Kiberdrošības evolūcija: Veracode's Chris Wysopal

Kopš interneta parādīšanās un pēc neskaitāmiem, masveida pārkāpumiem globālā sabiedrība turpina cīnīties ar kiberdrošību un uztver to kā aizspriedumu.





2019. gada 27. jūnijs

Internetam kļūstot par ikdienu un uzlaušanas gadījumiem, datu pārkāpumiem un citiem kiberdraudiem organizācijas un valdības ir cīnījušās, nepārtraukti attīstot kiberdrošības tehnoloģijas un stratēģijas. Taču panākumi patiesas kiberdrošības nodrošināšanā ir bijuši nenotverami. Vai mēs varam mācīties no dažām ceļā pieļautajām kļūdām?

Kriss Vaisopals, Veracode tehnoloģiju vadītājs un līdzdibinātājs, kopš paša sākuma ir bijis iesaistīts kiberaizsardzībā. Faktiski, būdams ievainojamības pētnieks galvenajā hakeru ideju laboratorijā L0pht, viņš ir strādājis gadu desmitiem, lai pieprasītu drošas tehnoloģijas no ietekmīgiem tehnoloģiju uzņēmumiem.



Šajā epizodē Vaisopals dalās ar savu darbu kiberdrošības pirmajos gados, stāstot, piemēram, kad viņš 1998. gada Senātā liecināja par datoru drošību. Toreiz viņš iestājās par noteikumu pieņemšanu attiecībā uz lieliem uzņēmumiem, piemēram, Microsoft, lai nodrošinātu atbildību un izstrādātu pārdomātu, drošāku kodu, kas aizsargā patērētāju privātumu. Šīs sākotnējās bažas ir tikai pieaugušas, jo joprojām ir niecīga aizsardzība pret kodu un programmaparatūru, kas pieļauj pārkāpumus. Kurp mēs ejam no šejienes? Wysopal dalās ar zināmu gudrību un dažiem brīdinājumiem.

Biznesa laboratoriju vada Elizabete Bremsone-Bodro, MIT Technology Review izpilddirektore un izdevēja. Raidījumu veido Ketrīna Gormena ar Emīlijas Taunsendas redaktores palīdzību. Mūzikas autors Merlīns no Epidemic Sound.

No MIT Technology Review. Es esmu Elizabete Bremsone-Budrē. Un šī ir Business Lab: šovs, kas palīdz uzņēmumu vadītājiem izprast jaunas tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū. Šodien mēs koncentrēsimies uz kiberdrošības vēsturi un attīstību un to, kā šīs agrīnās pieejas atbalsojas mūsdienās. Citiem vārdiem sakot, vai reakcija uz pašiem agrākajiem kiberdraudiem ir ietekmējusi to, kā mēs šodien skatāmies uz drošību?



Elizabete Bremsone-Budrē : Un vai ir kādas mācības par to, kā mēs tagad izmantojam savu digitālo drošību? Šī ir otrā sērija par kiberdrošību, kurā mēs pētām visu, sākot no jaunākajiem uzlaušanas uzbrukumiem un beidzot ar to, ko organizācijas var darīt, lai labāk aizsargātu savus cilvēkus un viņu datus. Mūsu šodienas viesis ir Kriss Vaisopals, Veracode tehnoloģiju vadītājs un līdzdibinātājs. Viņš ir bijis aktīvs jau no paša sākuma notiekošajā cīņā par digitālo drošību. Es esmu šeit kopā ar Krisu Vaisopalu, kurš ir interneta kiberdrošības uzņēmuma Veracode līdzdibinātājs un galvenais tehnoloģiju speciālists. Krisam pirms Veracode ir diezgan ilga vēsture kiberdrošībā, un es domāju, ka mēs ar to arī sāksim. Vai varat pastāstīt mums, Kriss, par savu kiberdrošības vēsturi?

Kriss Wysopal : Jā noteikti. Es sāku nodarboties ar kiberdrošību, iespējams, tāpat kā 80. gadu beigās ar ziņojumu dēļu sistēmām pirms interneta, un tai bija šāda veida pagrīdes pievilcība, piemēram, alternatīvie mediji, piemēram, žurnālu pasaule, kurā jūs ar šo alternatīvu sazinājāties viens pret vienu. telpa. Daži faili šajās sistēmās runāja par tālruņu sistēmas uzlaušanu, un tā bija tāda veida informācija, kuru nevarēja iegūt nekur citur. Es tajā laikā biju koledžas students. Tas bija sava veida intriģējoši, un es domāju, ka tas man lika doties ceļojumā, mēģinot izpētīt informāciju par datoriem un tīkliem, ko es darīju 90. gados.

