Nitin Natarajan, müdür yardımcısı CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) ve ABD Ulusal Güvenlik Konseyi ve ABD Sağlık ve İnsan Hizmetleri Departmanı için kritik altyapının denetlenmesi de dahil olmak üzere siber güvenlik alanında kapsamlı deneyime sahiptir. 

a16z genel ortağı Joel de la Garza (önceden Box'ta güvenlik şefi olan ve çok sayıda finans kuruluşunda güvenlik ekiplerine liderlik eden) ile yaptığımız bu tartışmada Natarajan, gelişen siber güvenlik tehdidi ortamının neden her büyüklükteki kuruluşu zorladığını açıklıyor. bireyler - daha siber bilgili olmak için. Endüstri ve hükümetin bilgi paylaşmak ve herkesi korumak için birlikte en iyi şekilde nasıl çalışabilecekleri de dahil olmak üzere bir dizi başka konuyu da ele alıyor.

Bu, Mayıs ayında gerçekleşen canlı bir tartışmanın düzenlenmiş bir versiyonudur. Yapabilirsiniz tüm tartışmayı podcast formunda buradan dinleyin.

JOEL DE LA GARZA: Siz ve CISA tehditlere öncelik vermeyi nasıl düşünüyor? Bu, yapmaya çalıştığınız her şeyin anahtarı gibi görünüyor.

NİTİN NATARAJAN: Önceliklendirmeye baktığımızda, bu sistemik risklerin ne olduğunu gerçekten anlamak geliyor. İnsanların nereye yatırım yapacakları ve hangi risklere karşı korunmak için yatırım yapacakları konusunda karar verebilmeleri için basamaklı etki analizi hikayesini anlatmaya nasıl yardımcı olabiliriz? 

Veya üç ayaklı bir tabure olarak riske nasıl bakarız? Sanırım risk tanımlama hakkında konuşmak için çok zaman harcıyoruz. Risk azaltma hakkında konuşmak için çok zaman harcıyoruz. Üçüncü ayağı unutuyoruz ki bana göre bu belirlediğimiz ve azaltmadığımız her riski kabul ediyoruz. Ve her zaman biraz risk kabul ederiz. Yani, buraya kadar sürdüm. Sahneye kadar yürüdüm. Buraya gelerek risk aldım. Giderek ve muhtemelen düşerek risk alacağım.

Ancak, kabul ettiğimiz şeye gözlerimizin sonuna kadar açık olduğundan nasıl emin olabiliriz? Ve bu risk ortamını nasıl anlayacağız ve bunu önceliklendirmemizi yönlendirmek için nasıl kullanacağız? Peki, farklı olgunluk seviyelerindeki 16 kritik sektörde buna nasıl bakacağız?

Finans sektörü gibi sektörler, siber güvenliğe yatırım yapmaktan ölçülebilir bir yatırım getirisi elde etti, ancak bu alana o kadar uzun veya çok fazla yatırım yapmamış başka sektörlerimiz de var. Riski, insanların farklı yerlerde olduğunu kabul eden ve küçük işletmeler kadar çok uluslu büyük şirketlere de hitap eden bir şekilde ele alabilmek istiyoruz. Tedarik zinciri risklerine baktığımızda, bu riskin çoğu çok uluslu büyük şirketlerde değil, o küçük parçayı yaratan küçük işletmelerde, kritik olan o tek parçada bulunuyor.

Bu nedenle önceliklendirme bizim için bir zorluk çünkü sektörlerin tamamına dikey ve yatay olarak bakıyoruz. Ancak denemek ve yapmak istediğimiz şey, bu sistemik riskin ne olduğunu gerçekten anlamak.

Medya ve güvenlik endüstrisi her zaman aynı tehditlerden bahsetme eğilimindedir. Sizin için her gün duymadığımız, aklınıza gelen bazı şeyler nelerdir?

Bence en büyük tehdit rehavet. Düşmanın kim olduğu ve düşmanın neye benzediği hakkında çok fazla konuşma yapıldı. Ve nasıl ilişki kurarız? Ama gerçekten endişelendiğim şey, insanların kurban olma potansiyelini ve tehdidi kendilerine ait olarak nasıl algıladıklarını gerçekten anlamalarını sağlamak.

