Kiberdrošība var aizsargāt datus. Kā ar liftiem?





Saistībā ar Cortex Xpanse no Palo Alto Networks

Uzlabotas kiberdrošības iespējas ir būtiskas, lai aizsargātu programmatūru, sistēmas un datus jaunajā mākoņu, lietu interneta un citu viedo tehnoloģiju laikmetā. Piemēram, nekustamo īpašumu nozarē uzņēmumi ir nobažījušies par iespējamu nolaupītu liftu, kā arī ēku apsaimniekošanas un apkures un dzesēšanas sistēmu kompromitēšanu.



Saskaņā ar pasaulē lielākās komerciālo nekustamo īpašumu pakalpojumu un investīciju kompānijas CBRE drošības tehnoloģiju viceprezidenta Grega Belangera teikto, uzņēmuma nodrošināšana ir kļuvusi sarežģītāka — drošības komandām jāpārzina jauno ierīču vadības ierīces un aparatūra, kā arī to versija. ir instalēta programmaparatūra un kādas ievainojamības ir. Piemēram, ja apkures, ventilācijas un gaisa kondicionēšanas (HVAC) sistēma ir savienota ar internetu, viņš uzdod jautājumu: vai programmaparatūra, kurā darbojas HVAC sistēma, ir neaizsargāta pret uzbrukumiem? Vai jūs varētu atrast veidu, kā šķērsot šo tīklu un ienākt un uzbrukt šī uzņēmuma darbiniekiem?

Izpratne par uzņēmuma ievainojamību ir ļoti svarīga, lai aizsargātu fiziskos aktīvus, taču arī ieguldījumi pareizajos rīkos var būt izaicinājums, saka Belangers. Viņš skaidro, ka mākslīgajam intelektam un mašīnmācībai ir nepieciešami lieli datu kopumi, lai tie būtu efektīvi, lai sniegtu ieskatu. Mākoņu un rūpnieciskā lietu interneta laikmetā perimetrs kļūst daudz mainīgāks. Lietojot AI un mašīnmācīšanos datu kopām, viņš saka: jūs sākat redzēt, ka sāk parādīties riska un riskantas uzvedības modeļi.

Vēl viena prioritāte, nodrošinot fiziskos līdzekļus, ir pārvērst ieskatus metrikā, ko C-suite vadītāji var saprast, lai palīdzētu uzlabot lēmumu pieņemšanu. Izpilddirektori un direktoru padomes locekļi, kuri kļūst arvien zinošāki drošības jomā, var gūt labumu no apkopotiem uzbrukuma virsmas pārvaldības rādītājiem. Ikviens vēlas zināt, jo īpaši pēc tāda uzbrukuma kā Colonial Pipeline, vai tas varētu notikt ar mums? Cik droši mēs esam? saka Belangers. Bet, ja jūsu uzņēmums spēj piešķirt priekšrocības dažādām funkcijām vai novērtēt tās, tad ir iespējams izmērīt uzlabojumus. Belanger turpina: Mūsu spēja redzēt rezultātu, reaģēt uz draudiem un pēc tam saglabāt šī rezultāta uzlabošanos ir galvenais rādītājs.



Tāpēc uzbrukuma virsmas pārvaldība ir kritiska, turpina Belangers. Mēs faktiski kļūstam redzami CBRE kā uzbrucējs, un bieži vien šie rīki ir automatizēti. Tāpēc mēs redzam daudz vairāk, nekā jebkurš hakeris redzētu atsevišķi. Mēs redzam visu savu vidi.

Šī Business Lab epizode tiek veidota sadarbībā ar Palo Alto Networks.

Pilns atšifrējums

Laurela Ruma: No MIT Technology Review es esmu Laurel Ruma, un šī ir Business Lab, izrāde, kas palīdz uzņēmumu vadītājiem izprast jaunas tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū. Mūsu šodienas tēma ir fizisko aktīvu nodrošināšana. Acīmredzot liela uzmanība ir pievērsta kiberdrošības kiberdaļai, taču uzņēmumiem ir arī fiziski aktīvi, tostarp naftas un gāzes infrastruktūra, ražošanas iekārtas un nekustamais īpašums. Veicot apvienošanos un pārņemšanu, neierobežotu mākoņpakalpojumu skaitu, IoT sensorus un ierīces visur, uzņēmuma uzbrukuma zona var būt plaša, neaizsargāta un lielākoties nezināma.

Divi vārdi jums: nolaupīti lifti.



Mans viesis ir Gregs Belangers, CBRE drošības tehnoloģiju viceprezidents. CBRE ir pasaulē lielākā komerciālā nekustamā īpašuma pakalpojumu un investīciju kompānija, kurā visā pasaulē strādā vairāk nekā 100 000 darbinieku.

Šī Business Lab epizode tiek veidota sadarbībā ar Palo Alto Networks.

Laipni lūdzam, Greg.



Gregs Belangers: Sveiki.

Laurels: Sākumā bieži tiek teikts, ka katrs uzņēmums ir tehnoloģiju uzņēmums. Tātad, kā kiberdrošībai ir nozīme komerciālajā nekustamajā īpašumā? Visticamāk, vairumam cilvēku ir zināma fiziskā drošība, bet kā ir ar sistēmām, sensoriem un datiem?

