Nitin Natarajan là phó giám đốc của CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng), và có nhiều kinh nghiệm trong không gian an ninh mạng, bao gồm giám sát cơ sở hạ tầng quan trọng cho Hội đồng An ninh Quốc gia Hoa Kỳ và Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ. 

Trong cuộc thảo luận này với đối tác chung của a16z Joel de la Garza (người trước đây là giám đốc an ninh tại Box, và đã lãnh đạo các nhóm bảo mật tại nhiều tổ chức tài chính), Natarajan giải thích tại sao bối cảnh mối đe dọa an ninh mạng đang phát triển đang buộc các tổ chức thuộc mọi quy mô - cũng như cá nhân - để trở nên hiểu biết hơn về không gian mạng. Anh ấy cũng đề cập đến một số chủ đề khác, bao gồm cách ngành công nghiệp và chính phủ có thể làm việc cùng nhau một cách tốt nhất để chia sẻ thông tin và giữ cho mọi người được bảo vệ.

Đây là phiên bản đã được chỉnh sửa của một cuộc thảo luận trực tiếp diễn ra vào tháng Năm. Bạn có thể nghe toàn bộ cuộc thảo luận dưới dạng podcast tại đây.

JOEL DE LA GARZA: Bạn và CISA nghĩ như thế nào về việc ưu tiên các mối đe dọa? Đó dường như là chìa khóa cho mọi thứ bạn đang cố gắng làm.

NITIN NATARAJAN: Khi chúng ta xem xét mức độ ưu tiên, chúng ta cần thực sự hiểu những rủi ro hệ thống đó là gì. Làm cách nào để chúng tôi có thể giúp kể câu chuyện về phân tích tác động theo tầng để mọi người có thể đưa ra quyết định đầu tư vào đâu và đầu tư vào những rủi ro nào để phòng vệ? 

Hoặc, làm thế nào để chúng ta nhìn nhận rủi ro như một chiếc ghế đẩu ba chân? Tôi nghĩ rằng chúng ta dành nhiều thời gian để nói về việc xác định rủi ro. Chúng tôi dành nhiều thời gian để nói về việc giảm thiểu rủi ro. Chúng ta quên rằng chặng thứ ba, mà đối với tôi là mọi rủi ro chúng tôi xác định và chúng tôi không giảm thiểu, chúng tôi chấp nhận. Và chúng tôi luôn chấp nhận một số rủi ro. Ý tôi là, tôi đã lái xe đến đây. Tôi bước lên sân khấu. Tôi đã mạo hiểm bằng cách đến đây. Tôi sẽ chấp nhận rủi ro bằng cách rời đi và có thể bị ngã.

Nhưng làm thế nào để chúng ta chắc chắn rằng chúng ta đang mở to mắt để đón nhận những gì chúng ta đang chấp nhận? Và làm thế nào để chúng ta hiểu được bối cảnh rủi ro đó và sử dụng nó để thúc đẩy mức độ ưu tiên của chúng ta? Và sau đó làm thế nào để chúng ta xem xét điều này trên 16 lĩnh vực quan trọng đang ở các cấp độ trưởng thành khác nhau?

Các ngành như lĩnh vực tài chính đã có lợi tức đầu tư có thể định lượng được từ việc đầu tư vào an ninh mạng, nhưng chúng ta có các lĩnh vực khác chưa đầu tư lâu hoặc nhiều vào lĩnh vực đó. Chúng tôi muốn có thể giải quyết rủi ro theo cách thừa nhận rằng mọi người ở những nơi khác nhau và điều đó nói lên các tập đoàn đa quốc gia lớn cũng như các doanh nghiệp nhỏ. Khi chúng ta xem xét các rủi ro trong chuỗi cung ứng, phần lớn rủi ro đó không nằm ở các tập đoàn đa quốc gia lớn, mà là ở các doanh nghiệp nhỏ đang tạo ra một mảnh nhỏ, một vật dụng quan trọng.

