Betere cyberbeveiliging betekent het vinden van de onbekende onbekenden





In associatie met Cortex Xpanse door Palo Alto Networks

De afgelopen maanden waren Microsoft Exchange-servers als maat in een haaienvoedende razernij . Bedreigingsactoren hebben kritieke zero-day-fouten in de e-mailsoftware aangevallen: een niet aflatende cybercampagne die de Amerikaanse regering heeft beschreven als wijdverbreide binnenlandse en internationale uitbuiting die honderdduizenden mensen wereldwijd kunnen treffen. Om inzicht te krijgen in een probleem als dit, is een volledig begrip nodig van alle activa die op het netwerk van een bedrijf zijn aangesloten. Dit type continu bijhouden van voorraad past niet bij hoe mensen werken, maar machines kunnen het gemakkelijk aan.



Voor business executives met meerdere, post-pandemische prioriteiten, is het nu tijd om prioriteit te geven aan beveiliging. Het is tegenwoordig vrijwel onmogelijk om een ​​bedrijf van bijna elke omvang te runnen waar als je IT uitvalt, je bedrijf nog steeds kan draaien, merkt Matt Kraning, Chief Technology Officer en mede-oprichter van Cortex Xpanse, een onlangs overgenomen leverancier van software voor het beheer van aanvalsoppervlakken. door Palo Alto Networks.

Je vraagt ​​je misschien af ​​waarom bedrijven niet gewoon hun systemen patchen en deze problemen laten verdwijnen. Was het maar zo simpel. Tenzij bedrijven een manier hebben geïmplementeerd om hun activa te vinden en bij te houden, is die zogenaamd eenvoudige vraag een hoofdbrekens.

Maar bedrijven hebben het moeilijk om een ​​antwoord te geven op wat een eenvoudige vraag lijkt: namelijk hoeveel routers, servers of activa hebben ze? Als cybersecurity-managers het antwoord niet weten, is het onmogelijk om een ​​nauwkeurig niveau van kwetsbaarheid aan de raad van bestuur over te brengen. En als het bestuur het risico niet begrijpt - en wordt overrompeld door iets dat nog erger is dan de Exchange Server en 2020 SolarWinds-aanvallen - nou, dan schrijft het verhaal zichzelf bijna.



Daarom vindt Kraning het zo belangrijk om een ​​minimale set van standaarden te creëren. En, zegt hij, raden van bestuur en senior executives moeten in sommige opzichten minimaal op de hoogte zijn van cyberbeveiligingsrisico's en de analyse van die statistieken. Want zonder dat niveau van begrip stellen raden van bestuur niet de juiste vragen en voeren cybersecurity-managers niet de juiste gesprekken.

Kraning is van mening dat het beheer van aanvalsservices een betere manier is om bedrijven te beveiligen met een continu proces van het ontdekken van activa, inclusief de ontdekking van alle activa die zijn blootgesteld aan het openbare internet - wat hij onbekende onbekenden noemt. Nieuwe activa kunnen overal en op elk moment verschijnen. Dit is eigenlijk een oplosbaar probleem, grotendeels met veel technologie die wordt ontwikkeld, zegt Kraning. Als je eenmaal weet dat er een probleem bestaat, is het oplossen ervan eigenlijk vrij eenvoudig. En dat is niet alleen beter voor bedrijven, maar voor het hele bedrijfsecosysteem.

Notities en links tonen:

Een leiderschapsagenda om morgen aan te pakken , Global CEO Survey-enquête, PwC



Volledig transcript

Laurel Ruma : Van MIT Technology Review, ik ben Laurel Ruma, en dit is Business Lab, de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen.

Ons onderwerp van vandaag is het beheer van aanvalsoppervlakken. Waar komt uw volgende cybersecurity-inbreuk vandaan? Bedrijven hebben steeds meer dingen aan hun internet gekoppeld, waaronder steeds groter wordende netwerken en verouderende infrastructuur. En naarmate aanvallers creatiever worden, zullen leidinggevenden dat ook moeten doen.

Twee woorden voor jou: onbekende onbekenden.



Mijn gast is Matt Kraning, de chief technology officer en mede-oprichter van Expanse, dat onlangs is overgenomen door Palo Alto Networks. Matt is een expert in grootschalige optimalisatie, gedistribueerde detectie en algoritmen voor machine learning die op enorm parallelle systemen draaien. Voordat hij Expanse mede oprichtte, werkte Matt voor DARPA, waaronder een uitzending naar Afghanistan. Matt is gepromoveerd en gepromoveerd aan de Stanford University. Deze aflevering van Business Lab is geproduceerd in samenwerking met Palo Alto Networks. Welkom, Mat.