Gregs: CBRE ir bijis digitālās transformācijas ceļojumā pēdējos piecus gadus, gaidot mūsu tirgus izmaiņas. Agrāk neviens nedomāja par komerciālo nekustamo īpašumu kā programmatūras vai tehnoloģiju uzņēmumu, taču mēs to mainām. Mēs skatāmies, kas noticis ar citām nozarēm, piemēram, Uber. To, ko Uber darīja ar taksometriem un Airbnb ar viesnīcām, mēs vēlamies pārliecināties, ka CBRE ir šajā jomā priekšgalā. Tāpēc mēs esam nolēmuši izjaukt sevi un pārveidoties par tehnoloģiju uzņēmumu. Mēs esam komerciālā nekustamo īpašumu uzņēmums, kas izmanto tehnoloģijas un datus kā atšķirības. Pateicoties tam visam, ir daudz vairāk inovāciju, lietojumprogrammu, migrācijas uz mākoni un viedajām būvniecības tehnoloģijām. CBRE vadība jau agri zināja, ka mums ir vajadzīgas uzlabotas kiberdrošības iespējas, lai aizsargātu mūsu klientus visā pasaulē jaunajā laikmetā. Tāpēc mūsu programmatūras drošības nodrošināšana un datu aizsardzība ir šī uzņēmuma galvenā prioritāte gadu no gada.

Laurels: Tas ir patiešām interesanti, jo jums ir taisnība. Cilvēki ne vienmēr domā par to, kā nekustamā īpašuma uzņēmums varētu būt tehnoloģiju uzņēmums. Vai ir bijuši smagi pieci gadi? Vai, jūsuprāt, cilvēkiem ir vajadzīgs laiks, lai saprastu šīs digitālās transformācijas nozīmi un steidzamību?

Gregs: Ir bijuši lieliski pieci gadi. Viņiem tās noteikti ir bijušas pārmaiņas, taču daudz izmaiņu ieviesa mājas mīkstā puse. Tātad, pārejot no komerciālā nekustamā īpašuma uzņēmuma uz uzņēmumu, kas izmanto komerciālo nekustamo īpašumu un programmatūru, lai pārvaldītu šīs ēkas, lai izmantotu datus, kas mums ir par cilvēkiem, arī tās ir bijušas lielas pārmaiņas. Viņi ne tikai mainīja drošību, bet arī pārgāja uz tādām praksēm kā elastīga programmatūras izstrāde, mobilās tehnoloģijas un tamlīdzīgas lietas. Drošība bija tikai vēl viens slānis, kas tika pievienots jau esošajām izmaiņām. Tāpēc mums nebija CIO. Mums pie stūres bija galvenais digitālās transformācijas darbinieks.

Laurels: Tas ir interesants iestatījums, jo tad kiberdrošība tiek pilnībā integrēta jebkurā jūsu darbībā. Tas netiek uzskatīts par atsevišķu papildinājumu.

Gregs: Pilnīgi noteikti. Patiesībā mani pieņēma darbā par devSecOps viceprezidentu, kas integrēja drošību visās šajās veiklajās programmatūras izstrādes praksēs. Drošība bija vērsta uz to, kur mēs bijām pirms pieciem gadiem — kad būsit gatavs sākt tiešraidi, mēs jūs pārbaudīsim un pateiksim, vai pāriesit uz ražošanu. Tagad mēs cieši sadarbojamies ar saviem izstrādātājiem kā partneri un cenšamies virzīties pa kreisi, cik vien iespējams. Tāpēc veiciet testus un sniedziet viņiem dizaina idejas, draudu modelēšanu un tamlīdzīgas lietas, lai mēģinātu pārliecināties, ka jebkura programmatūra, ko viņi izlaiž, ir gatava darbam pirmajā dienā.

Laurels : lai sniegtu cilvēkiem izpratni par to, kas ir devSecOps, tāpēc devOps ir nepārtrauktas programmatūras izstrādes prakse, koncentrējoties uz IT darbībām, un tad jūs pievienojat drošību. Tātad jūs faktiski piesaistāt visas šīs komandas, lai izveidotu labāku programmatūru uzņēmumam kopumā un arī aizsargātu to.

Gregs: Pilnīga taisnība. Galvenais, lai to panāktu, mēs vēlējāmies, lai drošība būtu pēc iespējas automatizētāka. Ja domājat par devOps, tas aizņem daudz no šī programmatūras izveides un programmatūras izvietošanas procesa, un to darot nepārtraukti. Mēs vēlējāmies pārliecināties, ka drošība ir tādā pašā gaismā. Kad jūs gatavojāties izstrādāt programmatūru un migrēt programmatūru, šī drošība tika iesaistīta galvenajos soļos.

Laurels: Reiz man bija mata saruna ar vadītāju par nolaupītiem liftiem. Vai jūs varētu sniegt mūsu klausītājiem dažus konkrētus kiberdrošības problēmu piemērus, ar kurām var saskarties ēkas un nekustamā īpašuma pakalpojumi, kas atšķiras no, piemēram, Uber?