Gibi şeyler Colonial Boru Hattı kesmek ve diğer olaylar buna yardımcı oldu, insanların geçmişte düşündüğü yerde, “Ben kurban olamam. Peşimden kimse gelmeyecek: Ben küçük bir işletmeyim, ya da küçük bir kırsal yetki alanıyım ya da ben bir okulum, ne dersiniz? Benim için endişelenmiyorlar. Dünyanın New York şehirleri için endişeleniyorlar, çok uluslu büyük şirketler için endişeleniyorlar.” Bence gördüğümüz şey, insanların tehdidin kendileri için gerçek olduğunu görebildikleri. 

Fidye yazılımının kurbanı olan küçük bir okul bölgesiyle ilgili bir olay yaşadık. Numarayı aradılar ve "Paramız yok" dediler. Biz sadece bu küçük okul bölgesiyiz. anlamıyorsun." Saldırganlar, “Hayır, ne kadar paranız olduğunu biliyoruz” dediler.

Kamuoyundaki bu uyuşukluk ya da gönül rahatlığının bir kısmını ortadan kaldırmayı nasıl düşünüyorsunuz?

Bence eğitim. Tüketicinin soru sormasını sağlıyor. Yani örneğin bir bankaya gidiyorsanız, banka çok faktörlü kimlik doğrulama kullanıyor mu? Bu tür yeteneklerin yanı sıra o kurumun kişisel bilgilerinize ve kaynaklarınıza ne yaptığını ve oradaki değerin ne olduğunu araştırmak istiyorsunuz.

Bence insanların şu gibi şeyleri bile anlamalarını sağlamak Şeylerin İnternetve dünyaya çok daha fazla güvenlik açığı tanıttığımız önemli. Yani internete bağlı buzdolaplarımız var. Ben buna karşı değilim. Buzdolabımdan farklı olarak ne yaptığını bilmiyorum. Ancak tüm bunlar yeni güvenlik açıkları getiriyor. 

Geçen gün birine şaka yollu eski hayatıma dönmek istediğimi söyledim. Motorola StarTAC günler. Mobil cihazlarımıza birçok yetenek ve teknoloji getirdik. Ama bununla birlikte riski de getirdik. Ve risk hakkında konuşmak için yeterince zaman harcadığımızı düşünmüyorum çünkü piksel boyutundan ve oyun oynama yeteneğinden bahsediyoruz.

Gelecek nesilleri de eğitmemiz gerektiğini düşünüyorum. Muhtemelen, kayboldum. Ben inandığım şeye inanırım, bilirsin ve fikrimi nasıl değiştirirsin? Ama liseden mezun olan çocuklarıma bakıyorum ve insanlar "Oh, onlar çok siber bilgili” Ve değiller derdim - olduklarını teklif ederim teknoloji meraklısı. İki aylık olduklarından beri iPad'leri kullanıyorlar, ancak yine de şifreyi iPad'in arkasına veya klavyelerinin arkasına bantlıyorlar.

Yani, eşitlediğimizi düşünüyorum teknoloji bilgisi ile siber bilgi. Onları siber bilgili hale getirmeliyiz. Bunu hem kişisel hem de profesyonel olarak günlük yaşamlarına gerçekten yerleştirmeleri için gelecek neslin içine inşa etmemiz gerekiyor.

Aşırı takıntılı olduğumuz ve muhtemelen bizi gerçek riskten uzaklaştıran tehditler var mı?

Kısa vadeye bakmak için çok zaman harcıyoruz. Bu doğa, varsayılan olarak. Burada ve şimdi olana, önümüzde olana odaklanıyoruz. Ancak daha uzun vadeye bakmak için yeterince zaman harcıyor muyuz bilmiyorum - gerçekten, gerçekten dayanıklılığın 5 yıl, 10 yıl, 15 yıl içinde nasıl göründüğüne bakıyorsak. Ve bence zor olduğu için. Teknolojinin 5-10 yıl içinde nerede olacağını bilmiyoruz, bu yüzden nereye odaklanacağımızı ölçmek zor. Bu yüzden hemen önümüze çıkana odaklanıyoruz.

