Restate aggiornati sulle minacce informatiche con le informazioni più recenti fornite dai nostri esperti di sicurezza.
Iscriviti subito per ricevere:
- Nuovi episodi di ThreatTank al lancio
- Attacchi di tendenza per settore
- Informazioni utili e strategie di risposta
- E di più!
An Introduction to ThreatTank – Episode 5: The Global IT Outage
Tom Gorup: Benvenuti in Threat Tank, un podcast che tratta le informazioni più recenti sulle minacce, la risposta alle minacce e le informazioni sul panorama della sicurezza in tutto il mondo. Sono il vostro ospite, Tom Gorup, vicepresidente dei servizi di sicurezza alla Edgio.
E oggi, ci immergeremo nella recente interruzione IT di alto profilo, esplorando cosa è successo, qual è stato l’impatto e cosa possiamo imparare da essa.
Oggi ci sono Richard Yew e Matt Fryer.
Benvenuto, Richard, Matt.
Matt Fryer: Felice di essere qui. Grazie per avermi invitato.
Richard Yew: Grazie per avermi invitato di nuovo qui.
Tom Gorup: Si’, di nuovo. Quindi Matt, visto che sei nuovo a minacciare Tank, chi sei? Presentatevi.
Friggitrice Matt: Felice! Matt Fryer, sono l’architetto CISO di Fortinet.
Il mio background è quindi un lungo percorso di cybersicurezza da parte di singoli collaboratori come project manager e programmatori che lavorano direttamente nel centro operativo di sicurezza sulla sicurezza delle applicazioni fino alla gestione intermedia fino al CISO, un dirigente per le operazioni di sicurezza in un paio di organizzazioni diverse.
Quindi, ho una specie di esperienza tra lavorare direttamente con l’impresa all’interno di una societa’, come pure il governo federale e il governo civile di livello DoD.
Tom Gorup: Così fantastico. Sembra un po’ divertente in tutto il posto.
Matt Fryer: È come un approccio alla sicurezza. Faccia tutto e basta.
Tom Gorup: Mi sembra che ci siano molte persone nella sicurezza, specialmente negli ultimi dieci anni, giusto? E’ un bel po’ di cose lungo la strada.
E Richard, che ne dici di te? So che sei già stato in passato, ma si’.
Richard Yew: Mi stavo chiedendo se puoi dire che Richard non ha bisogno di presentazioni, ma eccomi qui.
Si’, Richard Yew, sono il VP del Product Management di Edgio.
Sono responsabile degli sviluppi e della strategia di crescita del mercato per il nostro portafoglio di prodotti per la sicurezza, nonché delle applicazioni di edge computing e di una linea di business per le web performance.
Tom Gorup: Fantastico. Beh, di nuovo, benvenuto a Threat Tank. Lo sara’, penso che sara’ un episodio divertente.
Penso che abbiamo molto di cui parlare, specialmente questo, questo evento accadde, quasi un mese fa. Quindi abbiamo un po’ più di informazioni, un po’ più di dettagli sul back-end
Ma prima di iniziare, vorrei iniziare tutto il nostro podcast con una domanda. E per tutti quelli che ascoltano, non hanno idea di cosa sia questa domanda. Allora, siete entrambi pronti? Sei pronto per questo?
Matt Fryer: Ero pronto come uno.
Tom Gorup: Sì. Non importava davvero. Sarei stato pronto a ricominciare.
Allora, va bene, ecco una domanda.
Ora sei un supereroe con il potere più banale che si possa immaginare.
Che cos’è e come lo usi per salvare la giornata?
Matt Fryer: Superpotenza mondana. Quindi, dobbiamo definire la nostra superpotenza mondana. Si’, vediamo.
Cos’e’ un buon superpotere mondano? Non lo so.
Tom Gorup: Forse puoi. Quando si respira, si prende, si massimizza l’assunzione di O2.
Richard Yew: Non lo so, amico, voglio dire, solo essere in grado di far crescere la barba come voi. Voglio dire, e’ superpotere, amico.
Tom Gorup: È piuttosto banale, vero?
Friggitrice Matt: Come accelerare.
Richard Yew: Cosa ne fai di questa cosa? Posso cambiare il mondo, sai?
Matt Fryer: Sì, la crescita accelerata dei follicoli mi permette di avere un aspetto bello e manipolare le persone per fare il bene, fare il bene e non le cose cattive: Una freccia di informazioni e disinformazione. Puoi usare il bell’aspetto per creare cose buone in tutto il mondo.
Richard Yew: Fantastico.
Tom Gorup: Sì, fa parte del Neanderthal in me. Sai, solo i capelli crescono.
Matt Fryer: È l’irlandese in me.
Richard Yew: Questo è il Neanderthal. Il rosso viene da Neanderthal, così ho sentito.
Matt Fryer: È così che c’è molto rosso e più grigio in esso. Quando si ottiene la sicurezza informatica abbastanza a lungo, il colore va, si ottengono i grigi.
Tom Gorup: Quindi Richard, la tua sarebbe la barba. Ti fa crescere la barba? Sai, ti sto immaginando ora con una barba come la mia, come piantarla su di te.
Richard Yew: Vedi, come se il motivo per cui ho menzionato la barba fosse perché stavo pensando ai capelli come il mio superpotere più banale è quello di far crescere i capelli allo stesso modo e smettere di crescere a una certa lunghezza così posso semplicemente svegliarmi, non dovermi preoccupare dei capelli, accendere le telecamere e fare tutto quello che devo fare, non so, risparmiare 30 minuti di capelli. Si’, ci saro’ una volta.
Matt Fryer: Sì. È potente. Ho tipo 4 calici. Sa quanto sia difficile affrontare la cosa.
Tom Gorup: Sai, è piuttosto banale, ma comunque utile.
Richard Yew: Sì. Vorrei svegliarmi ogni giorno con gli stessi capelli.
Tom Gorup: Sì. E’ come non cercare di capire cosa indosserai. Tipo, se non dovessi gestire i miei capelli, sarebbe fantastico. Ho provato a radermi. L’ho rasata durante il COVID, ma mia moglie è davvero un abitante. Quindi la lotta è reale.