Gregs: Pilnīgi noteikti. Bažas rada nolaupīti lifti, ēku vadības sistēmas, HVAC sistēmas. Jūs daudz dzirdat par šīm lietām ziņās, ko mēs piedzīvojām personīgi. Mēs cenšamies izstrādāt mobilās lietojumprogrammas, kuras varat iegult savā tālrunī un pēc tam izmantot tādas lietas kā Bluetooth Low Energy, lai faktiski atvērtu durvis uz mūsu ēkām. Tātad, ja domājat par fizisko drošību, tagad ir saskares punkts ar informācijas tehnoloģijām un rūpniecisko lietu internetu. Mēs faktiski izstrādājām lietojumprogrammu, kas ļaus darbiniekam ienākt un izmantot tālruni, lai atslēgtu durvis, lai piekļūtu savai darba vietai.

Ja esat kādreiz strādājis kaut kur, kas ir tik liels, ka jums ir jāiesniedz karte, lai pārietu no vienas vietas uz otru birojā, mēs izstrādājām tā dēvētās maršruta punktu tehnoloģijas, lai lietotāji ar šo mobilo lietojumprogrammu varētu pārvietoties starp vietām, kur viņi atrodas. sēžot un kur atradās konferenču telpa, un pa ceļam sniegt viņiem atsauksmes. Tas viss tiek darīts, izmantojot Bluetooth un integrāciju mobilajā ierīcē. Mums kā drošības speciālistiem tas ir jāsargā.

Mums bija jāaplūko šī mobilā ierīce, kas bija savienota ar sensoru, un šis sensors bija savienots ar vārteju, un šī vārteja bija savienota ar internetu, bet kā tas viss darbojās? Kā dati nokļuva? Kā tas iznāca? Pārliecinieties, vai šīs ierīces atrodas atsevišķos, segmentētos tīklos. Tās visas mums rada nopietnas bažas. Mēs arī veicām šo lietojumprogrammu un ierīču iespiešanās testus, lai pārliecinātos, ka tie ir droši.

Mēs skatāmies uz visiem šo jauno tehnoloģiju riskiem, kas ir daļa no mūsu mūsdienu prasmju kopuma, un mēs skatāmies uz programmatūras izstrādātājiem. Viņi veido šīs tehnoloģijas, un infrastruktūras komandas tās atbalsta, cenšoties nodrošināt uzņēmuma drošību.

Laurels: Nedaudz vairāk par iespiešanās testēšanu vai pildspalvas testēšanu — tas bija tad, kad jūs patiesībā mēģinājāt noskaidrot, cik drošs ir jūsu tīkls un vide?

Gregs : Tieši tā. Mēs maksājam cilvēkiem, lai viņi mēģinātu ielauzties. Datorurķēšana nav noziegums. Mēs cenšamies maksāt ētiskiem hakeriem, lai tie ielauztos mūsu sistēmās, lai pastāstītu mums, kur ļaunie puiši, īsti ļaundari var atrast veidus, kā uzspridzināt mūsu sistēmas.

Laurels: Tātad mēs patiešām runājam par kaut ko, kas pārsniedz viedo ēku. Aplūkojot nesenos kiberdrošības pārkāpumus, piemēram, ūdens attīrīšanas iebrukumu Floridā, mēs redzam, ka ēkas vai uzņēmuma virsmas laukums patiesībā ir diezgan plašs un, iespējams, parāda vietas, kas cilvēkiem nav visredzamākās. vai pildspalvu testi vai neētiski hakeri, lai faktiski uzlauztu ēku vai uzņēmumu.

Gregs : Tieši tā. Tā ir salīdzinoši jauna joma. Ir vairāki lieliski uzņēmumi, kas meklē šo darbības tehnoloģiju (vai OT), lai izmēģinātu pildspalvas testu, lai noskaidrotu, kādas ievainojamības pastāv. Tā ir cita disciplīna. Jums ir jāzina dažas vadīklas vai aparatūra, kas pārvalda šīs vides, kāda veida programmaparatūra tiek izmantota šajās ierīcēs un kāda veida ievainojamības patiesībā ir šajā programmaparatūrā.

Tas nedaudz atšķiras no IT iespiešanās testa vai lietām, ko mēs parasti saprotam kā draiverus un bibliotēkas, kurās var būt arī ievainojamības. Tad pievienojiet tam, tagad ir saskares punkti. Tātad, ja jums ir HVAC sistēma, kas ir savienota ar internetu, vai programmaparatūra, kurā darbojas HVAC sistēma, ir neaizsargāta pret uzbrukumiem? Vai jūs varētu atrast veidu, kā šķērsot šo tīklu un ienākt un uzbrukt šī uzņēmuma darbiniekiem? Tātad tās ir dažas no mums galvenajām bažām.

Laurels: Pareizo instrumentu iegūšana uzņēmuma aizsardzībai ir arī izaicinājums, jo drošība turpina attīstīties un saskarties ar dažādiem pretdraudiem. Daži no tiem var būt vairāk automatizēti, piemēram, mākslīgais intelekts, taču vissvarīgākais ir izprast jūsu uzņēmuma ievainojamību, vai ne? Tātad visa uzņēmuma iespējamā uzbrukuma virsma, vai ne?

