下にオーディオプレーヤーがありませんか？ 聞く 直接に Soundcloudで。

アヒル。  みなさんこんにちは。

Naked Security ポッドキャストへようこそ。

お聞きのとおり、私はダグではなく、ダックです。

ダグは今週休暇中なので、このエピソードには私の長年の友人でサイバーセキュリティの同僚であるマット ホールドクロフトが参加します。

マット、あなたと私はソフォスの初期の頃に戻ります...

…そして、あなたが現在取り組んでいる分野は、「DevSecOps」として知られるもののサイバーセキュリティ部分です。

X-Ops に関して言えば、X の考えられるすべての値に対応してきた、とあなたは言うかもしれません。

興味深い話なので、どのようにして今の地位にたどり着いたのか教えてください。

マット。  ソフォスでの私の最初の仕事は、Lotus Notes 管理者および開発者で、当時はプロダクション ルームで働いていたため、フロッピー ディスクの複製を担当していました。

これらは本物のフロッピー ディスクで、実際にフロッピー ディスクを入れることができます。

アヒル。  [大笑い] はい、5.25インチタイプです…

マット。  はい！

当時は簡単でした。

私たちには物理的な安全があった。 ネットワークが見えます。 コンピューターの背面から少しケーブルが出ているので、コンピューターがネットワークに接続されていることがわかりました。

(ただし、誰かが[ケーブルの]端のターミネータを紛失したため、おそらくネットワークに接続されていませんでした。)

そのため、誰がどこに行って、誰が何を何に刺せるかについての、シンプルで素敵なルールがあり、生活はかなりシンプルでした。

アヒル。  最近はほとんど逆ですね。

コンピュータがネットワーク上にない場合、会社の目標達成にはあまり役に立たず、管理することはほぼ不可能であると考えられています。

なぜなら、役立つことを行うにはクラウドにアクセスできる必要があり、セキュリティ運用担当者がクラウド経由でクラウドにアクセスして、クラウドが常に最新状態にあることを確認できる必要があるからです。

ほとんどCatch-22の状況ですね。

マット。  はい。

完全にひっくり返ってますね。

確かに、接続されていないコンピュータは安全です…しかし、その目的を果たしていないので役に立ちません。

XNUMX 日おきに何かをチェックするよりも、常にオンラインに接続して最新のアップデートを継続的に取得し、常に監視し、そこから実際のテレメトリを取得できる方が良いでしょう。

アヒル。  おっしゃるとおり、オンライン化が非常にリスクを伴うというのは皮肉ですが、特に人々が毎日オフィスに来ない環境では、オンライン化がそのリスクを管理する唯一の方法でもあります。

マット。  確かに、Bring Your Own Device [BYOD] というアイデアは、昔は思いつきませんでした。

しかし、私がソフォスに入社したとき、Build Your Own Device はありました。

あなたは部品を注文して、最初の PC を構築することが期待されていました。

それは通過儀礼でした！

アヒル。  かなりよかったです…

…合理的な範囲内で選択できますよね？

マット。  [笑い] はい！

アヒル。  ディスク容量を少し減らして、[ドラマティック ボイス] XNUMX メガバイトの RAM を搭載できるかもしれません。

マット。  私たちが始めた頃は 486es、フロッピー、FAX の時代でしたね。

最初の Pentiums が会社に導入されたときのことを覚えています。「すごい！」 それを見てください！"

アヒル。  今日のサイバーセキュリティオペレーターに対する XNUMX つの重要なヒントは何ですか?

