Video: Vardebrenning 30. sep 2016 - protest mot langtidsplanen for Forsvaret (Oktober 2024)
Howard Schmidt har gjort alt. Han har håndtert sikkerhet for Microsoft og eBay. Han fungerte som spesialassistent for presidenten og som koordinator for cybersecurity for regjeringen. For tiden er han partner sammen med tidligere DHS-sekretær Tom Ridge i konsulentselskapet Ridge-Schmidt Cyber. I sin egenskap av styreleder for International Advisory Board for Kaspersky Labs dirigerte han et fascinerende panel om målrettede angrep og cyberspionasje på det siste Kaspersky Cybersecurity Summit.
De andre paneldeltakerne brakte kunnskap og erfaring fra ulike bransjer. Fred Schwien, direktør for Homeland Security Programs & Strategy, The Boeing Company, må håndtere sikkerhet på alle nivåer, og starter med forsyningskjeden. (Schwien spøkte: "Min lønnsslipp er knyttet til antall bokstaver i tittelen min.") Joe Sullivan, Facebooks CSO, bekymrer seg naturlig nok mer om det elektroniske riket. Eugene Kaspersky, som avrunder panelet, er grunnlegger, styreleder og administrerende direktør for den globale sikkerhetsgiganten Kaspersky Lab. Jeg kan ikke rapportere hele den omfattende diskusjonen, men jeg treffer høydepunktene.
Schmidt: "Når vi ser på forsyningskjeden, så er Fred, i din arbeidsforsyningskjede alt. Du har nagler, motorer, seter, ting som er veldig kritiske for virksomheten din og for regjeringen. Hvordan ser du forsyningskjeden i din kritiske infrastrukturverden?"
Schwien: "Jeg liker å si at den nye 747 er seks millioner deler som flyr i formasjon. Vi jobber hardt for å sikre kjeden, for å sikre at ting blir laget til spesifikasjoner og ikke blir ødelagt. Vi har en ukentlig gruppe som er spesifikk for forsyningskjeden. " Schwien fortsatte med å utdype de mange måtene luftfartsselskaper og offentlige etater deler informasjon om, inkludert klassifiserte orienteringer fra FBI, TSA og mer.
Schmidt: "Joe, Fred snakker om stor infrastruktur, offentlige etater, transport. Hva med Facebook? Jeg antar at du har mange leverandører du er avhengig av, så det er et forsyningskjeden problem. Hvordan takler du det?"
Sullivan: "Folk setter sin lit til oss, så vi ser ikke bare på nettstedet, men på alle områder som kan være sårbare. Vi tenker på fire ting, frontend, back end, våre ansatte og leverandører. Vi har en omfattende plan for hver, og vi streber etter en konstant forbedringstilstand. " Sullivan bemerket at da Facebook la til en feilbeløp for sårbarheter på serversiden, fikk de verdifull innsikt fra forskningsmiljøet.
Schmidt: "Eugene, du har blogget om dette. Et brudd trenger ikke å være et frontalt overgrep. Vi så en stor forhandler kompromittert gjennom en tilsynelatende ikke tilknyttet leverandør. Hvordan ser du og teamet ditt på å jobbe med en forsyningskjede?"
Kaspersky: "Det er litt komplisert. Jeg representerer ID-sikkerhet, og jeg er paranoid. Foretak må tenke ikke bare på sin egen sikkerhet, men også på deres leverandører. Det er ikke bare selskapene som leverer deler til et enormt selskap som Boeing. Restaurantene, lunsjrommet, tilbyr de en tjeneste. Kobler de seg til nettverket ditt? Tilbyr du taxiservice? Har det Wi-Fi? Du må tenke på alle direkte og indirekte leverandører. " Han fortalte om et funn av Kaspersky Lab-forskere. Ved å sjekke et selskap som utvikler SCADA-applikasjoner for kraftverk, oppdaget de en bakdør. Den som plantet den fikk full tilgang til teknologien, og muligheten til å endre kildekoden. "Hvis leverandøren din ble smittet, kan du ikke stole på dataene dine lenger, " sa Kaspersky. "Det er gode nyheter for IT-sikkerhet, dårlige nyheter for resten av verden."
Schmidt: "Eugene, når du ser på hele det globale verdensavtrykket, blokkerer du APT-er for Microsoft, Boeing, Facebook… Hvordan har de små gutta fordel?"
Kaspersky: "Cybercrime er en annen historie. De vil ha penger . De vil ikke drepe deg eller ødelegge omdømmet ditt, eller stjele hemmelighetene dine. Hvis et lite selskap ble rammet av nettpionasje, gjorde noen en feil."
Schmidt: "Joe, hvor satser du på å sikre forsyningskjeden?"
Sullivan: "Vi ser på om tredjeparter kan oppfylle publiserte standarder, men det er ikke nok, og du kan ikke trekke konklusjoner basert på størrelsen eller alderen på selskapet. Vi reviderte et 15-mannsfirma som var veldig trygt fordi det var bygget med sikkerhet i tankene. En annen leverandør, en stor finansinstitusjon, begrenset passord til åtte tegn, ingen spesielle tegn og ingen skille mellom store og små bokstaver. Du kan ikke bedømme etter størrelse."
Schmidt: "Eugene, i ti år har vi hørt 'antivirus er død.' Er det sant?"
Kaspersky: "Hva er det som Mark Twain siterer? Ryktene om dens død er sterkt overdrevet. Antivirusunderskrifter finnes, de er fremdeles viktige, bare ikke de viktigste. Som sikkerhetsbeltet i bilen din, må du ha det, men det er ikke den viktigste delen."
Schmidt: Fred, Tom Ridge nevnte sikkerhetsrelaterte forskrifter. De finnes her og i alle land. Du kan være kompatibel, men likevel være usikker. Hvordan takler du regelverk som et globalt selskap?"
Schwien: "Noen ganger kaller vi et fly et globalt mobilt industrielt kontrollsystem. Et fly som hentet meg på Newark dro fra Singapore og tok meg til Tel Aviv. Vi jobber i miljøet for hvert land." Schwien bemerket at amerikanske forskrifter ofte er den strengeste, gullstandarden, både for fysisk og cybersikkerhet. Han fortsatte å sitere general Keith Alexander, tidligere sjef for NSA, om det amerikanske cyberforsvarsteamet: "Vi har det beste laget i verden, men de er fremdeles i garderoben."
Sullivan: "For å pakke sammen, har de største problemene for bruk vært trusler som er helt nye. Signaturer ville ikke ha fungert. Vi trenger mer investering i sikkerhet utenfor våre grenser, og når vi skal håndtere nye sårbarheter, må vi utvikle nye måter å beskytte oss på. Informasjonsdeling er nøkkelen."
Kaspersky: "Hva må gjøres? Verden må deles i tre kategorier, individuell, bedrifts- og kritisk infrastruktur. Vi trenger ingen regulering på enkeltpersoner, på Facebook-brukere. Men vi trenger streng regulering av kritisk infrastruktursikkerhet. Foretak, de ' er i mellom. Vi trenger utdanning. Det viktigste er at vi trenger spesiell myndighetsregulering for sikkerhetsoffiser-tester. De må bestå en paranoia-test! Dette vil forandre verden."
Der har du det. Beskytt forsyningskjeden, sørg for at viktig sikkerhetsinformasjon blir delt, og sørg for at alle sikkerhetsansvarlige klarer paranoia-testen. Publikumsmedlemmer viste stor entusiasme.