Vì vậy, ưu tiên đối với chúng tôi là một thách thức vì chúng tôi đang xem xét toàn bộ các ngành - theo chiều dọc và chiều ngang. Nhưng những gì chúng tôi muốn thử và làm là thực sự hiểu rủi ro hệ thống đó là gì.

Các phương tiện truyền thông và ngành công nghiệp bảo mật có xu hướng luôn nói về những mối đe dọa giống nhau. Một số điều quan tâm hàng đầu đối với bạn mà chúng tôi không nghe thấy hàng ngày là gì?

Tôi nghĩ mối đe dọa lớn nhất là sự tự mãn. Có rất nhiều lời bàn tán về kẻ thù là ai và kẻ thù trông như thế nào. Và làm thế nào để chúng ta tham gia? Nhưng điều tôi thực sự lo lắng là làm cho mọi người thực sự hiểu được khả năng họ trở thành nạn nhân và cách họ nhận thức được mối đe dọa trở thành nạn nhân của họ.

Những thứ như Hack đường ống thuộc địa và những sự cố khác đã giúp ích cho điều đó, nơi mà trước đây mọi người luôn nghĩ rằng “Tôi không thể là nạn nhân. Sẽ không có ai theo đuổi tôi: Tôi là một doanh nghiệp nhỏ, hoặc tôi là một khu vực nông thôn nhỏ, hoặc tôi là một trường học, còn bạn thì sao. Họ không lo lắng về tôi. Họ lo lắng về các Thành phố New York trên thế giới, họ lo lắng về các tập đoàn đa quốc gia lớn. " Tôi nghĩ những gì chúng ta đang thấy là mọi người có thể thấy rằng mối đe dọa là có thật đối với họ. 

Chúng tôi đã có một sự cố xảy ra với một khu học chánh nhỏ là nạn nhân của ransomware. Họ gọi đến số điện thoại và nói, “Chúng tôi không có tiền. Chúng tôi chỉ là một khu học nhỏ này. Bạn không hiểu. ” Và những kẻ tấn công nói, "Không, chúng tôi biết bạn có bao nhiêu tiền."

Bạn nghĩ thế nào về việc phá bỏ một số điều tê liệt hoặc tự mãn đó ở phía công chúng?

Tôi nghĩ đó là giáo dục. Nó khiến người tiêu dùng đặt câu hỏi. Vì vậy, nếu bạn đang đến một ngân hàng, chẳng hạn, ngân hàng có sử dụng xác thực đa yếu tố không? Bạn muốn tìm kiếm những loại khả năng đó, cũng như những gì tổ chức đó làm đối với thông tin cá nhân và tài nguyên của bạn, và giá trị ở đó là gì.

Tôi nghĩ rằng làm cho mọi người hiểu ngay cả những thứ như Internet of Thingsvà chúng tôi đang giới thiệu thêm rất nhiều lỗ hổng bảo mật trên thế giới là điều quan trọng. Ý tôi là, chúng tôi có tủ lạnh được kết nối với internet. Tôi không chống lại nó. Tôi không biết nó làm gì khác so với tủ lạnh của tôi. Nhưng tất cả những điều này đang mang lại những lỗ hổng mới. 

Hôm trước tôi đã nói đùa với ai đó rằng tôi sẽ rất thích quay lại với người cũ của mình Motorola StarTAC ngày. Chúng tôi đã đưa rất nhiều khả năng và công nghệ vào các thiết bị di động của mình. Nhưng cùng với đó, chúng tôi đã mang đến rủi ro. Và tôi không nghĩ rằng chúng ta đã dành đủ thời gian để nói về rủi ro, bởi vì chúng ta đang nói về kích thước pixel và khả năng chơi trò chơi.

Tôi nghĩ chúng ta cũng cần giáo dục thế hệ sau. Có thể cho rằng, tôi đã lạc lối. Tôi tin những gì tôi tin, bạn biết đấy, và làm thế nào để bạn thay đổi suy nghĩ của tôi? Nhưng tôi nhìn những đứa trẻ sắp ra trường trung học của tôi, và mọi người giống như, "Ồ, chúng thật hiểu biết về mạng. ” Và tôi muốn nói rằng họ không - tôi sẽ đề nghị rằng họ am hiểu công nghệ cao. Họ đã sử dụng iPad từ khi chúng được hai tháng tuổi, nhưng chúng vẫn dán mật khẩu vào mặt sau của iPad hoặc vào mặt sau của bàn phím.

