S3, odc. 142: Umieszczenie X w X-Ops

Nie ma odtwarzacza audio poniżej? Słuchać bezpośrednio na Soundcloudzie.

KACZKA.  Cześć wszystkim.

Witamy w podcaście Naked Security.

Jak słyszysz, nie jestem Dougiem, jestem Kaczką.

Doug jest w tym tygodniu na wakacjach, więc w tym odcinku dołączył do mnie mój długoletni przyjaciel i współpracownik ds. cyberbezpieczeństwa, Matt Holdcroft.

Matt, ty i ja wracamy do początków Sophos…

… a dziedzina, w której teraz pracujesz, to część cyberbezpieczeństwa znana jako „DevSecOps”.

Jeśli chodzi o X-Ops, można powiedzieć, że byłeś tam dla wszystkich możliwych wartości X.

Opowiedz nam coś o tym, jak dotarłeś do miejsca, w którym jesteś teraz, bo to fascynująca historia.

---

MAT.  Moją pierwszą pracą w Sophos był administrator i programista Lotus Notes, pracowałem w ówczesnym pokoju produkcyjnym, więc byłem odpowiedzialny za powielanie dyskietek.

To były PRAWDZIWE dyskietki, na które można było trafić!

---

KACZKA.  [GŁOŚNY ŚMIECH] Tak, sortowanie 5.25″…

---

MAT.  Tak!

Wtedy było to łatwe.

Mieliśmy fizyczne bezpieczeństwo; można było zobaczyć sieć; wiedziałeś, że komputer jest podłączony do sieci, ponieważ miał trochę kabla wychodzącego z tyłu.

(Chociaż prawdopodobnie nie był podłączony do sieci, ponieważ ktoś zgubił terminator na końcu [kabla]).

Mieliśmy więc ładne, proste zasady dotyczące tego, kto może iść dokąd i kto co może w co włożyć, a życie było dość proste.

---

KACZKA.  W dzisiejszych czasach jest prawie na odwrót, prawda?

Jeśli komputer nie jest podłączony do sieci, nie może wiele pomóc firmie w osiągnięciu jej celów, a zarządzanie nim jest prawie niemożliwe.

Ponieważ musi mieć możliwość połączenia się z chmurą, aby zrobić coś pożytecznego, a Ty jako osoba zajmująca się operacjami bezpieczeństwa musisz mieć możliwość skontaktowania się z nią za pośrednictwem chmury, aby upewnić się, że jest do zera.

To prawie jak paragraf 22, prawda?

---

MAT.  Tak.

Jest całkowicie odwrócony.

Tak, komputer, który nie jest podłączony, jest bezpieczny… ale jest też bezużyteczny, ponieważ nie spełnia swojej funkcji.

Lepiej być stale online, aby mógł stale otrzymywać najnowsze aktualizacje i mieć go na oku, a także uzyskać z niego rzeczywistą telemetrię, zamiast mieć coś, co możesz sprawdzać co drugi dzień.

---

KACZKA.  Jak sam powiedziałeś, to ironia, że ​​korzystanie z Internetu jest niezwykle ryzykowne, ale jest to również jedyny sposób zarządzania tym ryzykiem, szczególnie w środowisku, w którym ludzie nie pojawiają się codziennie w biurze.

---

MAT.  Tak, pomysł Bring Your Own Device [BYOD] nie odleciałby w ciągu dnia, prawda?

Ale kiedy dołączyłem do Sophos, mieliśmy opcję Zbuduj własne urządzenie.

Oczekiwano, że zamówisz części i zbudujesz swój pierwszy komputer.

To był rytuał przejścia!

---

KACZKA.  To było całkiem miłe…

…mogłeś wybrać, w granicach rozsądku, prawda?

---

MAT.  [ŚMIECH] Tak!

---

KACZKA.  Czy powinienem pójść na trochę mniej miejsca na dysku, a potem może mógłbym mieć [DRAMATYCZNY GŁOS] OSIEM MEGABAJTÓW RAM!!?!

---

MAT.  To była era 486, dyskietek i faksów, kiedy zaczynaliśmy, prawda?

Pamiętam, jak do firmy weszły pierwsze Pentiumy i było to: „Wow! Spójrz na to!"

---

KACZKA.  Jakie są Twoje trzy najważniejsze wskazówki dla współczesnych operatorów zajmujących się cyberbezpieczeństwem?

Ponieważ bardzo różnią się od starych, „Oooch, po prostu uważajmy na złośliwe oprogramowanie, a kiedy je znajdziemy, pójdziemy i wyczyścimy”.

---

MAT.  Jedną z rzeczy, które tak bardzo się zmieniły od tamtego czasu, Paul, jest to, że kiedyś miałeś zainfekowaną maszynę i wszyscy desperacko chcieli ją zdezynfekować.

