Nitin Natarajan은 의 부국장입니다. CISA (Cybersecurity and Infrastructure Security Agency)이며, 미국 국가안전보장회의(NSC) 및 미국 보건복지부의 핵심 인프라 감독을 포함하여 사이버 보안 분야에서 광범위한 경험을 보유하고 있습니다. 

a16z의 일반 파트너인 Joel de la Garza(이전에 Box의 최고 보안 책임자였으며 수많은 금융 기관의 보안 팀을 이끌었습니다)와의 이 토론에서 Natarajan은 진화하는 사이버 보안 위협 환경이 모든 규모의 조직을 강제하고 있는 이유를 설명합니다. 개인 — 사이버에 더 능숙해집니다. 그는 업계와 정부가 정보를 공유하고 모든 사람을 보호하기 위해 가장 잘 협력할 수 있는 방법을 포함하여 기타 여러 주제를 다룹니다.

XNUMX월에 진행된 라이브 토론을 편집한 것입니다. 당신은 할 수 있습니다 여기에서 팟캐스트 형식으로 전체 토론을 들어보세요..

조엘 드 라 가르자: 귀하와 CISA는 위협의 우선순위를 어떻게 정합니까? 그것은 당신이 하려고 하는 모든 것의 열쇠처럼 보입니다.

니틴 나타라잔: 우선 순위를 살펴보면 이러한 시스템적 위험이 무엇인지 진정으로 이해해야 합니다. 사람들이 어디에 투자하고 어떤 위험으로부터 보호하기 위해 투자할 것인지 결정할 수 있도록 계단식 영향 분석에 대한 이야기를 전하는 데 어떻게 도움을 줄 수 있습니까? 

아니면 다리가 세 개인 의자로 위험을 어떻게 봅니까? 나는 우리가 위험 식별에 대해 이야기하는 데 많은 시간을 할애한다고 생각합니다. 우리는 위험 완화에 대해 많은 시간을 할애합니다. 우리는 그 세 번째 다리를 잊습니다. 우리가 식별하고 완화하지 않는 모든 위험을. 그리고 우리는 항상 약간의 위험을 감수합니다. 여기까지 차를 몰고 왔어요. 나는 무대 위로 올라갔다. 위험을 무릅쓰고 여기까지 왔습니다. 나는 위험을 무릅쓰고 떠날 수도 있고 떨어질 수도 있습니다.

그러나 우리가 받아들이고 있는 것에 눈을 크게 뜨고 있는지 어떻게 확인할 수 있습니까? 그리고 그 위험 상황을 어떻게 이해하고 우선 순위를 정하는 데 사용합니까? 그렇다면 다양한 성숙도에 있는 16개 핵심 부문에서 이를 어떻게 볼 것인가?

금융 부문과 같은 산업은 사이버 보안에 대한 투자를 통해 정량화할 수 있는 투자 수익을 얻었지만 다른 부문에서는 해당 분야만큼 오래 또는 많이 투자하지 않았습니다. 우리는 사람들이 서로 다른 위치에 있다는 것을 인정하는 방식으로 위험을 해결할 수 있기를 원합니다. 이는 대기업과 소규모 기업 모두에게 해당됩니다. 공급망 위험을 살펴보면 그 위험의 많은 부분이 대규모 다국적 기업에 있는 것이 아니라 중요한 하나의 작은 부품, 즉 하나의 위젯을 만드는 소규모 비즈니스에 있습니다.

따라서 수직 및 수평으로 전체 산업을 살펴보고 있기 때문에 우선 순위를 지정하는 것은 어려운 일입니다. 그러나 우리가 시도하고 하고자 하는 것은 그 시스템적 위험이 무엇인지 정말로 이해하고 있습니다.

미디어와 보안 업계는 항상 동일한 위협에 대해 이야기하는 경향이 있습니다. 우리가 매일 듣지 않는 가장 마음에 드는 것은 무엇입니까?

가장 큰 위협은 안일함이라고 생각합니다. 적이 누구이며 적이 어떻게 생겼는지에 대해 많은 이야기가 있었습니다. 그리고 우리는 어떻게 참여합니까? 그러나 내가 진정으로 걱정하는 것은 사람들이 자신이 희생자가 될 가능성과 위협을 자신의 것으로 인식하는 방법을 진정으로 이해하게 만드는 것입니다.