Matt Kraning : Heel erg bedankt. Erg blij om hier te zijn.

Laurier : Vanaf het allereerste begin ben je een expert geweest in grootschalige gedistribueerde detectie- en machine learning-algoritmen die op enorm parallelle systemen worden uitgevoerd. Hoe bracht die expertise je ertoe om samen een bedrijf op te richten op het gebied van beheer van aanvalsoppervlakken?

Mat : Nou, ik zal een paar dingen zeggen. Aanvalsoppervlakbeheer is wat we het uiteindelijk noemden, maar het was eigenlijk een heel lange reis ernaartoe en we waren niet echt van plan om te weten dat het precies zo zou heten of wat we precies zouden doen. Er is dus niet eens een Gartner-categorie, wat een bepaalde manier is om het bestaan ​​voor een marktsegment te valideren. Dat komt er eigenlijk nog uit. Dus het gebied van aanvalsoppervlakbeheer hebben we eigenlijk zelf uitgevonden. En veel uitvindingen betekent dat er veel ontdekkingen in zitten.

In tegenstelling tot veel zakelijke beveiligings- en IT-bedrijven, waar in veel gevallen de meeste opgerichte bedrijven zich in een bestaande markt begeven - ze doen meestal een stapsgewijze of evolutionaire vooruitgang bovenop wat al is uitgevonden - hebben we eigenlijk een andere benadering en zeiden: 'We vragen echt, met frisse ogen: 'Wat wordt er tegenwoordig niet op de markt geserveerd?'' En kwamen op het idee van: 'Is het internet, met al zijn beloften, eigenlijk een strategische aansprakelijkheid voor organisaties wordt, niet langer alleen een strategische asset?'

We hebben veel technieken en technologieën ontwikkeld om in feite het hele internet als een dataset te zien: om continu informatie te verzamelen over internet, waar onze achtergrond echt vandaan kwam, zowel uit de academische wereld als uit ons werk in de defensie en inlichtingengemeenschappen, in plaatsen zoals DARPA, en op verschillende plaatsen in de Amerikaanse inlichtingendiensten. En we zeiden dat er eigenlijk een heleboel dingen kapot lijken te zijn op internet, en verrassend genoeg wordt veel ervan geassocieerd met zeer grote, zeer belangrijke bedrijven. Het was die vraag die ons er in feite toe leidde om Expanse op te richten en vervolgens ook te creëren wat het eerste zou zijn en het leidende product is in wat nu bekend staat als aanvalsoppervlakbeheer, dat echt alle middelen begrijpt die je hebt, inzicht in de risico's die ze kunnen opleveren en vervolgens ook het oplossen van problemen.

Maar toen we Expanse in 2012 oprichtten, wisten we niet dat het oppervlaktebeheer voor aanvallen zou worden. We hadden niet eens de naam Attack Surface Management. In plaats daarvan was het erg probleemgericht: 'We zien veel rare en gevaarlijke dingen op internet en veel beveiligingsproblemen. Laten we daar veel op dubbelklikken en kijken of er een manier is om daar een bedrijf omheen te bouwen.'

Laurier : En hoeveel het internet is veranderd in deze negen korte jaren, toch? Als je het hebt over die dataset en bij het zoeken naar informatie over waar de grootste veiligheidsrisico's zitten, hoe moeilijk was het dan om die te vinden? Heb je rondgekeken en gezien: 'O, kijk, er zijn hele datasets, je zou gemakkelijk terug kunnen gaan naar deze bedrijven. Ze lekken.' Of: 'Dingen zijn niet veilig.'