Richard Yew: Essere in grado di fare una doccia con i vestiti sopra e non bagnarli. Giusto.
Matt Fryer: È fantastico. Ottenere consolazione. Ho detto a mia moglie che mi sarei rasata la barba. La tua barba mi picchierà, ma stavo per radermi la barba. E la sua risposta è stata: Nessuno si fiderà mai di te, quindi devi tenere la barba. Non potete fidarvi di me senza la barba.
Tom Gorup: È giusto.
Richard Yew: Stai ferendo i miei sentimenti ora.
Tom Gorup: D’accordo, d’accordo, quindi saltiamo dentro. Allora, cos’è successo?
CrowdStrike ha pubblicato un aggiornamento che ha causato alcuni problemi e poi quando fornisco qualche dettaglio in più sullo sfondo di ciò che è successo qui?
Matt Fryer: Alcuni problemi. Quindi, hanno implementato un aggiornamento al loro software e non è stato eseguito bene con le versioni specifiche di Windows, giusto. Quindi, non tutte le versioni, c’erano sicuramente persone che eseguivano versioni che non erano interessate, ma interessava Windows e causava ciò che è notoriamente noto nel settore IT come la schermata blu della morte e richiedeva un intervento manuale per rimuovere effettivamente gli input di file specifici che causavano la morte di una schermata blu in modo che il sistema operativo effettivo funzionasse normalmente. Quindi, in realtà, ha implementato un aggiornamento e ha rotto Windows nel processo è una sorta di vista di 000 metri di quello che è successo.
Richard Yew: Sì, stavo facendo dei compiti all’ultimo minuto e ho riletto l’intera RCA ieri. È divertente. È come un semplice errore, come se si avesse un sensore, ma c’è anche un RRC di contenuti a risposta rapida, che è essenzialmente solo una configurazione. Ma le configurazioni, come quando si aspettano 21 ingressi, ma la configurazione ha solo 20 ingressi. Allora, indovina cos’è successo? Si prova a leggerlo, e ci sono alcuni problemi di memoria che causano un arresto anomalo dei driver del kernel. Voglio dire, scopri perché è nel kernel al primo posto.
Tom Gorup: Quindi, quando stavo leggendo la RCA, non ho potuto fare a meno di pensare a una specie di GIF di quel parametro ed è come se non ci fosse mai riuscito, sai, è come se fosse questo parametro di perdita, sai, 20 su 21. Solo un parametro causa interruzioni IT globali, come tutti lo descrivono. Questo, per me, è spettacolare. Quindi, al vostro punto, questo è l’agente CrowdStrike che viene eseguito a livello kernel, ma esaminiamo un po’ questo. Ha bisogno di quel livello di accesso? Tipo cosa? Perché ha accesso, credo, al kernel?
Richard Yew: Vuoi coinvolgere Microsoft in questo?
Tom Gorup: Sì. Voglio dire, devi farlo, giusto? Quando stai esplorando questo problema, come in modo astratto, questo e’ quello a cui ho pensato nelle ultime settimane, chi e’ la colpa, giusto? Cominciamo a risolvere questo problema. Parliamo di CrowdStrike, distribuiamo un aggiornamento che aveva 20 parametri invece dei 21 richiesti, byproduct è crash di un agente. OK, beh, il software si blocca. Succede. Un aggiornamento della firma dovrebbe bloccarsi nel software? Probabilmente no. Ci sarebbero dovuti essere test più rigorosi? Probabilmente. Ma ora stiamo mettendo in crash i sistemi operativi, giusto? Quindi ora Microsoft è nel mix.
Matt Fryer: Quindi, quando si inizia, quando la domanda viene posta direttamente da a, da un livello di strategia per da un livello di rischio, è come se ci fosse la colpa? Chi è chi? Chi lo è davvero, quando ci si limita a criticare per quello che è successo e, e la risposta facile è incolpare CrowdStrike. E’ la risposta piu’ semplice che tutti faranno. E’ come se, oh, beh, se spingi l’aggiornamento, rompi tutto. È la risposta più semplice da dare. Spesso non è la risposta giusta. Direi da un’opinione professionale, dall’opinione di uno stratega, che e’ colpa di tutti, giusto? Quindi, se sono CrowdStrike, faccio pubblicare aggiornamenti a fine settimana a livello globale senza, sai, un approccio graduale, solo una grande spinta che probabilmente non è il miglior processo al mondo. Come individuo che gestisce un ambiente, non prendo in considerazione e non prendo in considerazione la disponibilità del mio ambiente, giusto? Mi affido completamente alla catena di approvvigionamento e creo problemi all’interno della fornitura che consentano alla catena di approvvigionamento di creare interruzioni? Non penso che questo sia parte del mio programma di gestione della catena di approvvigionamento, ma non lo consideri perché parte di questo mi tocca come CISO o, o direttori della sicurezza per dire, ehi, come si deve tenere conto che si sta per avere SolarWinds o Microsoft o CrowdStrike o qualcuno che causerà un’interruzione nel vostro ambiente. È necessario disporre di un BCP o di un metodo per superarlo. Quindi non può essere solo, oops, scusa, CrowdStrike l’ha rotto. E’ tutta colpa tua. Non può essere la risposta. E dal punto di vista normativo, abbiamo organismi normativi che entrano e dettano alle organizzazioni, alle imprese come devono operare per creare condizioni di parità, giusto? E possiamo prepararci per un po’ di questo, ma quando ci sono enti normativi che dettano condizioni di parità per, sapete, l’impresa, si creano buchi. E’ inavvertitamente. Non e’ dannoso in alcun modo, ma stai creando dei buchi per natura. Quindi, quando si fa questa domanda, perché si ha accesso al kernel? Penso che se fai un po’ di scavo, scoprirai il perché, giusto? La risposta facile è che non avevano scelta. Lei ha dovuto darlo a loro perché questo era un dettato che è tornato dagli organismi di regolamentazione.