같은 것 식민지 파이프 라인 해킹 사람들이 과거에 “나는 희생자가 될 수 없다. 아무도 내 뒤를 따르지 않을 것입니다. 나는 소규모 사업체이거나 작은 시골 관할 구역이거나 학교입니다. 그리고 당신은 무엇을 가지고 있습니까? 그들은 나를 걱정하지 않습니다. 그들은 세계의 뉴욕을 걱정하고 있고, 다국적 대기업을 걱정하고 있습니다.” 우리가 보고 있는 것은 사람들이 위협이 그들에게 실제라는 것을 알 수 있다는 것입니다. 

우리는 랜섬웨어의 피해자인 작은 학군에서 사건이 있었습니다. 그들은 그 번호로 전화를 걸어 “우리는 돈이 없습니다. 우리는 이 작은 학군에 불과합니다. 당신은 이해하지 못합니다.” 그러자 공격자들은 "아니요, 우리는 당신이 얼마나 많은 돈을 가지고 있는지 알고 있습니다."라고 말했습니다.

일반 대중의 편에서 그 무감각이나 안일함의 일부를 분해하는 것에 대해 어떻게 생각합니까?

교육이라고 생각합니다. 소비자에게 질문을 던지고 있습니다. 예를 들어 은행에 간다면 은행이 다단계 인증을 사용하고 있습니까? 이러한 유형의 기능과 해당 기관이 귀하의 개인 정보 및 리소스에 대해 수행하는 작업 및 가치가 무엇인지 찾고 싶습니다.

나는 사람들이 다음과 같은 것들을 이해하게 하는 것이라고 생각한다. 사물의 인터넷, 그리고 우리가 세상에 더 많은 취약점을 도입하고 있다는 사실이 중요합니다. 즉, 인터넷에 연결된 냉장고가 있습니다. 나는 반대하지 않습니다. 냉장고랑 뭐가 다른지 모르겠네요. 그러나 이 모든 것들이 새로운 취약점을 가져오고 있습니다. 

예전으로 돌아가고 싶다고 농담삼아 누군가에게 말했다. 모토로라 스타택 날. 우리는 모바일 장치에 많은 기능과 기술을 도입했습니다. 그러나 그것으로 우리는 위험을 초래했습니다. 그리고 저는 우리가 픽셀 크기와 게임을 할 수 있는 능력에 대해 이야기하고 있기 때문에 위험에 대해 이야기하는 데 충분한 시간을 할애하지 않았다고 생각합니다.

우리도 다음세대를 교육해야 한다고 생각합니다. 틀림없이 나는 길을 잃었다. 나는 내가 믿는 것을 믿습니다. 그리고 당신은 어떻게 내 마음을 바꾸나요? 하지만 고등학교를 졸업한 아이들을 보면 사람들이 "아, 정말 사이버에 정통한.” 그리고 나는 그들이 아니라고 말할 것입니다. 나는 그들이 기술에 정통한. 그들은 생후 XNUMX개월 때부터 아이패드를 사용했지만 여전히 아이패드 뒷면이나 키보드 뒷면에 암호를 테이프로 붙입니다.

그래서, 나는 우리가 동등하다고 생각합니다 기술에 정통하다 과 사이버 지식. 우리는 그들을 사이버에 정통하게 만들어야 합니다. 우리는 그들이 개인적으로나 직업적으로 일상 생활에 진정으로 그것을 구축할 수 있도록 다음 세대에 그것을 구축해야 합니다.

우리가 너무 집착하고 실제 위험에서 우리를 산만하게하는 위협이 있습니까?

우리는 단기적으로 많은 시간을 보냅니다. 그것은 자연, 그것은 기본입니다. 우리는 지금 여기에 있는 것, 우리 앞에 있는 것에 초점을 맞추고 있습니다. 그러나 우리가 장기적인 관점에서 충분한 시간을 할애하고 있는지, 즉 5년, 10년, 15년 후의 회복력이 어떤 모습인지를 정말로 진정으로 보고 있는지 모르겠습니다. 그리고 힘들기 때문이라고 생각합니다. 우리는 기술이 5년 또는 10년 후에 어디로 갈지 모르기 때문에 어디에 초점을 맞춰야 하는지 가늠하기 어렵습니다. 그래서 우리는 우리에게 즉시 직면하고 있는 것에 집중합니다.

