ThreatTank -エピソード5 – ITの停止

ThreatTankの概要–エピソード5:グローバルなIT機能停止

Tom Gorup:最新の脅威インテリジェンス、脅威への対応、世界中のセキュリティ情勢に関する洞察をカバーするポッドキャスト、Threat Tankへようこそ。 君のホストのトム・ゴーラップエドジオの副社長だ
今日は最近注目されているIT障害に飛び込んで何が起きたのかその影響は何かそこから何を学べるのかを探っていく
今日の参加者はリチャード・ユーとマット・フライヤー。
ようこそリチャードマット

Matt Fryer：ここにいて嬉しい ありがとう

Richard Yew:また来てくれてありがとう。

（トム・ゴーラップ）またね Matt、Threat Tankに慣れていないので、あなたは誰なの? 自己紹介して

Matt Fryer : Happy to!マット・フライヤー私はFortinetのCISOアーキテクト
私のバックグラウンドはサイバーセキュリティの長い道のりであり、個々の貢献者がアプリケーションセキュリティに関するセキュリティオペレーションセンターで直接作業し、中間管理に至るまで、いくつかの異なる組織でセキュリティオペレーションのエグゼクティブであるCISOに至るまで。
それで私にはある種の経歴がある企業内でエンタープライズと直接仕事をしてる連邦政府と国防総省レベルの政府の仕事と同様に

（トム・ゴラップ）すごい あちこちで楽しそうだな

Matt Fryer :セキュリティに対するショットガンアプローチのようなものだ。 何でもするんだ

（トム・ゴラップ）特にここ10年はセキュリティ関係者が多いような気がするね 途中で色々なことを考えている

リチャードあなたはどう? 前にやったことがあるけど、うん。

Richard Yew:リチャードに紹介は要らないと言えるかなと思っていたけど、ここにいるよ。
ええ、リチャード・ユー、私はエドジオの製品管理担当副社長。
セキュリティポートフォリオの開発と成長市場戦略を担当しているほか、アプリケーションエッジコンピューティングやウェブパフォーマンス事業も担当している。

（トム・ゴラップ）すごい さて、再び、脅威タンクへようこそ。 きっと楽しいエピソードになるわ
話したいことがたくさんあると思う特にこれがあったこのイベントは1ヶ月近く前に起こった だからバックエンドについてもう少し詳しい情報を得て

しかし始める前に、私は私達のポッドキャストのすべてを質問から始めたい。 聞いている人にはこの質問が何なのかわからない 二人とも準備はいいか? 準備はいいか?

Matt Fryer :私はできる限り準備ができていた。

（トム・ゴーラップ）そう それはあまり問題ではなかった。 また行くつもりだった
では質問だ
君は今、想像を絶するほど世俗的な力を持つスーパーヒーローだ。
それは何であり、日を救うためにそれをどのように使用するか。

マット・フライヤー世俗的な超大国 だから我々は我々の日常的な超能力を定義することができる。 うん、見てみよう。
善良でありふれた超大国とは何か？ 分からない

トム・ゴラップ：できるかもね 呼吸する時酸素摂取量を最大化する

Richard Yew:わからないけど、お前らみたいにひげを生やしているだけだよ。 超能力だ

（トム・ゴラップ）ありふれたことでしょう？

Matt Fryer:加速とか

Richard Yew:これをどうするの? 世界を変えられる

Matt Fryer :そうだ。卵胞の成長を加速させることで、私は見栄えが良く、人々を操って善を行い、正しいことをし、悪いことをしないようにすることができる。 良いルックスを使って世界中に良いものを作ることができる。

Richard Yew:素晴らしい

（トム・ゴーラップ）そうね私の中のネアンデルタール人の一部なの 髪の毛が生えてくる

Matt Fryer :僕の中のアイルランド人だよ。

リチャード・ユー:ネアンデルタール人だよ 赤はネアンデルタール人のものだそうだ

Matt Fryer :赤とグレーがたくさん入っているね。 サイバーセキュリティが十分に長くなると色は灰色になり

（トム・ゴラップ）リチャードあなたの髭は ひげを生やしてるの? 私のような髭を生やしているあなたを想像してるのよ

リチャード・ユー： 私が髭を言った理由は髪について考えていたからだ普通の超能力は髪を同じように成長させて一定の長さで成長を止めることだそうすれば目が覚めて髪の心配をしなくて済むしカメラの電源を入れてやることもできるし髪の時間を30分節約できる うん、一度だけ。

Matt Fryer :そうだね。 強力だ 4つのカリックスがある それに対処するのがどれだけ難しいか知ってるだろう

（トム・ゴラップ）それはごくありふれたことだがそれでも役に立つ

Richard Yew:ええ 毎日同じ髪で目を覚ましたい。

（トム・ゴーラップ）そう 何を着ようとしているのか考えないようなものだ。 髪の毛を管理しなくてもよかった 髭をそらそうとした。 コロナ禍で剃ったけど、妻は本当に住民なんだ。 闘争は現実だ

リチャード・ユー(Richard Yew)服を着たままシャワーを浴びても濡れないこと そうだな

Matt Fryer :素晴らしい。 慰めを得る。 私は妻に髭を剃ると言った。 ひげを剃ろうと思ったのに 彼女の答えはこうでした「誰もあなたを信用しないからあなたは髭を生やしないで あごひげなしでは信用できない

（トム・ゴラップ）公平だね

リチャード・ユー(Richard Yew)今、あなたは私の気持ちを傷つけている。

(トム・ゴラップ)よし飛び込んでみよう それで何が起こったの?
CrowdStrikeがアップデートをプッシュして問題が発生したが、ここで起こったことの背景にもう少し詳細を説明すると?