Gregs: Pilnīgi noteikti. Mākslīgajam intelektam un mašīnmācībai ir nepieciešami lieli datu kopumi, lai tie efektīvi sniegtu ieskatu. Mākoņpakalpojuma un rūpnieciskā lietu interneta (IIoT) laikmetā šis perimetrs, par kuru mēģināt iegūt informāciju, kļūst daudz mainīgāks. Tradicionāli perimetrs bija labi definēts. Tas bija izturīgs pret uzbrukumu, taču tagad, izmantojot mākoņa gadījumus, IIoT ierīces var parādīties jūsu tīklā un tikt pakļautas internetam bez īpaša brīdinājuma. Pat tradicionālo perimetra dienu aizsardzības laikmetā redzēt savu uzņēmumu kā uzbrucēju no ārpuses iekšā bija grūts uzdevums.

Tagad mums ir mūsdienīgāki rīki, kas ne tikai parāda šīs sistēmas reāllaikā, bet arī brīdina par ievainojamībām, kas var ietekmēt jūsu rezultātus. Mēs redzam tādas lietas kā ēnu IT, nepareizi konfigurētas IoT ierīces, mākoņu sistēmas, kā arī daudz vairāk pārskatāmības par to, kas notiek mūsu birojos visā pasaulē. Piemērojot AI mašīnmācīšanos šai datu kopai, jūs sākat redzēt riska un riskantas uzvedības modeļus.

Laurels: Ja domājat par ārpusi iekšā, kā jūs uz to raugāties — kā cilvēks no malas, kas pēta jūsu uzņēmumu un iespējamās jomas, ko izmantot?

Gregs: Dažu no šiem uzbrukuma virsmas pārvaldības rīkiem koncepcija ir tāda, ka tie sniedz mums tādu pašu redzamību, kāda ikvienam interneta lietotājam būtu mūsu uzņēmumam. Ir grūti redzēt mūsu uzņēmumu kopumā. Ja domājat par CBRE lieluma uzņēmumu, kur ir visi jūsu digitālie līdzekļi? Vai tiešām zināt, ka kāds nav izveidojis tīmekļa vietni mākoņa mitināšanas pakalpojumu sniedzējam, piemēram, Dienvidāfrikā un pēc tam izmantojis jūsu logotipu un jūsu vārdu un izmantojis to kaut kādiem nekaitīgiem mārketinga mērķiem, taču tas joprojām varētu Vai ir ietekme uz jūsu zīmolu? Šāda veida lietas ne vienmēr tiek atklātas, izmantojot parastos rīkus, ar kuriem mēs skenējam mūsu zināmo vidi.

Tāpēc, aplūkojot uzbrukuma virsmas pārvaldību, mēs izejam un identificējam visus šos aktīvus, kas varētu būt saistīti ar CBRE. Tad otrs mūsu uzdevums ir iedziļināties un aplūkot šos līdzekļus un faktiski saistīt tos ar identitāti, CBRE IP telpu. Tāpēc mēs faktiski iegūstam CBRE redzamību tā, kā to darītu uzbrucējs, un bieži vien šie rīki ir automatizēti. Tātad mēs redzam daudz vairāk, nekā jebkurš hakeris redzētu atsevišķi. Mēs redzam visu savu vidi.

Laurels : Tātad šādi jūs izmērāt savu uzbrukuma virsmu.

Gregs: Tieši tā.

Laurels: Jūs mēģināt atrast visu, ko vien iespējams. Dažas organizācijas izmanto šo krājumu kā metriku, piemēram, cik ātri faktiski nepieciešams visu jūsu līdzekļu izmērīšana, lai veiktu pilnu līdzekļu inventarizāciju un pēc tam salīdzinātu to ar to, ko redz uzbrucēji? Kā jau minējāt, viens uzbrucējs var redzēt tikai vienu lietu, taču uzbrucēji bieži strādā kā komanda, kā mēs to nesen redzējām ar Colonial Pipeline izmantošanu. Tātad, kā tas dod uzņēmumiem kāju uz augšu?

Gregs: Tas ir ceļojums. Sākot ar uzbrukuma virsmas pārvaldību, ir jāņem vērā, ka jūsu izvēlētā platforma identificēs daudzus aktīvus, kas var būt vai nebūt saistīti ar jūsu uzņēmumu. Tātad pirmais, ko jūs apskatīsit, ir tas, cik aktīvu procentuālo daļu mēs esam pozitīvi identificējuši kā savus aktīvus? Pirmais rādītājs ir, cik daudz jūs esat atklājis? Cik daudz mēs esam identificējuši? Kas vēl ir jādara? No turienes mēs personīgi pārgājām, lai apskatītu mūsu nākamās piecas lielas tēmas. Piemēram, vai mūsu uzbrukuma virsmas pārvaldības rīks atklāja sertifikātus, kuriem beidzies derīguma termiņš, mākoņkontus, par kuriem mēs, iespējams, nezinājām? Vai mēs konstatējām ļaunprātīgu programmatūru, kas izplūst no kāda no mūsu klātbūtnes punktiem?

Es sniegšu jums piemēru: mums bija gadījums, kad viņi atklāja ļaunprātīgu programmatūru, kas izplūst no viena no mūsu birojiem Eiropā, un tāpēc mēs nekavējoties sākām rīkoties. Mēs mēģinājām noteikt, kas tas ir. Visu mūžu mēs nevarējām noteikt, kas tas ir. Mēs apskatījām īpašuma tagu. Tas bija klēpjdators, bet mūsu tīklā tā nebija. Tas nebija saistīts ar lietotāju. Tāpēc mēs sapratām, ka mūsu viesu tīkls iziet no tā paša biroja klātbūtnes punkta, un tas bija kaut kas. Par laimi, tas nebija īsts ļaunprātīgas programmatūras incidents, taču kādam, kas bija mūsu tīkla viesis, bija kaut kas ietekmēts.

