S3 Ep142: Punerea X-ului în X-Ops

Nu există player audio mai jos? Asculta direct pe Soundcloud.

RAȚĂ.  Bună tuturor.

Bun venit la podcastul Naked Security.

După cum puteți auzi, eu nu sunt Doug, sunt Duck.

Doug este în vacanță săptămâna aceasta, așa că mi se alătură pentru acest episod prietenul meu de lungă durată și colegul de securitate cibernetică, Matt Holdcroft.

Matt, tu și cu mine ne întoarcem la primele zile ale Sophos...

… și domeniul în care lucrați acum este partea de securitate cibernetică a ceea ce este cunoscut sub numele de „DevSecOps”.

Când vine vorba de X-Ops, ați fost acolo pentru toate valorile posibile ale lui X, ați putea spune.

Spune-ne ceva despre cum ai ajuns acolo unde te afli acum, pentru că este o poveste fascinantă.

---

MATT.  Primul meu loc de muncă la Sophos a fost Administrator și Dezvoltator Lotus Notes și am lucrat în Sala de Producție de atunci, așa că eram responsabil pentru duplicarea dischetelor.

Acestea au fost dischete adevărate, pe care le-ai putea de fapt flop!

---

RAȚĂ.  [Râsete zgomotoase] Da, sortarea de 5.25 inchi...

---

MATT.  Da!

Pe atunci, era ușor.

Aveam securitate fizică; puteai vedea rețeaua; știai că un computer este conectat în rețea pentru că avea un pic de cablu care ieșea din spate.

(Deși probabil că nu a fost conectat în rețea pentru că cineva pierduse terminatorul de la capătul [cablului].)

Așadar, aveam reguli simple și frumoase despre cine putea merge până unde și cine putea să bage ce în ce, iar viața era destul de simplă.

---

RAȚĂ.  Zilele astea, este aproape invers, nu-i așa?

Dacă un computer nu este în rețea, atunci nu poate face mare lucru în ceea ce privește ajutarea companiei să-și atingă obiectivele și este aproape considerat imposibil de gestionat.

Pentru că trebuie să poată ajunge în cloud pentru a face ceva util, iar tu trebuie să poți să ajungi la el, ca persoană cu operațiuni de securitate, prin cloud, pentru a te asigura că este la îndemână.

Este aproape o situație Catch-22, nu-i așa?

---

MATT.  Da.

Este complet răsturnat.

Da, un computer care nu este conectat este sigur... dar este și inutil, pentru că nu își îndeplinește scopul.

Este mai bine să fii online în mod continuu, astfel încât să poată primi în permanență cele mai recente actualizări, și să poți fi cu ochii pe ele și să poți obține telemetrie din viața reală din el, mai degrabă decât să ai ceva pe care ai putea să-l verifici o dată la două zile.

---

RAȚĂ.  După cum spuneți, este o ironie că accesul online este profund riscant, dar este și singura modalitate de a gestiona acest risc, mai ales într-un mediu în care oamenii nu apar la birou în fiecare zi.

---

MATT.  Da, ideea Bring Your Own Device [BYOD] nu ar zbura înapoi în vremuri, nu-i așa?

Dar am avut Build Your Own Device când m-am alăturat Sophos.

Era de așteptat să comandați piesele și să vă construiți primul computer.

Acesta a fost un ritual de trecere!

---

RAȚĂ.  A fost destul de frumos…

... ai putea alege, în limita rațiunii, nu-i așa?

---

MATT.  [Râsete] Da!

---

RAȚĂ.  Ar trebui să caut un pic mai puțin spațiu pe disc și apoi poate pot avea [VOCE DRAMATĂ] OPPT MEGABYȚI DE RAM!!?!

---

MATT.  Era epoca 486-urilor, a dischetelor și a faxurilor, când am început, nu-i așa?

Îmi amintesc că primele Pentium au intrat în companie și a fost: „Uau! Uita-te la ea!"

---

RAȚĂ.  Care sunt cele trei sfaturi de top pentru operatorii de securitate cibernetică de astăzi?

Pentru că sunt foarte diferiți de vechiul, „Oooh, să fim atenți la malware și apoi, când îl găsim, îl vom curăța.”

---

MATT.  Unul dintre lucrurile care s-au schimbat atât de mult de atunci, Paul, este că, pe vremuri, aveai o mașină infectată și toată lumea era disperată să o dezinfecteze.