Matt Fryer：いくつか問題がある。 だから、彼らは彼らのソフトウェアのアップデートを展開し、それはWindowsの特定のバージョンでうまく機能しなかった。 だから、すべてのバージョンではなく、確実に影響を受けなかったバージョンを実行している人々がいたが、それはWindowsに影響を与え、IT業界では死のブルースクリーンとして悪名高いものを引き起こし、実際にブルースクリーンの死を引き起こした特定のファイル入力を削除するために手動の介入を必要とした。 だから、実際に、アップデートを展開し、その過程で窓が割れたのは、何が起こったのかを1万フィートの視点のようなものだ。

Richard Yew:ええ、昨日、土壇場で宿題をしていて、RCA全体を読んでいた。 面白い。 それは本質的にセンサーを持っているような単純な間違いのようなものだが、本質的に単なる構成である高速応答コンテンツRRCもある。 しかし、配置は、例えば、21の入力を期待しているが、配置は20の入力しかない場合など。 何があったと思う? これを読もうとすると、カーネルのドライバがクラッシュする原因となっているメモリの問題が少しある。 つまり、そもそもなぜカーネルにあるのかということに取り掛かる。

トム・ゴラップ： だからRCAを読んでいた時は仕方がなかったが、それらは、ある種のGIFのようなパラメータを想像してみて、それは野生の中では、決して入れなかった、この損失パラメータ、つまり21のうち20の値だ、という感じだ。 一つのパラメータだけで、誰もが説明しているように、グローバルなIT停止が発生する。 それは私にとっては壮観だ。 要するに、これはCrowdStrikeエージェントがカーネルレベルで実行されている。だがそれをちょっと見てみよう。 そのレベルのアクセス権が必要か? 例えば? なぜカーネルにアクセスできるのか?

Richard Yew:マイクロソフトをこれに参加させたいのか?

（トム・ゴーラップ）そう つまり、あなたはしなければならない、右? この問題を抽象的に研究する時この数週間私が考えてきたことは誰が悪いのかということ 我々はこの問題を解決し始める。 CrowdStrikeの話をして、必要な21のパラメータの代わりに20のパラメータを持つアップデートをプッシュして、副産物はエージェントのクラッシュである。 ソフトウェアがクラッシュする それは起こる。 シグネチャを更新するとクラッシュソフトウェアが更新されるかどうか。 たぶん無理だ もっと厳しい試験があったはずなのか。 たぶんね でも今はその上でオペレーティングシステムをクラッシュさせているんだよね? 今ではマイクロソフトがその一翼を担っている。

Matt Fryer:では始めに戦略レベルからリスクレベルまで質問されたら誰が悪いのか？ 誰だ? 誰が本当に、あなたが起こったことのためにそれを絞り込むとき、そして簡単な答えはCrowdStrikeを非難することである。 誰もがする最も簡単な答えだ 「アップデートを押して全て壊した」 それは与える最も簡単な答えである。 正解ではないことが多い。 プロの意見から言うと戦略家の意見から言うとみんなのせいだよね? 私がCrowdStrikeなら、週の終わりにアップデートをグローバルにプッシュするのか段階的なアプローチはしない。 環境を運用している個人として、環境の可用性を考慮せずに考慮しているか？ サプライチェーンに完全に依存し、サプライチェーンが混乱を引き起こす可能性のある問題をサプライチェーン内に生み出しているか？ 私のサプライチェーン管理プログラムの一部として考えてはいけないのか？でもその一部がCISOやセキュリティ責任者として私に降りかかってきたから考えてはいけないのか？SolarWindsやMicrosoftやCrowdStrikeなど環境に混乱をもたらすような人がいることを考慮しなければならないのか？ それを克服するためのBCPか方法が必要である。 だから、おっと、ごめん、CrowdStrikeが壊した。 全部君のせいだ。 それは答えではない。 規制の観点から言えば規制機関が組織や企業に介入して指示し公平な競争条件を作るためにどのように運営する必要があるか？ これについては少し準備することもできるが企業に対して公平な競争条件を定めている規制機関があれば穴を開けることになる 不注意だ 悪意はないが、自然に穴を開けている。 では、この質問をするとき、なぜカーネルにアクセスできるのか? 少し調べてみれば理由が分かるだろ? 簡単な答えは彼らに選択肢がなかったこと それは規制機関からの指示だったので、彼らにそれを渡さなければならなかった。