Bence bu uzun vadeli dayanıklılık için daha fazla zaman harcamamız gerekiyor çünkü onu inşa etmek zaman alacak. Kurumsal çözümlere veya hükümete baktığımda, bu tür şeylerin çoğu çok yıllı çabalardır. Ve çoğu zaman, en azından devlet satın alma sürecinde, kapsamımızı belirlediğimiz ve satın alma işlemini gerçekleştirdiğimiz zaman, zaten modası geçmiş oluyor. Ve döngüyü yeniden başlatıyoruz.

En büyük şey bizimle ilgilenmek. Ortaklarla harika ilişkilerimiz var bildiğimiz. En büyük endişem, bir sürü ortağımız olması. bilmiyorum.

Rusya ve Ukrayna ile olan durumu konuşalım. Pasif bir gözlemci olarak çok ilginç olan şeylerden biri, geçmişte yaşadığımız kaosu yaşamamış olmamızdır — NotPetya ve Ukrayna'yı bozmak için tasarlanan ve geliştirilen ancak ortaya çıkan ve küresel ticareti bozan bu şeyler. Görünen o ki, bu yinelemede çok daha az tali hasar olmuş. 

Bunun nedeni yeni seviye atladığımız ve çok şey yaptığımız için mi? Hükümet standartlarını sürmek ve insanları bilgilendirmek işi mi? Çünkü biz aldık Kalkanlar Yukarı bulunduğum pek çok kurul ve birlikte çalıştığım insanların çok ciddiye aldığı duyuru. 

Bunun birçok yönden değiştiğini düşünüyorum. Rakipte ve oradaki bazı yaklaşımlarda kesinlikle değişiklikler oldu. Bence hükümet tarafında ve birkaç yıl içinde çıtayı gerçekten yükseltmek için yaptığımız çalışmalarda kesinlikle değişiklikler var. Bunların çoğu, endüstri ile işbirliğinden ve endüstrinin daha esnek olmasına yardımcı olan bu tür şeylerin birçoğundan kaynaklanıyor. Bence insanlar siber güvenliğe birkaç yıl öncesine göre daha fazla inanıyor. Ve böylece, tüm bu şeyler birlikte bizi iyi bir yere getirdi.

Bir süredir halk sağlığı alanındaydım ve uzun süredir pandemilerle savaşıyoruz. Bu bizim için yeni değil. Ve pandemilerle savaşıyorduk, H1N1'in - pandemi olduğunu düşündüğümüz - vurduğunu hatırlıyorum. Çok az şey biliyorduk. Ve bilirsiniz, o zamanlar aslında söylediğimiz şey, BT sistemleri bunu kaldıramadığı için tam bir uzaktan çalışma veya uzaktan çalışma duruşuna geçemeyeceğimizdi. 12 yıl ileri sardık ve başardık. Bunu yalnızca buluta geçiş nedeniyle değil, birçok şey bizi bugün olduğumuz yere getirdi.

Bu yüzden, şimdi ile NotPetya'ya baktığımızda, bunun bir kısmı gerçekten hem rakip taraftaki değişiklikler, hem de bizim tarafımızdaki değişiklikler ve ortaklık ve ilişkideki değişiklikler. Shields Up, öne eğilip sektör ortaklarıyla hem sınıflandırılmış hem de sınıflandırılmamış düzeyde çok daha fazla bilgi paylaşabildiğimiz harika bir örnek. Oradan nasıl bilgi alacağız? İnsanların orada yayınladığımız bilgilere güvenmesini nasıl sağlarız?

Günün sonunda amacımız, her gizli belgeyi herkese ulaştırmak ya da herkesin güvenlik izniyle aklanmasını sağlamak değil. Bu bilgiyi asla zamanında elde edemeyiz. Bilgiyi, insanların gerçekten kullanabileceği şekilde dışarı çıkarıyor. Yıllar içinde, bilgi paylaşımı konusunda bir tür mantra geliştirdim. Bana göre: Doğru bilgiyi doğru kişilere zamanında nasıl ulaştırırız? daha bilgili karar verme. Yani karar aynı olsa da, en azından daha iyi bilgilendirilir.