なぜなら、これまでの「マルウェアに注意して、見つけたら駆除しよう」とは大きく異なるからです。

マット。  それ以来大きく変わったことの XNUMX つは、ポール、昔は感染したマシンがあり、誰もがそのマシンを消毒しようと必死だったということです。

実行可能ウイルスは、コンピュータ上の「すべて」の実行可能ファイルに感染します。また、コンピュータを「良好な」状態に戻すことは、本当に行き当たりばったりでした。なぜなら、感染を見逃すと（駆除できたとして）振り出しに戻ってしまうことになるからです。そのファイルが呼び出されるとすぐに。

そして、現在のように、既知の状態に戻すことができるデジタル署名やマニフェストなどもありませんでした。

アヒル。  あたかもマルウェアが問題の重要な部分であるかのようです。人々はあなたがマルウェアをきれいにして、基本的に軟膏からハエを取り除き、それから軟膏の瓶を返して「これはもう安全に使用できます、皆さん」と言うと期待していたからです。 」

マット。  当時のウイルス作成者は一般的にできるだけ多くのファイルに感染したいと考えており、多くの場合単に「楽しみのため」にそれを行っていたため、動機は変わりました。

一方、最近ではシステムをキャプチャーしたいと考えています。

したがって、彼らはすべての実行可能ファイルに感染することに興味がありません。

彼らは、目的が何であれ、そのコンピュータを制御したいだけなのです。

アヒル。  実際、攻撃中には感染したファイルが存在しない可能性もあります。

彼らは、誰かからパスワードを購入したために侵入する可能性があり、その後、侵入したときに、「あらゆる種類の警報を鳴らすウイルスを放っておこう」とは言わずに…

…彼らはこう言うでしょう、「実際のシステム管理者が決してやらない方法で使用できる、どんな狡猾なシステム管理ツールがすでに存在しているのか調べてみましょう。」

マット。  多くの点で、それは実際に悪意のあるものではありませんでした…

…「リッパー」と呼ばれる特定のウイルスの説明を読んだとき、ゾッとしたのを覚えています。

ファイルに感染するだけでなく、システム上を静かに巡回していじります。

そのため、時間の経過とともに、ディスク上のファイルまたはセクターが微妙に破損する可能性があります。

XNUMX か月後、突然システムが使用できなくなったことに気づき、どのような変更が加えられたのかまったく分からないかもしれません。

それまではウイルスが煩わしかったので、これは私にとって非常に衝撃的だったのを覚えています。 政治的な動機を持った人もいました。 実験して「楽しんでいる」だけの人もいます。

最初のウイルスは知的な演習として作成されました。

そして、当時は、感染症が煩わしかったとしても、感染症を収益化する方法がまったく見つからなかったことを覚えています。なぜなら、「この銀行口座にお金を支払え」、または「お金をこの口座に残しておかなければならない」という問題があったからです。地元の公園にあるこの岩」…

…それは常に当局に摘発される可能性がありました。

その後、当然のことながらビットコインが登場しました。 [笑い]

これにより、それまでは実現できなかったマルウェア全体が商業的に実行可能になりました。

アヒル。  それでは、トップのヒントに戻りましょう、マット！

サイバーセキュリティ事業者ができることとして、最大の利益を得るためにできる XNUMX つのこととして、何をアドバイスしますか?

マット。  [OK]をクリックします。

誰もがこれを聞いたことがあるでしょう。 補修.

パッチを適用する必要があり、頻繁にパッチを適用する必要があります。

パッチを当てたまま放置すると、歯医者に行かなくなるようなものです。放置すればするほど、状態は悪化します。

重大な変更に遭遇する可能性が高くなります。

しかし、パッチを頻繁に適用している場合は、たとえ問題が発生したとしても、おそらくそれに対処でき、時間の経過とともにアプリケーションが改善されるでしょう。

アヒル。  実際、OpenSSL 3.0 から OpenSSL 3.1 にアップグレードするよりも、OpenSSL 1.0.2 から 3.1 にアップグレードする方がはるかに簡単です。

マット。  そして、誰かがあなたの環境を調査していて、あなたがパッチを最新の状態に保っていないことがわかったら…それは、そうですね、「他に悪用できるものがあるだろうか？」ということになります。 もう一度見てみる価値はあるよ！」

一方、パッチを完全に適用している人は、おそらく物事をより把握しているでしょう。

それは古いようなものです 銀河ヒッチハイクガイド: タオルさえ持っていれば、他のものはすべて持っているとみなされます。

したがって、パッチが完全に適用されている場合は、おそらく他のすべての点で最高の状態にあると言えます。

アヒル。  それで、パッチを当てています。

次にしなければならないことは何でしょうか?