Vì vậy, tôi nghĩ rằng chúng ta đã đánh đồng hiểu biết về công nghệ với sự hiểu biết về mạng. Chúng ta cần làm cho họ hiểu biết về mạng. Chúng ta cần xây dựng nó vào thế hệ tiếp theo để họ thực sự xây dựng nó vào cuộc sống hàng ngày của họ, cả về mặt cá nhân và nghề nghiệp.

Có những mối đe dọa nào mà chúng ta quá ám ảnh và có thể khiến chúng ta mất tập trung khỏi nguy cơ thực sự không?

Chúng tôi dành nhiều thời gian để xem xét ngắn hạn. Đó là bản chất, nó theo mặc định. Chúng tôi đang tập trung vào những gì ở đây và bây giờ, những gì ở phía trước của chúng tôi. Nhưng tôi không biết liệu chúng ta có dành đủ thời gian để nhìn về dài hạn hay không — nếu chúng ta thực sự, thực sự nhìn vào khả năng phục hồi sẽ như thế nào trong 5 năm, 10 năm, 15 năm nữa. Và tôi nghĩ đó là vì nó khó. Chúng ta không biết công nghệ sẽ ở đâu trong 5 hay 10 năm nữa, vì vậy rất khó để đánh giá vị trí cần tập trung. Vì vậy, chúng tôi tập trung vào những gì ngay lập tức phải đối mặt với chúng tôi.

Tôi nghĩ chúng ta cần dành nhiều thời gian hơn cho khả năng phục hồi lâu dài đó bởi vì để xây dựng nó sẽ mất nhiều thời gian. Khi tôi nhìn vào các giải pháp doanh nghiệp, hoặc trong chính phủ, rất nhiều những thứ đó là nỗ lực trong nhiều năm. Và thông thường, ít nhất là trong quá trình mua lại của chính phủ, vào thời điểm chúng tôi đã thiết lập phạm vi của mình và chúng tôi đã thực hiện việc mua lại, nó đã lỗi thời. Và chúng tôi chỉ bắt đầu lại chu kỳ.

Điều lớn nhất là tương tác với chúng tôi. Chúng tôi có mối quan hệ tuyệt vời với các đối tác mà chúng tôi biết. Mối quan tâm lớn nhất của tôi là có rất nhiều đối tác mà chúng tôi không biết.

Hãy nói về tình hình với Nga và Ukraine. Một trong những điều rất thú vị khi là một người quan sát thụ động là chúng ta đã không gặp phải tình trạng hỗn loạn như trước đây - Notpyetya và những thứ này được thiết kế và phát triển để phá vỡ Ukraine nhưng đã vượt ra ngoài và phá vỡ thương mại toàn cầu. Có vẻ như, trong lần lặp lại này, có ít thiệt hại về tài sản thế chấp hơn rất nhiều. 

Đó có phải là bởi vì chúng tôi vừa mới lên cấp và chúng tôi đang làm rất nhiều? Đó có phải là công việc của các tiêu chuẩn lái xe của chính phủ và cho mọi người biết? Bởi vì chúng tôi có Che chắn thông báo rằng rất nhiều hội đồng mà tôi tham gia và những người mà tôi làm việc cùng, đã rất nghiêm túc. 

Tôi nghĩ rằng điều này đã thay đổi trên nhiều mặt. Chắc chắn đã có những thay đổi với đối thủ và một số cách tiếp cận ở đó. Tôi nghĩ chắc chắn có những thay đổi từ phía chính phủ và công việc mà chúng tôi đã thực hiện trong vài năm để thực sự nâng tầm. Phần lớn điều đó là do sự hợp tác với ngành công nghiệp và rất nhiều thứ đã giúp ngành công nghiệp trở nên linh hoạt hơn. Tôi nghĩ rằng mọi người tin tưởng vào an ninh mạng hơn họ đã làm vài năm trước đây. Và, vì vậy, tất cả những điều đó cùng nhau đã đưa chúng ta đến một nơi tốt đẹp.