Richard Yew:そうだね、すべては反競争法に帰着すると思うよ。 例えば、WindowsにはWindows Defenderがあり、まるでDefenderだけがカーネルにアクセスしてカーネルドライバをインストールできるようになっているかのように、Windows Dependerには不公平な利点がある。 自由市場競争のためにね。 他のセキュリティプロバイダーがアクセスできるようにする必要がある。 しかし、私はここで私の技術的な帽子から技術的な観点から行くつもりであるように。

トム・ゴラップ：それに黒もある それは良かった うん、左手の白いもの…

Richard Yew:でも白いやつを手に入れたよ!
だから、何が起こったかというと、専門家の意見に応じて、ということだった。 これらのセキュリティ機能の多くは、実際に機能を実行するためにカーネルレベルのアクセスを必要とする。 なぜマイクロソフトの方が優位なのか? 実は一歩下がってみんなの背景のためにね コンピューティングでは、普通は二つの相がある。例えば、通勤には二つの空間がある。 ハードウェアがソフトウェアと相互作用しているカーネル空間があり、それからユーザー空間がある。 これはあなたが知っているところであり、あなたのWindowsはあなたのプログラムをロードし、あなたのソフトウェアにあなたのゲームをインストールすることができ、あなたのMicrosoftの単語および何でも、それらはユーザー空間である使用できる。 それでいつも議論があるんだな? セキュリティサービスをカーネル空間にインストールすべきだ。それは最高レベルのアクセス権を持っているか、もっと最低レベルのアクセス権を持っているからだ。

(トム・ゴラップ)この場合はスクリーンゼロでしょう？

Richard Yew：新しいプロセスや脅威を生み出すマルウェアや悪意のあるファイルをディスクに書き込むマルウェアがあればそのレベルでそれを傍受し阻止できる だから危ない詐欺もあるんだよね。 したがって、この場合に示されるように、ドライバのクラッシュは起動に失敗した。つまり、エンドユーザーはそもそもユーザー空間に到達できないことを意味する。

Matt Fryer：単一の制御緩和戦略のために可用性を犠牲にしてきた。 カーネルアクセスが必要なのは悪意のある攻撃に対する深いレベルの検査を受けるからだ それは(Microsoft) Defenderの思考プロセスの一種であり、他の誰もがそうではない。 カーネルを監視する必要がある。なぜなら、もしカーネルに何か悪いことが起こったら、それを見なければならないから。 一歩下がってこう言いました「これが正しいアプローチなのか？」 あるいは、隔離と検疫は、安全と同様に可用性と公平な競争条件を作成するためのより良いアプローチである。 何か悪いことをしたら壊れてしまうからカーネルアクセスが必要なのか?
監視して隔離して隔離して欲しいんだもし問題があるなら私は悪いことを壊すつもりはない
意味があるのか?

（トム・ゴラップ）この会話も同じように受け止められる方向はいくつかあると思う 例えば、一つはマイクロソフトが署名した特定のドライバで、ある意味他のDLLを利用するように効果的に拡張された方法で書かれている。 実際にはシステムファイルではないと思うが、ドライバがパラメータ以外のファイルを実行している点では同等だった。 それが墜落の原因だ 私もそう思ってるの?

Richard Yew:そうだね。 正直なところ、いつも議論があって、CrowdStrike RCAのようにね。 彼らは、Windowsの新しいバージョンがユーザー空間でセキュリティサービスを実行するためのより多くの機能を提供するという事実をうまくほのめかした。 また、マイクロソフト社との協力を継続して、このセキュリティ機能をより多く移植できるようにしていく。 つまり、彼らはこれらをカーネル空間で走らせるのはおそらく面倒ではないと認識している。しかし、彼らに提供されている環境のせいでそうしなければならない。 彼らが効果的に活動するためには、彼らはそれをしなければならない。 しかし、もしまた、これが私たちがそれが誰のせいであるかを好む場所であり、あなたはこれが何であるか知っているか? このCrowdStrikesの欠点は、カーネル空間でのみ実行することを要求しているのか? 分からないだろ? しかし、それらすべてをユーザー空間に移植したいという願望は確かにあるようだ。 例えば、マルウェアが何を書いていても、同じレベルの検査と可視性を提供できるようにするためには、より高いレベルのプロセスが必要になる。 だから航空産業や安全コードのように血で書かれている この場合、プロセスの改善、セキュリティ機能のカーネルレベルからユーザ空間への移植の改善は、すべて停止して書かれているような気がする。

トム・ゴーラップ：そう、これは最も特権の低いモデルだ。 実際にはいくら必要なのか? 何ができるか? カーネルレベルにする必要があるものは何か？ でも私もこのことを考えていると思うんです先ほどの説明ではマットまるで安全保障文化のように感じられていた もっと可視性とアクセスが必要だ 私達はすべてのものを、常に見ることができる必要がある。 安全保障文化の観点から我々はこれを自分たちでやったのか？ ソフトウェアを追加するなどあらゆることを担当するエージェントを雇わなければならない

