S3, эпизод 142: Ставим X в X-Ops

Нет аудиоплеера ниже? Слушать непосредственно на Саундклауд.

УТКА.  Всем привет.

Добро пожаловать в подкаст Naked Security.

Как вы можете слышать, я не Даг, я Дак.

На этой неделе Даг в отпуске, поэтому в этом выпуске ко мне присоединился мой давний друг и коллега по кибербезопасности Мэтт Холдкрофт.

Мэтт, мы с тобой возвращаемся к ранним дням Sophos…

…а область, в которой вы сейчас работаете, — это часть кибербезопасности, известная как DevSecOps.

Когда дело доходит до X-Ops, можно сказать, что вы использовали все возможные значения X.

Расскажите нам что-нибудь о том, как вы оказались там, где находитесь сейчас, потому что это увлекательная история.

---

Мэтт.  Моя первая работа в Sophos была администратором и разработчиком Lotus Notes, и я работала тогда в производственной комнате, поэтому отвечала за дублирование гибких дисков.

Это были НАСТОЯЩИЕ дискеты, которые действительно можно было провалить!

---

УТКА.  [ГРОМКИЙ СМЕХ] Да, 5.25-дюймовые…

---

Мэтт.  Да!

Тогда это было легко.

У нас была физическая охрана; вы могли видеть сеть; вы знали, что компьютер подключен к сети, потому что у него был кусок кабеля, выходящий из задней части.

(Хотя он, вероятно, не был подключен к сети, потому что кто-то потерял терминатор на конце [кабеля].)

Итак, у нас были хорошие, простые правила о том, кто куда может идти и кто что во что втыкает, и жизнь была довольно простой.

---

УТКА.  В наши дни все почти наоборот, не так ли?

Если компьютер не подключен к сети, то он мало чем может помочь компании в достижении ее целей, и им практически невозможно управлять.

Потому что он должен быть в состоянии связаться с облаком, чтобы сделать что-то полезное, и вы должны иметь возможность связаться с ним, как сотрудник службы безопасности, через облако, чтобы убедиться, что он в порядке.

Это почти ситуация Catch-22, не так ли?

---

Мэтт.  Да.

Это полностью перевернуто.

Да, компьютер, который не подключен, безопасен… но он также бесполезен, потому что не выполняет свою задачу.

Лучше быть постоянно в сети, чтобы он мог постоянно получать последние обновления, и вы могли следить за ним, и вы могли получать от него реальную телеметрию, а не иметь что-то, что вы могли бы проверять через день.

---

УТКА.  Как вы говорите, ирония в том, что выход в интернет крайне рискован, но это также единственный способ управлять этим риском, особенно в условиях, когда люди не появляются в офисе каждый день.

---

Мэтт.  Да, идея «принеси свое собственное устройство» [BYOD] не вернется в прошлое, не так ли?

Но когда я присоединился к Sophos, у нас была программа Build Your Own Device.

Ожидалось, что вы закажете детали и соберете свой первый ПК.

Это был обряд посвящения!

---

УТКА.  Это было довольно приятно…

…вы могли бы выбрать, в разумных пределах, не так ли?

---

Мэтт.  [СМЕХ] Да!

---

УТКА.  Должен ли я уменьшить дисковое пространство, и тогда, возможно, у меня будет [ДРАМАТИЧЕСКИЙ ГОЛОС] ВОСЕМЬ МЕГАБАЙТОВ ОЗУ!!!?!

---

Мэтт.  Это была эпоха 486-х, дискет и факсов, когда мы начинали, не так ли?

Я помню, как в компанию пришли первые Pentium, и это было «Вау! Посмотри на это!"

---

УТКА.  Каковы три главных совета для современных операторов кибербезопасности?

Потому что они очень отличаются от старых: «Ооо, давайте просто следить за вредоносным ПО, а затем, когда мы его найдем, мы пойдем и очистим его».

---

Мэтт.  Одна из вещей, которая так сильно изменилась с тех пор, Пол, это то, что когда-то у вас была зараженная машина, и все отчаянно пытались ее вылечить.