Mat : Ik hou van de uitdrukking, 'Alles is duidelijk als je het antwoord weet.' Ik denk dat in eerste instantie een van de grootste uitdagingen is dat om zelfs maar te laten zien hoe groot dit probleem is, je eigenlijk de gegevens moet verzamelen. En het verzamelen van de gegevens is niet eenvoudig, vooral niet op continue of regelmatige basis, je moet eigenlijk veel systeemtechnische achtergrond hebben, veel gedistribueerde systeemachtergrond om daadwerkelijk gegevens over alles te verzamelen. Ik denk dat wat onze aanpak uniek maakte, is dat we eigenlijk zeiden: 'Wat als we gegevens verzamelen over elk afzonderlijk systeem op internet?' Dat wordt mogelijk gemaakt door veel van zowel de kostenvoordelen die mogelijk worden gemaakt door zaken als cloud computing, maar ook door softwarevoordelen, zowel in open source als dingen die we zelf zouden schrijven. En dan, in plaats van te beginnen met dingen die je weet over een bedrijf en te proberen de risico's ervan in te schatten, zeiden we: 'Waarom beginnen we niet met alles op internet en proberen we het terug te brengen tot wat interessant is?'

En daar kwamen veel zeer goede inzichten uit waar we opnieuw, bijna per ongeluk, begonnen te ontdekken dat we veel, veel meer beveiligingsproblemen zouden vinden dan organisaties eigenlijk van zichzelf wisten. Als ik met organisaties praat, heb ik het niet met kleine bedrijven. Ik heb het over militaire diensten. Ik heb het over Fortune 500-bedrijven, Fortune 100-bedrijven, Fortune 10-bedrijven. Zelfs de grootste, meest complexe, maar ook de beste financiële, de meeste elite-klanten hadden problemen met de beveiliging. En wat echt onze ontdekking en onze reis bij het creëren van de categorie, bij het creëren van aanvalsoppervlakbeheer als een idee was, was dat we al deze beveiligingskwetsbaarheden en al deze activa op verafgelegen plaatsen overal op internet vinden, en ze zullen plaatsvinden voor een veelvoud aan redenen.

Maar het was eigenlijk interessant, want hoewel de beveiligingsuitdagingen en beveiligingsrisico's zeer reëel waren, waren de echte symptomen die we ontdekten, die we ontdekten, eigenlijk dat organisaties niet over een effectief middel beschikten om alle activa die ze online hadden te volgen en om tegelijkertijd de beveiligingsstatus van die activa te beoordelen en tegelijkertijd de risico's van degenen die tegen de organisatie zijn, vast te stellen en te verhelpen en te beperken.

En ik denk dat dat een van de zeer interessante dingen was dat we nu terugkijkend kunnen zeggen: 'Je wilt natuurlijk al deze activiteiten doen.' Maar omdat we eigenlijk iets nieuws aan het doen waren dat nog nooit eerder was gedaan, het was een nieuwe categorie, moesten we dat allemaal ontdekken vanaf het punt van echt: 'Er lijkt veel kapot te zijn op internet. We weten niet precies waarom, maar laten we het gaan onderzoeken.'

Laurier : Dat is een goede manier om erover te denken, te beginnen met een andere plaats en dan achteruit te werken. Dus Matt, volgens een recent PwC-onderzoek onder meer dan 5.000 CEO's over de hele wereld, maakt 47% zich grote zorgen over cyberbeveiliging. Nu, 47% klinkt voor mij niet als een groot aantal, zou het niet dichter bij 100% moeten zijn?

Mat : Ik zou zeggen dat elke CEO die ik heb gesproken zich er op een bepaald niveau zorgen over maakt. En ik denk dat veel afhangt van waar ze zijn. Over het algemeen hebben we een zeer grote stijging opgemerkt, vooral in de afgelopen vijf jaar, van de aandacht van de CEO's en raden van bestuur voor cyberbeveiligingskwesties. Waar ik denk dat we een vertraging hebben gezien, hoewel ik denk dat er een paar uitzonderingen zijn op dit gebied, is dat veel van zowel tools als presentaties die, vooral voor uitvoerende doelgroepen, voor cyberbeveiligingsrisico's gaan, niet effectief alles overbrengen wat die mensen effectieve beslissingen moeten nemen. En ik denk dat dit om verschillende redenen een uitdaging is, vooral omdat veel CEO's en raden van bestuur niet noodzakelijkerwijs de volledige technische achtergrond hebben om dit te doen. Maar ik denk dat het tot nu toe in de industrie ook een mislukking is geweest om die tools te kunnen bieden. En ik denk dat we daar steeds meer veranderingen gaan zien.