Tātad šie ir ieskati, ko mēs sākām gūt no uzbrukuma virsmas pārvaldības pēdējo trīs gadu laikā. Tagad mēs cenšamies pilnveidoties un aplūkot visu šo lietu apkopošanu kopējā rādītājā, līdzīgi kā kredītreitingā.

Laurels : Tas ir pārsteidzoši, jūs varētu ātri sākt darboties, kad pamanāt kaut ko nepareizi tādā globālā tīklā kā šis. Šķiet, ka tas ir steidzami, vai ne? Tātad, kā jūs faktiski paužat saviem kolēģiem un pārdevējiem un visiem partneriem visā ķēdē un ekosistēmā, cik svarīgi ir atpazīt uzbrukuma virsmas pārvaldību? Turklāt, vai jūs pats atrodaties kā pionieris vai varbūt parādes vadītājs, kur jūs vadāt ceļu daudziem citiem uzņēmumiem, lai saprastu, ka šāda veida tehnoloģija un domāšanas veids par drošību ir šeit, it kā tas ir īsts lieta?

Gregs: Lai arī kā es gribētu, lai mani dēvē par vizionāru, es noteikti neesmu vizionārs, bet tie ir jēdzieni, kas zināmi jau kādu laiku. Viņi tikai tagad sāk iegūt plaša mēroga adopciju. Kad es sāku runāt par uzbrukuma virsmas pārvaldību, to nebija viegli saprast.

Kad esat izskaidrojis, ko jūs darāt un ko uzbrukuma virsmas pārvaldības rīki patiesībā jums dos, šis spuldzes brīdis parādījās ļoti ātri. Mūsu CISO uzreiz saprata šī rīka vērtību, un uzreiz teica, ka mums ir pilnībā jāpārliecinās, ka mēs identificējam visus savus aktīvus. Ko vēl mēs varam iegūt no šīm sistēmām? Tas bija lieliski. Mēs redzējām ēnu IT. Mēs redzējām mākoņkontus, par kuriem nezinājām. Mēs redzējām nepareizi konfigurētas ierīces vai sertifikātus, kuru derīguma termiņš drīz beigsies. Tāpēc tā vērtība kļūst uzreiz acīmredzama, taču tas ir kaut kas, kas nedaudz jāpaskaidro.

Laurels: Tātad, kad jūs runājāt par kopējo punktu skaitu uzbrukuma virsmas pārvaldībai, tas izklausās kā kaut kas, kas ir mazliet saprotamāks padomei un dažādiem vadītājiem un citiem vadītājiem. Tātad jūs varat teikt, ka mēs uzlabojamies vai arī šogad vai ceturksnī mums neklājas tik labi, ja skatāmies uz rādītājiem kopumā. Vai jūs domājat, ka šī uzskaite vai veids, kā nodrošināt rādītāju karti, palīdzēs diskusijās ar izpilddirektoriem, vadītājiem un valdēm kopumā?

Gregs : Pilnīgi noteikti. Tās jau sen ir bijušas grūtības. Ikviens vēlas zināt, jo īpaši pēc tāda uzbrukuma kā Colonial Pipeline, vai tas varētu notikt ar mums? Cik droši mēs esam? Kāds ir mūsu rezultāts, vai ir kāds rādītājs, ko varat man sniegt, lai pateiktu, vai esmu drošībā, vai mūsu programma ir efektīva? Bieži vien mēs viņiem sniedzam dažādus rādītājus. Šeit ir visas mūsu ievainojamības. Tālāk ir norādīti ļaunprātīgas programmatūras gadījumi, ko esam atklājuši un notīrījuši. Šeit ir visi drošības incidenti, ko mēs redzam katru dienu. Bet tie ne vienmēr nozīmē, vai mēs esam drošībā? Vai mēs kļūstam labāki? Vai ir jomas, kurās varam koncentrēties? Tā kā mēs skatāmies uz vienas metrikas norādīšanu, tas noteikti palīdz padarīt šo attēlu skaidrāku. Ja varat paskaidrot, kā šī metrika tika iegūta, kā to ietekmēja daudzi faktori, piemēram, sertifikāti, ievainojamības vai konfigurācija, un kā ir ar lietojumprogrammas kopumu, kas skenēja jūsu lietojumprogrammas drošības testus?

Ja skatāties uz to, kā mēs esam samazinājuši visas mūsu augstā riska ievainojamības no lietojumprogrammu drošības viedokļa, tas ir saistīts ar to. Tāpēc nākt klajā ar šo formulu, tas noteikti ir grūti. Tas ir izaicinājums, un tādi cilvēki kā es drošībā lieliski tiek galā ar šāda veida izaicinājumiem. Bet šeit es noteikti redzu izpilddirektorus un direktoru padomes, kuri noteikti kļūst arvien gudrāki par drošību, un tieši tur es redzu, ka viņi vēlas, lai šī metrika tiktu izmantota. Viņi vēlas redzēt rezultātu, kas viņiem rada komforta sajūtu, ka mums iet labāk, un tas nav nekas statisks. Tas nav kaut kas tāds, kas vienmēr uzlabosies, jo visu laiku rodas jaunas ievainojamības, jauni uzbrukumi, un šis rādītājs mainīsies. Taču mūsu spēja redzēt rezultātu, reaģēt uz draudiem un pēc tam to uzlabot ir mūsu galvenais rādītājs.