Elizabete : Tātad, kā jūs redzējāt ainavas attīstību... jums ir bijusi diezgan ilga karjera šajā jomā, un tāpēc jūs patiešām esat redzējuši, kā ainava mainās, es domāju šo 20, 30 gadu laikā. Ko tu esi redzējis kā jūs raksturotu novērotās izmaiņas?



Kriss : Jā, tātad 90. gadu sākumā es biju programmatūras inženieris. Es tiešām strādāju Lotus tepat Kembridžā, un mēs izveidojām savienojumu ar internetu. Un es sava veida mēs sākām domāt par to, kā būtu, ja mūsu programmatūra darbotos internetā, lai cilvēki internetā varētu izveidot savienojumu ar mūsu programmatūru? Un tas man atvēra domu, ka, oh, tas izklausās, ka būs visas šīs drošības problēmas.

Elizabete : Tajā posmā. Kas lika jums redzēt, ka piekļuve internetam vienmēr virzīs abos virzienos?

Kriss: Tāpēc es sāku strādāt pie programmatūras, kas bija savienota ar internetu, un kļuva par sarežģītu problēmu padarīt to drošu, lai cilvēki nevarētu vienkārši piekļūt datiem, kas atrodas aiz jūsu programmatūras, patiesībā ir grūti izveidot drošu programmatūru. . Bija gandrīz tā, it kā mēs nezinātu, kā. Tas man patiešām atvēra acis, ka, jo arvien vairāk lietu tika savienotas ar internetu, tas kļūs patiešām problemātisks.



Elizabete: Un tā, kāda ir lielākā problēma, ko redzat tagad? Tātad, ņemot vērā to, ka jūs zināt, ka bijāt tur pašā sākumā, jūs redzējāt, ka parādījās daudzas lietas. Jūsu vēsture bija tāda, ka jūs kādu laiku pavadījāt kā hakeris. Ko jūs redzat šodien, kas neļauj jums nomodā naktī, kas, jūsuprāt, ir lielākās lietas, par kurām ne tikai jūs zināt, ka cilvēki klausās šo aplāde, bet, iespējams, mūsu likumdevējiem un mūsu un mūsu vadītājiem vajadzētu padomāt?

Kriss : Jūs zināt, ka mani biedē tas, ka cilvēki veido sistēmas, programmatūru, IoT un jau no paša sākuma īsti nedomā par drošību, vai nu viņi par to vispār nedomā, it kā viņiem būtu vienalga, vai arī viņi padomājiet par to pašās beigās, un viņi dara pašu minimumu, un galu galā jūs zināt, ka izlaižat produktu, kas pēc būtības tiks pārkāpts. Problēmas pēc būtības tiks atrastas tajā. Un es tikai domāju, ka mēs nepārtraukti izlaižam tehnoloģiju plūsmu, kas ir būtiski salauzta no drošības viedokļa. Un mēs to pastāvīgi tīrām.

Elizabete: Tātad, vai jūs runājat par programmatūru? Jūs runājat par IoT iespējotām ierīcēm? Jūs runājat par visām šīm lietām? Un kāpēc cilvēki, kas rada šīs lietas, neuztraucas par savu drošību?

Kriss: Jā. Tas bija kaut kas, par ko mēs runājām, kad es 1998. gadā liecināju Senātā, kas bija pirmais dators dzirdēts par valdības datoru drošību, un dažas lietas, par kurām mēs runājām, bija tas, ka pārdevēji nezina, ko darīt. Pārdevējiem tas nerūp, jo viņu klienti to neprasa. Pārdevēji nav atbildīgi. Viņi licencē programmatūru. Ja kaut kas noiet greizi, viņi ir atteikušies no jebkādas atbildības. Mums bija tirgus, kurā cilvēki varēja izlikt lietas bez problēmām, kas radās viņu nespējas nodrošināties dēļ. Viens no lielākajiem spēlētājiem tajā laikā bija Microsoft. Un Microsoft piegādāja visu šo programmatūru, un tai bija daudz ievainojamību. Un jebkurš skrien visi uzņēmumi, kas izmanto programmatūru, ieguva viņi tika ielauzti, un tas bija tāds kā status quo, piemēram, Microsoft partijas līnija bija jūs zināt Nē, mēs veidojam drošu programmatūru, un mūsu partijas līnija bija nē, jūs nezināt. Mēs jums parādīsim programmatūras ievainojamības. Un bija laika periods, kad jums bija jāpalielina izpratne un gandrīz jāapkauno šie uzņēmumi, lai tie veidotu labākas lietas, ko tie pārdotu.