Ik vergelijk het met de financiële toestand van vóór Sarbanes-Oxley, die in feite begon te eisen dat CEO's training kregen, en ook besturen, om bepaalde financiële statistieken te begrijpen, om daadwerkelijk bepaalde controles te hebben. Ik denk dat we op hoog niveau de komende jaren iets dergelijks moeten zien implementeren, op de een of andere manier om te zeggen dat er een minimumset van normen is en dat raden van bestuur en senior executives in sommige opzichten minimaal vertrouwd moeten zijn over cyberbeveiligingsrisico's en analyse van die statistieken. Op dit moment heb ik veel mensen zien zeggen: 'Ik maak me hier zorgen over, maar dan weet ik ook niet echt waar ik heen moet' of: 'Ik ben vertrouwd. We hebben een rapport gekregen. We hebben een firma ingehuurd. Ze hadden een presentatie met een hele reeks PowerPoint-dia's met veel grafieken met kerstboomverlichting die mijn hersenen deden smelten. En ik begreep de concepten niet echt.'

Ik denk dat mensen het begrijpen, maar we staan ​​nog in de kinderschoenen van: hoe heb je hier effectieve controle over? En hoe heb je dan eigenlijk programma's die er robuust omheen staan? Nogmaals, we moeten in die richting gaan omdat steeds meer besturen dit als een fundamenteel aspect van hun bedrijf moeten zien, vooral omdat vrijwel alle bedrijven tegenwoordig, het maakt mij niet uit in welke branche u zich bevindt, welke grootte, uw bedrijf draait eigenlijk op IT. Het is tegenwoordig vrijwel onmogelijk om een ​​bedrijf van bijna elke omvang te runnen waar als uw IT uitvalt, uw bedrijf nog steeds kan draaien. En als gevolg van het begrip van cybersecurity op die niveaus, waar aanvalsoppervlak nu een onderdeel van is, is het erg belangrijk voor organisaties om te kunnen begrijpen, omdat je anders je organisatie een zeer groot risico loopt door niet dat soort dingen goed kunnen inschatten.

Laurier : Ja. En dat komt terug op het oude gezegde, elk bedrijf is een technologiebedrijf. Maar misschien is dit een specifieker voorbeeld van hoe het is. Kunt u in het kort beschrijven wat aanvalsoppervlakbeheer is, misschien voor dat uitvoerende publiek?

Mat : De manier waarop we aanvalsoppervlakbeheer beschrijven, is dat het in feite een proces van drie stappen is waarbij alle stappen continu in de vorm van een cyclus worden uitgevoerd, maar het is een proces en procedure waarmee u, of echt een leverancier, in dit geval Expanse of Palo Alto Networks, ontdek continu alle assets die een organisatie heeft. In ons geval komen vanaf een externe aanval alle assets die je op het openbare internet hebt staan. En dat is een continu proces, want op elk moment, en daar kan ik later op ingaan, maar op elk willekeurig moment, kunnen nieuwe assets overal op internet verschijnen. Je hebt dus een continu ontdekkingsproces nodig dat zegt: 'Het kan zijn dat ik op een gegeven moment niet alles weet over mijn bedrijfsmiddelen, dus ik zou mechanismen moeten hebben om informatie te verzamelen over waar ze zich ook zouden kunnen bevinden en ze te koppelen aan mijn organisatie.'

Tegelijkertijd moet u, zodra een actief wordt ontdekt, over middelen beschikken om het op verschillende kenmerken te beoordelen. Als ik een nieuwe asset heb ontdekt, is deze asset dan in veel gevallen echt nieuw? En zo niet, dan matchen, normaliseren, ontdubbelen met andere dingen. Als het een nieuw actief is, wordt het in de meeste gevallen feitelijk niet beheerd. Dus hoe start ik eigenlijk een hele reeks activiteiten om te zeggen: 'Dit is een troef die bij de mijne bestaat, maar meestal bestaat het buiten een beoogde reeks beveiligingscontroles. Dus hoe start ik een proces om zowel te beoordelen welke controles moeten worden ingevoerd als die vervolgens onder beheer te brengen.' En het derde deel van de evaluatie is ook begrijpen wat het risico is dat dit onmiddellijk met zich meebrengt voor mijn organisatie, zodat ik prioriteiten kan stellen aan activiteiten.