Richard Yew: Sì, penso che tutto si riduca alle leggi anticoncorrenziali. Quindi, ad esempio, parte di questo è che Windows dispone di Windows Defender come se Defender fosse l’unico che ha accesso al kernel per poter installare i driver del kernel, allora darebbe a Windows Depender un vantaggio ingiusto, giusto? Per poter competere sul mercato libero, giusto? Altri provider di sicurezza dovrebbero potervi accedere. Tuttavia, anche se ho intenzione di andare da una prospettiva tecnica dai miei cappelli tecnici qui.
Tom Gorup: Ed è anche nero. Bene. Si’, quello bianco nella sua mano sinistra…
Richard Yew: Ma ne ho uno bianco!
Quindi, quello che succede è che secondo le opinioni degli esperti, giusto. Molte di queste funzioni di sicurezza richiedono l’accesso a livello kernel per eseguire realmente le proprie funzioni. E si potrebbe sostenere che, ehi, perché è solo più da parte di Microsoft? A dire il vero, per fare un passo indietro, sai, solo per gli scopi precedenti di tutti, giusto? Sai, nel computing, di solito, ci sono due fasi, come due spazi nei pendolari. C’è uno spazio kernel in cui l’hardware interagisce con il software e poi c’è uno spazio utente. È qui che si sa, Windows carica i programmi, è possibile installare i giochi sul software, le parole Microsoft e qualsiasi altra cosa e possono utilizzare questo è lo spazio utente. Quindi c’e’ sempre un dibattito, giusto? Ehi, dovresti installare i servizi di sicurezza nel tuo spazio kernel perché ha l’accesso di livello più alto o più simile a quello di livello più basso, giusto?
Tom Gorup: In questo caso, schermo zero, giusto?
Richard Yew: Sì, si può vedere qualsiasi cosa se c’è un malware che sta accelerando nuovi processi e minacce o se avete un malware che sta scrivendo, sapete, file dannosi nel disco, siete in grado di intercettarlo e fermarlo a quel livello. E’ per questo che, comunque, c’e’ anche la truffa che e’ pericolosa, giusto? Quindi, come mostrato in questo caso, il blocco del driver ha causato un errore di avvio, il che significa che l’utente finale non sarà mai in grado di raggiungere lo spazio utente.
Matt Fryer: Avete sacrificato la disponibilità per una singola strategia di mitigazione dei controlli. Quindi, ehi, ho bisogno dell’accesso al kernel perché otterrò questo livello di ispezione profondo contro gli attacchi dannosi, giusto? Questo è il processo di pensiero di (Microsoft) Defender, non tutti gli altri, giusto? Ho bisogno di monitorare il kernel perché se succede qualcosa di brutto nel kernel, devo vederlo in modo da poterlo mitigare. E mi sento di fare un passo indietro e dire, beh, questo è l’approccio giusto? Oppure è l’isolamento e la quarantena un approccio migliore per creare condizioni di parità con la disponibilità e la sicurezza. Quindi, e’ come se ti servisse l’accesso al kernel perche’ romperai le cose se fai qualcosa di brutto, giusto?
Preferirei che lo monitorassi e poi lo isolassi e lo mettesse in quarantena se c’era un problema perche’ allora non sto rompendo cose cattive.
Ha senso?
Tom Gorup: Sì, penso che ci siano alcune direzioni diverse che potremmo prendere per prendere anche questa conversazione in quel modo. Come sapete, uno di questi driver è stato firmato da Microsoft, è stato scritto in modo da estendersi efficacemente fino a sfruttare altre DLL in un certo senso. Non credo che fossero in realtà file di sistema, ma erano equivalenti dove i driver ora eseguivano file al di fuori del suo tipo di parametri in un certo senso, giusto? Che e’ quello che ha causato l’incidente. E’ cosi’ che la capisco?
Richard Yew: Sì, qualcosa del genere. E’ davvero lì, c’e’ sempre un dibattito e, come si puo’ vedere CrowdStrike RCA, giusto? In un certo senso hanno accennato al fatto che la versione più recente di Windows fornisce più funzionalità per eseguire i servizi di protezione nello spazio utente. E continueremo a lavorare diligentemente con Microsoft per assicurarci di essere in grado di trasferire una maggiore quantità di questa funzionalità di protezione. Quindi, riconoscono che l’esecuzione di queste cose nello spazio del kernel non è probabilmente un bueno, ma devono farlo a causa dell’ambiente che è stato loro fornito, giusto? Affinché possano funzionare in modo efficace, devono farlo. Tuttavia, se ancora una volta, è qui che torniamo a gradire di chi è la colpa e sapete di cosa si tratta? È colpa di CrowdStrikes perché richiedono di eseguire solo questo nello spazio del kernel? Non lo sappiamo, vero? Ma sembra che ci sia sicuramente il desiderio di portare tutti questi dati nello spazio utente? Essere in grado di fornire lo stesso livello di ispezioni e visibilità, indipendentemente dal tipo di malware su cui viene scritto, ad esempio, i processi a un livello più elevato vengono eseguiti. Quindi, come le industrie aeree o qualsiasi codice di sicurezza è scritto nel sangue. In questo caso, ogni miglioramento dei processi, qualsiasi miglioramento del porting di funzioni di sicurezza da un livello kernel a uno spazio utente, è scritto con interruzioni, giusto?
Tom Gorup: Sì, è un modello meno privilegiato. Di quanto ha effettivamente bisogno? Cosa si può fare? Cosa deve essere a livello di kernel? Ma quando penso anche a questo, mi chiedo, sai, il modo in cui lo descrivevi prima, Matt, era quasi una cosa di cultura della sicurezza, giusto? Abbiamo bisogno di più visibilità, più accesso. Dobbiamo essere in grado di vedere tutte le cose, sempre. E sapete, ci siamo fatti questo da un punto di vista come la cultura della sicurezza? Dobbiamo coinvolgere agenti su tutto, come aggiungere altro software.
