Labāka kiberdrošība nozīmē atrast nezināmo nezināmo





Saistībā ar Cortex Xpanse no Palo Alto Networks

Pēdējo dažu mēnešu laikā Microsoft Exchange serveri ir bijuši kā draugs haizivju barošanas neprāts . Draudu dalībnieki ir uzbrukuši kritiskiem nulles dienas trūkumiem e-pasta programmatūrā: nerimstoša kiberkampaņa, ko ASV valdība ir aprakstījusi kā plaši izplatīta vietējā un starptautiskā izmantošana kas var skart simtiem tūkstošu cilvēku visā pasaulē. Lai iegūtu atpazīstamību par šādu problēmu, ir nepieciešama pilnīga izpratne par visiem līdzekļiem, kas saistīti ar uzņēmuma tīklu. Šāda veida nepārtraukta krājumu izsekošana nav saistīta ar to, kā cilvēki strādā, taču mašīnas ar to var viegli tikt galā.



Uzņēmumu vadītājiem, kuriem ir vairākas prioritātes pēc pandēmijas, tagad ir pienācis laiks noteikt drošības prioritāti. Mūsdienās ir gandrīz neiespējami vadīt gandrīz jebkura lieluma uzņēmumu, kurā, ja jūsu IT pazūd, jūsu uzņēmums joprojām spēj darboties, norāda Mets Kranings, tehnoloģiju vadītājs un Cortex Xpanse līdzdibinātājs. Nesen iegādājās uzbrukuma virsmas pārvaldības programmatūras pārdevējs. autors Palo Alto Networks.

Jūs varētu jautāt, kāpēc uzņēmumi vienkārši nelabo savas sistēmas un neļauj šīm problēmām izzust. Ja tikai tas būtu tik vienkārši. Ja vien uzņēmumi nav ieviesuši veidu, kā atrast un izsekot saviem aktīviem, šis šķietami vienkāršais jautājums ir skrāpis.

Taču uzņēmumiem ir grūti atbildēt uz šķietami vienkāršu jautājumu: proti, cik maršrutētāju, serveru vai aktīvu tiem ir? Ja kiberdrošības vadītāji nezina atbildi, nav iespējams direktoru padomei paziņot precīzu ievainojamības līmeni. Un, ja padome neizprot risku un viņu aizrauj kaut kas vēl sliktāks par Exchange Server un 2020 SolarWinds uzbrukumiem, tad stāsts gandrīz pats sevi uzraksta.



Tāpēc Kranings uzskata, ka ir tik svarīgi izveidot minimālo standartu kopumu. Un, viņš saka, valdēm un augstākajiem vadītājiem zināmā mērā ir jābūt vismaz minimāliem informētiem par kiberdrošības risku un šo rādītāju analīzi. Tā kā bez šāda izpratnes līmeņa padomes neuzdod pareizos jautājumus, un kiberdrošības vadītāji neveic pareizās sarunas.

Kranings uzskata, ka uzbrukuma pakalpojumu pārvaldība ir labāks veids, kā nodrošināt uzņēmumus ar nepārtrauktu aktīvu atklāšanas procesu, tostarp visu publiskajam internetam pakļauto aktīvu atklāšanu, ko viņš sauc par nezināmiem nezināmiem. Jauni līdzekļi var parādīties no jebkuras vietas un jebkurā laikā. Šī patiesībā ir atrisināma problēma, kas lielā mērā tiek izstrādāta ar daudzām tehnoloģijām, kas tiek izstrādātas, saka Kranings. Tiklīdz jūs zināt, ka problēma pastāv, faktiski tās novēršana ir diezgan vienkārša. Un tas ir labāk ne tikai uzņēmumiem, bet arī visai korporatīvajai ekosistēmai.

Rādīt piezīmes un saites:

Vadības programma, kas jāuzņemas rīt , Global CEO Survey aptauja, PwC



Pilns atšifrējums

Laurela Ruma : No MIT Technology Review es esmu Laurel Ruma, un šī ir Business Lab, izrāde, kas palīdz uzņēmumu vadītājiem izprast jaunas tehnoloģijas, kas nāk no laboratorijas un nonāk tirgū.

Mūsu šodienas tēma ir uzbrukuma virsmas pārvaldība. No kurienes nāks jūsu nākamais kiberdrošības pārkāpums? Uzņēmumiem internetam ir pievienots arvien vairāk lietu, tostarp arvien paplašināti tīkli un novecojoša infrastruktūra. Tā kā uzbrucēji kļūst radošāki, tas būs jādara arī vadītājiem.

Divi vārdi jums: nezināmie nezināmie.



Mans viesis ir Mets Kranings, kurš ir uzņēmuma Expanse galvenais tehnoloģiju vadītājs un līdzdibinātājs, kuru nesen iegādājās Palo Alto Networks. Mets ir eksperts liela mēroga optimizācijā, dalītā uztveršanā un mašīnmācīšanās algoritmos, kas darbojas masveidā paralēlās sistēmās. Pirms Expanse līdzdibināšanas Mets strādāja DARPA, tostarp izvietoja darbu Afganistānā. Mets ir ieguvis doktora un maģistra grādu Stenfordas universitātē. Šī Business Lab epizode tiek veidota sadarbībā ar Palo Alto Networks. Laipni lūdzam, Met.

Mets Kranings : Liels tev paldies. Ļoti priecīgs būt šeit.

Laurels : jau no paša sākuma jūs esat bijis eksperts lielapjoma izkliedētās uztveršanas un mašīnmācīšanās algoritmos, kas darbojas masveidā paralēlās sistēmās. Kā šīs zināšanas lika jums līdzdibināt uzņēmumu uzbrukuma virsmas pārvaldības jomā?

Matt : Nu, es pateikšu dažas lietas. Mēs to nosaucām par uzbrukuma virsmas pārvaldību, taču patiesībā tas bija ļoti garš ceļš, un mēs īsti nedevāmies, zinādami, ka tieši tā tas tiks saukts vai ko mēs darīsim. Tātad nav pat Gartner kategorijas, kas ir noteikts veids, kā apstiprināt tirgus segmenta esamību. Tas patiesībā joprojām nāk klajā. Tātad uzbrukuma virsmas pārvaldības jomu mēs faktiski izgudrojām paši. Un daudz izgudrojumu nozīmē, ka tajā ir daudz atklājumu.