Tôi đã ở trong lĩnh vực y tế công cộng một thời gian, và chúng tôi đã chiến đấu với đại dịch trong một thời gian dài. Điều này không phải là mới đối với chúng tôi. Và chúng tôi đang chiến đấu với đại dịch, tôi nhớ khi H1N1 - thứ mà chúng tôi nghĩ là đại dịch - tấn công. Chúng ta biết rất ít. Và, bạn biết đấy, những gì chúng tôi thực sự đã nói hồi đó là chúng tôi không thể hoàn thành một công việc từ xa hoặc tư thế làm việc từ xa vì hệ thống CNTT không thể xử lý nó. Chà, trôi qua nhanh 12 năm và chúng tôi đã thành công. Chúng tôi đã thực hiện điều đó không chỉ vì quá trình chuyển đổi sang đám mây - rất nhiều thứ đã dẫn chúng tôi đến vị trí của ngày hôm nay.

Vì vậy, tôi nghĩ khi chúng ta xem xét NotPetya so với hiện tại, một phần của nó thực sự là cả những thay đổi về phía đối thủ, những thay đổi về phía chúng ta và những thay đổi về quan hệ đối tác và mối quan hệ. Shields Up là một ví dụ tuyệt vời mà chúng tôi có thể tiếp tục và chia sẻ nhiều thông tin hơn với các đối tác trong ngành, cả ở cấp được phân loại và cấp chưa được phân loại. Làm thế nào để chúng tôi lấy thông tin ra khỏi đó? Làm thế nào để chúng ta khiến mọi người tin tưởng vào thông tin mà chúng ta đưa ra ở đó?

Mục tiêu của chúng tôi vào cuối ngày không phải là đưa mọi tài liệu đã phân loại cho mọi người hoặc khiến mọi người được xóa bằng giấy thông quan an ninh. Chúng tôi sẽ không bao giờ đưa thông tin đó ra khỏi đó một cách kịp thời. Đó là đưa thông tin ra khỏi đó theo cách mà mọi người có thể thực sự sử dụng nó. Trong nhiều năm, tôi đã phát triển một loại thần chú về chia sẻ thông tin. Đối với tôi, đó là: Làm cách nào để chúng tôi đưa thông tin phù hợp đến đúng người kịp thời dẫn đến nhiều thông tin hơn quyết định. Vì vậy, mặc dù quyết định giống nhau, nhưng ít nhất nó được thông báo tốt hơn.

Vì vậy, khi chúng tôi xem xét sự kiện này và những gì chúng tôi thấy, chúng tôi có cơ chế để lấy thông tin ra khỏi đó. Chúng tôi đã có những người tin tưởng vào chất lượng của thông tin được đưa ra. Tôi cũng nghĩ rằng có giá trị khi nghiêng người về phía trước và nói rằng chúng ta không có nhiều thông tin. Và chúng tôi đã thấy một số điều thực sự độc đáo. Chúng tôi có rất nhiều thông tin mà chúng tôi có thể đưa từ không gian đã phân loại lên bục diễn ra khá nhanh chóng - trong thời gian kỷ lục, trong một số trường hợp - và thực sự có thể sử dụng thông tin đó để thúc đẩy mọi người đưa ra quyết định về những hành động họ nên thực hiện. Vì vậy, tôi nghĩ đó là một phản ứng mạnh mẽ và hiệu quả.

Nhưng tất cả là về sự hợp tác và đối tác, bởi vì không chỉ chúng tôi đưa thông tin ra ngoài nếu nó không thể được sử dụng. Và cho đến khi chúng tôi có thể nhận được phản hồi và thực sự xây dựng các hệ thống đó theo cách cho phép chúng tôi làm việc cùng nhau, chúng tôi sẽ không thay đổi điều đó quốc gia cảnh quan khi chúng tôi đang xem xét cơ sở hạ tầng quan trọng.