Elizabete: Tātad, vai jūs domājat, ka tajā laikā Microsoft tiešām saprata, ka viņi veido nedrošus produktus, vai arī jūs domājat, ka, sakot, ka mūsu produkti ir pietiekami labi, viņi rīkojās negodīgi?

Kriss : Es domāju, ka viņi nesaprata, ko viņi būvē. Es domāju, ka jūs zināt, ka korporatīvā PR līnija ir droša programmatūras izveide. Tāda ir mūsu nostāja. Tātad viņi varēja izveidot līdzīgus drošības līdzekļus, piemēram, autentifikāciju un kriptogrāfiju. Patiesībā viņiem tas izdevās diezgan slikti, taču viņi nesaprata par ievainojamībām. Viņi nesaprata, ka kļūdas kodā var izmantot uzbrucēji, lai piekļūtu datiem, kas atrodas aiz lietojumprogrammas, un palaistu programmatūrā savas komandas. Un tur ienāca hakeri un parādīja pārdevējiem, kas ir iespējams, ja jūs būtu sliktais puisis. Un tieši tad tu saki, ka zini, ka esi hakeris. Tā es redzu savu lomu un lomu, kāda mums bija L0pht, hakeru grupā, kurā es piedalījos, paziņoja, ka pārdevēji nezina, ko viņi dara, un viņiem ir jāsāk veidot programmatūra savādāk.

Elizabete : Tas ir lieliski. Ieliksim to mazliet kontekstā cilvēkiem, kuri to klausās. Tātad jūs liecinājāt Kongresa priekšā 1998. gadā, un tajā brīdī varat man nedaudz uzzīmēt, kādi bija jūsu rīcības iemesli un jūsu mērķi ko jūs tobrīd centāties paveikt. Un tad es atgriezīšos un lūgšu jūs to saistīt ar to, kur mēs esam tagad, kur mēs nesen esam redzējuši cilvēkus Kongresa priekšā. Marks Cukerbergs diezgan ievērojams. Un tas, kas jūs esat, jūs zināt, kādi savienojumi un kāda pieredze jums ir, kad redzat, ka tas notiek, jūs zināt visus šos gadus vēlāk.

Jūs zināt, ka mēs liecinājām 1998. gadā, bet dažus gadus pēc tam mēs sākām veikt to, ko saucam par ievainojamības izpēti. Mēs paņemtu populāru produktu, piemēram, Internet Explorer, uzstādītu to laboratorijā un reverso inženieriju. Mēs mēģināsim noskaidrot, kur ir problēmas, un mēs izdomāsim veidus, kā tās novērst. Es domāju, ka tagad mēs to domājam kā jūs zināt kaut ko, ko visi zina par jums, noklikšķiniet uz saites, un jūsu datorā darbojas kāda cita programmatūra. kāda cita kontrolē. Es domāju, ka tagad visi zina, kāds risks pastāv, ja noklikšķināt uz saites un tā ir ļaunprātīga, tas var novest pie tā, ka kāds cits jums pazīstams var kontrolēt jūsu datoru. Tieši tādas ievainojamības mēs pētījām 96., 97. gadā un mēģinājām pievērst cilvēku uzmanību. Un mēs sākām to darīt tikai ar mērķi izpētīt un izpētīt. Taču pēc kāda laika mēs sapratām, ka patērētāji nezina, ka tā ir problēma. Pārdevēji nezina, bet patērētāji arī nezina. Tā mēs sākām uzņemties patērētāju aizstāvības lomu, lai mēģinātu darīt zināmu, ka nedroša programmatūra novedīs pie jūsu datora uzlaušanas.

Un mēs par to saņēmām zināmu spiedienu, un tas mūs nokļuva Senāta radarā, kad viņi sāka risināt šo jautājumu. 98. gadā tas bija pirmais Valdības pārskatatbildības biroja ziņojums, kurā tika aplūkota visu dažādo federālo aģentūru drošība, un tas tika darīts pirmo reizi. Un tāpēc Valdības lietu komitejas senators Tompsons, kurš tajā laikā bija priekšsēdētājs, vēlējās sarīkot uzklausīšanu, lai runātu par rezultātiem un to, cik slikti valdībai klājās, iespējams, tāpēc, ka tajā laikā viņi izmantoja daudz Microsoft programmatūras, taču arī citām pārdevēju lietām. Es nezinu, kurš ielika kļūdu ausī, bet viņi gribēja, lai viņiem būtu vairāk nekā valdības viedoklis, viņi gribēja, lai šajā jautājumā būtu ārējs viedoklis. Un mēs galu galā saņēmām pieskārienu, jo jūs zināt, ka šāda veida ekspertu liecības ir tādas, kādas ir hakeriem no malas, ka jūs zināt, ka nepiederošs skatījums uz problēmām, kuras jūs nezināt, motivē parasta valdība vai komercdarbība.