Atšķirībā no daudziem uzņēmumu drošības un IT uzņēmumiem, kur vairums dibināto uzņēmumu parasti dodas esošajā tirgū — tie parasti veic pakāpenisku vai evolucionāru progresu papildus tam, kas jau ir izgudrots, mēs faktiski izmantojām cita pieeja un teica: 'Mēs tiešām ar svaigām acīm jautājam: 'Kas šodien netiek pasniegts tirgū?' Un nāca klajā ar domu: 'Vai internets ar visiem tā solītajiem līdzekļiem patiešām ir. vai tas vairs nebūs tikai stratēģisks aktīvs?

Mēs izstrādājām daudz paņēmienu un tehnoloģiju, lai pamatā aplūkotu visu internetu kā datu kopu: lai nepārtraukti vāktu informāciju par internetu, kas patiešām ir vieta, kur mūsu pieredze ir iegūta gan no akadēmiskās vides, gan pēc tam arī no mūsu darba aizsardzības jomā. un izlūkošanas kopienās, tādās vietās kā DARPA un dažādās vietās ASV izlūkošanas aģentūrās. Un mēs teicām, ka patiesībā šķiet, ka internetā ir bojāta vesela virkne lietu, un pārsteidzoši, ka liela daļa no tām patiesībā ir saistīta ar ļoti lieliem, ļoti svarīgiem uzņēmumiem. Tieši šī jautājuma skrāpēšana mūs lika gan dibināt Expanse, gan pēc tam izveidot pirmo produktu, kas ir vadošais produkts tā dēvētajā uzbrukuma virsmas pārvaldībā, kas patiešām izprot visus jums piederošos līdzekļus. izprotot riskus, ko tie varētu radīt, un pēc tam arī novērst problēmas.

Taču, kad 2012. gadā nodibinājām Expanse, mēs nezinājām, ka tā būs uzbrukuma virsmas pārvaldība. Mums pat nebija nosaukuma uzbrukuma virsmas vadība. Tā vietā tas bija ļoti vērsts uz problēmām: “Mēs redzam daudz dīvainu un bīstamu lietu internetā un daudz drošības ievainojamību. Uzklikšķināsim uz tā daudz dubultklikšķi un redzēsim, vai ir kāds veids, kā ap to veidot biznesu.

Laurels : Un cik daudz internets ir mainījies šajos deviņos īsajos gados, vai ne? Kad jūs runājat par šo datu kopu un mēģinot atrast informāciju par to, kur ir vislielākie drošības riski, cik grūti bija to atrast? Vai jūs paskatījāties apkārt un redzējāt: “Ak, redziet, ir veselas datu kopas, jūs varētu viegli izsekot līdz šiem uzņēmumiem. Tie izplūst. Vai arī “Lietas nav drošas”.

Matt : Man patīk frāze: 'Kad zināt atbildi, viss ir skaidrs.' Es domāju, ka sākotnēji viens no galvenajiem izaicinājumiem ir tas, ka, lai pat parādītu, cik liela ir šī problēma, jums faktiski ir jāapkopo dati. Un apkopot datus nav viegli, jo īpaši nepārtraukti vai regulāri, jums patiesībā ir jābūt daudzām sistēmu inženierijas priekšzināšanām, daudz izplatītu sistēmu fona, lai faktiski apkopotu datus par visu. Es domāju, ka mūsu pieeju unikālu padarīja tas, ka mēs patiesībā teicām: 'Ko darīt, ja mēs apkopotu datus par katru atsevišķu sistēmu internetā?' To faktiski nodrošina daudzas gan izmaksu priekšrocības, ko nodrošina tādas lietas kā mākoņdatošana, gan programmatūras priekšrocības gan atvērtā pirmkoda gadījumā, gan lietas, kuras mēs rakstām paši. Un tad, tā vietā, lai sāktu no lietām, ko zināt par uzņēmumu, un mēģinātu novērtēt tā riskus, mēs teicām: 'Kāpēc mēs nesākam ar visu, kas atrodams internetā, un tad nemēģinām to samazināt līdz interesantajam?'

Un no tā izrietēja daudzas ļoti labas atziņas, kur atkal gandrīz nejauši sākām atklāt, ka patiesībā mēs atradīsim daudz vairāk drošības problēmu, nekā organizācijas patiesībā zināja par sevi. Kad es runāju ar organizācijām, es nerunāju ar mazajiem uzņēmumiem. Es runāju par militārajiem dienestiem. Es runāju par Fortune 500 uzņēmumiem, Fortune 100 uzņēmumiem, Fortune 10 uzņēmumiem. Pat lielākajiem, vissarežģītākajiem, bet arī vislabākajiem finanšu klientiem vairumam elites klientu bija problēmas ar drošību. Un patiesībā mūsu atklājums un mūsu ceļojums, veidojot kategoriju, veidojot uzbrukuma virsmas pārvaldību kā ideju, bija tāds, ka mēs atrodam visas šīs drošības ievainojamības un visus šos līdzekļus tālās vietās jebkur internetā, un tie parādīsies daudzu iemeslu dēļ.

Bet patiesībā tas bija interesanti, jo, lai gan drošības izaicinājumi un drošības riski bija ļoti reāli, patiesie simptomi, ko mēs atklājām un atklājām, patiesībā bija tādi, ka organizācijām nebija efektīvu līdzekļu, lai izsekotu visus tiešsaistē esošos līdzekļus un vienlaikus novērtēt šo līdzekļu drošības stāvokli un vienlaikus novērst un novērst un mazināt to personu riskus, kas ir pretrunā organizācijai.

Un es domāju, ka viena no ļoti interesantajām lietām bija tā, ka, atskatoties atpakaļ, mēs tagad varam teikt: 'Protams, jūs vēlaties veikt visas šīs aktivitātes.' Bet, tā kā mēs faktiski darījām kaut ko jaunu, kas nekad iepriekš nebija darīts, tā bija jauna kategorija, mums tas viss bija jāatklāj, sākot no patiesā punkta: “Šķiet, ka internetā ir bojāts daudz lietu. Mēs precīzi nezinām, kāpēc, bet iesim izmeklēt.