Tôi nhìn những đứa trẻ sắp ra trường trung học và mọi người nói, "Ồ, chúng thật hiểu biết về mạng. ” Và tôi muốn nói rằng họ không - tôi sẽ đề nghị rằng họ am hiểu công nghệ cao. Họ đã sử dụng iPad từ khi chúng được hai tháng tuổi, nhưng chúng vẫn dán mật khẩu vào mặt sau của iPad hoặc vào mặt sau của bàn phím.

Tôi rất muốn nhận được sự tiếp nhận của bạn về ransomware. Chính quyền đã rất nghiêm túc về nó. Và nó chỉ xảy ra rằng nó chủ yếu tập trung vào các khu vực hiện đang chiến đấu với nhau. Tôi tò mò về cách tiếp cận của bạn để đối phó với ransomware và cách bạn có thể phá vỡ một số trong số đó. Bởi vì có vẻ như nó có thể đã tốt hơn…

Tôi sẽ cắm phích cắm của tôi cho trang web ransomware của chúng tôi, nơi chúng tôi đã cố gắng tập hợp mọi thứ lại với nhau trong một trang web trung tâm để đưa thông tin ra ngoài đó. Nhưng tôi nghĩ phần lớn phụ thuộc vào giáo dục. Nó giáo dục mọi người rằng bạn sẽ không nhận được một triệu đô la qua email - bạn sẽ nhận được một tờ séc giấy lớn, ai đó sẽ đến cửa nhà bạn và bấm chuông. Tôi nghĩ rằng việc cho mọi người hiểu nạn nhân tiềm năng là ai.

Chúng ta đã có một sự cố xảy ra với một học khu nhỏ là nạn nhân của ransomware. Họ gọi đến số điện thoại và nói, “Chúng tôi không có tiền. Chúng tôi chỉ là một khu học nhỏ này. Bạn không hiểu. ”

Và những kẻ tấn công nói, “Không, chúng tôi biết bạn có bao nhiêu tiền. Chúng tôi có bảng sao kê tài khoản ngân hàng của bạn. Chúng tôi biết bạn có bao nhiêu. Và chúng tôi biết bạn có thể trả bao nhiêu và những gì chúng tôi yêu cầu bạn khá tương xứng với số tiền bạn có trong ngân hàng. Vì vậy, chúng tôi không lấy đi tất cả mọi thứ, chúng tôi đang để lại một chút gì đó. Nhưng, thực sự, đây là những gì chúng tôi muốn ”.

Và khu học chánh nói, “Chà, bạn muốn có Bitcoin. Tôi không biết làm thế nào để làm điều đó ”. 

“Chúng tôi có một bàn trợ giúp. Chúng tôi có bàn trợ giúp bằng 14 ngôn ngữ khác nhau có thể giúp bạn kiếm bitcoin. Vậy chúng tôi có thể giúp gì cho bạn? ”

Vì vậy, tôi nghĩ rằng với ransomware, chúng ta cần cho mọi người hiểu các lỗ hổng, rủi ro, mục tiêu có thể là ai và những hành động cần thực hiện [xem tư vấn chung CISA Xu hướng Ransomware 2021]. Và tác động tiền tệ. Với các cuộc tấn công ransomware và với các loại thứ khác mà chúng ta đang thấy, mọi người hệ thống riêng biệt, người dùng. Nhưng tôi cũng nghĩ mọi người đang bắt đầu chú ý. Tôi nghĩ rằng mọi người đang bắt đầu không nhấp vào mọi thứ.

I do lo lắng về những thứ như đại dịch và những thứ mà chúng ta có tiềm năng cơ hội gia tăng. Hoặc ai đó có 300 email trong hộp thư đến của họ và chỉ cần lướt qua chúng, là nạn nhân của những thứ đó. Và vì vậy chúng tôi cần phải giữ áp lực. Chúng ta cần tiếp tục gửi tin nhắn. 