De laatste stap is wat we mitigatie noemen. Als je alles wat je hebt ontdekt hebt geëvalueerd, wat doe je er dan eigenlijk aan? Welke acties onderneemt u en hoe doet u dat op sterk geautomatiseerde en effectieve manieren. En voor ons zijn er twee primaire stappen die mitigatie met zich meebrengt. Ik noemde prioritering, maar het is er één, systemen onder beheer brengen. In veel gevallen betekent dat ook dat voor de meeste systemen die bij onze grote klanten horen, het in feite betekent dat ze ofwel rechtstreeks van internet worden gehaald, dus we plaatsen ze achter een VPN of een ander soort bedrijfsapparaat, of maken zeker dat ze dan bekend zijn en dan up-to-date, omdat in veel gevallen het echte symptoom van beveiligingsproblemen dat we vinden, ligt in het feit dat een activum gewoon heel lang onbeheerd is geweest en mogelijk beveiliging bevat kwetsbaarheden die later werden ontdekt, simpelweg omdat u beveiligingspatches zou hebben voor bekende beveiligingsproblemen die niet waren toegepast.

In bepaalde gevallen, zoals zero-day-aanvallen, is het eigenlijk gewoon veel belangrijker om te weten waar alle assets zijn, zodat je ze zo snel mogelijk kunt patchen. Maar voor de overgrote meerderheid van de activa die we voor onze klanten ontdekken en helpen bij het beheren van hun aanvalsoppervlak, is het echte probleem dat de activa gewoon niet bekend zijn. En voor leidinggevenden is de echte sleutel dat de bestaande processen en tools die veel bedrijven gebruiken, heel goed kunnen zijn vanuit deze bepaalde kant van beveiliging, maar ze gaan ervan uit dat netwerken in feite veel statischer zijn.

Laurier : Dus wat zijn de gevolgen van een onderneming die hun werkelijke aanvalsoppervlak niet kent?

Mat : De grootste, meest voor de hand liggende is een verhoogd risico op inbreuk. Ik denk dat het in een groot deel van de jaren 2000 een adagium was, niet in de laatste plaats geholpen door leveranciers, dat alles begon met e-mailphishing. En er zijn zeer, zeer grote leveranciers van e-mailbeveiliging die nog steeds deze boodschap verspreiden dat elk afzonderlijk beveiligingsincident in feite een phishing-e-mail is en dat mensen de zwakste schakel zijn wanneer ze op dingen klikken, en daarom meer e-mailbeveiliging kopen.

Ik denk niet dat dat verkeerd is. Ik denk dat het eigenlijk juist is dat veiligheid een groot ding is, je kunt het kopen. Maar het is ook veel gemakkelijker om te mitigeren, vooral nu met veel goede tools, zoals je volledig zicht hebt op alle e-mails die naar werknemers worden verzonden omdat ze via een centrale mailserver moeten gaan. Het is eigenlijk een kwestie van gewoon slechte dingen kunnen detecteren, maar niet echt hoeven uit te zoeken dat er bijvoorbeeld e-mails werden verzonden waar je geen zicht op had.

Ik denk daarentegen dat wat we hebben gezien, vooral meer recentelijk in het afgelopen decennium en eigenlijk zelfs de laatste vijf jaar, enkele van de absoluut ergste inbreuken zijn, degenen die honderden miljoenen tot miljarden dollars schade aanrichten, die niet komen van phishing. Ze zijn eigenlijk afkomstig van meestal onbekende en niet-gecontroleerde activa en die waren in veel gevallen daadwerkelijk op het openbare internet. Dus ik denk dat enkele van de grootste voorbeelden hiervan dingen zijn zoals de WannaCry-aanval, die naar schatting meer dan $ 10 miljard wereldwijd aan schade heeft veroorzaakt, hele bedrijven heeft stilgelegd en het grootste deel van het gezondheidszorgsysteem van het Verenigd Koninkrijk weer op de rails heeft gezet en papier voor de werkelijke dagen.

En de echte gevolgen zijn dat je al deze extra mogelijkheden hebt om binnen te komen omdat er zoveel meer middelen online zijn die niet worden gevolgd door organisaties, en dat is eigenlijk hoe aanvallers binnenkomen, omdat het blijkt dat er zeer efficiënte, geautomatiseerde manieren voor aanvallers om deze aanvallen te begrijpen, te onderzoeken en te exploiteren. En de gevolgen zijn nogal gewaagd. Je ziet het grootste deel van de gezondheidszorg van een eerstewereldland dagenlang gereduceerd tot pen en papier. Heel, heel serieus, want het is niet alleen iemands e-mail hacken, het is eigenlijk de kritieke infrastructuur van het netwerk zelf.