Laurels : Tas ir labs domāšanas veids, sākot ar citu vietu un pēc tam virzoties atpakaļ. Tātad Mets saskaņā ar neseno PwC aptauju, kurā piedalījās vairāk nekā 5000 vadītāju visā pasaulē, 47% ir ārkārtīgi noraizējušies par kiberdrošību. Tagad 47% man nešķiet liels skaitlis, vai tam nevajadzētu būt tuvāk 100%?

Matt : Es teiktu, ka katrs izpilddirektors, ar kuru esmu runājis, kaut kādā līmenī par to ir noraizējies. Un es domāju, ka daudz kas ir atkarīgs no tā, kur viņi atrodas. Kopumā mēs esam pamanījuši ļoti lielu vadītāju un direktoru padomes vērīguma pieaugumu kiberdrošības problēmām, īpaši pēdējo piecu gadu laikā. Es domāju, ka mēs esam redzējuši kavēšanos, lai gan, manuprāt, šajā jomā ir daži izņēmumi, ir tas, ka daudzi gan rīki, gan prezentācijas, kas, īpaši vadītāju auditorijai, ir paredzētas kiberdrošības riskiem, nespēj efektīvi nodot visu, ko šie cilvēki. jāpieņem efektīvi lēmumi. Un es domāju, ka tas ir sarežģīti dažādu iemeslu dēļ, jo īpaši tāpēc, ka daudziem vadītājiem un valdēm ne vienmēr ir pilnīga tehniskā pieredze, lai to izdarītu. Taču es domāju, ka līdz šim arī rūpniecībā nav izdevies nodrošināt šos rīkus. Un es domāju, ka mēs tur redzēsim arvien vairāk izmaiņu.

Es to pielīdzinu patiesajam finanšu stāvoklim pirms Sarbanes-Oxley, kas būtībā sāka pieprasīt vadītājiem, lai viņi saņemtu apmācību, kā arī valdēm, lai sāktu izprast noteiktus finanšu rādītājus, lai faktiski būtu noteiktas kontroles. Es domāju, ka augstā līmenī mums nākamajos gados kaut kas līdzīgs būs kaut kādā veidā ieviests, lai teiktu, ka ir minimālais standartu kopums un ka valdēm un augstākajiem vadītājiem kaut kādā veidā ir jābūt minimāli informētiem. par kiberdrošības risku un šo rādītāju analīzi. Šobrīd esmu redzējis, ka daudzi cilvēki saka: 'Es par to uztraucos, bet tad es arī īsti nezinu, kur iet tālāk' vai: 'Esmu zinošs'. Mēs saņēmām ziņojumu. Mēs nolīgām kādu firmu. Viņiem bija šī prezentācija, kurā bija vesela virkne PowerPoint slaidu ar daudzām diagrammām, kurās būtu Ziemassvētku eglīšu gaismas, kas lika manām smadzenēm izkust. Un es īsti nevarēju saprast jēdzienus.

Es domāju, ka cilvēki to saprot, taču mēs joprojām atrodamies jautājuma sākumā. Kā jūs to efektīvi kontrolējat? Un kā tad jums patiesībā ir spēcīgas programmas? Atkal, mums ir jāvirzās šajā virzienā, jo arvien vairāk valdēm tas ir jāuztver kā sava uzņēmuma pamataspekts, jo īpaši tāpēc, ka šodien gandrīz visi uzņēmumi, man ir vienalga, kurā nozarē jūs strādājat, kāds ir jūsu uzņēmuma lielums. uzņēmums faktiski darbojas ar IT. Mūsdienās ir gandrīz neiespējami vadīt gandrīz jebkura lieluma uzņēmumu, kurā, ja jūsu IT pazūd, jūsu uzņēmums joprojām spēj darboties. Un, pateicoties izpratnei par kiberdrošību šajos līmeņos, kad uzbrukuma virsma tagad ir daļa no tā, ir ļoti svarīgi, lai organizācijas spētu saprast, jo pretējā gadījumā jūs pakļausiet savu organizāciju ļoti lielam riskam, ja jūs to nedarīsit. spēja pareizi novērtēt tādas lietas.

Laurels : Jā. Un tas atgriežas pie vecā sakāmvārds, ka katrs uzņēmums ir tehnoloģiju uzņēmums. Bet varbūt šis ir konkrētāks piemērs, kā tas ir. Vai jūs varētu īsi aprakstīt, kas ir uzbrukuma virsmas pārvaldība, varbūt šai vadošajai auditorijai?

Matt : Veids, kā mēs aprakstām uzbrukuma virsmas pārvaldību, faktiski ir trīspakāpju process, kurā visas darbības tiek veiktas nepārtraukti cikla veidā, taču tas ir process un procedūra, ar kuru jūs vai patiešām pārdevējs, šajā gadījumā Expanse vai Palo Alto Networks, nepārtraukti atklāj visus organizācijas īpašumus. Mūsu gadījumā, no ārējās uzbrukuma virsmas, visi aktīvi, kas jums ir publiskajā internetā. Un tas ir nepārtraukts process, jo jebkurā laikā, un es varu to aplūkot vēlāk, bet jebkurā laikā no jebkuras vietas internetā var parādīties jauni līdzekļi. Tāpēc jums ir nepieciešams nepārtraukts atklāšanas process, kurā teikts: 'Katrā brīdī es varētu nezināt visu par saviem īpašumiem, tāpēc man vajadzētu būt mehānismiem, lai savāktu informāciju par jebkur, kur tie varētu būt, un mēģinātu tos saistīt ar savu organizāciju.'