Matt Fryer: Quando si entra in operazioni di sicurezza simili per la maggior parte con cui si parla come gli strateghi 10 anni fa, volevano i registri di tutto. Intende i registri di tutto? C’e’ un modello per mandarmi tutto il possibile, finche’ non capirono subito che non c’e’ modo di fare tutto questo. Sapete cosa intendo? Stai prendendo tutta questa roba dentro. Allora, c’è questa cultura con l’insicurezza. E’ come se mi desse accesso a tutto per poter fare il mio lavoro. E non hai mai fatto un passo indietro. E il riferimento di Jurassic Park, giusto, e’ che volete l’accesso. Dovrebbe avere ragione? Dovrebbe avere quell’accesso? Dovrebbe farlo? Non e’ che tu possa, e’ giusto che tu abbia ragione? E non siamo mai una cultura della sicurezza, cominciamo a capirlo e cominciamo a fare quel passo indietro e andare, ok, abbiamo bisogno di quell’accesso? C’è un’altra strategia in atto in cui non ne abbiamo bisogno? Possiamo farlo in un modo diverso, no? Perché altrimenti, saremo un po’ più sicuri, creeremo un programma di disponibilità migliore o, sai, avremo tempi di risposta migliori se abbiamo un problema, giusto? Ci sono molte analisi diverse che vanno in questo. Ma CE l’abbiamo fatta a noi stessi al punto che se abbiamo bisogno di accedere a tutto e ci stiamo mettendo da soli nel processo, giusto? Mi dia accesso a tutte queste cose, giusto? Mi dia tutta l’analogia piu’ semplice che possa dare e’ come mandarmi tutti i registri, giusto? Ma hai perso 30 attacchi diversi perché hai avuto 55 gigabyte o petabyte di log che volano nella tua SIM e hai avuto solo sei persone che li esaminavano.
Tom Gorup: Sì. Quindi breccia nell’obiettivo, giusto?
Matt Fryer: Sì. Volevi tutto e te l’abbiamo dato, ma non potevi farne tutto perché non avevi la capacità di farlo, giusto? Quindi, fate un passo indietro e iniziate a capire cosa potete fare, analizzatelo e poi prendete l’accesso che vi serve. Quindi, cominciamo a vedere un po’ quel cambiamento, giusto? Mentre un’industria che ci ha sempre mandato tutto, l’industria della sicurezza mi ha dato tutto perche’ mi serve tutto. E non ha mai fatto un passo indietro per dire che non si può fare tutto quello che si deve fare perché non si dispone né della tecnologia né delle persone per farlo.
Tom Gorup: Si’, una cosa su quelle linee a cui ho pensato sono i titoli, sai, ed e’ una possibilita’ al mio lavoro, credo che la sicurezza sia solo una patch. In fin dei conti, la sicurezza è solo una patch per, sapete, qualcosa che l’umano ha fatto, una configurazione errata, un clic sul collegamento sbagliato, una scrittura di codice non valido; è la protezione è solo una patch. Come possiamo arrivare a voi sapete, una cosa a cui ho pensato e’ l’approccio a budget zero alla sicurezza. Sfruttando ciò che c’è. Innanzitutto, prima di iniziare ad aggiungere tutti questi livelli e ad aggiungere software aggiuntivo, che vediamo più volte sta diventando un problema.
Matt Fryer: Voglio dire, si fa crollare l’economia e poi non si ha alcun budget e si trova il modo migliore per fare il meglio che si può. Quello che hai non è la risposta. E’ una buona domanda. Penso che anche cinque anni fa fosse come se vedessimo che i programmi di sicurezza cominciassero a strapparsi più dello stack IT, giusto? E in molte, sai, vite passate, ho visto la sicurezza avere il loro segmento. E’ come, oh, beh, io eseguo la SIM, eseguo l’IDS, eseguo l’IPS, eseguo la sicurezza delle applicazioni, eseguo i firewall e altre cose. E quando lo scoprono mentre vedete questa convergenza di rete e sicurezza, e dico che conoscendo bene il petrolio e l’acqua che lo sono, ma state vedendo questa convergenza di rete e sicurezza che si unisce o IT e sicurezza dove LO state vedendo solo un po’ più di quello che sta facendo perché sentono di doverlo proteggere mentre lo stanno facendo, giusto? E stai vedendo che ci vuole sempre di più. E alla fine sarai solo un gruppo, giusto? Sarai solo una piattaforma, un’organizzazione di sicurezza IT, giusto? È così che sarà se lo dai abbastanza a lungo. Ma credo che una volta che smetti di dire che ho bisogno di una tecnologia individuale o di una persona per risolvere un problema, sia quando inizierai ad allontanarti da quel bisogno di avere sempre questi livelli di tecnologie diverse che fanno tutte queste cose, giusto? Perché stai cercando di risolvere un problema con un’unica tecnologia. E lo facciamo da così tanto tempo e l’industria CE lo sta facendo, giusto? Abbiamo fornitori che vendono una sola tecnologia. E’ tutto quello che fanno. Sono il meglio del meglio. Andiamo a comprarlo, giusto? Ma state vedendo come un risultato di questo nel e probabilmente vedrete che nei prossimi cinque anni inizierete a vedere organizzazioni, programmi di sicurezza dire, sentite, smetterò di farlo e inizierò a costruire piattaforme, giusto? Ho bisogno di qualcosa che risolva 100 problemi, non un problema. E facendo questo, quello che vedrete è una riduzione dei livelli di quel programma di sicurezza. E allo stesso tempo, non sono un sostenitore di questo. Preparerò io la tavola. C’e’, ho preso quella gola per soffocare un po’ di mentalita’, giusto? Un’unica fonte di verità. Stai iniziando a restringere molto la pila fino a dove diventa molto più facile gestire queste cose, giusto? L’idea di acquistare una tecnologia o di assumere una persona per risolvere un problema sta rapidamente scomparendo. Si sta iniziando a vedere un sacco di platform o un sacco di team building intorno a molteplici problemi che si verificano. Quindi, invece di avere un team applicativo, avrete un team di sicurezza delle reti che ha sicurezza delle applicazioni, sicurezza della rete, team di sicurezza dei servizi di rete, team di rilascio, tutto questo in un unico team. Perché la coesione di tutte quelle persone che lavorano insieme riduce, sai, non solo il rischio, ma anche l’overhead finanziario quando si tratta di tutto questo. Quindi, ci sono molte cose che stanno accadendo per ridurre gli strati per una moltitudine di ragioni. A 10.000 piedi, risolvere un problema finanziario. Diventa più economico se lo fai in questo modo. E poi l’altro, l’altro grande e’ un problema di efficienza, giusto? Quando una grande piattaforma fa una cosa, diventa più efficiente farlo. Quando un gruppo di persone lavora su un gruppo di cose diverse che diventano più efficienti.