Un virus executabil ar infecta *toate* executabilele de pe computer, iar readucerea lui într-o stare „bună” era într-adevăr întâmplătoare, pentru că dacă ai ratat vreo infecție (presupunând că ai putea dezinfecta), ai reveni la început ca imediat ce acel dosar a fost invocat.

Și nu aveam, așa cum avem acum, semnături digitale și manifeste și așa mai departe în care să poți reveni la o stare cunoscută.

---

RAȚĂ.  Este ca și cum malware-ul ar fi partea cheie a problemei, pentru că oamenii se așteptau să-l curățați și, practic, să eliminați musca din unguent, apoi să dați borcanul cu unguent înapoi și să spuneți: „Este sigur de folosit acum, oameni buni. .”

---

MATT.  Motivația s-a schimbat, pentru că pe atunci scriitorii de virusuri doreau să infecteze cât mai multe fișiere, în general, și de multe ori o făceau doar „pentru distracție”.

În timp ce în zilele noastre, ei doresc să captureze un sistem.

Deci nu sunt interesați să infecteze fiecare executabil.

Vor doar controlul acelui computer, indiferent de scop.

---

RAȚĂ.  De fapt, s-ar putea să nu existe nici măcar fișiere infectate în timpul atacului.

S-ar putea să pătrundă pentru că au cumpărat o parolă de la cineva și apoi, când intră, în loc să spună: „Hei, hai să lăsăm un virus care va declanșa tot felul de alarme”...

…ei vor spune: „Să găsim doar ce instrumente viclene de administrator de sistem există deja pe care le putem folosi în moduri în care un administrator de sistem adevărat nu le-ar face niciodată.”

---

MATT.  În multe privințe, nu a fost cu adevărat rău intenționat până când...

… Îmi amintesc că am fost îngrozit când am citit descrierea unui anumit virus numit „Ripper”.

În loc să infecteze doar fișierele, ar merge în jur și s-ar răsuci în sistem în tăcere.

Deci, în timp, orice fișier sau orice sector de pe disc ar putea deveni subtil corupt.

După șase luni, s-ar putea să descoperi brusc că sistemul tău este inutilizabil și nu ai avea idee ce modificări au fost făcute.

Îmi amintesc că asta a fost destul de șocant pentru mine, pentru că, înainte de atunci, virușii fuseseră enervanti; unii aveau motive politice; iar unii erau doar oameni care experimentau și „se distrau”.

Primii viruși au fost scrisi ca un exercițiu intelectual.

Și îmi amintesc, pe vremuri, că nu puteam vedea vreo modalitate de a monetiza infecțiile, deși erau enervante, pentru că aveai problema de „Plătește-l în acest cont bancar” sau „Lăsați banii sub această stâncă din parcul local”…

… care a fost întotdeauna susceptibil de a fi preluat de autorități.

Apoi, desigur, a apărut Bitcoin. [RÂSETE]

Asta a făcut ca întregul program malware să fie viabil din punct de vedere comercial, ceea ce până atunci nu era.

---

RAȚĂ.  Deci, să revenim la acele sfaturi de top, Matt!

Ce sfătuiți, deoarece cele trei lucruri pe care le pot face operatorii de securitate cibernetică le oferă, dacă doriți, cea mai mare bandă pentru bani?

---

MATT.  OK.

Toată lumea a mai auzit asta: patching.

Trebuie să peticeți și trebuie să peticeți des.

Cu cât lași mai mult plasturele... este ca și cum nu mergi la dentist: cu cât îl lași mai mult, cu atât va fi mai rău.

Este mai probabil să lovești o schimbare de ultimă oră.

Dar dacă aplicați des patch-uri, chiar dacă întâmpinați o problemă, probabil că puteți face față acesteia și, în timp, veți îmbunătăți oricum aplicațiile.

---

RAȚĂ.  Într-adevăr, este mult, mult mai ușor să faci upgrade de la, să zicem, OpenSSL 3.0 la 3.1 decât să faci upgrade de la OpenSSL 1.0.2 la OpenSSL 3.1.

---

MATT.  Și dacă cineva îți cercetează mediul și poate vedea că nu ești la curent cu corecțiile tale... este, ei bine, „Ce altceva putem exploata? Merită încă o privire!”

În timp ce cineva care este complet reparat... probabil că este mai la curent cu lucrurile.

E ca vechiul Ghidul Autostrăzilor în Galaxia: atâta timp cât ai prosopul, ei presupun că ai tot restul.