Tajā pašā laikā, tiklīdz aktīvs tiek atklāts, jums ir jābūt līdzekļiem, lai to novērtētu pēc dažādām īpašībām. Vai daudzos gadījumos, ja esmu atklājis jaunu īpašumu, vai šis īpašums patiešām ir jauns? Un ja tā nav, tad to saskaņošana, normalizēšana, dedublikācija ar citām lietām. Ja tas ir jauns īpašums, vairumā gadījumu tas faktiski netiks pārvaldīts. Tātad, kā es varu sākt vairākas darbības, lai pateiktu: “Tas ir mans īpašums, taču tas parasti pastāv ārpus paredzētās drošības kontroles. Tātad, kā sākt procesu, lai novērtētu, kādas kontroles ir jāievieš, un pēc tam nodotu to pārvaldībā. Un trešā novērtēšanas daļa ir arī izpratne par risku, ko tas nekavējoties rada manai organizācijai, lai palīdzētu man noteikt darbību prioritātes.

Pēdējais solis ir tas, ko mēs saucam par mazināšanu. Kad esat novērtējis visu, ko esat atklājis, ko jūs ar to darāt? Kādas darbības jūs veicat un kā to darīt ļoti automatizētos un efektīvos veidos. Un mums ir divi galvenie soļi, kas ietver seku mazināšanu. Es minēju prioritāšu noteikšanu, taču tā ir viena, sistēmu pārvaldīšana. Daudzos gadījumos tas nozīmē arī to, ka lielākajai daļai sistēmu, kas ir saistītas ar mūsu lielajiem klientiem, tas faktiski nozīmē to tiešu atslēgšanu no interneta, tāpēc mēs ievietojam tās aiz VPN vai cita veida korporatīvās ierīces, vai būt pārliecinātiem, ka tie pēc tam ir zināmi un pēc tam atjaunināti, jo daudzos gadījumos patiesais drošības problēmu simptoms, ko mēs atklājam, ir saistīts ar faktu, ka īpašums ilgu laiku tikko netika pārvaldīts un var ietvert drošību. ievainojamības, kas vēlāk tika atklātas vienkārši tāpēc, ka jums būtu drošības ielāpi, kas pastāv zināmām drošības problēmām, kuras nebija lietotas.

Dažos gadījumos, piemēram, nulles dienas uzbrukumos, patiesībā ir daudz svarīgāk zināt, kur atrodas visi līdzekļi, lai varētu tos pēc iespējas ātrāk salabot. Taču lielākajai daļai īpašumu, ko atklājam saviem klientiem un palīdzam pārvaldīt viņu uzbrukuma virsmu, patiesā problēma ir tā, ka līdzekļi vienkārši nav zināmi. Un vadītājiem galvenais ir tas, ka esošie procesi un rīki, ko izmanto daudzi uzņēmumi, var būt ļoti labi no šīs noteiktās drošības puses, taču viņi pieņem, ka tīkli faktiski ir daudz statiskāki.

Laurels : Kādas ir sekas, ja uzņēmums nezina savu faktisko uzbrukuma virsmu?

Matt : Lielākais, acīmredzamākais ir palielināts pārkāpuma risks. Manuprāt, tas bija sakāmvārds daudzos 2000. gados, ko lielā mērā palīdzēja piegādātāji, ka viss sākās no e-pasta pikšķerēšanas. Un ir ļoti, ļoti lieli e-pasta drošības pārdevēji, kas joprojām izsūtīja šo ziņojumu, ka katrs drošības incidents faktiski ir pikšķerēšanas e-pasts un ka cilvēki ir vājākais posms, kad viņi noklikšķina uz lietām, un tāpēc viņi iegādājas lielāku e-pasta drošību.

Es nedomāju, ka tas ir nepareizi. Es domāju, ka patiesībā ir pareizi, ka drošība ir liela lieta, jūs varat to iegādāties. Taču to ir arī daudz vieglāk mazināt, jo īpaši tagad ar daudziem labiem rīkiem, piemēram, jūs faktiski varat pilnībā pārraudzīt visus darbiniekiem nosūtītos e-pastus, jo viņiem ir jāiet caur centrālo pasta serveri. Faktiski tas ir jautājums par to, vai var tikai atklāt sliktas lietas, bet patiesībā nav nepieciešams uzzināt, ka ir, piemēram, tika nosūtīti e-pasta ziņojumi, kurus jūs neredzējāt.

Manuprāt, gluži pretēji, tas, ko mēs esam redzējuši, īpaši pēdējās desmitgades laikā un pat pēdējos piecos gados, ir daži no absolūti sliktākajiem pārkāpumiem, tie, kas rada simtiem miljonu līdz miljardu dolāru lielus zaudējumus, nenotiek. no pikšķerēšanas. Tie faktiski nāk no parasti nezināmiem un nepārraudzītiem īpašumiem, un daudzos gadījumos tie faktiski atradās publiskajā internetā. Tāpēc es domāju, ka daži no lielākajiem piemēriem patiesībā ir tādas lietas kā WannaCry uzbrukums, kas visā pasaulē radīja vairāk nekā 10 miljardus dolāru lielus zaudējumus, slēdza veselus uzņēmumus, noliekot atpakaļ lielāko daļu Apvienotās Karalistes veselības aprūpes sistēmas. un papīrs faktiskajām dienām.

Un patiesās sekas ir tādas, ka jums ir visas šīs papildu iespējas, lai piekļūtu, jo tiešsaistē ir daudz vairāk līdzekļu, kurus organizācijas neizseko, un patiesībā uzbrucēji iekļūst tajā, jo izrādās, ka ir ļoti efektīvi, automatizēti veidi, kā uzbrucēji izprast un pārbaudīt un izmantot šīs uzbrukumu virsmas. Un sekas ir diezgan drosmīgas. Jūs redzat, ka lielākā daļa pirmās pasaules valsts veselības aprūpes uz dienām tiek samazināta līdz pildspalvai un papīram. Ļoti, ļoti nopietni, jo tā nav tikai kāda e-pasta uzlaušana, bet arī paša tīkla kritiskās infrastruktūras uzlaušana.

Laurels : Runājot par kritisko infrastruktūru, vēl viens nesens uzbrukums ir ūdens attīrīšanas stacija Floridā, kur uzbrucējs varēja attālināti mainīt ūdens ķīmisko sastāvu, pievienojot tam sārmu, kas varēja saindēt visu kopienu. Tātad infrastruktūra ir milzīga problēma ļoti lieliem uzņēmumiem, piemēram, ūdens attīrīšanas iekārtām vai naftas un gāzes uzņēmumiem utt.?

