Video: The Latest in Cyber Attacks (Oktober 2024)
Howard Schmidt har gjort det hele. Han har håndteret sikkerhed for Microsoft og eBay. Han fungerede som særlig assistent for præsidenten og som cybersecurity-koordinator for regeringen. I øjeblikket er han partner sammen med den tidligere DHS-sekretær Tom Ridge i konsulentfirmaet Ridge-Schmidt Cyber. I sin egenskab af formand for International Advisory Board for Kaspersky Labs dirigerede han et fascinerende panel om målrettede angreb og cyberspionage på det nylige topmøde i Kaspersky Cybersecurity.
De andre paneldeltagere bragte viden og erfaring fra forskellige brancher. Fred Schwien, direktør for Homeland Security-programmer og -strategi, Boeing Company, skal håndtere sikkerhed på alle niveauer, startende med forsyningskæden. (Schwien spøgte, "Min løncheck er knyttet til antallet af breve i min titel.") Joe Sullivan, Facebooks CSO, bekymrer sig naturligvis mere om det elektroniske område. Eugene Kaspersky afslutter panelet og er grundlægger, formand og administrerende direktør for den globale sikkerhedsgigant Kaspersky Lab. Jeg kan ikke rapportere om hele den omfattende diskussion, men jeg vil slå højdepunkterne.
Schmidt: "Når vi ser på spørgsmålet om forsyningskæde, så er Fred i din forsyningskæde alt. Du har nitter, motorer, sæder, ting, der er meget kritiske for din virksomhed og regeringen. Hvordan ser du forsyningskæden i din kritiske infrastrukturverden?"
Schwien: "Jeg kan godt lide at sige, at den nye 747 er seks millioner dele, der flyver i formation. Vi arbejder hårdt for at sikre kæden, for at sikre, at tingene skabes til spec og ikke ødelægges. Vi har en ugentlig gruppe, der er specifik for forsyningskæden. " Schwien fortsatte med at uddybe de mange måder, luftfartsselskaber og offentlige agenturer deler information med, herunder klassificerede briefinger fra FBI, TSA og mere.
Schmidt: "Joe, Fred taler om stor infrastruktur, offentlige agenturer, transport. Hvad med Facebook? Jeg antager, at du har masser af leverandører, du er afhængig af, så det er et forsyningskæderemne. Hvordan håndterer du det?"
Sullivan: "Folk sætter deres tillid til os, så vi ser ikke kun på webstedet, men på ethvert område, der kan være sårbart. Vi tænker på fire ting, frontend, bagenden, vores ansatte og vores leverandører. Vi har en omfattende plan for hver, og vi stræber efter en konstant forbedringstilstand. " Sullivan bemærkede, at da Facebook tilføjede en fejl i bugs for sårbarheder på serversiden, fik de værdifuld indsigt fra forskersamfundet.
Schmidt: "Eugene, du har blogget om dette. En overtrædelse behøver ikke at være et frontalt overfald. Vi så en stor forhandler kompromitteret gennem en tilsyneladende uafhængig leverandør. Hvordan ser du og dit team på at arbejde med en forsyningskæde?"
Kaspersky: "Det er lidt kompliceret. Jeg repræsenterer ID-sikkerhed, og jeg er en paranoid. Virksomheder skal ikke kun tænke på deres egen sikkerhed, men også på deres leverandører. Det er ikke kun de virksomheder, der leverer dele til et stort firma som Boeing. Restauranterne, frokostrummet, de leverer en service. Forbindes de til dit netværk? Tilbyder du taxiservice? Har det Wi-Fi? Du skal tænke på alle direkte og indirekte leverandører. " Han fortalte en opdagelse fra Kaspersky Lab-forskere. Ved at kontrollere et firma, der udvikler SCADA-applikationer til kraftværker, opdagede de en bagdør. Den, der plantede den, fik fuld adgang til teknologien og muligheden for at ændre kildekoden. "Hvis din leverandør blev inficeret, kan du ikke stole på dine data længere, " sagde Kaspersky. "Det er gode nyheder for IT-sikkerhed, dårlige nyheder for resten af verden."
Schmidt: "Eugene, når du ser på hele verdens fodaftryk, blokerer du APT'er for Microsoft, Boeing, Facebook… Hvordan drager de små fyre fordel?"
Kaspersky: "Cyberkriminalitet er en anden historie. De vil have penge . De vil ikke dræbe dig eller ødelægge dit omdømme eller stjæle dine hemmeligheder. Hvis et lille firma blev ramt af cyberpionage, begik nogen en fejl."
Schmidt: "Joe, hvor lægger du din indsats mod at sikre forsyningskæden?"
Sullivan: "Vi ser på, om tredjepart kan opfylde offentliggjorte standarder, men det er ikke nok, og du kan ikke drage konklusioner baseret på virksomhedens størrelse eller alder. Vi har revideret en 15-personers virksomhed, der var virkelig sikker, fordi det var bygget med sikkerhed i tankerne. En anden sælger, en større finansiel institution, begrænsede adgangskoder til otte tegn, ingen specialtegn og ingen sondring mellem store og små bogstaver. Du kan ikke bedømme efter størrelse."
Schmidt: "Eugene, i ti år har vi hørt 'antivirus er død.' Er det sandt?"
Kaspersky: "Hvad er det, som Mark Twain citerer? Rygter om dens død er meget overdrevne. Antivirusunderskrifter findes, de er stadig vigtige, bare ikke de vigtigste. Ligesom sikkerhedsselen i din bil; du skal have det, men det er ikke den vigtigste del."
Schmidt: Fred, Tom Ridge nævnte sikkerhedsrelaterede regler. Disse findes her og i hvert land. Du kan være kompatibel, men alligevel være usikker. Hvordan håndterer du regler som en global virksomhed?"
Schwien: "Nogle gange kalder vi et fly et globalt mobilt industrielt kontrolsystem. Et fly, der hentede mig ved Newark, forlod fra Singapore og tog mig til Tel Aviv. Vi arbejder i miljøet for hvert land." Schwien bemærkede, at amerikanske regler ofte er den strengeste, guldstandarden, både for fysisk og cybersikkerhed. Han fortsatte med at citere general Keith Alexander, tidligere leder af NSA, om det amerikanske cyberforsvarshold: "Vi har det bedste hold i verden, men de er stadig i garderobeskabet."
Sullivan: "For at pakke sammen, har de største problemer med brug været trusler, der er helt nye. Underskrifter ville ikke have fungeret. Vi har brug for flere investeringer i sikkerhed uden for vores grænser, og når vi håndterer nye sårbarheder, er vi nødt til at udvikle nye måder at beskytte. Informationsdeling er nøglen."
Kaspersky: "Hvad skal gøres? Verden skal opdeles i tre kategorier, individuel, virksomheds- og kritisk infrastruktur. Vi har ikke brug for nogen regulering af enkeltpersoner, på Facebook-brugere. Men vi har brug for streng regulering af kritisk infrastruktursikkerhed. Virksomheder, de ' igen imellem. Vi har brug for uddannelse. Det vigtigste, vi har brug for særlig regeringsregulering til sikkerhedsofficerprøver. De skal bestå en paranoia-test! Dette vil ændre verden."
Der har du det. Beskyt forsyningskæden, sørg for, at vigtige sikkerhedsoplysninger deles, og sørg for, at alle sikkerhedsansvarlige klarer paranoia-testen. Publikumsmænd viste stor begejstring.