Matt Fryer：10年前の戦略家のような人たちと話をしていたほとんどの部分でLike Security Operationsに入るとき、彼らはすべてのログを欲しがっていた。 全ての記録のこと? このようなモデルがあります可能な限りのものを送ってもらう彼らがすぐにそれをする方法はないと悟るまで 分かるか? 全部持っていくんだ 不安を伴う文化がある 仕事ができるように全てのものにアクセスできるようにしてくれ 一歩も引かなかった ジュラシックパークの参考文献ではアクセスしたい 正しいのか? そのアクセス権を持つべきか? やるべきか? できるわけじゃないんだよね? 我々はセキュリティの文化ではなくそのことを理解し始めていて一歩下がって「アクセスが必要か？」 それを必要としない別の戦略があるのか? 別の方法でやれるだろ? もう一つの方法としては、もう少し安全になって、より良い可用性プログラムを作る、もしくは、もし問題が起きた場合の応答時間を改善する、という事。 いろいろな分析が行われている。 でも私たちは自分自身にそれをしてきた私たちがすべてにアクセスする必要がありその過程で自分のつま先を踏んでいるのならそうだろう？ これらすべてのものにアクセスできるようにしてくれないか? 一番単純な例えをしてくれ「ログを全部送ってくれ」 しかし、あなたのSIMに飛んでいる55ギガバイトまたはペタバイトのログを持っていて、それらをレビューしている6人しかいないので、30の異なる攻撃を逃した。

（トム・ゴーラップ）そう 目標違反だな?

Matt Fryer :そうだね。 お前は何でも欲しかったから俺達が渡したんだでもそれを使えなかったんだろ? だから一歩下がって自分に何ができるか理解し始めそれを分析して必要なアクセス権を取るかもしれない 少しずつ変化が見えてきた 君がいつも送ってくれた業界に対してセキュリティ業界は私に全てを与えてくれた 一歩退いて「必要なことはすべてできない」と言ったことはないなぜならそれを実現する技術も人もいないからだ

トム・ゴラップ：ええ、私が考えてきたことの一つは、証券についてだ。それは私の仕事の一部だし、セキュリティは単なるパッチだと思う。 結局のところセキュリティはパッチに過ぎない人間がやったことや間違った設定をしたことや間違ったリンクをクリックしたことやコードを書いたことなどセキュリティはパッチに過ぎない どうやって知るのか私が考えてきたのはゼロサム・バジェットの安全保障へのアプローチだ そこにあるものを利用して まず、これらのレイヤーをすべて追加し、ソフトウェアを追加し始める前に、何度も問題になっている。

Matt Fryer :経済を崩壊させて予算もなく最善を尽くす最善の方法を見つけ出す あなたが得たものは答えではない。 いい質問だ 5年前でさえ、セキュリティプログラムがITスタックを飲み込み始めたようなものだったと思う。 過去にもセキュリティには様々な分野がある それはまるで、私はSIMを実行し、IDSを実行し、IPSを実行し、アプリケーションセキュリティを実行し、ファイアウォールやその他のものを実行している。 ネットワークとセキュリティの融合を見ていると分かると同時に石油と水を十分に理解していると言っているがネットワークとセキュリティの融合やITとセキュリティの融合が見えてくるのはITが何をしているのかもっと食い物になっているのはセキュリティを確保しなくてはいけないと感じているからだ どんどん時間がかかっていくのを見ている 結局は一つのグループになるんだろ? 一つのプラットフォーム、一つの組織になろうとしているだけだろう? 十分に長く与えればこうなるだろう でも一つの問題を解決するには個々の技術や個人が必要だと言うのをやめたらこういったことを行う様々な技術の層を常に持つ必要性から離れていくことになるでしょう 1つの技術で1つの問題を解決しようとしているから 私たちは長い間それをしてきた業界は私たちにそれをしてきたよね? 1つのテクノロジーを販売するベンダーが存在する。 それが彼らのすることだ。 彼らは最高の中で最高だ。 それ買って行こうか? しかしその成果として今後5年以内にはセキュリティプログラムがこう言ってくるでしょう「もうやめてプラットフォームを作ろう」 100個の問題を解決できるものが必要なんだ1つの問題を解決するのではなく そうすることで、セキュリティプログラムのレイヤーが減少する。 それと同時に私は支持していない テーブルを用意しておく 一つの喉を詰まらせるような精神性があるんだよね? 唯一の真実の源。 管理が容易になるところにスタックを絞り始めてるのか? 技術の一部を買うか、または1つの問題を解決するために1人を雇う考えはすぐに消えている。 多くのプラットフォーム形成や、複数の問題が発生しているチームビルディングが発生し始めている。 アプリケーションチームを持つ代わりにネットワークセキュリティチームを作り、アプリケーションセキュリティ、ネットワークセキュリティ、特定のネットワークサービスセキュリティチーム、リリースチームなどを一つのチームにまとめる。 みんなが協力して働くことでリスクだけでなく経済的なオーバーヘッドが減るから 様々な理由でレイヤーを減らすために起こっていることはたくさんある。 1万フィートで財政問題を解決する そんな風にすると安くなる。 そしてもう一つは、もう一つの大きな問題は効率性の問題だ。 一つのことをする大きなプラットフォームがあるとき、それをすることはより効率的になる。 一つのグループにたくさんの人がたくさん集まって作業していて、効率が上がる場合。