Laurels: Vai jums šķiet, ka padomes un vadītāju komandas kļūst arvien zinošākas drošības jomā? Es domāju, ka ir neiespējami, vai ne, gandrīz katru nedēļu neredzēt virsrakstus par vienu vai otru pārkāpumu, bet vai tas tiek filtrēts?

Gregs: Jā. Es personīgi zinu, ka mēs vienmēr saņemam ikgadēju prioritāšu sarakstu, kas nāk no mūsu izpilddirektora un mūsu padomes. Kopš es tagad strādāju savā uzņēmumā CBRE, tā ir bijusi mūsu prioritāte numur viens vai numur divi katru gadu. Tāpēc tā ir galvenā prioritāte, jo viņi redz virsrakstus.

Kā jums pateiks jebkurš drošības speciālists, ikreiz, kad kaut kas rodas no ievainojamības, nulles dienas, uzbrukuma, piemēram, Colonial Pipeline, mums visiem tiek uzdots viens un tas pats jautājums. Vai tas varētu notikt šeit? Vai esam pakļauti riskam? Tāpēc šāda veida lietas ir absolūti spiestas mūsu padomes prātā. Mani interesē tas, ka direktoru padomes tagad vēlas piesaistīt locekļus, kuri paši ir vairāk zinoši drošības jomā, un viņi uzdod smagus jautājumus. Ko jūs darāt ar šīm ievainojamībām? Cik ātri var salabot? Kāds ir jūsu starplaiks starp ievainojamību un ielāpu?

Tās ir lietas, kas tieši runā mūsu drošības profesionālajā valodā. Protams, tie mums ir ļoti aktuāli, taču tie noteikti ir tiešāki un vairāk ieguldīti, un sniedz valdei komforta sajūtu, ka kāds no viņu puses runā drošības valodā.

Laurels : Es domāju, tas ir tas, ko jūs vēlaties redzēt, vai ne? Acīmredzot padomes prioritātes ir milzīgas, un viena no tām ir peļņas gūšana, bet otra ir peļņas nezaudēšana, un kiberdrošības uzbrukums tam var kaitēt. Tāpēc jums ir jāpārliecinās, ka runājat attiecīgajā valodā visā uzņēmumā.

Gregs : Pilnīgi noteikti.

Laurels : Jūs runājāt mazliet par to, kā uzbrukuma virsmas pārvaldība faktiski sniedz jums šādu ieskatu, lai zinātu, ka pašā datorā ir ļaunprātīga programmatūra, taču tā vēl nav ietekmējusi tīklu. Tātad, vai ir kādi citi ieskati, ko esat redzējis no uzbrukuma virsmas pārvaldības programmatūras, kas jūs vienkārši pārsteidza vai lika saprast, cik svarīgi bija iegūt šo iespēju?

Gregs : Jā. Tāpat kā daudzi lieli uzņēmumi, mēs veicam ikgadēju pildspalvu pārbaudi. Tas nozīmē, ka mēs nolīgsim kādu ārpus mūsu uzņēmuma, lai tas uzbruktu mums, kā to darītu ļaundaris. Tas dod mums sajūtu, cik tālu viņi var iet. Atšķirība no faktiskajiem uzbrukumiem un šiem uzņēmumiem, kurus mēs nolīgsim, ir tāda, ka mēs tiem piešķiram noteiktu laiku. Mēs sakām: “Jums ir sešas nedēļas, lai ielauztos un pēc iespējas tālāk nokļūtu mūsu vidē”, un mēs viņiem sniedzam saderināšanās noteikumus. Jums ir atļauts darīt šīs lietas, bet nav atļauts darīt šīs citas lietas.

Gados, kad mums ir bijusi uzbrukuma virsmas pārvaldība, ir bijis lieliski redzēt šos uzbrukumus. Viņi atgriežas un sniedz jums nolasījumu nedēļu pēc nedēļas. Tas ir tas, ko mēs redzam, šīs ir lietas, kuras mēs esam izmantojuši. Mēs varam redzēt daudzas tās pašas lietas, ko viņi var redzēt.

Piemēram, šogad viņi norādīja uz vietni, kas mitināta Dienvidāfrikā. Viņi teica, ka tas darbojas šajā sistēmā, un šķiet, ka tas ir šajā mitināšanas pakalpojumu sniedzējā. Šķiet, ka ievainojamību nav, taču mēs tai uzbrūkam un skatāmies, vai nevaram tajā ielauzties. Vai tas ir jūsu IP? Jā, jā, tā ir. Mēs to apzināmies, izmantojot mūsu uzbrukuma virsmas pārvaldības rīku. Mēs esam informēti par pieteikumu. Mēs nevaram to nodrošināt, jo mēs to neizturējām. Tā ir daļa no ēnu IT.

Taču, tā kā mēs to esam atklājuši, tagad mēs varam mēģināt precīzi noskaidrot, kas šo vietni pārvalda, kas viņiem jādara, lai to aizsargātu, vai viņiem tā ir jāiekļauj mūsu tīklā un jāmitina ar mūsu standarta korporatīvie IT mitināšanas pakalpojumu sniedzēji, šāda veida lietas.