Wirus wykonywalny zainfekowałby *wszystkie* pliki wykonywalne na komputerze, a przywrócenie go do „dobrego” stanu było naprawdę przypadkowe, ponieważ jeśli przegapiłeś jakąkolwiek infekcję (zakładając, że możesz ją wyleczyć), wracasz do punktu wyjścia, ponieważ zaraz po wywołaniu tego pliku.

I nie mieliśmy, tak jak mamy teraz, podpisów cyfrowych, manifestów i tak dalej, gdzie można było wrócić do znanego stanu.

---

KACZKA.  To tak, jakby złośliwe oprogramowanie było kluczową częścią problemu, ponieważ ludzie oczekiwali, że go wyczyścisz i zasadniczo usuniesz muchę z maści, a następnie zwrócisz słoik z maścią i powiesz: „Teraz można go bezpiecznie używać, ludzie ”.

---

MAT.  Zmieniła się motywacja, ponieważ w tamtych czasach twórcy wirusów chcieli zainfekować jak najwięcej plików i często robili to „dla zabawy”.

Podczas gdy obecnie chcą przejąć system.

Więc nie są zainteresowani infekowaniem każdego pliku wykonywalnego.

Chcą po prostu przejąć kontrolę nad tym komputerem, w jakimkolwiek celu.

---

KACZKA.  W rzeczywistości podczas ataku może nawet nie być żadnych zainfekowanych plików.

Mogliby się włamać, ponieważ kupili od kogoś hasło, a potem, kiedy się dostaną, zamiast mówić: „Hej, wypuśćmy wirusa, który uruchomi wszelkiego rodzaju alarmy”…

… powiedzą: „Po prostu znajdźmy sprytne narzędzia administratora systemu, których możemy użyć w sposób, którego prawdziwy administrator nigdy by nie zrobił”.

---

MAT.  Pod wieloma względami nie było to naprawdę złośliwe, dopóki…

…Pamiętam, że byłem przerażony, gdy przeczytałem opis konkretnego wirusa o nazwie „Rozpruwacz”.

Zamiast po prostu infekować pliki, po cichu kręciłby bity w twoim systemie.

Z biegiem czasu każdy plik lub sektor na dysku może ulec subtelnemu uszkodzeniu.

Sześć miesięcy później możesz nagle stwierdzić, że Twój system nie nadaje się do użytku i nie masz pojęcia, jakie zmiany zostały wprowadzone.

Pamiętam, że było to dla mnie dość szokujące, ponieważ wcześniej wirusy były irytujące; niektórzy mieli motywy polityczne; a niektórzy po prostu eksperymentowali i „bawili się”.

Pierwsze wirusy zostały napisane jako ćwiczenie intelektualne.

I pamiętam, że kiedyś tak naprawdę nie widzieliśmy żadnego sposobu na zarabianie na infekcjach, mimo że były one irytujące, ponieważ miałeś ten problem: „Wpłać na to konto bankowe” lub „Zostaw pieniądze pod ta skała w miejscowym parku”…

…który zawsze był podatny na odebranie przez władze.

Potem oczywiście pojawił się Bitcoin. [ŚMIECH]

To sprawiło, że całe złośliwe oprogramowanie stało się komercyjnie opłacalne, co do tej pory nie było.

---

KACZKA.  Wróćmy więc do tych najważniejszych wskazówek, Matt!

Jakie trzy rzeczy, które polecasz, mogą zrobić operatorzy cyberbezpieczeństwa, aby zapewnić im, jeśli chcesz, największy zakres za złotówkę?

---

MAT.  OK.

Wszyscy już to słyszeli: łatanie.

Musisz łatać i to często.

Im dłużej zrezygnujesz z łatania… to tak, jakbyś nie poszedł do dentysty: im dłużej to zrobisz, tym gorzej.

Bardziej prawdopodobne jest, że trafisz na przełomową zmianę.

Ale jeśli często łatasz, nawet jeśli napotkasz problem, prawdopodobnie możesz sobie z tym poradzić, az czasem i tak ulepszysz swoje aplikacje.

---

KACZKA.  Rzeczywiście, znacznie łatwiej jest uaktualnić, powiedzmy, OpenSSL 3.0 do 3.1 niż z OpenSSL 1.0.2 do OpenSSL 3.1.

---

MAT.  A jeśli ktoś sonduje twoje środowisko i widzi, że nie jesteś na bieżąco z łataniem… to, no cóż, „Co jeszcze możemy wykorzystać? Warto spojrzeć jeszcze raz!”

Podczas gdy ktoś, kto jest w pełni załatany… prawdopodobnie jest bardziej na szczycie.