Richard Yew:プラットフォーム化と言えばそれは私の心の中でとても大切なものです皆さんが言っていたことと強く一致していると思うんです「DDoSパラドックス」という言葉があったのはご存知の通り 基本的に、可用性の問題を心配している組織があり、DDoS攻撃を受けることになる。 下りるのが怖いのね 品種プロダクトの最もよいのをあちこち買い始め、列車にそれらをデイジー鎖でつなぎ、あなたの原料すべてがそれを通って行くようにした。 そして結果的に起こったのはレイテンシーを加えて単一の障害点を加え専門化を加えてチェーン全体に複数のバスファクターを作ること そしてそれをするときに自己誘発的な停止が起こることになり、それから最初に解決しようとしている問題に戻る、そうだろう? 何層にもわたってセキュリティの中で物事がうまくいくような重層的なものになることがあるが意味を成さなければならない ある意味で建築されなければならない データを共有しなければならない。 同じコントロールペインにある必要がある。 冗長性を持ったチームが管理し、プラットフォームを構成するものを管理する必要がある。 そして私が本当に思うのは業界がどんどんその方向に向かっているのを目の当たりにしていくにつれそれはプラットフォームを作ることなのですそれは最善の品種を手に入れて変化を日付に結びつけようとするのではなく機能しない要件やプロセスをすべて作りだすことで事態が収拾されないようにすることなのだ それはすべて適切なプラットフォームと適切な人々を持っていること、そしてプラグインするための適切なソリューションが何であるかを見ることについてである。 私がElon Muskを引用するように知っている最初の場所でそれを必要としない、彼らは常に最初の場所に存在してはならない部分を最適化しないと言う最初の場所でそれを削除する。

Tom Gorup:ええ、最初に削除すべきだね。あなたもある種の良い点を持ち出すから。でも、グローバルなITの停止に戻るときは、CrowdStrikeについて話した。 マイクロソフトの過失か、マイクロソフトの過失か。 そこで私たちが話し始めたのはこれらのソリューションの設計者は失礼別の言い方をすればマイクロソフトとCrowdStrikeの顧客はリアルタイムで更新を行うためにライブ環境にCrowdStrikeを導入した つまり、ルートレベル、カーネルレベルのアクセス権、インターネットへのアクセス権を持つバイナリがあって、本番システム上で何でも実行できる。 プラットフォームについて考えているとき可用性や冗長性バックアップについて考えているときそれがどのように機能するのか？ どこに持っていくのか? どうやってこの問題を考えるのか？

Matt Fryer：セキュリティの分野ではテクノロジーにとらわれていることが多いと思う 本当に 我々は多くの時間を過ごすと思う 俺たちはそういう修行者なんだよな? ツールは物であり、私たちはしばしば、少なくとも私のキャリアを例に挙げると、私がツールに多くの時間を費やしたように、時間がかかった。 私はそれらを配置し、設計し、それらを保護し、それらを構築するのに多くの時間を費やした。 私はツールに多くの時間を費やしていたが、私のキャリアの中で、ツールから一歩離れて、これにも人とプロセスがあることを理解しなければならなかった。 だからツール自体に限って言えばまずツールから一歩離れて「プロセスの観点から見るとこの問題はグローバルなITの停止だ」と これはツールの問題なのか、それともプロセス中の人々の問題なのか。 それとも両方か? 私たちは多くの時間を費やしてきたと思うニュースやメディアや何が起こっているのかを見ている人々が何が起こったのかを話している時は特にね このCrowdStrikeのせいなのか、それともMicrosoftのせいなのか。 CrowdStrikeのテクノロジーがXYとZを行う理由は? 何人かの人々がそれについて話すのを見ている、それはプロセスの問題があるような、右? セキュリティプログラムの一部として、プロセスとポリシーに取り組み、物事を展開する方法を理解するインフォセックチームがある。 一度、理にかなったアーキテクチャとデザインを手に入れたら、それらのプロセスとポリシーが成熟するにつれて、アーキテクチャとデザインが関与し、適応し、克服する。 一方が他方から排他的であることはありえない グローバルなITシステム停止の中でテクノロジー自体から何を奪っているのか？ まずはプロセスポリシーとこの全体に起こった人々から始めなくてはいけないと思う CrowdStrikeがリリースしたときにプロセスに問題があったのか? 絶対に間違いなく テストの問題があり、QAの問題があり、プロセスがどのように実行されているかについてはリリースの問題があった。 承認の問題があったそれがどのようにして承認されたかそれがリリースされた方法で 顧客側では、手動での停止に対処するプロセスがないように。 君の設計と建築に欠陥があった サウスウエスト航空でない限り全てが依存しているなら