Elizabete: Un tātad izveidojiet tiltu starp šo pieredzi un nesen līdzīgu Marku Cukerbergu. Vai esat pārsteigts par to, kā pirmkārt, vai pēc visiem šiem gadiem tev šķiet savādāk, ko tu redzēji, kad viņš tur runāja par Facebook? Vai arī tas šķiet šokējoši pazīstams? Vai zināt, kādi ir salīdzinājumi un atšķirības, ar kurām vēlaties dalīties ar mums?

Kriss: Facebook ir saskārusies ar daudzām un dažādām problēmām, no kurām daudzas ir radušās pašas, piemēram, tikai ar to, kā viņi nodarbojas ar privātumu un savu biznesa modeli. Dažas problēmas ir saistītas ar to, ka jūs zināt, ka ir grūti nodrošināt tik lielu un sarežģītu programmatūru, un tām ir bijuši pārkāpumi, vai ne? Tā ir gan drošība, gan privātums, kad par to domājat. Atšķirība mūsdienās ir tāda, ka riski ir tik daudz augstāki, jo ir daudz lielāka atkarība no tādām sistēmām kā Facebook. Vienkārši padomājiet par to, cik personīgās informācijas pakalpojumā Facebook var izmantot pret cilvēkiem, kas noteikti būtu cilvēki negribētu tikt atklāti. Un jūs zināt, ka zināmā mērā tiek izmantots pret jums, zināt visu mūsu demokrātijas sistēmu. Taisnība? Un pret sabiedrību un ne tikai pret indivīdiem. Tāpēc šobrīd likmes šķiet daudz augstākas nekā 98. gadā, kad mēs vienkārši mēģinājām palielināt izpratni, sakot, ka mēs redzam, ka šī ir problēma, kas pasliktināsies. Un tad es atskatos atpakaļ un saku, ka jūs zināt, ka būtībā daudz kas nav mainījies. Būtībā joprojām nav nekādas atbildības par programmatūru. Jūs zināt, ja Facebook tiek pārkāpts, tas ir kā, ak, jūs zināt, ka ir grūti izveidot drošu programmatūru, un šķiet, ka ikviens, kas veido programmatūru, saņem atļauju, ja tiek pārkāpts. Tātad būtībā tas nav mainījies. Bet es domāju, ka mainījies ir šo pārkāpumu ietekme uz sabiedrību. Tas vienkārši caurstrāvo visu mūsu dzīvi.

Elizabete: Vai jūs domājat, ka atbilde ir likumdevēju regulatori, kas izstrādā jaunus likumus, lai ieviestu labāku kiberdrošību? Un, ja tā, vai ir kādi konkrēti pasākumi, kurus jūs visvairāk interesētu īstenot?

Kriss: Jā, tāpēc man patīk aplūkot analoģijas citās jomās citas nozares, kuras ir regulējusi valdība, piemēram, tādas lietas kā jūs zināt, ka pārtiku regulē sastāvdaļu etiķetes, tīrība un tamlīdzīgi. Drošība tiek regulēta daudzās vietās: automašīnās, lidmašīnās, visa veida transportā, darbavietā un pat patēriņa precēs. Man patīk aplūkot šīs analoģijas un teikt, ka jūs zināt. Kā tas mums izdevās, kā mēs gūstam labumu, neapgrūtinot šīs nozares? Es domāju, ka drošība automašīnās ir bijusi lielisks veiksmes stāsts. Taisnība? It kā mēs tagad braucam daudz drošāk. Un jūs zināt, ka tā nav šķiet, ka automobiļu rūpniecībai klājas labi. Tātad, kā mēs varam ieviest regulējumu, kas var uzlabot drošību, kas ir diezgan tuvu drošībai, it īpaši, ja mēs sākam runāt par IoT un ierīcēm, kuras kontrolē datori. Kā mēs varam, Kā mēs varam darīt tā, lai mēs nenoslāpētu tās nozares? Mums ir jārīkojas ļoti uzmanīgi, bet es domāju, ka, aplūkojot dažas lietas, kas ir nostrādājušas, kā jūs zināt, pārtikas produktiem, piemēram, sastāvdaļu etiķetes, ir nostrādājušas. Tātad tikai pārredzamība par to, kas tur ir, un ļaut patērētājam izlemt. Protams, ja izrādās, ka kaut kas izraisa vēzi, mēs to izņemam no tirgus.