To tak jak ze starym Przewodnik autostopem po galaktyce: dopóki masz swój ręcznik, zakładają, że masz wszystko inne.

Tak więc, jeśli jesteś w pełni załatany, prawdopodobnie jesteś na szczycie wszystkiego innego.

---

KACZKA.  No to patchujemy.

Co jest drugą rzeczą, którą musimy zrobić?

---

MAT.  Możesz załatać tylko to, o czym wiesz.

Więc druga sprawa to: Monitorowanie.

Musisz znać swoją posiadłość.

Jeśli chodzi o wiedzę o tym, co działa na twoich komputerach, ostatnio włożono wiele wysiłku w SBOM, Zestawienie materiałów oprogramowania.

Ponieważ ludzie zrozumieli, że to cały łańcuch…

---

KACZKA.  Dokładnie!

---

MAT.  Nie warto otrzymywać alertu, który mówi: „W takiej a takiej bibliotece jest luka”, a twoja odpowiedź brzmi: „OK, co mam zrobić z tą wiedzą?”

Wiedząc, jakie maszyny działają i co działa na tych maszynach…

…i wracając do łatania, „Czy rzeczywiście zainstalowali łatki?”

---

KACZKA.  Albo wkradł się oszust i poszedł, „Aha! Myślą, że są załatane, więc jeśli nie sprawdzają dwukrotnie, czy zostały załatane, może mogę obniżyć jeden z tych systemów i otworzyć sobie tylne wejście na jeszcze więcej, ponieważ myślą, że mają problem posortowane.

Myślę więc, że istnieje frazes: „Zawsze mierz, nigdy nie zakładaj”.

Teraz chyba wiem, jaka jest twoja trzecia wskazówka i podejrzewam, że będzie najtrudniejsza/najbardziej kontrowersyjna.

Więc pozwól mi sprawdzić, czy mam rację… co to jest?

---

MAT.  powiedziałbym, że jest: Zabić. (Lub Zerwać.)

Z biegiem czasu systemy rosną… są projektowane i budowane, a ludzie idą dalej.

---

KACZKA.  [ŚMIECH] Akceptuj! [GŁOŚNIEJSZY ŚMIECH]

Coś w rodzaju zwapnienia…

---

MAT.  Albo pąkle…

---

KACZKA.  Tak! [ŚMIECH]

---

MAT.  Pąkle na wielkim statku waszej kompanii.

Mogą wykonywać użyteczną pracę, ale mogą to robić przy użyciu technologii, która była modna pięć lat temu lub dziesięć lat temu, kiedy system był projektowany.

Wszyscy wiemy, jak programiści uwielbiają nowy zestaw narzędzi lub nowy język.

Kiedy monitorujesz, musisz mieć oko na te rzeczy, a jeśli ten system się zadłuża, musisz podjąć trudną decyzję i zabić go.

I znowu, tak samo jak w przypadku łatania, im dłużej to zostawisz, tym bardziej prawdopodobne jest, że odwrócisz się i powiesz: „Co ten system w ogóle robi?”

To bardzo ważne, aby zawsze o tym myśleć wifecycwe podczas wdrażania nowego systemu.

Pomyśl o tym: „OK, to jest moja wersja 1, ale jak mam ją zabić? Kiedy umrze?

Przedstaw pewne oczekiwania wobec firmy, klientów wewnętrznych i to samo dotyczy klientów zewnętrznych.

---

KACZKA.  Więc, Matt, jaka jest twoja rada na to, co, jak wiem, może być bardzo trudną pracą dla kogoś, kto jest w zespole bezpieczeństwa (zwykle staje się to trudniejsze, gdy firma się rozrasta), aby pomóc im sprzedać pomysł?

Na przykład: „Nie możesz już kodować w OpenSSL 1. Musisz przejść na wersję 3. Nie obchodzi mnie, jakie to trudne!”

Jak przekazać tę wiadomość, gdy wszyscy inni w firmie naciskają na ciebie?

---

MAT.  Po pierwsze… nie możesz dyktować.

Musisz podać jasne standardy, a te należy wyjaśnić.

Ta wyprzedaż, którą otrzymałeś, ponieważ wysłaliśmy wcześniej, nie naprawiając problemu?

Zostanie to przyćmione przez zły rozgłos, że mieliśmy lukę w zabezpieczeniach lub że dostarczaliśmy produkt z luką w zabezpieczeniach.

Zawsze lepiej zapobiegać niż naprawiać.

---

KACZKA.  Absolutnie!

---

MAT.  Rozumiem, z obu stron, że jest to trudne.

Ale im dłużej to zostawiasz, tym trudniej jest to zmienić.

Ustalenie tych rzeczy w następujący sposób: „Zamierzam użyć tej wersji, a potem ustawię i zapomnę”?