Tom Gorup: Windows 3.1は影響を受けなかった。 だから、南西は良かった。

Matt Fryer : Southwestは完璧な窓がここにあるように、私たちはより成熟している必要があると話している。Southwest Airlinesは未熟であることと、見つけることができる最古のソフトウェアを使用することで、より多くの問題を解決するという新しい基準を設定していた。 全部更新しないで大丈夫だよ

Tom Gorup: Deltaも、私が読んだ記事の一部やCrowdStrike、Delta、Microsoftの間で行ったり来たりしたことで非難されていたと思う。 結局のところこれは私たちに何かを失ってしまうものだと思うからね? 一般的に人間は存在していて私たちがすることすべてに人間の要素がある そしてその日の終わりにある女性の記事を読んでいた彼女と彼女の夫は休暇中だったそして彼らの休暇はデルタのキャンセルのためにさらに7日間延長された

Richard Yew:いい問題のようだね

（トム・ゴラップ）余裕があれば なぜなら、私も、その反応は、彼らのポリシーのようなものだった、一日に30ドル。 「よし一日30ドルで何を手に入れるんだ?」 マクドナルドは2人で30ドルもしたけど人間的な要素があるんだと思うんだ 例えば決断の副産物として影響を受けた個人について考えてみよう こういう動きをする時に考えるのか?

Matt Fryer:アトランタに家族の友人がいた アトランタは航空会社にとって重要なハブだ アメリカで一番大きい 彼女は飛行機を遅らせて2日間座っていても遅れていて「待ってられないよ」と言った レンタカーを借りに行こう みんなレンタカーを持っていたので、レンタカーはもうなかった。 彼らは今これらすべてを解明しようとしている 個人的なレベルに持っていくのは1回だけだ なぜならこういった決断をすると人々にどう影響するのか 迷子になってしまうこともあるし、これが世界的にも世界的にも大きな影響を与えることもある。 時々あなたはちょうど個々のレベルにそれを取り、あなたの人にそれを結婚して、「OK、私がこの決定をした場合、どのような影響と半分まあ、スージーは日前に空港で立ち往生することができるレンタカーを得ることができないかもしれない。 空港の床で寝て予定が変更されるのを待ってる なぜこんなことになったのか? それは我々がアップデートをプッシュする決定をしたか、我々のアーキテクチャや規制機関でフラットになる決定をしたからであり、誰もがカーネルにアクセスできるのは公平だと判断したからである。 または、あなたが知っている、これらの決定は、不注意に人に悪影響を及ぼすすべて。 なぜか考えたことは? 例えば、Everyoneにアクセスできるようになっているとか、カーネルにアクセスできるようになっているとか。 マイクロソフト社がDefenderを誰にでも配布するから公平にしないといけない 市場はそういう風にはいかないよね? 確かにディフェンダーを持っているだろうが、2本の手と9本の指でMicrosoftが嫌いな人はどれくらいいるだろう？ つまり、あなたの言うとおり、競争の場は平準化しているが、いずれにしても市場の半分はCrowdStrikeを買収していただろう。 CrowdStrikeにはカーネルへのアクセス権が必要だと? まあ、市場は、カーネルへのアクセス権があるかどうかにかかわらず、買いたいものを買うだろう。 君が正しいと思うことをするために人工的な対等な競技場を作っていると思う そして、すべての手段によって、それらはおそらくほとんどの場合である。 しかし、それを正しく行うことの悪影響を認識していない場合、あなたはそれによって影響を与える。 分かるか?

Richard Yew:ブログやRedditの投稿での会話のように誰のせいで何が起きたのか誰が悪いのか誰が悪いのか誰が悪いのかとか しかしこれまでのところ、私は費用について話す記事に出くわしていない。 つまり、どれだけの費用がかかるか、一人あたり何時間の時間をブートディスクに入れて、手動でアップデートを修正したり、それらの鍬を取り戻すのに。 でもそれはどうやって人々の影響を定量化するかというようなもので これは病院にも影響するし911救急サービスにも影響する それでいくらになるんだろう? これまでのところ正確な影響を把握するには長い時間がかかるだろう それをお金で定量化できるとは思えない 私はもちろん、訴訟や集団訴訟の量では、金銭的ドルがすべてに割り当てられていること、どれだけの配当があるか。 しかし、私は、寿命の損失の影響、潜在的な生命イベントは、潜在的に定量化できないと思う。 結局のところ正しいことをしなければ影響を与えているのはその人たちなのだ

トム・ゴーラップ：100%だよ。 だから、私は350万から800万台のコンピュータがこの更新の影響を受けたのを見た。 これは79分後のことだ それで、彼らは4:00 AM UTCのように更新を展開し、79分で800万台以上のコンピュータを停止した。 壮大なイベント。 何のために?