Исполняемый вирус мог заразить *все* исполняемые файлы на компьютере, и возвращение его в «хорошее» состояние было действительно случайным, потому что, если вы пропустили какое-либо заражение (при условии, что вы можете вылечить), вы вернетесь к исходной точке, как как только этот файл был вызван.

И у нас не было, как сейчас, цифровых подписей, манифестов и прочего, по которым можно было бы вернуться в известное состояние.

---

УТКА.  Как будто вредоносное ПО было ключевой частью проблемы, потому что люди ожидали, что вы очистите его и, по сути, удалите ложку мази из мази, а затем вернете банку с мазью и скажете: «Теперь это безопасно, ребята». ».

---

Мэтт.  Мотивация изменилась, потому что тогда вирусописатели хотели заразить как можно больше файлов, в общем-то, и зачастую делали это просто «ради забавы».

В то время как в наши дни они хотят захватить систему.

Поэтому они не заинтересованы в заражении каждого исполняемого файла.

Им просто нужен контроль над этим компьютером, для какой бы то ни было цели.

---

УТКА.  На самом деле во время атаки зараженных файлов может и не быть.

Они могут взломать, потому что купили у кого-то пароль, а затем, когда они войдут, вместо того, чтобы сказать: «Эй, давайте выпустим вирус, который вызовет всевозможные тревоги»…

… они скажут: «Давайте просто найдем, какие хитрые инструменты системного администратора уже существуют, и мы можем использовать их так, как настоящий системный администратор никогда бы не стал».

---

Мэтт.  Во многих отношениях он не был действительно вредоносным до тех пор, пока…

…Помню, я был в ужасе, когда прочитал описание конкретного вируса под названием «Потрошитель».

Вместо того, чтобы просто заражать файлы, он будет бесшумно крутить биты в вашей системе.

Таким образом, со временем любой файл или любой сектор на вашем диске может быть слегка поврежден.

Через шесть месяцев вы можете внезапно обнаружить, что ваша система непригодна для использования, и вы понятия не имеете, какие изменения были внесены.

Помню, это меня сильно шокировало, потому что раньше вирусы меня раздражали; у некоторых были политические мотивы; а некоторые просто экспериментировали и «развлекались».

Первые вирусы были написаны как интеллектуальное упражнение.

И я помню, когда-то мы не видели никакого способа монетизировать инфекции, даже если они раздражали, потому что у вас была проблема: «Заплати на этот банковский счет» или «Оставь деньги под этот камень в местном парке»…

…которое всегда было подвержено влиянию властей.

Затем, конечно же, появился Биткойн. [СМЕХ]

Это сделало вредоносное ПО коммерчески жизнеспособным, чего до этого не было.

---

УТКА.  Итак, вернемся к этим советам, Мэтт!

Что вы посоветуете в качестве трех вещей, которые могут сделать операторы кибербезопасности, которые дадут им, если хотите, наибольшую прибыль?

---

Мэтт.  ОК.

Все это уже слышали: Заделка.

Вы должны исправлять, и вы должны исправлять часто.

Чем дольше вы оставляете заплату… это как не ходить к стоматологу: чем дольше вы оставляете это, тем хуже будет.

У вас больше шансов совершить критическое изменение.

Но если вы часто устанавливаете патчи, даже если вы столкнулись с проблемой, вы, вероятно, справитесь с этим, и со временем вы все равно улучшите свои приложения.

---

УТКА.  Действительно, гораздо проще перейти, скажем, с OpenSSL 3.0 на 3.1, чем с OpenSSL 1.0.2 на OpenSSL 3.1.

---

Мэтт.  И если кто-то прощупывает вашу среду и видит, что вы не следите за обновлениями своих исправлений… это, ну, «Что еще мы можем использовать? Это стоит еще раз посмотреть!»

В то время как тот, кто полностью исправлен… он, вероятно, лучше разбирается в вещах.

это как старый Автостопом по Галактике: пока у вас есть полотенце, они предполагают, что у вас есть все остальное.