Tāpēc tas ir bijis nenovērtējams, raugoties uz to kā pildspalvas testu, jo mēs varam redzēt daudzas tās pašas lietas, ko mūsu iespiešanās pārbaudītāji redz, izmantojot mūsu uzbrukuma virsmas pārvaldību. Tāpēc ir bijis mierinājums apziņa, ka mums ir acis un redze tās pašas lietas, ko darītu uzbrucējam.

Laurels : Ja jūs par to runājat, kā tas patiesībā palīdz jūsu drošības komandai veiksmīgāk atvairīt uzbrukumus? Kā ar to palīdz ASM vai uzbrukuma virsmas pārvaldība?

Gregs : Redzamība ir spēles nosaukums no drošības viedokļa. Mēs vēlējāmies, lai mūsu vidē būtu iespēja redzēt visu. Tad jūs sperat soli tālāk un sakāt, labi, tagad, kad mēs varam redzēt visu, kādu uzvedību mēs redzam no šiem līdzekļiem? Tas bija nākamais solis, sadarbojoties ar mūsu partneri uzbrukuma virsmas pārvaldībā, lai sāktu redzēt šo līdzekļu darbību neatkarīgi no tā, vai tie norāda, ka, iespējams, pastāv kompromiss vai ir kāda veida ievainojamība. Tas līdzinās emisiju testēšanai. Tātad, kad jūs domājat par savu automašīnu un veicat emisiju testu, viņi pieslēdz ierīci jūsu izpūtējai un redz, kas nāk no jūsu automašīnas, un novērtē, ka esat nokārtojis vai neizturējis.

Uzbrukuma virsmas pārvaldība ir ļoti līdzīga tai. No uzvedības viedokļa mēs varam aplūkot visus šos klātbūtnes punktus, visas šīs interneta IP adreses un redzēt, kas no tiem izriet. Tas sniedz mums zināmu ieskatu viņu uzvedībā. Tad mēs tagad speram soli tālāk un faktiski integrējam to visu reāllaikā ar mūsu SIM karti, mūsu drošības incidentu un notikumu pārvaldības sistēmu. To 24 stundas diennaktī uzrauga mūsu drošības operāciju centrs, lai, redzot kaut ko tādu, kas sasniedz drošības incidenta līmeni, mēs varētu uz to reaģēt reāllaikā.

Laurels: Tas ir tieši tas, ko jūs vēlaties darīt, lieciet mašīnām veikt lielu daļu smaguma celšanas un pēc tam piesaistīt cilvēkus, lai viņi saprastu, kas notiek un notiek, un nodrošināt visa uzņēmuma drošību.

Gregs: Absolūti, jā.

Laurels: Kā gandrīz visuresošā mākoņpakalpojumu ieviešana ietekmē jūsu domāšanu par drošību un uzbrukuma virsmas pārvaldību. Neatkarīgi no tā, vai tas ir sagriezts korpuss vai lifts, tā joprojām ir virsma, vai ne?

Gregs: Tieši tā, un tā ir galvenā problēma. Ja domājat par vairuma mākoņpakalpojumu sniedzēju elastīgo raksturu, lielu daļu infrastruktūras var izveidot dažu minūšu laikā, un jūs, iespējams, nezināt par šo infrastruktūru, kā tā ir savienota, kādas ievainojamības tajā ir iestrādātas. Uzbrukuma virsmas pārvaldība sniedz mums tādu pašu redzamību, kāda būtu uzbrucējam. Tā kā lietas tiek mainītas, piemēram, ja tās ir nepareizi konfigurētas un kaut kādā veidā tiek nopludināti dati, pat metadati, es esmu šeit, es esmu tīmekļa serveris. Šeit ir mana versija. Šeit ir mans numurs, kas sniedz uzbrucējam daudz informācijas, kuru mēs ne vienmēr vēlamies, lai viņš redzētu. Kāda veida ievainojamības pastāv konkrētajam tīmekļa serverim un versijai, un kādas lietas es varētu atklāt? Šī ekspozīcija arī dod uzbrucējiem stabilitāti. Viņi var sākt skenēt konkrēto īpašumu un meklēt veidus, kā brutāli piespiest vai klauvēt pie durvīm, lai viņi varētu atrast veidu, kā nonākt mūsu vidē.

Tātad no mūsu perspektīvas uzbrukuma virsmas pārvaldība sniedz mums tādu pārskatāmību, ja mēs skatāmies uz visām mūsu mākoņa vidēm un varam viņiem pastāstīt, ko lietojam un par ko esam informēti, tad viņi var pārraudzīt, vai tajās mainās mūsu poza. kas iznāk, un pārbaudiet, vai mums ir vai nav īpašumi, kurus mēs ne vienmēr gribējām atklāt internetu, un ko mēs stāstām pasaulei, atklājot šos līdzekļus. Tāpēc, domājot par to, kā darbojas mūsu mākoņa vide, tas noteikti ir mainījis spēli. Tas mums palīdzēja nodrošināt, ka mūsu mākoņa vide, izņemot ļoti konkrētus klātbūtnes punktus, lielākoties atrodas šajā privātajā mākoņu tīklā.