Matt Fryer :効率的だ。

トム・ゴラップ：新しいアップデートの展開 800万台のコンピュータに短時間で触れることができたのは驚くべきことだ。 ロールアウトは1分以内にこれらすべてをヒットしたようなもので、これらのマシンがオンラインになり始めた朝が過ぎた頃には、その影響があったと思う。 でもかなりのコストがかかる
では締めくくる前にもう二つ質問を
一つ目は、セキュリティへの影響、セキュリティ業界の評判がこれにどのような影響を与えたと思うか。 テクノロジーに新しいセキュリティツールを導入するために、エグゼクティブレベルの合意では、これ以上の躊躇が見られるだろうか。

Matt Fryer :巨大なものではないと思う。 大きな赤旗を手に入れると思う 人々はいつも「ああ恐ろしいことだね」と 私はたくさん本を読んで、あなたは多くの専門家を見ていると思う、このビジネスに十分に長い間携わってきた人々。 CrowdStrikeにどれだけのコストがかかりCrowdStrikeにどれだけ悪いか想像できるかCrowdStrikeにどれだけ悪いか話して それから小さな声が出てきてこう言うんです「でもクラウドストライクはあなたをどれだけ救ったんだろう?」 彼らは長い間存在していた 何年ぶりに一つの事件があったんだろ? マルウェアやランサムウェア、多くの侵害から多くの企業を救ってきた CrowdStrikeのおかげで多くのものが保存された。 迷子になることが多いけど忘れちゃうよね? だから、これらの技術の多くは、あなたが最後の侵害と同じくらい良いだけであるが、あなたは彼らの性質で非常に冷静なこれらの戦略家を得る。 これらの経営幹部の多くは、環境に対する激しいひざまずい反応を好まない。 CISOの多くは知らない「クラウドストライクが破られたすぐに破りにしよう」 何か悪影響があるかと思う。

トム・ゴラップ：イーロンがやったと思うよ。 イーロンのようなツイートを見たと思ってた

マット・フライヤー：イーロンは何十億ドルも持っているんだ 彼ならできる 変更するのは非常に高くつく 本当にそうなんだ 彼らが持っていたから技術を破ると言うのはとても高くつく セキュリティプログラムのサプライチェーンマネジメント側は新しいチェックをしなければならない 変化を見ることになるでしょうリスクやリスクの移転そしてサプライチェーンが引き起こしうるいくつかのことを強調すること 皆さんはおそらく何人かの重役たちが新しい契約を一歩引いてサプライチェーンから出てくるようになるでしょうこういった出来事やグローバルな出来事が起き続けているとき契約の中にリスクがあるという保証が必要だと思う 我々がセキュリティを使っても我々を傷つけないと思う人々は前回の侵入と同じくらい良いだけだ つまり、このようなサイクルが出来上がっていくのを見るようなもので、そこから1、2年かけて回復していくが、全体的には質的・量的な両方の効果があるだけだと思う。

Richard Yew:それは長い間あるんだよね？ いつも安全を守ろうとしてた 俺たちはかつてノーの組織だったんだろ? だから今はそれを描写してビジネスセキュリティとうまく連動させようとしているうまくできたらセキュリティはスーパーカーの良い強力な休憩のようなものだといつも言っているよね？ 急加速したり、速く動くことができる。だって、強くブレーキをかけることができるから。 だが今は明らかに信頼の問題があるだろう? それは役に立たないので、私達はいつも言う、ねえ、私達はビジネスを遅くするためにここにいるのではない。 我々はビジネスに複雑さや問題を加えるためにここにいるのではない。 でも明らかに信頼の問題が少しあるわあなたが言ったことでもあなたのツールが私に何をしたか見て セキュリティの必要性を変える人はいないと思う でも物語の助けにはならない人々の認識は私の人生を困難にしようとしているだけだ もちろん、セキュリティ以外の仲間に、プロセスを遅らせるためにここにいるわけではないと納得させるためにやるべきことはまだある。 君のしていることにノーと言うために来たんじゃない 速く走れるように助けに来た 私たちは、DEVSECOPSを実装し、安全なCI/CDパイプラインを作ろうとしている。なぜなら、初日より早くコードを書いてほしいからだ。 新しい警備のことで平手打ちする必要はないだろ? しかし、もちろん、この種の事件は私たちを少し後退させた。 しかし、私は業界が認識していると思う、セキュリティはビジネスを遅くしない意図があるものではないという事実は、たとえくだらないことが時々起こるとしても。

（トム・ゴラップ）素晴らしい ええ

Matt Fryer:最高のアナロジー、最高の言葉。 あなたが言っていたようにそれはちょっとスパークした。 トムは笑ってくれる 彼は微笑むだろう 私がいつも使ってきた格言がある特にオペレーションの面では我々の仕事を楽にするために ゆっくりと滑らかで速い

Tom Gorup:その通り。 滑らかさは速い。

Matt Fryer :それが一番簡単な方法だ。 速度を落とせばもっと速く動くだろう?

