S3 Ep142: X-Ops에 X 넣기

S3 Ep142: X-Ops에 X 넣기

타임 스탬프 : 6 년 2023 월 3 일 오후 58:XNUMX
소스 노드 : 2756318
by 폴 덕린

X-OPS에 X 넣기

처음에는 DevOps, 그 다음에는 SecOps, 그 다음에는 DevSecOps가 있었습니다. 아니면 SecDevOps여야 합니까?

Paul Ducklin은 Sophos X-Ops 내부자 Matt Holdcroft와 사이버 보안의 정확성을 지침으로 삼아 기업의 모든 "Ops" 팀이 협력하도록 하는 방법에 대해 이야기합니다.

아래에 오디오 플레이어가 없습니까? 듣다 직접 사운드클라우드에서.

폴 더클린, 맷 홀드크로프트와 함께. 인트로 및 아웃트로 음악 에디스 머지.

당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.

대본 읽기

오리.  모두들 안녕.

Naked Security 팟캐스트에 오신 것을 환영합니다.

보시다시피 저는 Doug가 아니라 Duck입니다.

Doug는 이번 주에 휴가 중이므로 오랜 친구이자 사이버 보안 동료인 Matt Holdcroft가 이 에피소드에 합류했습니다.

Matt, 당신과 나는 Sophos의 초창기로 돌아갑니다…

… 그리고 현재 귀하가 일하고 있는 분야는 "DevSecOps"로 알려진 것의 사이버 보안 부분입니다.

X-Ops에 관해서는 X의 모든 가능한 가치에 대해 거기에 있었다고 말할 수 있습니다.

흥미로운 이야기이기 때문에 현재 위치에 도달한 방법에 대해 알려주십시오.

매트.  Sophos에서의 첫 직장은 Lotus Notes Admin 및 Developer였고 당시 Production Room에서 일했기 때문에 플로피 디스크 복제를 담당했습니다.

이것들은 진짜 플로피 디스크였고, 당신은 실제로 실패할 수 있었습니다!

오리.  [크게 웃음] 예, 5.25″ 종류…

매트.  네!

그때는 쉬웠습니다.

우리에게는 물리적인 보안이 있었습니다. 네트워크를 볼 수 있습니다. 뒤에서 나오는 약간의 케이블이 있기 때문에 컴퓨터가 네트워크로 연결되어 있다는 것을 알았습니다.

(누군가 [케이블의] 끝에서 터미네이터를 잃어버렸기 때문에 네트워크에 연결되지 않았을 수도 있습니다.)

그래서 우리는 누가 어디로 갈 수 있고 누가 무엇을 무엇에 붙일 수 있는지에 대한 훌륭하고 간단한 규칙을 가지고 있었고 삶은 상당히 단순했습니다.

오리.  요즘은 거의 그 반대죠?

컴퓨터가 네트워크에 없으면 회사가 목표를 달성하는 데 많은 도움이 되지 않으며 관리가 거의 불가능한 것으로 간주됩니다.

유용한 작업을 수행하려면 클라우드에 도달할 수 있어야 하고, 보안 운영 담당자로서 클라우드를 통해 도달할 수 있어야 제대로 작동하는지 확인할 수 있습니다.

거의 Catch-22 상황이죠?

매트.  예.

완전히 뒤집혔습니다.

예, 연결되지 않은 컴퓨터는 안전합니다. 하지만 목적을 달성하지 못하기 때문에 쓸모가 없습니다.

최신 업데이트를 지속적으로 받을 수 있도록 지속적으로 온라인 상태를 유지하는 것이 좋습니다. 격일로 확인하는 것보다 계속 주시하고 실제 원격 측정을 얻을 수 있습니다.

오리.  당신이 말했듯이, 온라인에 접속하는 것이 매우 위험하다는 것은 아이러니하지만, 특히 사람들이 매일 사무실에 나타나지 않는 환경에서 그러한 위험을 관리하는 유일한 방법이기도 합니다.

매트.  예, BYOD(Bring Your Own Device)라는 개념이 예전처럼 떠오르지는 않을 것입니다. 그렇죠?

하지만 제가 Sophos에 입사했을 때 Build Your Own Device가 있었습니다.

부품을 주문하고 첫 번째 PC를 조립해야 했습니다.

그것은 통과 의례였습니다!

오리.  꽤 좋았습니다…

...합리적인 범위 내에서 선택할 수 있지 않습니까?

매트.  [웃음] 예!

오리.  디스크 공간을 조금 더 줄여야 할까요? 그러면 [극적인 목소리] XNUMXMB의 RAM을 가질 수 있을지도 몰라요!!?!

매트.  우리가 시작한 때는 486es, 플로피, 팩스의 시대였죠?