Laurels : Šis ir bijis diezgan grūts gads daudziem cilvēkiem un daudzām nozarēm, taču pandēmijas atbalss visā komerciālā nekustamā īpašuma nozarē viļņosies gadiem, ja ne gadu desmitiem. Par ko jūs domājat savādāk saistībā ar drošību pandēmijas dēļ?

Gregs: Protams, pirmā lieta, kas pagājušajā gadā ienāca prātā visiem, kas strādāja no mājām, un es domāju, ka tā būs arī vairākus gadus, ir tas, kā mēs aizsargājam cilvēkus, kuri tagad strādā no mājām? Kā mēs aizsargājam darbiniekus, kuri ir mājas tīklā ar savām ģimenēm? Viņu ģimenēm var nebūt tādi paši drošības līdzekļi kā mums, un mūsu līdzekļi var tikt atklāti. Tāpēc esam apskatījuši tādas lietas kā Always On VPN, kas pasargās mūsu darbiniekus no visa, kas notiek viņu konkrētajā mājas tīklā. Tas noteikti ir noderējis. Mēs arī meklējam jaunas tehnoloģijas, piemēram, Secure Access Service Edge, lai mēs varētu mēģināt tuvināt visus savus rīkus un tehnoloģijas cilvēkiem, kuri šajā gadījumā strādātu no mājām vai jebkurā vietā.

Visbeidzot, es domāju, ka tas ir likts milzīgs uzsvars uz drošību kopumā. Ir daudz vairāk izpratnes par lietām, kas notikušas pēdējā gada laikā un kas patiešām ir izraisījušas vajadzību pēc labas kiberdrošības programmas. Tāpēc jau tā sliktā situācija, meklējot patiešām labus, uzticamus drošības speciālistus, ir kļuvusi vēl briesmīgāka. To ir ļoti grūti atrast, un viņu apstākļi tagad ir atšķirīgi. Daudzi drošības speciālisti strādā no mājām, un viņi vēlas lielāku elastību, lai turpinātu darbu no mājām, elastīgu grafiku vai darbu citā birojā. Tāpēc pēc pandēmijas noteikti ir grūtāk atrast patiešām labus cilvēkus.

Laurels : Manuprāt, tā ir problēma ne tikai drošības darbiniekiem, bet arī kopumā, jo cilvēki maina veidu, kā viņi dzīvo un vēlas strādāt. Kaut kas interesants, ko jūs teicāt, bija tikai ideja par mājas tīkla nodrošināšanu, kas nozīmē, ka uzņēmuma atbildība sāk paplašināties pāri uzņēmuma parasti diezgan labi definētajām jomām. Jo realitāte ir tāda, ka, ja māja nav aizsargāta, tīkls nav drošs, un tad jūsu darbinieks nav aizsargāts.

Gregs : Pilnīgi pareizi. Padomājot par to, mēs zinām, kuri ir mūsu visvairāk uzbrūkošie cilvēki. Mēs zinām dažus cilvēkus, uz kuriem biežāk tiek vērsta mērķauditorija vai nu tāpēc, ka viņi ir sava veida izpilddirektori, vai viņi ir strādājuši vadošā amatā, vai arī viņi atrodas, piemēram, juridiskajā vai finanšu jomā, kur uzbrucējs var izmantot šīs pozīcijas, lai veiktu kādu krāpšanu.

Domāšana par to, kā mēs aizsargājam šos cilvēkus, kad viņi strādā no mājām, mums ir galvenā problēma. Šis Always On VPN ir bijis izaicinājums, lai to ieviestu visur, taču mēs to esam paveikuši īsā laikā. Tagad mums ir tāda pati drošība, kāda tiek nodrošināta visiem mūsu darbiniekiem neatkarīgi no tā, vai viņi ir mājās, neatkarīgi no tā, vai viņi atrodas birojā vai kafejnīcā. Es domāju, ka tas noteikti ir diezgan mazinājis risku.

Laurels : Greg, liels paldies, ka pievienojies mums šodien šajā fantastiskajā sarunā par Business Lab.

Gregs: Paldies. ES to ļoti novērtēju.

Tas bija Gregs Belangers, CBRE drošības tehnoloģiju viceprezidents, ar kuru es runāju no Kembridžas, Masačūsetsas, MIT un MIT Technology Review mājas, no kura paveras skats uz Čārlza upi. Tas ir viss šajā Business Lab epizodē. Es esmu jūsu saimnieks Laurel Ruma. Es esmu Insights direktors, MIT Technology Review pielāgotās izdevējdarbības nodaļa. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā, un jūs varat mūs atrast drukātā veidā, tīmeklī un pasākumos katru gadu visā pasaulē.

Lai iegūtu plašāku informāciju par mums un šovu, lūdzu, apmeklējiet mūsu vietni technologyreview.com. Raidījums ir pieejams visur, kur saņemat aplādes. Ja jums patīk šī sērija, mēs ceram, ka veltīsit brīdi, lai mūs novērtētu un atsauktu. Business Lab ir MIT Technology Review produkcija. Šo sēriju producēja Collective Next. Paldies par klausīšanos.

Šo aplādes epizodi veidoja Insights, MIT Technology Review pielāgotā satura nodaļa. To neizstrādāja MIT Technology Review redakcijas darbinieki.

paslēpties