Bet citas lietas pamatā ir tikai tas, ka jūs zināt, ka tas ir balstīts uz risku, pamatojoties uz to, ka zināt savu veselību. Tātad, mēs varam padomāt par pārskatāmību attiecībā uz to, kas tika iekļauts programmatūrā, vai tā tika apstrādāta iekārtā, kas jums zināmā veidā radīja riebumu? Tātad, kas tas ir. Kā tas tiek izveidots? Un kādas ir sastāvdaļas, piemēram, kādi atvērtā pirmkoda fragmenti tur ir, kādu kriptogrāfiju tā izmanto? Es domāju, ka sastāvdaļu etiķetes un caurspīdīgums ir labs veids, kā ar to sākt. Bet otra lieta, kurai, manuprāt, ir jānotiek, ir tad, ja ir lieli pārkāpumi, izturieties pret tiem kā pret negadījumu, piemēram, pret transportu, un mēģiniet noskaidrot notikušā galveno cēloni. Šķiet, ka mēs vienmēr to darām ar transportēšanu, un bieži vien, kad tas ir pārkāpts, mēs sakām, ka, lūk, šādi daudzi ieraksti tika apdraudēti. Mēs nopirksim ikvienu jums zināmo kredītvēsturi vai kredītu uzraudzību, un mēs centīsimies, lai tas vairs neatkārtotos. Bet jūs zināt, ka mēs īsti nezinām, kas notika. Es domāju, ka apmēram 10 procentos gadījumu jūs zināt, ka ziņas tiek izlaistas, un parasti tas notiek tāpēc, ka uzbrucēju grupa izvirza pretenzijas.

Elizabete: Taisnība. Es domāju, ka tas ir tik interesanti, ko jūs sakāt, jo šāda veida pēcnāves analīze par notikušo, jūs noteikti varat apskatīt lidmašīnu negadījumus, un viņi noliktavā uzliek visu informāciju par to, ko jūs zināt. viss, un viņi patiešām cenšas precīzi noskaidrot, ko melnā kaste viņiem saka utt. Un ir pāris dažādi Es domāju, un tad jūs runājat par tādām lietām kā pārtikas nekaitīguma negadījums, zināt, ka jums ir situācija, kad romiešu salāti sabojājas, aizmirstiet par to — jūs nekad neatradīsit romiešu salātus, kamēr nezināt, ka krīze ir pārgājusi. Un es domāju, ka no šādas pieejas ir kāds reāls ieguvums.

Bet es domāju, ka izaicinājumi un mani interesē jūsu viedoklis, ka tādi ir Cilvēkiem ir kaut kas vieglāk saprotams par to, kas tika veikts šo salātu pagatavošanā un iepriekš nomazgātiem salātiem vai kādi ir dažādie lidmašīnā esošie gabali, kas mijiedarbojas viens ar otru? Un kaut kā, ja runa ir par programmatūras ievainojamību un jūs zināt lielu lielu tīkla drošības pārkāpumu, iespējams, tas ir zināšanu un reāla ieskata trūkums par to, kas ir visas sastāvdaļas. Bet dažiem vērtīgiem cilvēkiem es domāju, vai visas tur norādītās sastāvdaļas var sniegt nozīmi.

Kriss: Bet jums ir eksperti, kas ir slāņojušies virs šīs pamata lietas, piemēram, ir uztura speciālisti, ir ārsti, un tad viņi var sniegt padomu, pamatojoties uz šiem pamatiem. Un es iebilstu, ka jebkura lidmašīnas avārija ir ļoti sarežģīta kļūme, kas tajā ir radusies, piemēram, ja paskatās uz pēdējo ar Ethiopia un Lion Air, tā ir diezgan sarežģīta ķēde, kurā jūs zināt programmatūru, apmācību, ko jūs zināt, iespējams, daži. slikts dizains, ka tas, ka iedziļināties tajā. Tā nekad nav vienkārša lieta, piemēram, kāda sensora kļūme izraisīja programmatūras kļūmi, un pēc tam notika apmācības kļūme. Parasti tas ir kā divas vai trīs lietas. Un tāpēc es domāju, ka tas patiesībā ir diezgan līdzīgs tam, ko mēs redzam kiberpasaulē.

Elizabete: Es domāju, ka varbūt es vairāk domāju par likumdevējiem. Es domāju, ka es nevaru neatkārtot savā prātā daudzas reizes jautājumus Markam Cukerbergam par to, kā jūs pelnāt naudu? Un tā kā patiesi nododot Kongresa nezināšanu par to, kā bizness un, iespējams, vēl daudzi citi darbojas mūsdienu internetā, man šķiet mazliet grūti iedomāties, ka mēs varētu nokļūt regulējošā iestādē. lai ko tas arī nozīmētu, tam varētu būt reāla spēja lietas izjaukt. ES ceru, ka Es domāju, ka tā ir arī interesanta un pārliecinoša lieta, uz kuru virzīties, bet es arī brīnos, kāds ir jūsu viedoklis, jo īpaši kopš tā laika, kad jūs iesaistījāt Microsoft, par šo milzīgo interneta uzņēmumu spēku un veidu, kā viņi to darīs. reaģēt uz dažu veidu līdzīgiem trokšņiem no likumdevēju puses. Es domāju, ka aviokompānijas atrodas citā situācijā, un pārtikas uzņēmumi ir citā situācijā. Kā jūs domājat, kā Facebook vai Instagram, Twitter vai Google, vai kāds, kurš reaģētu vai līdz šim ir reaģējis uz šāda veida idejām?