처음 펜티엄이 회사에 들어왔을 때를 기억합니다. “와! 이것 좀 봐!”

오리.  오늘날의 사이버 보안 운영자를 위한 세 가지 주요 팁은 무엇입니까?

그것들은 이전과 매우 다르기 때문에 "오오, 맬웨어를 조심하고 발견하면 가서 제거하겠습니다."

매트.  그 이후로 많이 변한 것 중 하나는 Paul, 그 당시에는 감염된 컴퓨터가 있었고 모두가 컴퓨터를 소독하기 위해 필사적이었습니다.

실행 가능한 바이러스는 컴퓨터의 *모든* 실행 파일을 감염시키고 "양호한" 상태로 되돌리는 것은 정말 우연한 일이었습니다. 해당 파일이 호출되자마자.

그리고 우리는 현재 가지고 있는 것처럼 알려진 상태로 돌아갈 수 있는 디지털 서명과 매니페스트 등이 없었습니다.

오리.  마치 멀웨어가 문제의 핵심 부분인 것 같습니다. 왜냐하면 사람들은 당신이 멀웨어를 정리하고 기본적으로 연고에서 파리를 제거한 다음 연고 병을 돌려주고 "여러분, 지금 사용하는 것이 안전합니다. .”

매트.  당시에는 바이러스 작성자가 일반적으로 가능한 한 많은 파일을 감염시키고 싶었고 종종 "재미로" 그렇게 했기 때문에 동기가 바뀌었습니다.

반면 요즘에는 시스템을 캡처하려고 합니다.

따라서 그들은 모든 실행 파일을 감염시키는 데 관심이 없습니다.

그들은 어떤 목적으로든 해당 컴퓨터를 제어하기를 원합니다.

오리.  실제로 공격 중에 감염된 파일이 없을 수도 있습니다.

그들은 누군가로부터 암호를 구입했기 때문에 침입할 수 있으며, 그런 다음 침입할 때 "이봐, 모든 종류의 경보를 울리는 바이러스를 풀어 놓자"라고 말하는 대신…

...그들은 "실제 시스템 관리자가 절대 사용하지 않는 방식으로 사용할 수 있는 교활한 시스템 관리자 도구가 이미 있는지 찾아봅시다."라고 말할 것입니다.

매트.  여러 면에서 실제로 악의적인 것은 아니었습니다.

… "Ripper"라는 특정 바이러스에 대한 설명을 읽었을 때 소름끼쳤던 기억이 납니다.

단순히 파일을 감염시키는 대신 시스템을 조용히 돌아다니며 뒤틀릴 것입니다.

따라서 시간이 지남에 따라 디스크의 모든 파일이나 섹터가 미묘하게 손상될 수 있습니다.

XNUMX개월 후 갑자기 시스템을 사용할 수 없게 되고 어떤 변화가 있었는지 전혀 모를 수 있습니다.

그 이전에는 바이러스가 성가신 존재였기 때문에 상당히 충격적이었습니다. 일부는 정치적 동기를 가지고 있었다; 일부는 실험하고 "즐기는" 사람들이었습니다.

최초의 바이러스는 지적 활동으로 작성되었습니다.

그리고 그 당시에는 성가시긴 해도 감염으로 수익을 창출할 수 있는 방법이 없었음을 기억합니다. "이 은행 계좌로 지불하세요." 동네 공원에 있는 이 바위”…

… 항상 당국에 의해 포착되기 쉽습니다.

물론 비트코인도 등장했습니다. [웃음]

그로 인해 전체 맬웨어가 상업적으로 실행 가능해졌지만 그때까지는 그렇지 않았습니다.

오리.  이제 최고의 팁으로 돌아가 봅시다, Matt!

사이버 보안 운영자가 할 수 있는 세 가지로 무엇을 조언하여 비용 대비 가장 큰 밴드를 제공합니까?

매트.  좋아요.

모두가 이전에 이것을 들었습니다. 패치.

패치를 해야 하고 자주 패치해야 합니다.

패치를 붙이는 시간이 길어질수록... 마치 치과에 가지 않는 것과 같습니다.

브레이킹 체인지가 발생할 가능성이 더 높습니다.

그러나 자주 패치를 적용한다면 문제가 발생하더라도 대처할 수 있고 시간이 지남에 따라 응용 프로그램을 개선할 수 있습니다.

오리.  실제로 OpenSSL 3.0에서 OpenSSL 3.1로 업그레이드하는 것보다 OpenSSL 1.0.2에서 3.1로 업그레이드하는 것이 훨씬 더 쉽습니다.

매트.  그리고 누군가가 귀하의 환경을 조사하고 귀하가 패치에 대한 최신 정보를 유지하고 있지 않다는 것을 알게 되면… 한 번 더 볼 가치가 있습니다!”