Và chúng ta cũng cần giúp thế hệ trẻ nhận ra điều này. Bởi vì, tôi đã sai lầm khi xem qua hộp thư đến của học sinh trung học của tôi. Và tôi không biết liệu họ có đọc email của mình hay không. Tôi không biết họ đã làm gì… có hàng trăm - hàng trăm - email. Tôi thậm chí không biết họ đến từ đâu hoặc làm thế nào họ có được chúng. Làm thế nào để chúng ta giáo dục thế hệ tiếp theo sống ở một nơi tốt hơn?

Mục tiêu của chúng tôi vào cuối ngày không phải là đưa mọi tài liệu đã phân loại cho mọi người hoặc khiến mọi người được xóa bằng giấy thông quan an ninh. . . . Đối với tôi, đó là: Làm thế nào để chúng tôi đưa thông tin phù hợp đến đúng người kịp thời dẫn đến nhiều thông tin hơn quyết định.

Sẽ thật tuyệt nếu hiểu được cách chúng ta có thể, trong khu vực tư nhân, tương tác tốt hơn với chính phủ và giúp mọi thứ tốt hơn. Bởi vì đó là một trong những môn thể thao đồng đội, nơi tất cả chúng ta cùng thua nếu không thắng.

Tôi nghĩ điều lớn nhất là gắn bó với chúng tôi. Chúng tôi có mối quan hệ tuyệt vời với các đối tác mà chúng tôi biết. Mối quan tâm lớn nhất của tôi là có rất nhiều đối tác mà chúng tôi không biết. Chúng tôi không biết họ đang ở đâu, hoặc làm thế nào để đến đó. CISA là một tổ chức đang phát triển - chúng tôi có một lực lượng thực địa trên toàn quốc gia với hơn 500 người, và chúng tôi cần tiếp tục phát triển điều đó — nhưng ngay cả 500 người cũng chỉ là một giọt nước tràn trề. Vì vậy, chúng ta cần biết cách tương tác và tham gia với ai. Và đó là nơi tôi nghĩ ngành công nghiệp có thể giúp đỡ, bởi vì có nhiều cơ hội hơn cho sự tham gia của ngành để giúp chúng tôi kết nối với những đối tác phù hợp có thể giúp chúng tôi nâng cao khả năng phục hồi đó.

Và sau đó giữ cho chúng tôi trung thực. Giữ cho chúng tôi trung thực và giáo dục chúng tôi. Bạn biết đấy, chúng tôi thực sự đang cố gắng tiến về phía trước trong nhiều cam kết của mình bởi vì tôi nghĩ rằng, trước đây, có rất nhiều nỗi sợ hãi về cách chúng tôi tham gia vào ngành: "Chúng tôi có thể làm gì?" "Chúng ta có thể nói gì?" "Chúng ta không thể nói gì?" 

Hiện tại, chúng tôi đã xây dựng một đội ngũ tại CISA thực sự có tinh thần hướng tới tương lai, nơi chúng tôi không sợ sự tham gia đó. Đúng, có những đường, nhưng chúng ta có rất nhiều vĩ độ trong những đường đó. Chúng tôi thực sự đang cố gắng cố gắng ở trong những lan can đó - chúng tôi không muốn lao qua và đi ra khỏi vách đá - nhưng miễn là chúng tôi ở trong những lan can đó, chúng tôi sẽ ổn.

Vì vậy, tôi nghĩ điều quan trọng nhất là nói cho chúng tôi biết những gì chúng tôi chưa biết. Và tôi biết có rất nhiều điều chúng ta chưa biết. Nhưng giúp giáo dục chúng ta về những điều đó là gì, giúp chúng ta có trách nhiệm với những gì chúng ta đang làm hoặc không làm, tôi thực sự nghĩ rằng sẽ giúp chúng ta tiến lên và tạo ra những bước nhảy quan trọng mà chúng ta cần phải thực hiện.

Đăng ngày 4 tháng 2022 năm XNUMX