회복력을 구축하는 데 시간이 걸리기 때문에 장기적인 회복력에 더 많은 시간을 할애해야 한다고 생각합니다. 엔터프라이즈 솔루션이나 정부에서 볼 때 이러한 유형의 대부분은 다년간의 노력입니다. 그리고 종종 최소한 정부 인수 과정에서 범위를 설정하고 인수를 완료할 때 이미 구식입니다. 그리고 우리는 사이클을 다시 시작합니다.

가장 큰 것은 우리와 함께하는 것입니다. 우리는 파트너와 좋은 관계를 가지고 있습니다 우리가 알고 있는. 가장 큰 걱정은 우리가 파트너가 많다는 것입니다. 모르겠다..

러시아와 우크라이나의 상황에 대해 이야기합시다. 수동적 관찰자로서 매우 흥미로운 점 중 하나는 과거와 같은 혼란이 없었습니다. NotPetya 우크라이나를 혼란에 빠뜨리기 위해 설계 및 개발되었지만 밖으로 나와 세계 상업을 혼란에 빠뜨린 이러한 것들. 이번 반복에서는 부수적인 피해가 훨씬 적은 것 같습니다. 

우리가 방금 레벨을 올리고 많은 일을 하고 있기 때문인가요? 기준을 세우고 사람들에게 알리는 것이 정부의 일인가? 왜냐하면 우리는 실드 업 내가 속한 많은 이사회와 함께 일하는 사람들이 매우 진지하게 받아들였다는 발표. 

나는 이것이 여러 면에서 바뀌었다고 생각한다. 확실히 적군과 접근 방식에 변화가 있었습니다. 나는 정부 측과 우리가 실제로 기준을 높이기 위해 몇 년 동안 한 작업에서 확실히 변화가 있다고 생각합니다. 그 중 많은 부분이 업계와의 협력과 업계의 탄력성을 높이는 데 도움이 된 많은 유형의 것들 때문입니다. 나는 사람들이 몇 년 전보다 사이버 보안을 더 믿는다고 생각합니다. 그리고, 그 모든 것들이 함께 우리를 좋은 곳으로 데려왔습니다.

나는 잠시 동안 공중 보건 분야에 있었고 우리는 오랫동안 전염병과 싸워 왔습니다. 이것은 우리에게 새로운 것이 아닙니다. 그리고 우리는 전염병과 싸우고 있었습니다. 우리가 전염병이라고 생각했던 H1N1이 유행했을 때를 기억합니다. 우리는 거의 알지 못했습니다. 그리고 당시 우리가 실제로 했던 말은 IT 시스템이 처리할 수 없기 때문에 완전한 원격 근무나 원격 근무 상태로 갈 수 없다는 것이었습니다. 글쎄, 12년을 빨리 감았고 우리는 그것을 해냈다. 우리는 클라우드로의 전환 때문만이 아니라 많은 것들이 우리를 오늘날의 위치로 이끌었습니다.

그래서 지금과 비교하여 NotPetya를 볼 때 그 일부는 실제로 적 측의 변화, 우리 측의 변화, 파트너십 및 관계의 변화 모두라고 생각합니다. Shields Up은 분류 수준과 분류되지 않은 수준 모두에서 업계 파트너와 더 많은 정보를 공유할 수 있는 좋은 예입니다. 어떻게 정보를 얻을 수 있습니까? 사람들이 우리가 공개한 정보를 신뢰하도록 하려면 어떻게 해야 합니까?

하루가 끝날 때 우리의 목표는 모든 기밀 문서를 모든 사람에게 공개하거나 보안 허가를 받아 모든 사람을 정리하는 것이 아닙니다. 우리는 그 정보를 적시에 얻을 수 없습니다. 사람들이 실제로 사용할 수 있는 방식으로 정보를 얻는 것입니다. 수년에 걸쳐 저는 정보 공유에 대한 일종의 만트라를 개발했습니다. 나에게 그것은 : 적시에 적절한 사람들에게 적절한 정보를 제공하여 더 많은 정보 의사 결정. 따라서 결정이 동일하더라도 최소한 정보를 얻는 것이 좋습니다.