マット。  パッチを適用できるのは、自分が知っている内容のみです。

XNUMX番目のことは次のとおりです。 監視.

自分の財産を知らなければなりません。

マシン上で何が実行されているかを知る限り、最近では SBOM に多くの努力が払われています。 ソフトウェア部品表。

それが連鎖全体であることを人々が理解しているからです…

アヒル。  まさに！

マット。  「これこれのライブラリに脆弱性があります」というアラートを受け取って、「わかりました、その知識をどうすればいいですか?」というような反応は役に立ちません。

どのマシンが実行されているか、そしてそれらのマシンで何が実行されているかを把握する…

…そして、パッチ適用の話に戻りますが、「彼らは実際にパッチをインストールしましたか?」

アヒル。  それとも、詐欺師が忍び込んで「ああ、ああ！」と去ってしまったのだろうか。 彼らはパッチが適用されていると思っているので、パッチが適用されていることを再確認していない場合は、これらのシステムの XNUMX つをダウングレードして、自分にバックドアを永遠に開けることができるかもしれません。なぜなら、彼らは問題を抱えていると考えているからです。整理しました。」

ですから、常套句は「常に測定し、決して仮定しない」ということだと思います。

あなたの XNUMX 番目のヒントが何であるかは分かったと思いますが、これが最も難しい/最も物議を醸すものになると思います。

それで、私が正しいかどうか見てみましょう…それは何ですか?

マット。  それは次のとおりだと思います。 殺します。 （または カリング.)

時間が経つにつれて、システムが増えていき、設計され、構築され、人々は前進していきます。

アヒル。  [笑い] 蓄積してください！ [大笑い]

石灰化みたいな…

マット。  フジツボとか…

アヒル。  はい！ [笑い]

マット。  あなたの会社の大きな船にフジツボがいます。

彼らは有益な仕事をしているかもしれませんが、システムが設計された XNUMX 年前または XNUMX 年前に流行していたテクノロジーを使用してそれを行っている可能性があります。

開発者が新しいツールセットや新しい言語をどのように好むかは誰もが知っています。

監視しているときは、これらのことに注意を払う必要があり、そのシステムが長く機能し続けている場合は、難しい決断を下して、それを廃止する必要があります。

繰り返しになりますが、パッチ適用の場合と同じように、放置時間が長くなるほど、「そのシステムは一体何をするの？」と振り向く可能性が高くなります。

常に考えることがとても大切です wifecycwe 新しいシステムを導入するとき。

「OK、これは私のバージョン 1 ですが、どうやってこれを強制終了するでしょうか?」と考えてください。 いつ死ぬの？」

ビジネスや社内の顧客に対してある程度の期待を表明します。同様のことが社外の顧客にも当てはまります。

アヒル。  それで、マット、セキュリティ チームの一員にとって、アイデアを売り込むのを手伝うのは非常に難しい仕事であると私は認識しています (通常、会社が大きくなるにつれてこれは難しくなります) について、アドバイスはありますか?

たとえば、「OpenSSL 1 でコーディングすることはもう許可されていません。バージョン 3 に移行する必要があります。それがどれほど難しいかは気にしません!」

会社の他の全員があなたに反発しているとき、どうやってそのメッセージを伝えますか?

マット。  まず第一に…指図することはできません。

明確な基準を示し、それを説明する必要があります。

問題を解決せずに早めに出荷したために売れたということでしょうか？

当社に脆弱性がある、または脆弱性を持った状態で出荷されたという悪い評判によって影が薄れてしまいます。

修正するよりも予防​​する方が常に優れています。

アヒル。  絶対に！

マット。  どちらの側からも、それが難しいことは理解しています。

しかし、放っておけば長くなるほど、変えるのは難しくなります。

これらのことを、「このバージョンを使用するつもりです。その後は設定して忘れるつもりです」と設定しますか?