Matt : Pilnīgi noteikti. Tādā gadījumā, cik es saprotu, uzbrukuma vektors patiesībā bija attālās piekļuves serveris, kuru kāds šajā rūpnīcā atstāja atvērtu, atradās internetā un ļāva kādam iekļūt. Mūsu tehnoloģiju pakalpojumi ir saistīti ar mums. atrast veidus, kā efektīvi izmantot IT ērtības, bet uzbrucēji tos var sagraut, jo IT ērtību rīki nav tādā pašā mērā nocietināti kā citas lietas, kas paredzētas internetā un tiek atstātas ārpusē. pašsaprotama lieta. Mums ir šī līnija, ar kuru mums patīk skatīt internetu vairumā veidu tā, kā lielākā daļa no mums ir piedzīvojuši tīmekļa pārlūkprogrammas vai tālruni. Tā ir patiešām jauka iestatīšanas patērētāja pieredze, un visas mūsu skatītās tīmekļa lapas izskatās ļoti jaukas un patīkamas, un mēs tur dodamies.

Un tā ir laba līdzība fiziskajai pasaulei, piemēram, drīz pēc tam, kad visi būsim vakcinēti pret Covid-19, mēs atgriezīsimies ārā iepirkties. Jūs varat doties uz Starbucks, un veikals ir patiešām jauks, jums ir šī lieliskā pieredze, jūs saņemat savu latte, jūs izejat ārā, bet tad, ja paskatās zem visām ielām, jums patiesībā ir daudz vecāka infrastruktūra. Jums ir tādas lietas kā nav kanalizācijas cauruļu un citas lietas, kas ir taukainas un plaisā. Un tā ir infrastruktūra, kas atbalsta skaistāku pasauli.

Daudz no tā, ko mēs redzam kā daļu no uzbrukuma virsmas, ir IT analoģija, ka lielākā daļa cilvēku patiešām uztver internetu kā tikai: “Kas ir viņu tīmekļa pārlūkprogrammā? Kas ir tālrunī, šīs jaukās patērētāju tīmekļa vietnes? Taču ir visa aizmugursistēmas IT infrastruktūra, kas to atbalsta. Un tas ir nedaudz čīkstošs, un tas ne vienmēr ir labi konfigurēts. Ja neizmantojat kaut ko līdzīgu ASM, jums ir problēmas, par kurām jūs faktiski nezināt sava tīkla stāvokli, jo tas ir tik liels, izplatīts un sarežģīts. Un tāpat kā Floridas gadījumā, kas, starp citu, bija mazāka organizācija, tas attiecas uz to, kā jūs zināt, ka kaut kas nenotiek? Saskaņā ar IT drošības politiku attālās piekļuves pakalpojuma izmantošana internetā nedrīkst būt atļauta. Bet pat mazākām organizācijām ir ļoti grūti iegūt nepārtrauktu redzamību, kāds es patiesībā izskatos no malas? Kā es izskatos uzbrucējam ar mantotajiem rīkiem?

Laurels : Un tas ir labs piemērs uzbrukumam, kas nav pikšķerēšanas uzbrukums. Tam nav nekāda sakara ar e-pastu. Kamēr mēs diskutējam par uzbrukumiem, kas šogad neaizmirstamākais ir SolarWinds un Exchange, kā ASM ieviešana būtu mainījusi šos rezultātus organizācijām? Vai kā būtu ar tām laimīgajām organizācijām, kuras patiesībā saprata savas uzbrukuma virsmas pārvaldības iespējas un spēja to atrast un izjaukt uzbrukumu?

Matt : Es runāšu ar abiem, jo ​​daudziem mūsu klientiem bija abas šāda veida sistēmas, un mēs palīdzējām viņiem reaģēt. Es domāju, ka Microsoft Exchange ir uzlauztas, un jūsu klausītājiem – nedaudz priekšvēstures: Microsoft Exchange e-pasta pakalpojumu versiju komplektiem faktiski tika paziņots nulles dienu kopums šā gada februārī un martā. Ļoti, ļoti bīstami, jo patiesībā tie ir organizācijas pasta serveri, un, ja jūs sekojāt šai XY ķēdei, tas būtībā ļāva jums nosūtīt ziņojumu pasta serverim, lai sniegtu jums efektīvu neierobežotu administratīvo piekļuvi visam pastam. serveris. Un patiesībā to bija simtiem tūkstošu, ko mēs atklājām tiešsaistē. Ja tā padomā, tas, ka uzbrucējs var lejupielādēt visu vai lielāko daļu korporatīvā pasta servera un ar visu šo tur glabāto sensitīvo informāciju, ir ļoti nopietns uzbrukums.

Tātad tas, ko mēs pamanījām, patiesībā bija divas lietas, kas bija lielas organizācijas, kas to ļoti labi apzinājās, un tās ļoti, ļoti ātri lāpīja. Taču bija vairāki klienti, kuriem mēs varējām palīdzēt, ja tie ir tik lieli, ka viņiem pat nav vienas centrālās pasta serveru kopas. Tātad bez Expanse viņi nebūtu varējuši atrast pat visus savus pasta serverus un laicīgi tos labot, jo tie ir tik izplatīti, ka viņiem vajadzēja pat savu pasta serveru inventarizāciju. Un ir ļoti grūti to apkopot vienā centrālā veidā, ja vien neizmantojat ASM rīku, piemēram, Expanse. Tā kā tā vietā daudzos gadījumos jūs parasti izmantojat Microsoft Outlook un Microsoft Excel. Jūs sūtīsit e-pasta ziņojumus dažādām biznesa vienībām. Jūs jautāsiet IT vadītājiem šajās dažādajās biznesa vienībās. Ja tie ir izlaboti, tie sūtīs atpakaļ e-pasta ziņojumus un izklājlapas. Tas ir ļoti, ļoti manuāls process.