Ve bu olaya baktığımızda ve gördüklerimizi, oradan bilgi almak için mekanizmalara sahiptik. Ortaya çıkan bilginin kalitesine inanan insanlarımız vardı. Ayrıca öne eğilip çok fazla bilgimiz olmadığını söylemenin de bir değeri olduğunu düşünüyorum. Ve gerçekten eşsiz şeyler gördük. Gizli alandan podyuma oldukça hızlı bir şekilde - bazı durumlarda rekor sürede - alabileceğimiz birçok bilgiye sahiptik ve bunu insanların hangi eylemleri yapmaları gerektiğine dair karar vermelerini yönlendirmek için gerçekten kullanabildik. Bu yüzden güçlü ve etkili bir tepki olduğunu düşünüyorum.

Ama her şey işbirliği ve ortaklıkla ilgili, çünkü eğer kullanılamayacaksa bilgiyi oraya koyan sadece biz değiliz. Ve geri bildirimi alana ve bu sistemleri birlikte çalışmamıza izin verecek şekilde gerçekten inşa edene kadar, bunu değiştirmiyoruz. ulusal kritik altyapıya bakarken manzara.

Liseden mezun olan çocuklarıma bakıyorum ve insanlar "Oh, onlar çok siber bilgili” Ve değiller derdim - olduklarını teklif ederim teknoloji meraklısı. İki aylık olduklarından beri iPad'leri kullanıyorlar, ancak yine de şifreyi iPad'in arkasına veya klavyelerinin arkasına bantlıyorlar.

Fidye yazılımı konusundaki fikrinizi almak isterim. Yönetim bu konuda çok ciddileşti. Ve öyle oluyor ki, çoğunlukla şu anda birbirleriyle savaşan alanlarda merkezleniyor. Fidye yazılımlarla uğraşma yaklaşımınızı ve bunların bazılarını nasıl etkisiz hale getirdiğinizi merak ediyorum. Çünkü daha iyiye gitmiş gibi görünüyor…

için fişimi yapacağım fidye yazılımı sitemiz, burada bilgiyi oradan almak için her şeyi merkezi bir web sitesinde bir araya getirmeye çalıştık. Ama bence eğitime çok şey düşüyor. İnsanları, e-posta ile bir milyon dolar almayacağınızı öğretiyor - büyük bir kağıt çek alacaksınız, biri kapınıza gelecek ve zili çalacak. İnsanların potansiyel kurbanların kim olduğunu anlamalarına izin vermekle ilgili olduğunu düşünüyorum.

Sahibiz fidye yazılımının kurbanı olan küçük bir okul bölgesiyle ilgili bir olay. Numarayı aradılar ve "Paramız yok" dediler. Biz sadece bu küçük okul bölgesiyiz. anlamıyorsun."

Saldırganlar, “Hayır, ne kadar paranız olduğunu biliyoruz. Banka hesap özetleriniz elimizde. Ne kadar sahip olduğunu biliyoruz. Ve ne kadar ödeyebileceğinizi biliyoruz ve sizden istediğimiz şey, bankada ne kadar paranız olduğuyla oldukça orantılı. Yani her şeyi almıyoruz, biraz bir şey bırakıyoruz. Ama aslında bizim istediğimiz de bu.”

Ve okul bölgesi, “Eh, Bitcoin istiyorsun. Bunu nasıl yapacağımı bilmiyorum.” 

“Bir yardım masamız var. Bitcoin almanıza yardımcı olabilecek 14 farklı dilde yardım masalarımız var. Peki size nasıl yardımcı olabiliriz?”