Richard Yew: Sapete, come parlare di platformizzazione, è molto vicino e caro al mio cuore, penso che sia fortemente, sapete, in linea con quello che avete detto che, sapete, scopriamo che abbiamo questo termine, sapete, ai tempi, lo chiamavamo paradosso DDoS. In sostanza, avete un’organizzazione di cui siete così preoccupati, sapete, i vostri problemi di disponibilità, giusto, ottenere DDoSed. Hai così paura di scendere. Hai iniziato a comprare i migliori prodotti di razza qua e là, li hai incatenati in un treno e hai fatto passare tutta la tua roba. E poi, beh, quello che avete finito per accadere è che, aggiungete latenza, aggiungete un singolo punto di errori, aggiungete specializzazioni e creerete un fattore bus multiplo di quelli lungo la catena. E poi hai finito per avere interruzioni autoindotte quando lo fai, che poi torna ai problemi iniziali che stai cercando di risolvere al primo posto, giusto? Sapete, livelli di titoli, come se fossero livelli di sicurezza che fanno bene le cose, ma devono avere un senso. Devono essere architettati in un certo senso. Devono condividere i dati. Devono trovarsi nello stesso pannello di controllo. Devono essere gestiti dal team che dispone di ridondanza e gestiti in base a ciò che la rende una piattaforma, giusto? E penso davvero che, sai, mentre cominciamo a vedere sempre più il settore che si muove sempre più verso quella direzione, si tratta solo di creare una piattaforma in modo che invece di acquisire un prodotto migliore e cercare di capire come cambiare data e creare tutti questi requisiti e processi non funzionali solo per assicurarsi che questa cosa non vada male. Si tratta solo di avere le piattaforme e le persone giuste e di scoprire qual è la soluzione giusta da collegare. Non c’è bisogno che al primo posto si sa come cito Elon Musk, dicono sempre di non ottimizzare mai la parte che non dovrebbe esistere al primo posto, rimuoverla prima.
Tom Gorup: Sì, dovresti prima rimuoverlo, perché anche tu hai sollevato una specie di punto positivo, ma è quando torneremo a questa interruzione IT globale che abbiamo parlato di CrowdStrike. Sono responsabili di Microsoft, sono responsabili? E abbiamo iniziato a parlare qui è come se fossero gli architetti di queste soluzioni che, mi scusi, hanno detto in un altro modo, i clienti di Microsoft e CrowdStrike che hanno distribuito CrowdStrike in un ambiente live per eseguire aggiornamenti in tempo reale, giusto. Quindi, disponeva di un binario con livello root, accesso a livello kernel e accesso a Internet in grado di eseguire qualsiasi cosa desideri su un sistema di produzione. Quindi, quando pensiamo a una piattaforma e pensiamo alla disponibilità, alle ridondanze e ai backup, come funziona? Dove lo portiamo? Come contempliamo questo problema?
Matt Fryer: Quindi, penso che molte volte in sicurezza, ci piaccia davvero rimanere bloccati sulla tecnologia. Davvero. Penso che passiamo molto tempo. Siamo praticanti come se fosse dove viviamo, giusto? Lo strumento è la cosa e spesso, ci è voluto un po’, almeno quando usiamo la mia carriera come esempio, come ho passato molto tempo sugli strumenti, giusto? Ho impiegato molto tempo a distribuirli, progettarli, proteggerli, architettarli. Ho dedicato molto tempo agli strumenti e ci è voluto un po’ nella mia carriera per andare, Ehi, devo fare un passo indietro dagli strumenti e capire che c’è un popolo e un processo anche per questo, giusto? Quindi, penso che quando si tratta degli strumenti stessi, penso che prima dobbiamo fare un passo indietro rispetto agli strumenti e dire, OK, dal punto di vista delle persone in fase di processo, questo problema è l’interruzione globale dell’IT. Si trattava di un problema di strumenti o di un problema di persone in fase di elaborazione? O entrambe le cose? Perche’ penso che abbiamo passato molto tempo a concentrarci, specialmente quando guardiamo le notizie, i media e cosa sta succedendo, tutte le persone che parlano di quello che e’ successo. Stanno parlando di questo CrowdStrike è colpa di o è colpa di Microsoft? Perché la tecnologia di CrowdStrike fa XY e Z? Stai vedendo alcune persone parlarne, ma è come se ci fosse un problema di processo anche qui, giusto? Come parte del vostro programma di sicurezza, avete un team di infosec che lavora su processi e policy e che comprende come implementate le cose. Una volta che si dispone di un’architettura e di un progetto che ha senso e che l’architettura e il design coinvolgono e si adattano e superano man mano che tali processi e policy maturano. Quindi, uno non può essere esclusivo dall’altro. Quindi, quando diciamo, cosa stiamo togliendo alla tecnologia stessa in questa interruzione IT globale? Penso che dobbiamo iniziare prima con le politiche di processo e le persone che sono successe in tutta questa faccenda, giusto? Quindi CrowdStrike ha avuto un problema di processo quando l’ha rilasciato? Assolutamente, senza dubbio. Si è verificato un problema di test, un problema di controllo della qualità, un problema di rilascio per quanto riguarda il modo in cui è stato eseguito il processo. C’è stato un problema di approvazione su come quella cosa sia stata approvata per essere rilasciata nel modo in cui è stata rilasciata. E poi dal lato del cliente, come se non aveste un processo su come gestire interruzioni manuali del genere. Il vostro design e la vostra architettura erano imperfetti. Se aveste tutto totalmente dipendente, a meno che non foste Southwest Airlines, a quanto pare.
Tom Gorup: Beh, Windows 3,1 non è stato influenzato. Quindi, Southwest andava bene.