그래서 우리는 이 사건과 우리가 본 것을 보았을 때 정보를 얻을 수 있는 메커니즘을 가지고 있었습니다. 우리는 사람들이 나오는 정보의 품질을 믿게 했습니다. 나는 또한 우리가 정보가 많지 않다고 말하는 것도 가치가 있다고 생각합니다. 그리고 우리는 정말 독특한 것들을 보았습니다. 우리는 기밀 공간에서 연단까지 매우 빠르게(기록적인 시간에, 어떤 경우에는) 얻을 수 있었던 많은 정보를 가지고 있었고, 이를 사용하여 사람들이 취해야 하는 조치에 대한 의사 결정을 유도할 수 있었습니다. 그래서 강력하고 효과적인 대응이었다고 생각합니다.

그러나 정보를 활용할 수 없는 경우 정보를 공개하는 것은 우리뿐만이 아니기 때문에 협업과 파트너십에 관한 모든 것입니다. 피드백을 받고 함께 작업할 수 있는 방식으로 이러한 시스템을 구축할 수 있을 때까지는 변경하지 않을 것입니다. 국가의 중요한 인프라를 살펴보고 있습니다.

고등학교를 졸업한 제 아이들을 보면 사람들이 "아, 정말 사이버에 정통한.” 그리고 나는 그들이 아니라고 말할 것입니다. 나는 그들이 기술에 정통한. 그들은 생후 XNUMX개월 때부터 아이패드를 사용했지만 여전히 아이패드 뒷면이나 키보드 뒷면에 암호를 테이프로 붙입니다.

랜섬웨어에 대한 귀하의 의견을 듣고 싶습니다. 행정부는 그것에 대해 매우 진지해졌습니다. 그리고 그것은 대부분 현재 서로 싸우고 있는 지역에 집중되어 있습니다. 랜섬웨어에 대처하는 방법과 그 중 일부를 어떻게 방어하고 있는지 궁금합니다. 좀 나아진 것 같으니까...

내 플러그를 만들거야 우리의 랜섬웨어 사이트, 정보를 얻을 수 있도록 중앙 웹사이트에 모든 것을 통합하려고 했습니다. 그러나 나는 많은 것이 교육에 달려 있다고 생각합니다. 그것은 사람들에게 이메일로 백만 달러를 받지 못할 것이라고 교육하는 것입니다. 큰 종이 수표를 받게 될 것이고 누군가가 당신의 집으로 와서 벨을 울릴 것입니다. 잠재적인 피해자가 누구인지 사람들에게 이해시키는 것이 중요하다고 생각합니다.

우리는 랜섬웨어의 피해자가 된 작은 학군에서 발생한 사건. 그들은 그 번호로 전화를 걸어 “우리는 돈이 없습니다. 우리는 이 작은 학군에 불과합니다. 당신은 이해하지 못합니다.”

그러자 공격자들은 “아니요, 우리는 당신이 얼마나 많은 돈을 가지고 있는지 알고 있습니다. 귀하의 은행 계좌 명세서가 있습니다. 우리는 당신이 얼마나 가지고 있는지 알고 있습니다. 그리고 우리는 당신이 지불할 수 있는 금액과 우리가 당신에게 요구하는 것이 당신이 은행에 얼마나 있는지 알고 있습니다. 그래서 우리는 모든 것을 가져가는 것이 아니라 약간의 것을 남기는 것입니다. 그러나 실제로 이것이 우리가 원하는 것입니다.”

그리고 학군은 “글쎄요, 당신은 비트코인을 원합니다. 어떻게 해야할지 모르겠어." 

“헬프 데스크가 있습니다. 비트코인을 받는 데 도움이 되는 14개 언어로 된 헬프 데스크가 있습니다. 그럼 어떻게 도와드릴까요?”

그래서 저는 랜섬웨어를 사용하여 사람들이 취약점, 위험, 표적이 될 수 있는 사람, 취해야 할 조치 [CISA 공동 자문 2021 랜섬웨어 동향 참조]. 그리고 금전적 영향. 랜섬웨어 공격과 우리가 보고 있는 다른 유형의 것들로 인해 사람들은 개인 사용자. 하지만 사람들도 관심을 갖기 시작했다고 생각합니다. 사람들이 모든 것을 클릭하지 않기 시작했다고 생각합니다.