Deci, dacă sunteți complet patch-at, probabil că sunteți deasupra tuturor celorlalte.

---

RAȚĂ.  Deci, peticem.

Care este al doilea lucru pe care trebuie să-l facem?

---

MATT.  Poți corecta doar ceea ce știi.

Deci al doilea lucru este: Monitorizarea.

Trebuie să-ți cunoști moșia.

În ceea ce privește știi ce rulează pe mașinile dvs., s-au depus mult efort recent cu SBOM, Lista materialelor software.

Pentru că oamenii au înțeles că este întregul lanț...

---

RAȚĂ.  Exact!

---

MATT.  Nu este bine să primești o alertă care spune „Există o vulnerabilitate într-o bibliotecă cutare sau cutare”, iar răspunsul tău este „OK, ce fac cu aceste cunoștințe?”

Știind ce mașini funcționează și ce funcționează pe acele mașini...

… și, readucându-l la corecție, „Au instalat efectiv patch-urile?”

---

RAȚĂ.  Sau s-a furișat un escroc și a plecat: „Aha! Ei cred că sunt corecți, așa că, dacă nu verifică de două ori dacă au rămas corecți, poate pot să trec la o versiune superioară a unuia dintre aceste sisteme și să-mi deschid o ușă din spate pentru totdeauna, pentru că ei cred că au problema. sortat.”

Așa că cred că există clișeul: „Măsurați întotdeauna, nu presupuneți niciodată”.

Acum cred că știu care este al treilea sfat al tău și bănuiesc că va fi cel mai greu/cel mai controversat.

Deci lasă-mă să văd dacă am dreptate... ce este?

---

MATT.  as spune ca este: Ucide. (Sau spicui.)

În timp, sistemele se acumulează... sunt proiectate și construite, iar oamenii merg mai departe.

---

RAȚĂ.  [Râsete] Accrete! [Râsete mai tare]

Un fel de calcificare...

---

MATT.  Sau barnacles...

---

RAȚĂ.  Da! [RÂSETE]

---

MATT.  Barnacles pe marea navă a companiei tale.

S-ar putea să facă o muncă utilă, dar s-ar putea să o facă cu o tehnologie care era în vogă acum cinci ani sau acum zece ani, când a fost proiectat sistemul.

Știm cu toții cât de mult îi place dezvoltatorii un nou set de instrumente sau o nouă limbă.

Când monitorizați, trebuie să fiți cu ochii pe aceste lucruri și, dacă acel sistem devine mult timp în dinte, trebuie să luați decizia grea și să o ucideți.

Și din nou, la fel ca și în cazul corecțiilor, cu cât îl lași mai mult, cu atât este mai probabil să te întorci și să spui: „Ce face acel sistem?”

Este foarte important să te gândești mereu ciclu de viață atunci când implementați un nou sistem.

Gândiți-vă: „OK, aceasta este versiunea mea 1, dar cum o voi omorî? Când o să moară?”

Puneți câteva așteptări pentru afacere, pentru clienții interni și același lucru este valabil și pentru clienții externi.

---

RAȚĂ.  Deci, Matt, care este sfatul tău pentru că ceea ce știu că poate fi o muncă foarte dificilă pentru cineva care face parte din echipa de securitate (de obicei, acest lucru devine mai greu pe măsură ce compania crește) pentru a-l ajuta să vândă ideea?

De exemplu, „Nu mai aveți voie să codificați cu OpenSSL 1. Trebuie să treceți la versiunea 3. Nu-mi pasă cât de greu este!”

Cum transmiteți acel mesaj când toți ceilalți din companie vă împinge înapoi?

---

MATT.  În primul rând... nu poți dicta.

Trebuie să oferiți standarde clare și acestea trebuie explicate.

Acea vânzare pe care ai primit-o pentru că am expediat mai devreme fără a remedia o problemă?

Va fi umbrită de publicitatea proastă că am avut o vulnerabilitate sau că am livrat cu o vulnerabilitate.

Întotdeauna este mai bine să previi decât să repari.

---

RAȚĂ.  Absolut!

---

MATT.  Înțeleg, din ambele părți, că este dificil.

Dar cu cât îl lași mai mult, cu atât este mai greu de schimbat.

Stabilirea acestor lucruri cu: „Voi folosi această versiune și apoi o să setez și să uit”?

Nu!