Tik tiešām spēja to identificēt un patiešām palīdzēt viņiem ļoti īsā secībā, piemēram, dienā, atrast un izlabot katru serveri, kas viņiem bija viņu īpašumā, kas, mūsuprāt, patiešām mainīja rezultātu, jo viņi varēja dažos gadījumos ir bijuši neaizsargāti nedēļām ilgi. Arī SolarWinds, manuprāt, informācija ir nedaudz atšķirīga, jo ne visi SolarWinds aktīvi noteikti ir pakļauti internetam. Un arī daudzos gadījumos viņi tur bija bijuši vairākus mēnešus. Kā daļa no plašākas Palo Alto mums bija citi produkti, kas spēja apturēt SolarWinds: jo īpaši SolarWinds uzbrukums, mūsu galapunkta sistēma ar nosaukumu XDR. Bet pat SolarWinds gadījumā, kad uzbrukums bija zināms, klientiem joprojām ir problēma, ka viņi pat nezināja, kur atrodas visi viņu SolarWinds serveri, kas atkal attiecas uz šo inventāra problēmu un iespēju izvēli, piemēram, Expanse un citas. iespējas, kas mums tagad ir kā daļa no Palo Alto, mēs varējām ļoti ātri palīdzēt klientiem saprast, kur viņi ir pakļauti SolarWinds iedarbībai, lai viņi varētu to ļoti ātri mazināt. Tātad faktiski bija divpakāpju process. Palo Alto mēs varējām novērst uzbrukumu mūsu klientiem, pat nezinot, ka piegādes ķēde ir pārkāpta. Un tad, kad tas bija publiski pieejams, mēs faktiski varējām arī palīdzēt ikvienam identificēt visus viņu rīcībā esošos serverus un pārliecināties, ka tie visi ir atjaunināti un nav inficēti ar piegādes ķēdes Trojas zirgu.

Laurels : Tas ir patiešām interesanti, jo daži uzņēmumi var domāt: 'Ak, mums nav ūdens augu un novecojošas infrastruktūras, par kurām būtu jāuztraucas.' Bet vai jūs tiešām zināt, kur tiek glabāts viss jūsu pasts un cik dažādos serveros tas var atrasties, kā arī dažādos mākoņa gadījumos vai jebkur? Un, ja jums ir tikai dažas stundas, lai izveidotu šo svarīgo ielāpu, cik ātri jūs varat to izdarīt?

Matt : Tieši tā. Un daudzi jautājumi, ko es uzdevu mūsu klientiem, ir tikai: 'Kā jūs varat pārliecināties, ka jūsu sistēmas ir atjauninātas?' Atbildēt uz pat šķietami vienkāršiem jautājumiem, izmantojot esošo IT, ja jums nav Expanse vai ASM, patiesībā ir pārsteidzoši grūti. Es sniegšu vēl vienu jautru piemēru. Es visu laiku jautāju galvenajiem informācijas drošības darbiniekiem: 'Cik maršrutētāju ir jūsu organizācijai?' Šķiet, ka tas ir diezgan vienkāršs jautājums, šķiet, ka viņi vismaz ļoti labi zinātu, ka IT komandai, iespējams, būtu precīzi jāzina, cik maršrutētāju viņiem ir. Tie ir ļoti svarīgi tīkla aprīkojuma elementi, īpaši uzņēmuma līmenī, tie ir dārgāki. Tātad tas nav tikai tāds mājas Wi-Fi tīklājs, pie kura mēs esam pieraduši. Šīs lietas var maksāt desmitiem, dažos gadījumos simtiem tūkstošu dolāru, lai apstrādātu uzņēmuma līmeņa darba slodzi.

Un mēs atklājam, ka, uzdodot šo jautājumu, parasti nav vienas centrālās vietas, kur viss tiek izsekots. Tā vietā vietējās attīstības un IT komandas to dažādos veidos izsekos. Tas tiks izsekots vairākās izklājlapās. Var būt dažas vietējās IT pārvaldības sistēmas, kas to zina, bet beigās, ja jūs sakāt, piemēram, 'Cik maršrutētāju jums šobrīd ir?' Process, ko viņi izmantotu, lai atbildētu uz jautājumu, kas neietilpst sistēmā vai pieteikšanās, patiesībā ir e-pasta ķēdes sākšana. Tā patiesībā ir viena no galvenajām problēmām, ko mēģina atrisināt virsmas pārvaldība ? Bet, ja jums nav atjaunināta inventāra vai jūs domājat, ka jums ir, bet jums nav, tad, kad jūs sākat vilkt šo pavedienu, daudz biznesa procesu, daudz IT procesu, daudz drošības procesiem, kurus vēlaties izmantot visā jūsu uzņēmumā, pēkšņi jūs saprotat: 'Pagaidiet, tas faktiski tiek ieviests tikai daļēji, jo, ja man nav pilnīga inventāra, kā es varu zināt, kas ir Vai es pārbaudu visus savus īpašumus, nevis tikai tos, par kuriem es zinu? Un par to mēs runājam, kad sakām nezināmo nezināmo. Kā jūs minējāt augšpusē, tas ir: 'Es zināmā mērā zinu savas sistēmas, bet vai es zinu tās visas?' Šī delta var būt viss organizācijām, jo ​​lielākā daļa to riska ir tajās tīkla daļās, kuras viņi pat nezināja izmeklēt.

Laurels : kādus citus ar datiem pamatotus lēmumus var pieņemt, ja šāda uzmanība tiek pievērsta tam, lai faktiski zinātu, kur atrodas visi jūsu līdzekļi. Kā vēl tas var palīdzēt biznesam?

Matt : Divas jomas, kurās tas patiešām palīdz organizācijām, patiesībā ir mākoņdatošanas pārvaldība un M&A. Jo īpaši tie ir ļoti plaši izplatīti uzņēmumi. Tāpēc daudziem mūsu klientiem varētu būt simtiem dažādu mākoņa kontu publiskajos mākoņa pakalpojumu sniedzējos, tāpēc daudzos gadījumos AWS, Azure, Oracle, Google, Alibaba, un viņiem nebija iespējas to faktiski racionalizēt, jo viņi būtu vesela kaudze dažādu izstrādes komandu un viņi neko nevarētu dabūt. Un tāpēc, kad viņi saka, ka pāriet uz mākoni, tipisks mūsu klientu atteikšanās būs šāds: “Jā, mēs esam. Mums ir darījumi ar Amazon, un mēs nedaudz ierobežojam savas likmes. Mēs arī pētām Azure, lai mēs netiktu ieslēgti tikai vienā mākonī. Mēs atklājam, ka vidējais Expanse klients ir 11 dažādi infrastruktūras nodrošinātāji.

