Video: The Age of Cyber Warfare: Attack and Counterattack (September 2024)
Howard Schmidt har gjort allt. Han har hanterat säkerhet för Microsoft och eBay. Han tjänade som specialassistent för presidenten och som cybersecurity-samordnare för regeringen. För närvarande är han partner, tillsammans med tidigare DHS-sekreterare Tom Ridge, i konsultföretaget Ridge-Schmidt Cyber. I sin egenskap av ordförande i International Advisory Board for Kaspersky Labs ledde han en fascinerande panel för riktade attacker och cyberpionage vid det senaste toppmötet om Kaspersky Cybersecurity.
De andra paneldeltagarna kom med kunskap och erfarenhet från olika branscher. Fred Schwien, chef för Homeland Security Programs & Strategi, Boeing Company, måste hantera säkerhet på alla nivåer, börjar med leveranskedjan. (Schwien skämtade, "Min lönecheck är knuten till antalet bokstäver i min titel.") Joe Sullivan, Facebooks CSO, oroar sig mer för det elektroniska området, naturligtvis. Eugene Kaspersky, som avrundar panelen, är grundaren, ordföranden och VD för den globala säkerhetsjätten Kaspersky Lab. Jag kan inte rapportera hela den omfattande diskussionen, men jag kommer att träffa höga poäng.
Schmidt: "När vi tittar på frågan om leveranskedjan är Fred, i din arbetsförsörjningskedja är allt. Du har nitar, motorer, säten, saker som är mycket kritiska för ditt företag och för regeringen. Hur ser du leveranskedjan i din kritiska infrastrukturvärld?"
Schwien: "Jag vill säga, den nya 747 är sex miljoner delar som flyger i formation. Vi arbetar hårt för att säkra kedjan, för att säkerställa att saker görs speciella och inte skadade. Vi har en veckagrupp som är specifik för leveranskedjan. " Schwien fortsatte med att utarbeta de många sätt som luftfartsföretag och myndigheter delar information, inklusive klassificerade information från FBI, TSA och mer.
Schmidt: "Joe, Fred talar om stor infrastruktur, myndigheter, transport. Vad sägs om Facebook? Jag antar att du har gott om leverantörer du är beroende av, så det är en fråga om leveranskedjan. Hur hanterar du det?"
Sullivan: "Folk litar på oss, så vi tittar inte bara på webbplatsen utan på alla områden som kan vara sårbara. Vi tänker på fyra saker, frontend, back end, våra anställda och våra leverantörer. Vi har en omfattande plan för var och en och vi strävar efter ett konstant förbättringstillstånd. " Sullivan konstaterade att när Facebook lägger till en buggodo för sårbarheter på serversidan fick de värdefull insikt från forskarsamhället.
Schmidt: "Eugene, du har bloggat om detta. Ett överträdelse behöver inte vara ett frontalattack. Vi såg en stor återförsäljare kompromitteras genom en till synes oberoende leverantör. Hur ser du och ditt team på att arbeta med en leveranskedja?"
Kaspersky: "Det är lite komplicerat. Jag representerar ID-säkerhet och jag är en paranoid. Företag måste tänka inte bara på sin egen säkerhet utan på deras leverantörer. Det är inte bara företagen som tillhandahåller delar till ett enormt företag som Boeing. Restaurangerna, lunchrummet, de tillhandahåller en tjänst. Ansluter de till ditt nätverk? Erbjuder du taxiservice? Har det Wi-Fi? Du måste tänka på alla direkta och indirekta leverantörer. " Han berättade om en upptäckt av Kaspersky Lab-forskare. När de kontrollerade ett företag som utvecklar SCADA-applikationer för kraftverk upptäckte de en bakdörr. Den som planterade den fick full tillgång till tekniken och möjligheten att ändra källkoden. "Om din leverantör var infekterad kan du inte lita på dina data längre", sa Kaspersky. "Det är goda nyheter för IT-säkerhet, dåliga nyheter för resten av världen."
Schmidt: "Eugene, när du tittar på hela det globala fotavtrycket blockerar du APT för Microsoft, Boeing, Facebook… Hur har de små killarna nytta?"
Kaspersky: "Cyberbrott är en annan historia. De vill ha pengar . De vill inte döda dig eller förstöra ditt rykte eller stjäla dina hemligheter. Om ett litet företag blev drabbat av cyberespionage gjorde någon ett misstag."
Schmidt: "Joe, var satsar du på att säkra leveranskedjan?"
Sullivan: "Vi ser på om tredje parter kan uppfylla publicerade standarder, men det är inte tillräckligt, och du kan inte dra slutsatser baserat på företagets storlek eller ålder. Vi granskade ett 15-personers företag som var riktigt säkert eftersom det var byggd med säkerhet i åtanke. En annan säljare, en stor finansiell institution, begränsade lösenord till åtta tecken, inga specialtecken och ingen skillnad mellan versaler och små bokstäver. Du kan inte bedöma efter storlek."
Schmidt: "Eugene, i tio år har vi hört" antivirus är död. " Är det sant?"
Kaspersky: "Vad säger Mark Twain? Rykten om dess död är mycket överdrivna. Antivirusunderskrifter finns, de är fortfarande viktiga, bara inte de viktigaste. Som säkerhetsbältet i din bil; du måste ha det, men det är inte den viktigaste delen."
Schmidt: Fred, Tom Ridge nämnde säkerhetsrelaterade regler. De finns här och i alla länder. Du kan vara kompatibel men ändå vara osäker. Hur hanterar du regler som ett globalt företag?"
Schwien: "Ibland kallar vi ett flygplan ett globalt mobilt industriellt kontrollsystem. Ett plan som hämtade mig vid Newark lämnade Singapore och tog mig till Tel Aviv. Vi arbetar i miljön för varje land." Schwien konstaterade att USA: s föreskrifter ofta är de striktaste, guldstandarden, för både fysisk och cybersäkerhet. Han fortsatte att citera general Keith Alexander, tidigare chef för NSA, om det amerikanska cyberförsvarsteamet: "Vi har det bästa laget i världen, men de är fortfarande i omklädningsrummet."
Sullivan: "För att samla in har de största problemen för användning varit hot som är helt nya. Signaturer skulle inte ha fungerat. Vi behöver mer investeringar i säkerhet utanför våra gränser, och när vi hanterar nya sårbarheter måste vi utveckla nya sätt att skydda. Informationsdelning är nyckeln."
Kaspersky: "Vad måste göras? Världen måste delas upp i tre kategorier, individuell, företagskritisk och kritisk infrastruktur. Vi behöver ingen reglering om individer, på Facebook-användare. Men vi behöver strikt reglering av kritisk infrastruktursäkerhet. Företag, de" återigen däremellan. Vi behöver utbildning. Det viktigaste, vi behöver särskild reglering för säkerhetstjänsteman. De måste klara ett paranoia-test! Detta kommer att förändra världen."
Där har du det. Skydda försörjningskedjan, se till att viktig säkerhetsinformation delas och se till att alla säkerhetsansvariga klarar paranoia-testet. Publikmedlemmarna visade stor entusiasm.