반면 완전히 패치된 사람은… 아마 더 잘 알고 있을 것입니다.

예전같네요 은하계 히치하이커를위한 가이드: 당신이 당신의 수건을 가지고 있는 한, 그들은 당신이 다른 모든 것을 가지고 있다고 가정합니다.

따라서 완전히 패치를 적용했다면 아마도 다른 모든 것보다 우선일 것입니다.

오리.  그래서 우리는 패치를 하고 있습니다.

두 번째로 우리가 해야 할 일은 무엇입니까?

매트.  알고 있는 것만 패치할 수 있습니다.

두 번째는 다음과 같습니다. 모니터링.

당신은 당신의 재산을 알아야합니다.

컴퓨터에서 무엇이 실행되고 있는지 아는 한, 최근 SBOM에 많은 노력을 기울였습니다. 소프트웨어 재료 명세서.

사람들이 그것이 전체 사슬이라는 것을 이해했기 때문에…

오리.  정확하게!

매트.  "이러한 라이브러리에 취약점이 있습니다."라는 경고를 받고 귀하의 응답은 "좋아, 그 지식으로 무엇을 해야 합니까?"라는 경고를 받는 것은 좋지 않습니다.

어떤 기계가 실행되고 있고 그 기계에서 무엇이 실행되고 있는지 알 수 있습니다...

...패치 작업으로 돌아가 "실제로 패치를 설치했습니까?"

오리.  아니면 도둑이 몰래 들어와서 “아하! 그들은 자신이 패치되었다고 생각하므로 패치가 유지되었는지 다시 확인하지 않으면 문제가 있다고 생각하기 때문에 이러한 시스템 중 하나를 다운그레이드하고 더 이상 백도어를 열 수 있습니다. 정렬.”

그래서 "항상 측정하고 가정하지 마십시오"라는 진부한 표현이 있는 것 같습니다.

이제 나는 당신의 세 번째 팁이 무엇인지 알 것 같고 그것이 가장 어려운/가장 논란이 될 것 같습니다.

그래서 내가 맞는지 보자… 그게 뭐야?

매트.  나는 그것이라고 말할 것입니다 : 죽이다. (또는 따다.)

시간이 지남에 따라 시스템이 증가하고... 시스템이 설계되고 구축되며 사람들은 계속 움직입니다.

오리.  [웃음] 어크리트! [큰 웃음]

일종의 석회화...

매트.  아니면 따개비...

오리.  예! [웃음]

매트.  당신 회사의 큰 배에 따개비.

그들은 유용한 작업을 수행할 수 있지만 시스템이 설계되었을 때 XNUMX년 또는 XNUMX년 전에 유행했던 기술로 작업을 수행할 수 있습니다.

우리 모두는 개발자가 새로운 도구 세트 또는 새로운 언어를 얼마나 좋아하는지 알고 있습니다.

모니터링할 때 이러한 것들을 주시해야 하며 해당 시스템이 오래 지속되면 어려운 결정을 내리고 중단해야 합니다.

그리고 패치 적용과 마찬가지로 더 오래 방치할수록 "그 시스템은 도대체 무슨 일을 하는 거지?"

항상 생각하는 것이 매우 중요합니다. wifecycwe 새로운 시스템을 구현할 때.

"좋아, 이건 내 버전 1인데 어떻게 죽일까?"라고 생각해보세요. 언제 죽을거야?”

비즈니스와 내부 고객에 대한 기대치를 설정하고 외부 고객에게도 마찬가지입니다.

오리.  Matt, 보안 팀에 있는 사람이 아이디어를 판매하는 데 도움이 되는 매우 어려운 일(일반적으로 회사가 커질수록 더 어려워짐)이 될 수 있다는 것을 알고 있는 것에 대한 귀하의 조언은 무엇입니까?

예를 들어, "더 이상 OpenSSL 1로 코딩할 수 없습니다. 버전 3으로 이동해야 합니다. 얼마나 어려운지 상관하지 않습니다!"

회사의 다른 모든 사람들이 당신에게 반발할 때 그 메시지를 어떻게 전달합니까?

매트.  우선… 지시할 수 없습니다.

명확한 기준을 제시하고 설명해야 합니다.

문제를 해결하지 않고 일찍 배송했기 때문에 얻은 ​​판매?

우리에게 취약점이 있거나 취약점이 있는 상태로 배송되었다는 나쁜 홍보로 가려질 것입니다.

항상 고치는 것보다 예방하는 것이 좋습니다.

오리.  전혀!

매트.  어렵다는 점은 양쪽 모두 이해합니다.

하지만 오래 놔둘수록 바꾸기가 더 어려워집니다.