Bu yüzden bence fidye yazılımlarıyla insanların güvenlik açıklarını, riskleri, hedeflerin kim olabileceğini anlamalarına izin vermemiz gerekiyor. yapılacak işlemler [bkz. CISA ortak danışma belgesi 2021 Fidye Yazılım Eğilimleri]. Ve parasal etki. Fidye yazılımı saldırıları ve gördüğümüz diğer tür şeylerle, insanlar bireysel kullanıcılar. Ama aynı zamanda insanların dikkat etmeye başladığını da düşünüyorum. Bence insanlar her şeye tıklamamaya başlıyor.

I do pandemiler ve artan fırsat potansiyeline sahip olduğumuz bu tür şeyler hakkında endişelenmek. Veya gelen kutusunda 300 e-posta bulunan ve bu tür şeylerin kurbanı olan ve onları geçmesi gereken biri. Ve bu yüzden baskıyı devam ettirmemiz gerekiyor. Mesajlaşmayı sürdürmemiz gerekiyor. 

Ve genç neslin de bunu anlamasını sağlamamız gerekiyor. Çünkü lise öğrencimin gelen kutusuna bakmak gibi bir hata yaptım. Ve e-postalarını okuyup okumadıklarını bilmiyorum. Ellerinde ne var bilmiyorum… yüzlerce — yüzlerce — e-posta var. Nereden olduklarını ve nasıl aldıklarını bile bilmiyorum. Gelecek nesli daha iyi bir yerde olmaları için nasıl eğitiriz?

Günün sonunda amacımız, her gizli belgeyi herkese ulaştırmak ya da herkesin güvenlik izniyle aklanmasını sağlamak değil. . . . Bana göre: Doğru bilgiyi doğru kişilere zamanında nasıl ulaştırırız? daha bilgili karar verme.

Özel sektörde hükümetle nasıl daha iyi ilişki kurabileceğimizi ve işleri daha iyi hale getirmeye nasıl yardımcı olabileceğimizi anlamak harika olurdu. Çünkü bu, kazanamazsak hep birlikte kaybedeceğimiz takım sporlarından biri.

Bence en büyük şey bizimle etkileşim kurmak. Ortaklarla harika ilişkilerimiz var bildiğimiz. En büyük endişem, bir sürü ortağımız olması. bilmiyorum. Nerede olduklarını ya da oraya nasıl gideceğimizi bilmiyoruz. CISA büyüyen bir organizasyondur - ülke genelinde yaklaşık 500 kişilik bir saha gücümüz var ve bunu büyütmeye devam etmemiz gerekiyor - ancak 500 kişi bile kovada bir damla. Bu nedenle, nasıl ve kiminle ilişki kuracağımızı bilmemiz gerekir. İşte bu noktada endüstrinin yardımcı olabileceğini düşünüyorum, çünkü bu direnç çıtasını yükseltmemize yardımcı olabilecek doğru ortaklarla bağlantı kurmamızı sağlayacak endüstri katılımı için çok daha fazla fırsat var.

Ve sonra bizi dürüst tut. Bizi dürüst tut ve eğit. Biliyorsunuz, birçok ilişkimizde gerçekten öne eğilmeye çalışıyoruz çünkü bence geçmişte endüstri ile nasıl ilişki kuracağımız konusunda çok fazla korku vardı: “Ne yapabiliriz?” "Ne söyleyebiliriz?" "Neyi söyleyemeyiz?" 

CISA'da artık gerçekten ileriye dönük ve bu etkileşimden korkmadığımız bir ekip kurduk. Evet, çizgiler var, ancak bu çizgiler içinde çok fazla enlemimiz var. Biz gerçekten o korkulukların içinde kalmaya çalışıyoruz – çarparak uçurumdan aşağı inmek istemiyoruz – ama o korkulukların içinde kaldığımız sürece iyiyiz.

Bu yüzden bence en büyük şey bize bilmediğimizi söylemek. Ve bilmediğimiz çok şey olduğunu biliyorum. Ama bizi bunların ne olduğu konusunda eğitmek, yaptıklarımızdan veya yapmadıklarımızdan sorumlu olmamıza yardımcı olmak, gerçekten ilerlememize ve yapmamız gereken önemli sıçramaları yapmamıza yardımcı olacağını düşünüyorum.

4 Temmuz 2022'da yayınlandı