Так что, если вы полностью исправлены, вы, вероятно, на вершине всего остального.

---

УТКА.  Итак, прошиваем.

Что второе, что нам нужно сделать?

---

Мэтт.  Вы можете исправлять только то, о чем знаете.

Итак, второе: мониторинг.

Вы должны знать свое поместье.

Что касается знания того, что работает на ваших машинах, в последнее время было приложено много усилий с SBOM, Спецификация программного обеспечения.

Потому что люди поняли, что это целая цепочка…

---

УТКА.  В точку!

---

Мэтт.  Бесполезно получать оповещение, в котором говорится: «В такой-то библиотеке есть уязвимость», а вы отвечаете: «Хорошо, что мне делать с этим знанием?»

Зная, какие машины работают, и что работает на этих машинах…

…и, возвращаясь к исправлению, «Они действительно установили исправления?»

---

УТКА.  Или пробрался мошенник и ушел: «Ага! Они думают, что их пропатчили, поэтому, если они не перепроверят, что они остались пропатченными, может быть, я смогу понизить версию одной из этих систем и открыть себе лазейку для еще большего, потому что они думают, что проблема в них. отсортировано».

Так что я думаю, есть клише: «Всегда измеряй, никогда не предполагай».

Теперь я думаю, что знаю ваш третий совет, и я подозреваю, что он будет самым сложным/самым спорным.

Итак, позвольте мне посмотреть, прав ли я… что это?

---

Мэтт.  Я бы сказал, что это: Убийство. (Или же браковать.)

Со временем системы разрастаются… они проектируются и строятся, а люди двигаются дальше.

---

УТКА.  [СМЕХ] Аккрет! [ГРОМЧЕ СМЕХ]

Что-то вроде кальцификации…

---

Мэтт.  Или ракушки…

---

УТКА.  Да! [СМЕХ]

---

Мэтт.  Ракушки на большом корабле вашей компании.

Они могут делать полезную работу, но они могут делать это с помощью технологии, которая была в моде пять или десять лет назад, когда система была разработана.

Все мы знаем, как разработчики любят новый набор инструментов или новый язык.

Когда вы проводите мониторинг, вам нужно следить за этими вещами, и если эта система уже не работает, вы должны принять трудное решение и убить ее.

И снова, как и в случае с исправлениями, чем дольше вы откладываете это, тем больше вероятность того, что вы повернетесь и спросите: «Что вообще делает эта система?»

Очень важно всегда думать о Жизненный цикл при внедрении новой системы.

Подумайте: «Хорошо, это моя версия 1, но как мне ее убить? Когда он умрет?»

Сформулируйте некоторые ожидания для бизнеса, для ваших внутренних клиентов, а также для внешних клиентов.

---

УТКА.  Итак, Мэтт, что вы посоветуете насчет того, что, как я знаю, может быть очень сложной работой для тех, кто работает в команде безопасности (обычно это становится сложнее по мере роста компании), чтобы помочь им продать идею?

Например, «Вам больше не разрешено программировать с помощью OpenSSL 1. Вы должны перейти на версию 3. Мне все равно, насколько это сложно!»

Как вы доносите это сообщение, когда все остальные в компании сопротивляются вам?

---

Мэтт.  Прежде всего… вы не можете диктовать.

Вы должны дать четкие стандарты, и они должны быть объяснены.

Та продажа, которую вы получили, потому что мы отправили раньше, не исправив проблему?

Это будет омрачено плохой рекламой того, что у нас была уязвимость или что мы поставляли ее с уязвимостью.

Всегда лучше предотвратить, чем исправлять.

---

УТКА.  Абсолютно!

---

Мэтт.  Я понимаю, с обеих сторон, что это сложно.

Но чем дольше вы оставляете его, тем труднее его изменить.

Объясняя эти вещи словами: «Я собираюсь использовать эту версию, а затем я собираюсь установить и забыть»?

Нет!

Вы должны посмотреть на свою кодовую базу и узнать, что в ней содержится, и сказать: «Я полагаюсь на эти библиотеки; Я полагаюсь на эти утилиты», и так далее.