Kriss: Daudzi no šiem uzņēmumiem, piemēram, vienkārši ņemiet Microsoft, viņi atbildēja 2000. gadā... Es domāju, ka tas patiesībā bija 2002. gadā, Bils Geitss iznāca un teica, ka mēs sapratīsim, ka apturēsim attīstību, un visi tiks apmācīti, un viņi tagad to sauc par uzticamu skaitļošanu. Viņi nostājas uz drošas programmatūras izveides ceļa, un, iespējams, 10 gadus pēc tam viņi patiešām paveic ļoti labu darbu. Taisnība? Un es domāju, ka daļa no tā bija sava zīmola aizsardzība, viņiem tas bija jādara. Es daudz skatos uz to, un uzņēmumi to dara, lai aizsargātu savu zīmolu. Patīk, ja vēlaties apskatīt mākoņpakalpojumu sniedzējus, piemēram, Amazon un AWS. viņi ir ļoti spēcīgi drošības jomā, jo viņiem ir jābūt spēcīgam drošības zīmolam, pretējā gadījumā neviens neizmantos viņu pakalpojumu. Es domāju, ka tas var darboties, ja pastāv līdzība starp uzņēmuma zīmolu un to, ko viņi nodrošina droši. Bet es domāju, ka problēma ar Facebook ir tāda, ka es nedomāju, ka saskaņošana ir nepieciešama, tas noteikti ir pareizi, jo cilvēki atsakās no savas informācijas. Saskaņošana ne vienmēr ir tur. Un, ja mēs skatāmies, ka jūs zināt lēti, jūs zināt, ka IoT ražotāji, kuru nosaukumi mēs nekad neesam dzirdējuši par iznākšanu no Ķīnas, vispār nav zīmola saskaņošanas, un viņiem tas ir pilnīgi vienalga. Šeit es domāju, ka problēma ir lielāka, tā nav ar lielākiem spēlētājiem, bet tā ir kā nākamajiem tūkstoš spēlētājiem, kuriem vienmēr ir kaut kur ievainojamība, lai ikviena tīkls vienmēr būtu apdraudēts. Jūs zināt, piemēram, ja paskatās uz jebkura veida sistēmu, tas ir, jo tālāk jūs attālināties no labākajiem spēlētājiem, un zīmola nosaukums ir problēma, piemēram, WordPress patiesībā ir diezgan labs. Bet jūs varētu savā WordPress emuāra vietnē ievietot spraudni no kāda nezināma atskaņotāja, un tas tagad ir kompromiss. Šeit es domāju, ka regulējumam vai pārredzamībai ir jākoncentrējas uz to, lai paceltu zemāko punktu, nevis padarītu labākos spēlētājus spēcīgākus.

Elizabete: Es vēlos tagad pāriet uz to, lai jūs zināt, kas notiek šodien, un dažus no jauninājumiem izstrādāta lielākai drošībai. Tagad mēs dzīvojam pasaulē ar divu faktoru autentifikāciju, kas saistīta ar mūsu parolēm. Cik ilgi, jūsuprāt, tas būs standarts, un kādi citi faktori, piemēram, biometrija un citas lietas, pēc jūsu domām, mēs virzīsimies uz to, ja tādi būs?

Kriss: Tāpēc es domāju, ka divu faktoru izmantošana ir viens no lielākajiem jauninājumiem, jo ​​īpaši, ja jūs zināt, kur varat izmantot savu mobilo ierīci kā otro faktoru, jo jūs zināt, ka to ir gandrīz tikpat viegli izmantot kā paroli, un to ir gandrīz vienkārši iestatīt kā paroli. Es domāju, ka mēs redzēsim divu faktoru ilgumu ļoti ilgu laiku. Biometrija, jūs zināt, ka tas ir labi, ja zināt aparatūras ierīci, kaut kas, ko zināt, ir jūsu durvju slēdzene vai tālrunis. Tas sāk kļūt problemātiskāks, kad šie biometriskie dati ir plaši jāizmanto daudzās sistēmās un jāuztur tā drošībā. Piemēram, ja domājat par sava tālruņa biometriju, šis īkšķa nospiedums nekad neatstāj jūsu tālruņa drošo mikroshēmu, vai ne? Tā ir viena no lietām, kas liek tai faktiski darboties. Kad cilvēki sāk runāt par biometriju, ko jūs zināt pie bankomāta vai jūs zināt citas vietas, kas atrodas plašā tīklā. Tad es sāku uztraukties, ka tas īsti nepalīdz. Un tad pastāv reāls risks, jo tagad ir jūsu īkšķa nospiedums jūs zināt, ka varat mainīt savu paroli, bet jūs nevarat mainīt savu īkšķi vai vismaz ne viegli. Es neesmu tik pārliecināts par biometriju.