"이 버전을 사용한 다음 설정하고 잊어버릴 것"이라고 설정합니까?

안돼!

코드베이스를 살펴보고 코드베이스에 무엇이 있는지 알아야 합니다. “저는 이 라이브러리에 의존하고 있습니다. 저는 이러한 유틸리티에 의존하고 있습니다.” 등이 있습니다.

그리고 "그 모든 것은 변할 수 있다는 것을 알고 그것을 직시해야 한다"고 말해야 합니다.

오리.  따라서 법률이 소프트웨어 벤더에게 소프트웨어 재료 명세서(앞에서 언급한 대로 SBOM)를 제공해야 한다고 말하기 시작하는지 여부를 말하는 것처럼 들립니다.

...어쨌든 조직 내에서 그러한 것을 유지 관리해야 사이버 보안 기반의 위치를 ​​측정할 수 있습니다.

매트.  당신은 그런 것들에 대해 반응할 수 없습니다.

“한 달 전에 언론 전체에 퍼진 그 취약성? 이제 우리는 안전하다는 결론을 내렸습니다.”

[웃음] 그건 좋지 않아! [더 많은 웃음]

현실은 모든 사람이 취약점을 수정하기 위해 이러한 미친 스크램블을 맞을 것이라는 것입니다.

잠재적으로 암호화와 같은 큰 것들이 있습니다.

언젠가 NIST는 "우리는 더 이상 RSA와 관련된 어떤 것도 신뢰하지 않습니다."라고 발표할 수 있습니다.

그리고 모두가 같은 배를 타게 될 것입니다. 모두가 새로운 양자 안전 암호화를 구현하기 위해 출격해야 합니다.

그 시점에서 "얼마나 빨리 문제를 해결할 수 있습니까?"가 될 것입니다.

모두가 같은 일을 할 것입니다.

준비가 되었다면; 당신이 무엇을 해야할지 알고 있다면; 인프라와 코드를 잘 이해하고 있다면…

... 무리의 선두에 서서 "몇 주가 아니라 며칠 만에 해냈습니다"라고 말할 수 있다면?

그것은 상업적인 이점일 뿐만 아니라 옳은 일입니다.

오리.  그래서 당신의 XNUMX가지 주요 팁을 XNUMX가지가 된 것으로 요약하고 제 생각이 맞는지 확인하겠습니다.

팁 1은 오래되었습니다. 조기 패치; 자주 패치하십시오.

Wannacry 시대에 사람들이 그랬던 것처럼 두 달을 기다립니다... 2023년 전에는 만족스럽지 않았고 XNUMX년에는 확실히 너무 멀고 너무 깁니다.

XNUMX주도 너무 깁니다. “이걸 이틀 안에 해야 하는데 어떻게 할 수 있지?”라고 생각해야 합니다.

팁 2는 감시 장치, 또는 내 진부한 말로 "항상 측정하고 가정하지 마십시오."

그렇게 하면 있어야 할 패치가 실제로 있는지 확인하고 누군가 잊어버린 "계단 아래 찬장에 있는 서버"에 대해 실제로 찾을 수 있습니다.

팁 3는 킬/컬링, 더 이상 목적에 맞지 않는 제품을 폐기할 수 있는 문화를 구축한다는 의미입니다.

그리고 일종의 보조 팁 4는 민첩하고 그래서 Kill/Cull 순간이 왔을 때 실제로 다른 사람보다 더 빨리 할 수 ​​있습니다.

그것은 고객에게 유익하고 (말씀하신 대로) 상업적 이점도 제공하기 때문입니다.

그게 맞습니까?

매트.  그런 소리!

오리.  [TRIUMPHANT] 오늘 오후에 해야 할 간단한 일 네 가지. [웃음]

매트.  예! [더 많은 웃음]

오리.  일반적으로 사이버 보안과 마찬가지로 그것들은 목적지가 아니라 여행입니다. 그렇지 않습니까?

매트.  네!

그리고 "최고"가 "더 나은"의 적이 되도록 하지 마십시오. (또는 "좋은".)

그래서 ...

반점.

모니터링합니다.

죽임. (또는 따다.)

과 : 민첩하게… 변화에 대비하십시오.

오리.  Matt, 끝내는 좋은 방법입니다.

짧은 시간에 마이크에 올라와 주셔서 대단히 감사합니다.

항상 그렇듯이 청취자에 대해 의견이 있는 경우 Naked Security 사이트에 의견을 남기거나 소셜 @nakedsecurity로 문의할 수 있습니다.

이제 평소와 같이 말할 수만 있습니다. 다음 시간까지…

양자 모두.  보안 유지!

[뮤지컬 모뎀]

타임 스탬프 :

더보기 노출 된 보안