Nie!

Musisz spojrzeć na swoją bazę kodu i wiedzieć, co się w niej znajduje, i powiedzieć: „Polegam na tych bibliotekach; Polegam na tych narzędziach” i tak dalej.

I musisz powiedzieć: „Musisz być świadomy, że wszystkie te rzeczy podlegają zmianom i stawić temu czoła”.

---

KACZKA.  Brzmi to tak, jakbyś chciał powiedzieć, że niezależnie od tego, czy prawo zacznie mówić dostawcom oprogramowania, że ​​muszą dostarczyć zestawienie materiałów oprogramowania (SBOM, jak wspomniałeś wcześniej), czy nie…

…i tak naprawdę musisz utrzymać coś takiego w swojej organizacji, aby móc zmierzyć, gdzie stoisz pod względem bezpieczeństwa cybernetycznego.

---

MAT.  Nie możesz być reaktywny w tych sprawach.

Niedobrze jest mówić: „Ta luka w zabezpieczeniach, o której pisano w prasie miesiąc temu? Doszliśmy do wniosku, że jesteśmy bezpieczni”.

[ŚMIECH] To niedobrze! [WIĘCEJ ŚMIECHU]

Rzeczywistość jest taka, że ​​wszyscy zostaną uderzeni tymi szalonymi próbami naprawienia luk w zabezpieczeniach.

Na horyzoncie są potencjalnie duże, takie jak szyfrowanie.

Pewnego dnia NIST może ogłosić: „Nie ufamy już niczemu, co ma związek z RSA”.

I wszyscy będą w tej samej łodzi; wszyscy będą musieli walczyć o wdrożenie nowej, bezpiecznej kwantowo kryptografii.

W tym momencie będzie brzmiało: „Jak szybko możesz usunąć swoją poprawkę?”

Wszyscy będą robić to samo.

Jeśli jesteś na to przygotowany; jeśli wiesz, co robić; jeśli dobrze rozumiesz swoją infrastrukturę i kod…

…jeśli możesz stanąć na czele stada i powiedzieć: „Zrobiliśmy to w kilka dni, a nie tygodni”?

To zaleta komercyjna, a także słuszna decyzja.

---

KACZKA.  Pozwólcie więc, że podsumuję wasze trzy najważniejsze wskazówki w cztery, i zobaczę, czy mam rację.

Wskazówka 1 jest stara Popraw wcześnie; łatać często.

Czekanie dwa miesiące, jak ludzie w czasach Wannacry… to nie było zadowalające sześć lat temu iz pewnością jest o wiele za długo w 2023 roku.

Nawet dwa tygodnie to za długo; musisz pomyśleć: „Jeśli muszę to zrobić w ciągu dwóch dni, jak mógłbym to zrobić?”

Wskazówka 2 jest monitor, lub używając moich frazesów: „Zawsze mierz, nigdy nie zakładaj”.

W ten sposób można się upewnić, że łaty, które mają tam być, rzeczywiście są, i że można faktycznie dowiedzieć się o tych „serwerach w szafce pod schodami”, o których ktoś zapomniał.

Wskazówka 3 jest Zabij/Wyeliminuj, co oznacza, że ​​budujesz kulturę, w której możesz pozbywać się produktów, które nie nadają się już do użytku.

A swego rodzaju pomocnicza wskazówka 4 jest Bądź zwinny, więc kiedy nadejdzie moment zabicia/wyeliminowania, możesz zrobić to szybciej niż wszyscy inni.

Ponieważ jest to dobre dla twoich klientów, a także daje ci (jak powiedziałeś) przewagę handlową.

Czy to ma rację?

---

MAT.  Brzmi jak to!

---

KACZKA.  [TRIUMFANT] Cztery proste rzeczy do zrobienia tego popołudnia. [ŚMIECH]

---

MAT.  Tak! [WIĘCEJ ŚMIECHU]

---

KACZKA.  Podobnie jak ogólnie w przypadku cyberbezpieczeństwa, są one raczej podróżami niż celami podróży, czyż nie?

---

MAT.  Tak!

I nie pozwól, aby „najlepsze” było wrogiem „lepszego”. (Lub „dobry”.)

Więc…

Łata.

Monitorować.

Zabić. (Lub Zerwać.)

Oraz: Bądź zwinny… bądź gotowy na zmiany.

---

KACZKA.  Matt, to świetny sposób na zakończenie.

Bardzo dziękuję za szybkie podejście do mikrofonu.

Jak zawsze, jeśli masz jakieś uwagi dla naszych słuchaczy, możesz zostawić je na stronie Naked Security lub skontaktować się z nami na portalu społecznościowym: @nakedsecurity.

Teraz pozostaje mi tylko powiedzieć, jak zwykle: do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]