Elizabete: Un kā ar kiberdrošības problēmām mašīnmācības lietojumprogrammās? Mēs daudz runājam par mašīnmācīšanos, un daudzi cilvēki, kas klausās šo aplādi, izmanto mašīnmācīšanās risinājumus, lai analizētu lielas datu kopas. Kādas ir dažas bažas, kas viņiem būtu jāpatur prātā?

Kriss: Mašīnmācību noteikti var izmantot, lai atrisinātu dažas kiberdrošības problēmas. Es domāju, ka tas nonāk izaicinājumu zonā, kad jūs mēģināt nošķirt normālu uzvedību no ļaunprātīgas uzvedības, jo tās ir tik cieši saistītas. Es domāju, ka ir ekstrēmi gadījumi, kad jūs zināt, ka vienmēr piesakāties no Masačūsetsas, bet pēkšņi jūs pirmo reizi piesakāties no Ķīnas, un mums patiešām labi padodas šāda veida lietas. Tas ir sava veida krāpšanas novēršanas līdzeklis, ko izmanto kredītkaršu uzņēmumi. Un tā, piemēram, ārkārtējas anomālijas - tas ir labi. Bet tas kļūst grūtāk, mēģinot saprast, ka zināt, vai lietotāja uzvedība tīklā patiesībā ir ļaunprātīga rīcība, salīdzinot ar to, vai jūs zināt parasto cilvēka uzvedību? Piemēram, iespējams, kāds pirmo reizi piekļūst izklājlapai, jo viņam tikko lika kaut ko darīt. Vai vēlaties bloķēt šo darbību? Vai vēlaties, lai kāds fiziski sekotu šai darbībai? Tas var novest pie daudz viltus pozitīvu rezultātu. Tātad, runājot par cilvēku uzvedību, kas ir tikai sava datora vai tīkla aizsardzība, es domāju, ka tas ir izaicinājums, un mēs vēl neesam galā.

Elizabete: Un cilvēkiem, kuri ir vadītāji, kuri vada uzņēmumus un kuriem ir jādomā par savu drošību, cik noraizējušies viņiem vajadzētu būt? Un es bieži brīnos, vai jūs zināt, vai šis ir terorakta gadījums, kas statistiski ir diezgan maz ticams? Vai arī tas vairāk atgādina ceļu satiksmes negadījuma draudus ceļā uz darbu? Kur man vajadzētu koncentrēt savas rūpes? Un jūs zināt, cik uzņēmumu, kuri vēlētos man pateikt, ka tas ir šausmīgi bīstami kiberdrošības risku ziņā, ar kuriem es saskaros šeit, Technology Review, iespējams, ir bezgalīgs. Un kā filtrēt signālu no trokšņa?

Kriss: Jā. Tāpēc tas ir izaicinājums, jo jūs zināt, ka jūs to nezināt, jūs nezināt, ka zināt, kāds riska līmenis jums vajadzētu paciest, jo tādiem uzņēmumiem kā dažādiem uzņēmumiem ir atšķirīgs riska līmenis, piemēram, bankai ir atšķirīgs riska līmenis nekā plašsaziņas līdzekļiem. uzņēmums. Taisnība? Plašsaziņas līdzekļu uzņēmums var izdzīvot, ja zināt, ka viņu vietne tiek izmesta, bet banka ne vienmēr var izdzīvot, zaudējot miljardus dolāru. Taisnība? Katram uzņēmējdarbības veidam ir atšķirīga riska tolerance. Bet mēs redzam dažus — un tas ir kā tad, kad tas ir vairāk mērķtiecīgs uzbrukums. Es esmu noraizējies par nejaušu nejaušu uzbrukumu, kādu mēs redzējām ar NotPetya vīrusu, kas nojauca Merck, un es domāju, ka ir daži globāli transporta uzņēmumi un Maersk, manuprāt, viens no tiem. Un simtiem miljonu dolāru apmērā, piemēram, viņi nevarēja vadīt savu globālo biznesu vairākas nedēļas, vai jūs zināt? Tāpēc katram uzņēmumam ir jāuztraucas par to. ES būtu ja es gribētu koncentrēties uz savu kiberdrošību, es koncentrētos uz šāda veida notikumiem plaši izplatīti notikumi – vispirms un pēc tam es pievērstos, piemēram, vai ir mērķi, kas ir tieši vērsti uz manu biznesu? Un jūs zināt, kā es varu ar tiem tikt galā? Es domāju, ka jūs varat to sadalīt divās daļās, un tas būs nedaudz atšķirīgs katram uzņēmumam.