И вы должны сказать: «Вы должны знать, что все эти вещи могут измениться, и смириться с этим».

---

УТКА.  Звучит так, как будто вы говорите, что независимо от того, начинает ли закон указывать поставщикам программного обеспечения, что они должны предоставлять спецификацию программного обеспечения (как вы упоминали ранее, SBOM), или нет…

…вам в любом случае действительно нужно поддерживать такую ​​штуку внутри своей организации, просто чтобы вы могли измерять свое положение в плане кибербезопасности.

---

Мэтт.  Вы не можете реагировать на такие вещи.

Нехорошо говорить: «Эта уязвимость, о которой месяц назад писали в прессе? Теперь мы пришли к выводу, что мы в безопасности».

[СМЕХ] Это нехорошо! [БОЛЬШЕ СМЕХА]

Реальность такова, что все будут поражены этими безумными попытками исправить уязвимости.

Потенциально на горизонте есть несколько крупных проектов, связанных с такими вещами, как шифрование.

Когда-нибудь NIST может объявить: «Мы больше не доверяем RSA».

И все будут в одной лодке; всем придется изо всех сил пытаться внедрить новую квантово-безопасную криптографию.

В этот момент это будет вопрос: «Как быстро вы сможете исправить ситуацию?»

Все будут делать одно и то же.

Если вы готовы к этому; если вы знаете, что делать; если у вас есть хорошее понимание вашей инфраструктуры и вашего кода…

…если вы сможете выйти во главе стаи и сказать: «Мы сделали это за дни, а не за недели»?

Это коммерческое преимущество, а также правильное решение.

---

УТКА.  Итак, позвольте мне обобщить ваши три Главных совета в то, что, как мне кажется, стало четырьмя, и посмотреть, правильно ли я понял их.

Совет 1 старый добрый Патч рано; патч часто.

Ждать два месяца, как это делали люди во времена Wannacry… это было неудовлетворительно шесть лет назад, и уж точно слишком, слишком долго в 2023 году.

Даже две недели — это слишком долго; вам нужно подумать: «Если мне нужно сделать это за два дня, как я могу это сделать?»

Совет 2 монитор, или, говоря моим клише, «Всегда измеряйте, а не предполагайте».

Так вы сможете убедиться, что патчи, которые должны быть, действительно есть, а также узнать о тех «серверах в шкафу под лестницей», о которых кто-то забыл.

Совет 3 Убить/Выбрать, Это означает, что вы создаете культуру, в которой вы можете избавиться от продуктов, которые больше не подходят для использования.

И этакий вспомогательный совет 4 есть Будь ловким, так что, когда наступит момент Kill/Culll, вы сможете сделать это быстрее, чем кто-либо другой.

Потому что это хорошо для ваших клиентов, а также дает вам (как вы сказали) коммерческое преимущество.

Это правильно?

---

Мэтт.  Звучит так!

---

УТКА.  [TRIUMPHANT] Четыре простых дела, которые нужно сделать сегодня днем. [СМЕХ]

---

Мэтт.  Да! [БОЛЬШЕ СМЕХА]

---

УТКА.  Как и кибербезопасность в целом, они представляют собой путешествия, не так ли, а не пункты назначения?

---

Мэтт.  Да!

И не позволяйте «лучшему» быть врагом «лучшего». (Или «хорошо».)

Так…

Patch.

Монитор.

Убийство. (Или браковать.)

А также: Быть шустрым… будьте готовы к переменам.

---

УТКА.  Мэтт, это отличный способ закончить.

Большое спасибо за то, что в кратчайшие сроки подошли к микрофону.

Как всегда, для наших слушателей, если у вас есть какие-либо комментарии, вы можете оставить их на сайте Naked Security или связаться с нами в социальных сетях: @nakedsecurity.

Теперь мне остается только сказать, как обычно: До следующего раза…

---

ОБА.  Оставайтесь в безопасности!

[МУЗЫКАЛЬНЫЙ МОДЕМ]