違う！

コードベースを見て、そのコードベースに何が含まれているかを把握して、こう言わなければなりません。 これらのユーティリティに依存しています」など。

そして、「これらすべてのことは変化する可能性があることを認識し、それに直面する必要がある」と言わなければなりません。

アヒル。  つまり、法律がソフトウェア ベンダーにソフトウェア部品表 (先ほど述べた SBOM) を提供しなければならないことを指示し始めるかどうか、と言っているように聞こえます...

…とにかく、サイバーセキュリティの基盤の上で自分がどのような立場にあるかを測定できるように、組織内でそのようなものを維持する必要があります。

マット。  そういったことに対して反応的になってはいけません。

「XNUMXか月前にマスコミにばらまかれたあの脆弱性は？」と言うのは無駄です。 現在、私たちは安全であると結論付けています。」

（笑い）それはダメだよ！ [もっと笑いましょう]

現実には、誰もが脆弱性を修正するためのこのような狂った争奪戦に見舞われることになるでしょう。

潜在的に、暗号化などの大きなものが目前に迫っています。

いつか NIST が「RSA との関係はもう信用しない」と発表するかもしれません。

そして誰もが同じ船に乗るでしょう。 新しい量子安全暗号を実装するために誰もが慌てて実装する必要があるだろう。

その時点で、「どれだけ早く修正を行えるか?」ということになります。

誰もが同じことをするでしょう。

準備ができていれば。 何をすべきか分かっていれば。 インフラストラクチャとコードをよく理解していれば…

…集団の先頭に立って「数週間ではなく数日でやり遂げた」と言えるとしたら?

それは商業的な利点であると同時に、正しい行動でもあります。

アヒル。  それでは、あなたの XNUMX つのトップ ヒントを XNUMX つにまとめて、それらが正しいかどうかを確認してみましょう。

ヒント 1 は古き良きものです 早めにパッチを適用してください。 パッチを頻繁に適用します。

Wanacry の時代に人々がしていたように、2023 か月待つのは…XNUMX 年前には満足のいくものではありませんでしたし、XNUMX 年には確かに長すぎます。

XNUMX週間でも長すぎます。 「これを XNUMX 日以内に行う必要がある場合、どうすればできるでしょうか?」と考える必要があります。

ヒント2は、 モニター、 私の決まり文句で言うと、「常に測定し、決して想定しないでください」。

そうすることで、そこにあるはずのパッチが本当に存在することを確認でき、誰かが忘れた「階段の下の食器棚にあるサーバー」を実際に見つけることができます。

ヒント3は、 殺す/殺す、 つまり、目的に適さなくなった製品を廃棄できる文化を構築することになります。

そして、一種の補助的なヒント 4 は、 機敏に行動して、 そうすれば、キル/キルの瞬間が来たときに、実際に他の人よりも早くそれを行うことができます。

それは顧客にとって良いことであり、（あなたが言ったように）商業的にも有利になるからです。

それは正しいですか？

マット。  それのように聞こえます！

アヒル。  [勝利] 今日の午後にやるべき XNUMX つの簡単な事。 [笑い]

マット。  はい！ [もっと笑いましょう]

アヒル。  一般的なサイバーセキュリティと同様、それらは目的地ではなく旅ですよね。

マット。  はい！

そして、「最高」を「より良い」の敵にしないでください。 （または「良い」。）

そう…

パッチ。

監視します。

殺します。 （または カリング.)

と： 機敏に…変化に備えてください。

アヒル。  マット、素晴らしい終わり方ですね。

急遽マイクに立っていただきまして、誠にありがとうございます。

いつものように、リスナーの皆様にコメントがございましたら、Naked Security サイトに残すか、ソーシャルで @nakedsecurity にご連絡ください。

いつものように、次の機会まで…と言うだけです。

どちらも。  安全を確保してください！

【ミュージックモデム】