Matt Fryer: Sì, Southwest ha perfettamente le finestre come qui stiamo parlando di come dobbiamo essere più maturi e Southwest Airlines ha stabilito un nuovo standard per essere immaturi e utilizzare il software più vecchio che si possa trovare e risolvono più di un problema. Non aggiornare tutto, starai bene.
Tom Gorup: Beh, penso che anche Delta sia stato accusato di alcuni di questo, così come di alcuni degli articoli che ho letto e avanti e indietro tra CrowdStrike, Delta e Microsoft. Perche’ voglio dire, alla fine questo e’ a volte che penso che sia qualcosa che abbiamo perso su di noi, giusto? In generale, ci sono persone, umani, c’è un elemento umano in tutto questo, tutto quello che facciamo. E alla fine della giornata, stavo leggendo articoli di una signora, lei e suo marito erano in vacanza e la loro vacanza si prolungò di altri sette giorni a causa delle cancellazioni della Delta, giusto?
Richard Yew: Sembra un buon problema,
Tom Gorup: Forse se te lo potessi permettere. Perche’ anche io, sai, la risposta e’ stata qualcosa come la loro politica e’ come 30 dollari al giorno. E’ come, okay, cosa otterrai per 30 dollari al giorno? McDonald’s ti costa 30 dollari tra voi due in questi giorni, sai, ma c’è un elemento umano che credo perdiamo, come se ci perdessimo in questo tipo di strumento, strumento, strumento, risolvere questi problemi e poi dimentichiamo, per chi lo risolviamo? Come quello che davvero piace pensare a quell’individuo che è influenzato come sottoprodotto delle nostre decisioni. Lo contempliamo, sai, quando facciamo questo tipo di mosse?
Matt Fryer: Avevamo un amico di famiglia che era ad Atlanta. Se poteste immaginare quando e’ successo tutto questo e Atlanta, per quanto riguarda quelli che lavorano, se non lo sanno, Atlanta e’ un importante hub per le compagnie aeree, giusto? E’ uno dei piu’ grandi d’America. Quindi, in pratica ha fatto rimandare il suo aereo, si e’ seduta li’ per due giorni, e poi ha detto, ok, beh, non possiamo aspettare. Andiamo a prendere un’auto a noleggio. Beh, non c’erano più auto a noleggio perché tutti hanno preso un’auto a noleggio. Quindi ora stanno cercando di capire tutta questa roba. Quindi, un singolo che lo porta a un livello personale, giusto? Perché può diventare difficile quando si prendono queste decisioni dire, come può questo influenzare le persone? CE ne sono così tanti che puoi perderti e quanto può avere un impatto universale o globale. A volte devi solo portarlo a un livello individuale e sposarlo con A alla tua persona e dire: “OK, beh, se prendo questa decisione a quale impatto e mezzo bene, Susie può essere bloccata all’aeroporto prima che i giorni non siano in grado di ottenere un’auto a noleggio. Sta dormendo sul pavimento all’aeroporto aspettando che il suo volo venga riprogrammato. E perché è successo tutto questo? Perché abbiamo preso la decisione di inviare un aggiornamento o abbiamo deciso di diventare piatti nella nostra architettura o gli enti normativi hanno deciso che era giusto che tutti avessero accesso al kernel. O, sai, tutte queste decisioni che inavvertitamente hanno effetti negativi per la persona. E ci fermiamo mai a pensare al perché? E l’esempio piu’ semplice e’ come avere accesso a tutti, avere accesso al kernel chi lo aiuta, giusto? E’ come se dovessimo renderlo equo, perché Microsoft distribuirà Defender a tutti. Beh, non è così che funziona il mercato, giusto? Si’, avrei assolutamente Defender, ma posso contare su due mani e nove dita a quante persone non piace Microsoft, giusto? Quindi, e’ come se, aveste ragione, state livellando il campo di gioco, ma metà del mercato avrebbe comprato CrowdStrike comunque. Quindi, stai dicendo che CrowdStrike deve avere accesso al kernel, parità di condizioni? Beh, il mercato comprerà ciò che vuole comprare, che abbia o meno accesso al kernel. Penso che tu stia creando un campo di gioco artificiale per fare cose che pensi siano giuste. E poi, in ogni caso, probabilmente lo sono nella maggior parte dei casi. Ma non rendersi conto dell’effetto negativo di fare questo diritto, si impatta facendo questo. Sapete cosa intendo?
Richard Yew: Sai, come tutte le conversazioni, sai, nei blog e nei post di Reddit e io, sai, parlo di chi è la colpa, cosa succede, come chi è, chi è, chi sta andando peggio, qualsiasi cosa. Ma finora non ho trovato un articolo per parlare del costo. Voglio dire, quanto costa, quante ore a persona per andare, come mettere manualmente nel disco di avvio e sai, come correggere manualmente l’aggiornamento, per riportare indietro quelle zampe, giusto? Ma è come quantificare l’impatto delle persone proprio come il ritardo che si blocca. Voglio dire, questo sta influenzando gli ospedali, questo sta influenzando 911 servizi di emergenza, giusto? Con questo, qual è il costo, giusto? E’ come se, finora, sospetto che ci vorra’ molto tempo per capire esattamente l’impatto. E non credo che tu possa quantificarlo con i soldi, giusto? Ovviamente, io sono nella quantità di azioni legali o class action, quanto c’è un pagamento, giusto, che il dollaro monetario assegnato a tutto. Ma penso che l’impatto della perdita di vita, potenziale evento di vita che si verificherebbe con potenzialmente non quantificabile. E in fin dei conti, queste sono le persone che abbiamo un impatto se non facciamo le cose per bene.
Tom Gorup: Sì, 100%. Quindi, ho visto numeri che vanno da 3,5 milioni a 8 milioni di computer che sono stati influenzati da questo aggiornamento. E ricordatevi che è successo tra 79 minuti. Quindi, hanno lanciato l’aggiornamento alle 4:00 UTC e in 79 minuti hanno impiegato oltre otto milioni di computer, giusto? Evento spettacolare. Voglio dire, per cosa?
Friggitrice Matt: È efficiente.