Es nerunāju par SaaS, es runāju par tādām vietām, kas jums patiesībā sanāk kā servera īrēšana, datu ievietošana par sevi. Tas ir pārsteidzoši un astronomiski, un mēs varētu teikt: “Jā, jūs atrodaties Azure. Jūs arī izmantojat AWS. Vai zinājāt, ka esat arī DigitalOcean? Jūs arī esat Linodē. Jūsu ģenerāldirektors Eiropā, iespējams, ir iecēlis jūs OVH vai Orange hostingā. Jums ir kaut kas cits Malaizijas datu centrā. Es neesmu īsti pārliecināts, kas tas ir. Un tas ir tipiski. Viens mūsu klients patiesībā bija vairāk nekā simts dažādu pakalpojumu sniedzēju, jo tie ir ļoti liels starptautisks uzņēmums. Es domāju, ka tieši tad mēs redzam, ka cilvēku mākoņu pārvaldības plāni un mākoņu realitāte krasi atšķiras. Palīdzot viņiem tajā, viņi varēs droši un ātri pāriet uz mākoni.

Otrais ir apvienošanās un pārņemšanas. Es domāju, ka tas notiek arvien biežāk. Tā kā daudzas nozares konsolidējas, pēdējā laikā notiek daudz uzņēmumu apvienošanās un pārņemšanas. Bet, ja tā padomā, M&A ir viens no lielākajiem IT pārmaiņu notikumiem, kas var notikt organizācijā, it īpaši, ja tas ir liels pirkums. Tāpēc es par to mazliet zinu, jo nesen esmu izgājis cauri šim procesam ar Palo Alto Networks, kas atrodas tabulas otrā pusē, taču integrējamo lietu skaits ir diezgan liels. Un Expanse gadījumā mēs esam integrēti ar labāko apsardzes uzņēmumu pasaulē, kā arī esam salīdzinoši mazi. Tātad integrācijas galvassāpes gandrīz nav bijušas, un tas ir bijis patiešām lielisks process.

Bet lielākām organizācijām, kur jūs varētu, organizācija ar 50 000 cilvēku iegādājas organizāciju ar 10 000 cilvēku, dažādu darbību skaitu, kas jums jāveic, IT apjomu, kas jums ir jānodod, mantojuma apjomu, kas jums ir jāveic saprast ir gigantiski. Un daudzos veidos tie tiek ieviesti tikai daļēji, jo kā ieguvējs jūs, iespējams, pat nezināt, kur atrodas visi iegādātie aktīvi. Piemēram, aviokompānijai bija vairākas apvienošanās, un mēs faktiski varam atrast apvienotās aviokompānijas aktīvus, kas vairs nepastāv, bet joprojām bija internetā vairāk nekā desmit gadus pēc apvienošanās.

Tas sniedz priekšstatu par to, cik ilgi dažas no šīm lietām aizņem. Tā ir otra puse, kā mēs patiešām palīdzam saviem klientiem, patiesībā ir izpratne: “Kad jūs faktiski iegādājaties aktīvu, kā jūs faktiski pabeidzat šo procesu? Kā jūs to izmērāt? Kā jūs to uzraugāt un kā jūs to darāt interneta mērogā, nevis ar daudziem konsultantiem, Excel izklājlapām, papīra lapiņām un e-pastiem?

Laurels : Tātad no mūsu šodienas sarunas man šķiet, ka šis ir šāds: Ja jūs nezināt to, ko nezināt, jums tas patiešām vajadzētu izdomāt brīdinājumu, ja iepriekš neesat to dzirdējis. Bet šajā ziņā ir cerības, vai ne? Jo, ja aktīvs pastāv, varat to vismaz atrast, izsekot un novērtēt, ko ar to darīsit, kā starpnieku veikt visas nepieciešamās izmaiņas vai novērtēt to, lai atjaunotu pilnīgu kiberdrošības atbilstību. Kas liek jums cerēt par to, kas ir iespējams pēc šī gada pirmo trīs mēnešu apskatīšanas un to, kas noticis ar uzbrukumiem, pašreizējām problēmām, kas mums būs? Bet tur ir iespēja, vai ne? Ir cerība. Ko jūs redzat, kas padara jūs optimistisku par kiberdrošību un ko mēs sagaidām nākamajos piecos gados?

Matt : Jā, es patiesībā esmu diezgan optimistisks pat ne ilgtermiņā, bet pat vidējā termiņā, manuprāt, pat pēc trim, četriem gadiem. Tuvākajā laikā noteikti būs gaidāmas nelīdzenas jūras, taču šeit ir tas, kas padara mani visoptimistiskāko. Pirmkārt, es domāju, ka šī problēma patiesībā ir atrisināma, galvenokārt izmantojot daudzas tehnoloģijas, kas tiek izstrādātas. Un līdz ar to ir skaidrs, ka, tiklīdz jūs zināt, ka problēma pastāv, faktiski to novērst ir diezgan vienkārši. Ir daudz mehānisku darbību, lai to uzlabotu. Tam var izmantot daudz automatizācijas. Un daudz kas notiks. Taču daudzos gadījumos vissvarīgākā daļa ir redzēt, kas jums patiešām ir jānovērš, un visu problēmu kopuma pārzināšana un spēja tām efektīvi noteikt prioritātes un pēc tam sākt ar tām strādāt.

Un jo īpaši es domāju, ka lietas, ko esmu redzējis, ir saistītas ar šo nozari. Es domāju, ka dažu gadu laikā ir daudz tehnoloģiju, kas apmierinās jau gadiem ilgi pastāvošo mārketinga ažiotāžu. Es daudz runāju ar nozares partneriem. Mēs izmantojam ievērojamus datu apjomus. Tā kā man ir Stenfordas doktora grāds operāciju izpētē un mašīnmācībā, mēs savos produktos izmantojam reālu mašīnmācību. Mēs izmantojam arī daudz heiristikas. Es jokoju, ka mums dažreiz ir mašīnmācīšanās klasifikatori, lai atrisinātu problēmu. Citreiz mums ir SQL vaicājumi, kas atrisina problēmu.