（トム・ゴーラップ）ええ最後の質問には素晴らしいセグだわ ここでゴムが道路と交わる場所だと思う
リチャードここから何を学べる? 何が改善できるのか？ 何を考えているのか？ ここから何が学べるのか？

Richard Yew:セキュリティとは誰もが利用できることで時間ではなく みんなの問題だ 特定のベンダーがあなたをダウンさせるからといって、他の人々が責任を負わないことを意味しない。 誰に指を向けるべきかということに戻るだろう? 言ったように全体論的だと思う 自分のプロセス、人、プロセス、テクノロジーについて考えてみて。 それはすべて手をつないでいく。 例えばマイクロソフトはなぜこんなことをする必要があるのか？ 最終的にはユーザー空間を介してこれらのことを宣伝する必要があり、このCrowdStrikeのように、より良いプロセスが必要である。 何百万人ものエージェントに接触するときの標準となるカナリアロールアウトを実装する必要があるか? では、企業は適切なプロセスを実装する必要があるのだろうか。 あなたがこの種の黙示録的な出来事を説明できるようにするために。 私にとっては、物事を一次元で見ることはできないということ。 行動の呼びかけがある場合、物事はリストとして見られなければならなかったあなたのサプライヤーとあなた自身の間の行動への共同呼びかけである必要がある。 マイクロソフトがただ真空で働くべきではない。 マイクロソフトはCrowdStrikeとその顧客と協力して、今後のレジリエンスを確実に構築する必要がある。

トム・ゴーラップ：大好き！ それは大きな教訓だと思う一緒に仕事をすること ベンダーがサイロ化していて、お互いに紹介されていないのをよく見かけて、それは本当に良い結果だ。
マットは?

Matt Fryer :ああ、そういう流れだと思うよ。 大きな行動の呼びかけは安全保障から一歩離れることではないと思う。 それはそれにもっと傾くための一歩のようなものだ。 こういったことが起こるのを見て私が奪ってしまうのは「最低の特権を持って人々がやっていることを削減し始めよう」とは思えない 私の反応じゃない 私の反応はこうです可用性の問題があるからそれに身を乗り出してみよう セキュリティとは何かという別のセグメントにもう少し踏み込んで問題を解決すること。 それが行動を促すきっかけになるのは一歩下がって自分のプログラムで何をしているのか理解することでしょう？ これはあなたに大きな問題を引き起こした何かであるか? 一歩退くべきかどうか? このようなことが起こったときに、私がより良い反応をするように、この三角形の他の部分について私のプロセスとポリシーの1つ。 私は誰かのBCPがゴミだったので私が私のキャリアを越えて得た3:00 AM電話のいくつかを言うことができない、右か。 そして皆を責める それは「ああ、それはそうだった、そしてそれはそうだった」というようなものである。 ああ、ヘルプデスクがリンクをクリックした。 神よ、男、私はそれを信じることができない。 2週間も落ち込んでる リンクをクリックしたのは彼らのせいだけど回復するのに2週間かかったわよね? だから私が思うにこれらの組織の多くにとって行動を起こす必要があるのは一歩下がってセキュリティの現状を分析し起こりうる状況に合わせて調整すること 常に起こる事がある みんなブラックハットを心配している ブラックハットが重要である。 今カーテンの後ろにいるブギーマンだ サプライチェーンが切れた ブラックハットがありサプライチェーンがあるもう一つの大きなブギーマンだ ベンダーは皆私のデータを売ろうとしてるかクラッシュしようとしてる 一歩下がって 行動の呼びかけは行くことだ。 私たちは毎年プログラムのレビューをするべきだ これが行動の呼びかけである。 あなたのプログラムの見直しをしなさい。 あなたのギャップがあるのであなたのギャップがどこにあるか見つけなさい。 信じようと信じまいとギャップがある。 一歩下がって見直すんだ よく見て理解して契約書を見て 法律家と親友になることがたくさんあるここで起こることがたくさんある。 逃げる気はない それは誰の解決策になるだろう。 私はパニック・ボタンの男じゃない トムは私がパニックボタンを叩くことがないことを知っていると思う。 パニック・ボタンを押した人は「クラウドストライクを撃て」 分析に感情が反応しただけだろう 廃棄物管理部門のCISOであるジェリッチはLinkedInで彼の記事を読んだんだけど彼は100%正しいと思った CrowdStrikeは多くの問題を解決したが、今は誰もそれを認識していない。 彼らはただクラウドストライク、悪者、悪者と言っているだけだ。 分析されている

トム・ゴラップ：
うん。 リチャードが前に述べたようにセキュリティは全ての人の問題であり組織のあらゆる部分それがITであれエンジニアリングであれセキュリティチームであれ人事であれ財務であれ誰もが参加して真剣に見ている必要があるように

さて、私たちはマークにいるawesome重いボール。 いい会話だったと思う あと45分は持っていけるけど二人には居場所があるのは知ってる

だから番組に出てくれて感謝してるマット もう一度ありがとうリチャード
聞いてくれてありがとう フロスティにいて