Tom Gorup: Il lancio di nuovi aggiornamenti. Incredibile, sono stati in grado di toccare 8 milioni di computer in un periodo così breve. Penso che il lancio sia stato come se in un minuto fossero stati in grado di colpire tutte queste cose e poi, quando queste macchine hanno iniziato ad arrivare online, quando la mattina si è arrotolata, ecco dove l’impatto è stato. Ma si’, c’e’ un costo significativo.
Quindi, altre due domande prima di chiudere la faccenda.
Uno è quello che pensiamo che l’impatto sulla sicurezza, la reputazione del settore della sicurezza abbia avuto anche su questo. Quale altra esitazione vediamo o abbiamo visto nell’accordo a livello esecutivo per introdurre nuovi strumenti di sicurezza nella tecnologia?
Matt Fryer: Direi non enorme. Penso che tu possa prendere questa grande bandiera rossa, sai, in partenza. Alla gente piace sempre, ah, è così orribile, vero? Sai, ho letto molto e penso che tu stia vedendo molti professionisti, i ragazzi che sono stati in questo settore abbastanza a lungo. Io dico, oh, potete immaginare quanto sia costato CrowdStrike e quanto sia stato grave per CrowdStrike, bla, bla, bla, bla, e parlare di quanto sia grave per CrowdStrike. E poi hai le piccole voci che stanno uscendo dicendo, si’, ma quanto ti ha salvato CrowdStrike, giusto? Sono in giro da molto tempo. Hanno avuto un incidente in quanti anni, giusto? Voglio dire, hanno salvato molte aziende da molti malware, ransomware, molte violazioni. Molte cose sono state salvate grazie a CrowdStrike. Così spesso ci perdiamo, ma dimentichiamo di questo, giusto? Quindi, molte di queste tecnologie, siete buoni solo come l’ultima violazione, ma avete molti di questi strateghi che sono molto calmi nella loro natura. A molti di questi dirigenti non piacciono le gravi reazioni al ginocchio nei loro ambienti. Non conosco molti CISO che sono come, ehi, CrowdStrike è stato violato, facciamolo subito fuori, giusto? Penso che se ci saranno effetti negativi.
Tom Gorup: Penso che sia stato Elon. Sono abbastanza sicuro di aver pensato di aver visto un tweet che forse Elon ha fatto.
Matt Fryer: Quindi, mi piace Elon, lui ha solo miliardi. Può farlo. E’ molto costoso fare quel cambiamento. Lo è davvero. È molto costoso dire che sto per strappare una tecnologia perché CE l’avevano. Ora, il lato della gestione della catena di approvvigionamento del vostro programma di sicurezza ha appena una nuova cosa da controllare. Penso che vedrete dei cambiamenti e sapete, il rischio e il trasferimento del rischio, evidenziando, sapete, alcune delle cose che la vostra catena di fornitura può causare. Vedrete che probabilmente alcuni dirigenti fanno un passo indietro nei loro nuovi contratti mentre le cose si rinnovano e si estendono dalla loro catena di fornitura per dire, ehi, dobbiamo avere alcune garanzie da ciascuna di queste organizzazioni che state acquistando da questo quando questi eventi, questi eventi globali, quando queste cose continuano a succedere, dobbiamo avere alcune garanzie all’interno di questi contratti che il rischio, sapete, penso che vedrete molto di questo. Non credo che ci danneggi ogni volta che spendiamo tutta la nostra sicurezza e’ buona come l’ultima violazione. Quindi, è come se vedessi questo tipo di fare il ciclo e passeremo un anno o due a recuperarlo, ma penso che avranno un effetto sia qualitativo che quantitativo su di esso nel complesso.
Richard Yew: C’è un po’ di questo, sai, per molti anni, giusto? Abbiamo sempre cercato di farlo alla sicurezza. Eravamo l’organizzazione del no, giusto? Quindi, ora stiamo cercando di ritrarlo e lavorare bene con la sicurezza aziendale, quando fatto bene, diciamo sempre che la sicurezza è come una buona rottura forte su una supercar, giusto? Ti permette di accelerare velocemente e muoverti velocemente perché puoi frenare bruscamente, giusto? Ma ora ovviamente ci saranno dei problemi di fiducia, giusto? Perché non aiuta con il, diremo sempre, ehi, non siamo qui per rallentare un’attività. Non siamo qui per aggiungere complessità e problemi all’azienda. Ma ovviamente ci saranno un po’ di problemi di fiducia che, ehi, l’hai detto, ma poi guarda cosa mi ha fatto il tuo strumento. Beh, non e’ come, non credo che nessuno cambiera’ piu’ le cose come i bisogni della sicurezza. Ma non aiuta con le storie che la percezione che la gente abbia ancora che, ehi, questo tizio sta solo cercando di rendermi la vita difficile. Quindi, ovviamente, c’e’ ancora del lavoro da fare per cercare di convincere i nostri colleghi non addetti alla sicurezza che, ehi, non siamo qui per rallentare il vostro processo. Non siamo qui per dire di no a quello che stai facendo. Siamo qui per cercare di aiutarti a correre più veloce. Stiamo tentando di implementare DEVSECOPS e di disporre di una pipeline ci/CD sicura, perché vogliamo che tu codifichi più velocemente il primo giorno. Non c’e’ bisogno di dare uno schiaffo a nuove cose di sicurezza come dopo il fatto, giusto? Ma naturalmente, questo tipo di incidente ci fa tornare indietro un po’. Ma credo che le industrie riconoscano che, sapete, la sicurezza non è quella che le intenzioni di non rallentare l’attività anche se di tanto in tanto si verificano dei problemi.
Tom Gorup: È fantastico. Si’.
Matt Fryer: La migliore analogia, il miglior detto che puoi dare a questo. E ha scatenato un po’ come lo dicevi tu. E Tom sorriderà. So che sorriderà. C’e’ un detto che ho sempre usato, specialmente nel lato delle operazioni e per contribuire a creare un po’ di facilità in quello che facciamo. Lento è fluido e fluido è veloce.
Tom Gorup: Esatto. La fluidità è veloce.
Matt Fryer: È il modo più semplice. Ti rallenterò, ma ti muoverai molto più velocemente, vero?