Mums ir daži patiešām labi uzrakstīti SQL vaicājumi. Es ļoti lepojos ar tiem. Bet es domāju, ka pati nozare, īpaši mārketinga materiālos, varētu domāt, ka viss kiberdrošībā ir šis automatizētais AI, viss ir iespējots ar ML. Vairumā gadījumu, bet ne visos, bet daudzās nozarēs, un tas jo īpaši attiecas uz jaunizveidotiem uzņēmumiem, tā ir tikai rindiņa, ko prezentēt. Un tas, ko uzņēmumi patiešām sauc par AI, ir tikai standarta programmatūras noteikumi, un patiesībā nekas īpašs nenotiek.

Vai arī ir kāds vecs joks: “Ak, man ir šī lieliskā mākslīgā intelekta lieta. Kas tas ir? Mums ir daudz analītiķu, kas ir bijušie izlūkdienesta darbinieki, parasti Merilendā vai ārpus Telavivas, un viņi visu dara. Taču mums ir sistēma, kas efektīvi novirza darbu pie viņiem, un tā ir mūsu AI. Un viņi saka: 'Pagaidiet, tie ir cilvēki.' Es domāju, ka esmu redzējis, ka viena, plaši definēta automatizācija ir reāla lieta. Bet automatizācija faktiski nozīmē, ka jūs lietojat kaut ko tādu, kas iepriekš prasīja stundas un dienas un 10 cilvēkus. Un tagad, izmantojot programmatūru, vairāk ir jautājums, kā to samazināt līdz 15 minūtēm un diviem vai trim cilvēkiem?

Es domāju, ka mēs redzēsim vēl lielākus ieguvumus vai pat sāksim pilnībā izņemt cilvēkus no konkrētos biznesa procesos. Un es domāju, ka tas, ko mēs redzam, un tas ir daudz no tā, pie kā mēs strādājam, un es strādāju pie tā, ka nākamajos mēnešos un gados faktiskās lielapjoma mašīnmācīšanās iespējas faktiski tiks izvietotas ražošanā. Es domāju, ka ir daži, kas tur ir pa daļām. Ir daudz vairāk noteikumu, nekā kāds vēlas runāt, taču mēs tagad redzam, ka ir pietiekami daudz datu, ir pietiekami daudz datu normalizēšanas, it īpaši lielākos uzņēmumos, un ka uzņēmumi ir vairāk gatavi dalīties informācijā ar pārdevējiem, ja tas notiek. uzskatāmi uzlabo drošības pakalpojumus, ko viņi saņem, ka mēs faktiski varēsim izvietot arvien sarežģītākas iespējas šajā virzienā un nodrošināt produkta/realitātes atbilstību. Es domāju, ka tāds bija vismaz plašāks nozares mārketinga laikmets.

Esmu daudz tos redzējis, tie ir ļoti, ļoti reāli un ļoti daudz nāk. Un tie nāk rūpnieciskā mērogā aizstāvjiem. Un es domāju, ka tas ir tas, par ko esmu visvairāk sajūsmā, jo, neskatoties uz to, ka pastāv vecais sakāmvārds, ka uzbrucējiem vienreiz ir jābūt taisnībai, aizsargiem jābūt pareiziem visu laiku, arvien vairāk, tagad ir vairāk pielāgojams, lai aizsargiem būtu taisnība. lielāko daļu laika un faktiski izveidot ļoti plašus uzraudzības tīklus, lai, ja uzbrucēji vienreiz paslīdētu, aizsargi varētu tos pilnībā iznīcināt šajā uzbrukumā. Un tas gan asimetriski ietekmē izmaksas, gan arī, manuprāt, palīdzēs novirzīt laukumu atpakaļ uz aizsardzību.

Matt : Es domāju, ka tad, kad jums bija daļēji mākslīgā intelekta risinājumi un ML risinājumi un daļēja automatizācija, tas palīdzēja uzbrucējiem daudz vairāk, jo viņi varēja salīmēt kopā dažas dažādas daļas, ļoti augstu mērogot noteiktas lietas un pēc tam vienkārši redzēt, kas viņiem atgriezās. lielisks veids. Es domāju, ka aizstāvjiem būs līdzīgas spējas, kas ir efektīvas, jo tās faktiski aptver visu, kas notiek uzņēmumā. Un tas ļaus mums mainīt gaitu.

Laurels :Matt, liels paldies, ka pievienojies mums šodien šajā fantastiskajā sarunā par Business Lab.

Tas bija Mets Kranings, Expanse galvenais tehnoloģiju darbinieks un līdzdibinātājs, ar kuru es runāju no Kembridžas, Masačūsetsas štatā, MIT un MIT Technology Review mājas, no kura paveras skats uz Čārlza upi.

Tas ir viss šajā Business Lab epizodē. Es esmu jūsu saimnieks Laurel Ruma. Es esmu Insights direktors, MIT Technology Review pielāgotās izdevējdarbības nodaļa. Mēs esam dibināti 1899. gadā Masačūsetsas Tehnoloģiju institūtā. Un jūs varat mūs atrast arī drukātā veidā, tīmeklī un pasākumos katru gadu visā pasaulē.

Lai iegūtu plašāku informāciju par mums un šovu, lūdzu, apmeklējiet mūsu vietni technologyreview.com.

Šī pārraide ir pieejama visur, kur saņemat aplādes. Ja jums patika šī sērija, mēs ceram, ka veltīsit brīdi, lai mūs novērtētu un sniegtu atsauksmi. Business Lab ir MIT Technology Review produkcija. Šo sēriju producēja Collective Next. Paldies par klausīšanos.

Šo aplādes epizodi veidoja Insights, MIT Technology Review pielāgotā satura nodaļa. To neizstrādāja MIT Technology Review redakcijas darbinieki.

paslēpties