آن می توانید محصولاتی را که دیگر برای هدف مناسب نیستند دور بریزید.

و یک نوع کمکی نکته 4 است زیرک باش، به طوری که وقتی آن لحظه کشتن/کشتن فرا می رسد، در واقع بتوانید آن را سریعتر از بقیه انجام دهید.

زیرا این برای مشتریان شما خوب است و همچنین شما را (همانطور که گفتید) در یک مزیت تجاری قرار می دهد.

آیا آن را به درستی؟

مت.  به نظر می رسد!

اردک.  [پیروز] چهار کار ساده امروز بعدازظهر انجام دهید. [خنده]

مت.  آره! [خنده بیشتر]

اردک.  مانند امنیت سایبری به طور کلی، آنها سفر هستند، نه مقصد؟

مت.  بله!

و اجازه نده "بهترین" دشمن "بهتر" باشد. (یا "خوب".)

بنابراین…

پچ

مانیتور کنید.

بکش (یا بکش.)

و: زیرک باش... آماده تغییر باشید.

اردک.  مت، این یک راه عالی برای اتمام است.

از اینکه در یک اطلاعیه کوتاه به میکروفون آمدید بسیار متشکریم.

مثل همیشه، برای شنوندگان ما، اگر نظری دارید، می توانید آن را در سایت Naked Security بگذارید، یا با ما در شبکه اجتماعی تماس بگیرید: @nakedsecurity.

اکنون فقط برای من باقی مانده است که طبق معمول بگویم: تا دفعه بعد…

هر دو.  ایمن بمان

[مودم موزیکال]

تمبر زمان:

بیشتر از امنیت برهنه