Tom Gorup: Si’, e’ un ottimo seguito, direi, all’ultima domanda qui. E credo che questo sia il punto in cui la gomma incontra la strada.
Richard, cosa possiamo imparare da tutto questo? Cosa possiamo fare di meglio? A cosa pensiamo come a cosa? Cosa possiamo imparare da questo?
Richard Yew: Beh, quello che abbiamo imparato è che la sicurezza è la disponibilità aziendale di tutti, non il tempo. E’ un problema di tutti. Il fatto che un particolare fornitore ti faccia cadere non significa che altre persone non si assumano la responsabilità. E’ come a chi dovrebbe puntare il dito, giusto? Penso che, come ho detto, sarebbe olistico. Pensate al vostro processo, alle persone, al processo, alle tecnologie. Va tutto di pari passo. Perché Microsoft ha bisogno di farlo? Dovremmo promuovere queste cose attraverso lo spazio utente alla fine, come questo CrowdStrike deve avere un processo migliore. Hanno bisogno di implementare Canary lanciato, che dovrebbe essere uno standard quando si tocca milioni di agenti, giusto? Quindi, le aziende devono implementare il processo giusto? Per essere certi di tenere conto di questo tipo di evento apocalittico. Quindi, per me, è che non si possono guardare le cose in una sola dimensione. Le cose hanno dovuto essere viste come un elenco se c’è un invito ad azioni deve essere un invito congiunto ad azioni tra il fornitore e voi stessi. Non dovrebbe essere Microsoft semplicemente lavorare nel vuoto. Microsoft dovrebbe collaborare con CrowdStrike e i suoi clienti e assicurarsi che creino resilienza in futuro.
Tom Gorup: Adoro! Penso che sia un grande punto di partenza, sai, lavorare insieme di più. Spesso vediamo fornitori che lavorano in questi silos e non vengono presentati l’uno all’altro, e questo è davvero un ottimo risultato.
Che ne dici di te, Matt?
Matt Fryer: Sì, penso che sia un po’ sulla stessa linea, giusto. Credo che il grande appello all’azione non sia quello di allontanarsi dalla sicurezza. E’ una specie di passo per fare un passo piu’ duro. Penso che il mio “take away” quando vedo queste cose accadere non sia come, oh, amico, dobbiamo davvero, sai, fare il minimo privilegio e iniziare davvero, sai, a tagliare quello che queste persone stanno facendo, bla, bla, bla. Come se non fosse la mia reazione. La mia reazione e’, ok, beh, abbiamo un problema di disponibilità e facciamo un passo avanti, giusto? Si tratta di fare un po’ di più in un segmento diverso di quello che è la sicurezza e risolvere i problemi. Penso che questo sia il tipo di invito all’azione, e’ fare un passo indietro e capire cosa stai facendo con il tuo programma, giusto? E’ qualcosa che ti ha causato un grosso problema? Se il tuo passo indietro dovrebbe essere cosa? Uno dei miei processi e politiche intorno agli altri pezzi di questo triangolo per essere sicuro che quando accadono cose come questa, ho una risposta migliore. Non posso dirvi quante 3:00, ho ricevuto durante la mia carriera perché il BCP di qualcuno era spazzatura, giusto? E poi danno la colpa a tutti gli altri. E’ come, oh, e’ stato cosi’, e anche colpa. Ah, l’help desk ha fatto clic sul link. Dio, amico, non ci posso credere. Beh, sei a terra per due settimane. Beh, si’, e’ colpa loro se hanno fatto clic sul link, ma come e’ colpa loro che ti ci sono volute due settimane per riprenderti, giusto? Quindi, penso che l’invito all’azione per molte di queste organizzazioni, per noi come leader, per noi, per i fornitori stessi, sia di fare un passo indietro e analizzare come si fanno le cose nella sicurezza e di adattarle a quelle cose che accadono. Ci saranno sempre cose che accadranno. Sono tutti preoccupati per il black-Hat. Il black-Hat è il punto. E’ il bogeyman dietro il sipario in questo momento. E’ la catena di approvvigionamento fuori. C’è il black-Hat, c’è una catena di approvvigionamento e l’altro grande bogeyman. Tutti i miei fornitori stanno solo cercando di vendere i miei dati o stanno solo cercando di bloccarsi. Faccia un passo indietro, amico. Il vostro invito all’azione è quello di andare. Dovremmo tutti fare revisioni annuali del nostro programma. Questo è l’invito all’azione. Eseguire una revisione del programma. Scoprite dove sono le vostre lacune perché le avete. Che ci crediate o no, avete delle lacune. Fate un passo indietro e riesaminatelo. Guardatelo, capitelo, guardate i vostri contratti. Diventa migliore amico del legale. Ci sono molte cose che succederanno qui. Non credo di scappare. Sarà la soluzione di chiunque. Non sono un ragazzo di panico. Penso che Tom sappia che non sbatto mai sui bottoni di panico. Quindi, le persone che stanno colpendo il pulsante del panico vanno, amico, licenziano CrowdStrike. Penso che probabilmente stia solo rispondendo dalle emozioni all’analisi, giusto? Jerich, che è un CISO, credo per la gestione dei rifiuti, ho letto le sue cose su LinkedIn, e ho pensato che avesse ragione al 100%. CrowdStrike ha risolto molti problemi e nessuno lo sta riconoscendo in questo momento. Dicono solo CrowdStrike, sai, cattivo ragazzo, cattivo. E’ tipo, no, e’ analizzato.
Tom Gorup:
Si’. Penso che, come ha detto Richard prima, la sicurezza sia un problema di tutti e ogni parte dell’organo, che sia un IT, un ingegnere, sia il team di sicurezza stesso, le risorse umane e la finanza, come tutti devono essere parte di questo e prendere davvero un aspetto duro e duro.
Beh, siamo al bersaglio e’ una palla pesante fantastica. Penso che sia stata una bella conversazione. Probabilmente potrei continuare per almeno altri 45 minuti, ma so che avete entrambi dei posti dove stare.
Quindi, apprezzo che tu sia nello show, Matt. Ancora una volta, grazie, Richard.
Grazie per avermi ascoltato. Resta Frosty.