Trebuie să te uiți la baza ta de cod și să știi ce este în baza ta de cod și să spui: „Mă bazez pe aceste biblioteci; Mă bazez pe aceste utilități” și așa mai departe.

Și trebuie să spui: „Trebuie să fii conștient de faptul că toate aceste lucruri se pot schimba și să faci față”.

---

RAȚĂ.  Deci, se pare că ați spune că dacă legea începe să spună furnizorilor de software că trebuie să furnizeze o Bill of Materials pentru software (un SBOM, după cum ați menționat mai devreme), sau nu...

… oricum trebuie să menții așa ceva în interiorul organizației tale, doar ca să poți măsura unde te afli pe picior de securitate cibernetică.

---

MATT.  Nu poți fi reactiv în privința acestor lucruri.

Nu e bine să spui: „Acea vulnerabilitate care a fost împrăștiată în presă acum o lună? Acum am ajuns la concluzia că suntem în siguranță.”

[Râsete] Nu e bine! [MAI RÂSETE]

Realitatea este că toată lumea va fi lovită de aceste lupte nebune pentru a remedia vulnerabilitățile.

Există unele mari la orizont, potențial, cu lucruri precum criptarea.

Într-o zi, NIST ar putea anunța: „Nu mai avem încredere în nimic de-a face cu RSA”.

Și toată lumea va fi în aceeași barcă; toată lumea va trebui să se lupte pentru a implementa o nouă criptografie cuantică sigură.

În acel moment, va fi: „Cât de repede poți să-ți rezolvi soluția?”

Toți vor face același lucru.

Dacă ești pregătit pentru asta; dacă știi ce să faci; dacă ai o bună înțelegere a infrastructurii și a codului tău...

… dacă poți să ieși în fruntea haitei și să spui: „Am făcut-o în câteva zile și nu în săptămâni”?

Acesta este un avantaj comercial, precum și lucrul corect de făcut.

---

RAȚĂ.  Așadar, permiteți-mi să rezumam cele trei sfaturi de top în ceea ce cred că au devenit patru și să văd dacă le-am înțeles corect.

Sfatul 1 este bun vechi Plasează devreme; plasture des.

Așteptând două luni, așa cum făceau oamenii în zilele Wannacry... asta nu era satisfăcător în urmă cu șase ani și, cu siguranță, este mult, mult prea lung în 2023.

Chiar și două săptămâni este prea lung; trebuie să te gândești: „Dacă trebuie să fac asta în două zile, cum aș putea să o fac?”

Sfatul 2 este monitoriza, sau în cuvintele mele clișee, „Măsurați întotdeauna, nu presupuneți niciodată”.

În acest fel, vă puteți asigura că peticele care ar trebui să fie acolo într-adevăr sunt și astfel încât să puteți afla despre acele „servere din dulapul de sub scări” de care cineva a uitat.

Sfatul 3 este Ucide/elimină, ceea ce înseamnă că construiești o cultură în care poți elimina produse care nu mai sunt potrivite scopului.

Și un fel de sfat auxiliar 4 este Fii agil, astfel încât atunci când apare acel moment Kill/Cull, să o poți face de fapt mai repede decât toți ceilalți.

Pentru că acest lucru este bun pentru clienții tăi și, de asemenea, te pune (cum ai spus) la un avantaj comercial.

Are dreptate?

---

MATT.  Sună așa!

---

RAȚĂ.  [TRIUMFANT] Patru lucruri simple de făcut în această după-amiază. [RÂSETE]

---

MATT.  Da! [MAI MAI RÂSETE]

---

RAȚĂ.  La fel ca cibsecuritatea în general, sunt călătorii, nu-i așa, mai degrabă decât destinații?

---

MATT.  Da!

Și nu lăsați „cel mai bun” să fie inamicul lui „mai bun”. (Sau „bun”).

Asa de…

Plasture.

Monitor.

Ucide. (Sau spicui.)

Și: Fii agil… fii gata de schimbare.

---

RAȚĂ.  Matt, asta e o modalitate grozavă de a termina.

Vă mulțumesc foarte mult că ați ajuns la microfon în scurt timp.

Ca întotdeauna, pentru ascultătorii noștri, dacă aveți comentarii, le puteți lăsa pe site-ul Naked Security, sau ne puteți contacta pe social: @nakedsecurity.

Acum îmi rămâne doar să spun, ca de obicei: Până data viitoare...

---

AMBII.  Rămâi în siguranță!

[MODEM MUZICAL]