Elizabete: Jā. Un kā ir ar cilvēkiem, kuri tagad ienāk kiberdrošības jomā vai jūs zināt, vai nu viņi ir bijuši hakeri, vai arī viņus patiešām interesē padarīt tīmekli un uzņēmumu darbību, vai zināt, ka darbība tīmeklī ir drošāka? Ko tu viņiem saki? Jo lietas ir ļoti mainījušās. Jūs zināt, ka hakeri un uzlaušana ir kļuvusi daudz sarežģītāka. Tas noteikti ir jūsu nacionālo valstu instruments. Kā jūs ieteiktu viņiem padomāt par to, kur viņi vēlas veidot savu karjeru?

Kriss : Es patiesībā biju šajā pasākumā VMI Virdžīnijā. Tas bija karoga uztveršanas pasākums, kurā 13 dažādas koledžu komandas sapulcējās, lai veiktu šīs kibertveršanas karogas. Un es runāju ar viņiem, un jūs zināt, ko es gribētu teikt, ir sākt ar pamatiem. Jums patiešām ir jāsaprot, ka zināt, kā darbojas TCP/IP tīkls un internets. Jums ir jāsaprot, kā darbojas operētājsistēmas, piemēram, Unix un Windows. Jums ir jāzina kaut kas par kodēšanu, un jums ir nepieciešams šāds plašais pamata pamats. Es domāju, ka tikai jāsāk un tad jāizlemj, uz ko vēlaties specializēties. Vai ne? Vai tu būsi aizsardzībā vai būsi sarkanajā komandā? Vai jūs gatavojaties reaģēt uz incidentiem un veikt kriminālistikas? Tāpat kā tas, ko es beidzot darīju, jūs zināt, strādājot ar cilvēkiem, kuri izstrādā programmatūru, lai palīdzētu viņiem izstrādāt programmatūru labāk. Es domāju, ka ikvienam ir vajadzīgs šis pamats, jo ir tik daudz dažādu slāņu, kuriem var uzbrukt sistēmām. Jūs varat uzbrukt tīklam, varat uzbrukt operētājsistēmā, un es domāju, ka cita vesela joma ir cilvēka slānī. Piemēram, kā jūs piemānāt cilvēkus kaut ko darīt? Es domāju, ka jums ir jāsaprot visu šo slāņu pamati un pēc tam jākoncentrējas uz to, kur jums ir spējas. Jūs noteikti zināt, ka daži cilvēki vienkārši dabiski tiecas uzbrukt vai aizstāvēt. Es beidzot sāku uzbrukumā un pēc tam pārgāju uz aizsardzību, jo man tas patīk labāk. Es izmēģinātu dažas lietas, un tad jūs zināt, ka iedziļināties un koncentrējieties uz vienu jomu.

Elizabete: Lieliski. Šī ir ļoti interesanta saruna, un es ļoti novērtēju, ka veltījāt laiku.

Kriss: Paldies, ka esmu šeit.

Elizabete: Tas ir viss šajā Business Lab epizodē. Es esmu jūsu saimniece Elizabete Bremsone-Budrē. Es esmu MIT Technology Review izpilddirektors un izdevējs. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā. Jūs varat mūs atrast drukātā veidā, tīmeklī, desmitiem tiešraides pasākumu katru gadu. Un tagad audio formātā. Lai iegūtu papildinformāciju par mums, lūdzu, apmeklējiet mūsu vietni un TechnologyReview.com. Raidījums ir pieejams visur, kur saņemat aplādes. Ja jums patika šī sērija, mēs ceram, ka veltīsit laiku, lai novērtētu un atsauksmi mūs Apple Podcasts.

Business Lab ir MIT Technology Review produkcija. Šo sēriju producēja Collective Next ar Emīlijas Taunsendas palīdzību un Mindijas Blodžetas redakcionālo palīdzību. Īpašs paldies mūsu viesim Chris Wysopal. Paldies, ka klausījāties, un mēs drīzumā atgriezīsimies ar mūsu nākamo sēriju.

paslēpties