I do 팬데믹이나 기회 가능성이 더 높은 유형에 대해 걱정하십시오. 또는 받은 편지함에 300개의 이메일이 있는 사람이 이메일을 확인하기만 하면 이러한 유형의 희생양이 됩니다. 그래서 우리는 계속해서 압력을 가해야 합니다. 메시지를 계속 보내야 합니다. 

그리고 우리는 젊은 세대도 이것을 깨닫도록 해야 합니다. 고등학생의 받은편지함을 뒤지는 실수를 저질렀기 때문입니다. 그리고 그들이 이메일을 읽었는지 또는 무엇을 읽었는지 모르겠습니다. 나는 그들이 무엇을 가지고 있는지 모릅니다. 수백 개의 이메일이 있습니다. 나는 그들이 어디서 왔는지, 어떻게 얻었는지조차 모릅니다. 다음 세대를 더 나은 곳에서 교육하려면 어떻게 해야 합니까?

하루가 끝날 때 우리의 목표는 모든 기밀 문서를 모든 사람에게 공개하거나 보안 허가를 받아 모든 사람을 정리하는 것이 아닙니다. . . . 제게는 다음과 같습니다. 적절한 사람들에게 적절한 정보를 적시에 제공하여 더 많은 정보 의사 결정.

우리가 민간 부문에서 정부와 더 잘 협력하고 상황을 개선하는 데 도움이 될 수 있는 방법을 이해하는 것이 좋을 것입니다. 왜냐하면 우리가 이기지 못하면 우리 모두가 함께 지는 팀 스포츠 중 하나이기 때문입니다.

가장 큰 것은 우리와 소통하는 것이라고 생각합니다. 우리는 파트너와 좋은 관계를 가지고 있습니다 우리가 알고 있는. 가장 큰 걱정은 우리가 파트너가 많다는 것입니다. 모르겠다.. 우리는 그들이 어디에 있는지, 어떻게 거기에 가는지 모릅니다. CISA는 성장하는 조직입니다. 우리는 전국에 500명 정도의 현장 인력을 보유하고 있으며 계속해서 이를 성장시켜야 합니다. 그러나 500명이라도 양동이에 빠진 사람입니다. 따라서 우리는 참여 방법과 참여 대상을 알아야 합니다. 그리고 그것이 바로 업계가 도움이 될 수 있는 부분이라고 생각합니다. 업계의 참여를 통해 회복력의 기준을 높이는 데 도움이 될 수 있는 올바른 파트너와 연결할 수 있는 더 많은 기회가 있기 때문입니다.

그리고 우리를 정직하게 유지하십시오. 우리를 정직하게 유지하고 교육하십시오. 알다시피, 우리는 과거에 우리가 업계에 참여하는 방법에 대해 많은 두려움이 있었다고 생각하기 때문에 많은 계약에서 앞으로 기대고 있습니다. "우리가 무엇을 할 수 있습니까?" "우리가 무엇을 말할 수 있습니까?" “우리가 말할 수 없는 것이 무엇입니까?” 

우리는 이제 CISA에서 그러한 참여를 두려워하지 않는 미래 지향적인 팀을 만들었습니다. 예, 선이 있습니다. 그러나 우리는 그 선 내에서 많은 관용도를 가지고 있습니다. 우리는 그 가드레일 안에 머물기 위해 정말 노력하고 있습니다. 우리는 절벽을 뚫고 빠져나가고 싶지 않습니다. 하지만 우리가 그 가드레일 안에 머무르는 한 괜찮습니다.

그래서 가장 중요한 것은 우리가 모르는 것을 알려주는 것이라고 생각합니다. 그리고 우리가 모르는 것이 많다는 것도 압니다. 그러나 그것이 무엇인지 교육하는 것을 돕고 우리가 하고 있는 일과 하지 않는 일에 대해 책임을 지도록 돕는 것은 우리가 앞으로 나아가고 우리가 해야 할 중요한 도약을 하는 데 도움이 될 것이라고 생각합니다.

게시일: 4년 2022월 XNUMX일