Laurier : Over kritieke infrastructuur gesproken, een andere recente aanval is de waterzuiveringsinstallatie in Florida, waar een aanvaller op afstand de chemische samenstelling van het water kon veranderen om er loog aan toe te voegen, wat een hele gemeenschap had kunnen vergiftigen. Infrastructuur is dus een enorm probleem voor zeer grote bedrijven, zoals waterzuiveringsinstallaties of olie- en gasbedrijven, enz.?

Mat : Absoluut. In dat geval, voor zover ik weet, was de aanvalsvector eigenlijk een externe toegangsserver die iemand in die fabriek open liet, op internet was en iemand toestond om naar binnen te gaan. Waar het bij onze technische diensten om gaat, zijn wij' het vinden van manieren waarop dit in feite tools van IT-gemak zijn, maar die kunnen worden ondermijnd door aanvallers, omdat de tools van IT-gemak niet in dezelfde mate zijn gehard als andere dingen die bedoeld zijn om op internet te staan ​​en worden weggelaten als een vanzelfsprekend. We hebben deze regel dat we internet op de meeste manieren willen zien als wat de meesten van ons hebben ervaren via onze webbrowser of op onze telefoon. Het is deze echt mooie consumentenervaring en alle webpagina's die we bekijken zien er erg mooi en aangenaam uit en we gaan erheen.

En het is een goede analogie met de fysieke wereld, zoals ik denk dat kort nadat we allemaal zijn ingeënt tegen covid-19, we weer buiten gaan winkelen. Je zou naar een Starbucks kunnen gaan en de winkel is echt leuk, je hebt deze geweldige ervaring, je krijgt je latte, je gaat uit, maar als je dan onder alle glitter op straat kijkt, heb je eigenlijk een veel oudere infrastructuur. Je hebt dingen als geen rioolbuizen en andere dingen die vettig zijn en barsten. En dat is de infrastructuur die de mooiere wereld er bovenop ondersteunt.

Veel van wat we zien als onderdeel van het aanvalsoppervlak is een IT-analogie dat de meeste mensen internet eigenlijk zien als 'wat staat er in hun webbrowser? Wat staat er op de telefoon, die leuke consumentenwebsites?' Maar er is een hele back-end IT-infrastructuur die dat ondersteunt. En het kraakt een beetje en het is niet altijd goed geconfigureerd. Zonder iets als ASM heb je problemen waarbij je de status van je netwerk niet echt kent omdat het zo groot, gedistribueerd en complex is. En zoals in het geval met Florida, dat overigens een kleinere organisatie was, raakt het de kern van hoe weet je dat er iets niet aan de hand is? Volgens elk IT-beveiligingsbeleid zou het hebben van een externe toegangsservice op internet niet moeten worden toegestaan. Maar zelfs voor kleinere organisaties is het erg moeilijk om die continue zichtbaarheid te krijgen van, hoe zie ik er van buitenaf eigenlijk uit? Hoe zie ik eruit voor een aanvaller met verouderde tools?

Laurier : En dat is een goed voorbeeld van een aanval die geen phishing-aanval is. Het heeft niets met de e-mail te maken. Terwijl we het hebben over aanvallen, met name dit jaar weer SolarWinds en Exchange, hoe zou de implementatie van ASM die resultaten voor organisaties hebben veranderd? Of wat dacht je van die gelukkige organisaties die hun opties voor het beheer van aanvalsoppervlakken echt begrepen en in staat waren dit te vinden en de aanval te dwarsbomen?

Mat : Ik zal met beide praten omdat een aantal van onze klanten beide soorten systemen hadden en we hielpen hen te reageren. Ik denk dat de Microsoft Exchange-hacks, en voor jullie luisteraars, een beetje achtergrondinformatie: er was eigenlijk een reeks zero-days aangekondigd voor de sets versies van de Microsoft Exchange-e-mailservices eerder in februari en maart van dit jaar. Heel, heel gevaarlijk, want in feite zijn dit de mailservers van een organisatie en als je deze XY-keten volgde, kon je in feite een bericht naar een mailserver sturen om je effectief onbeperkte administratieve toegang tot de hele mail te geven. server. En er waren er zelfs honderdduizenden die we online ontdekten. En eigenlijk, als je erover nadenkt, is het een zeer ernstige aanval als een aanvaller de hele of de meeste van de zakelijke mailserver kan downloaden en met al deze gevoelige informatie die daar is opgeslagen.

Dus wat ons opviel waren eigenlijk twee dingen, namelijk dat grote organisaties zich hier zeer van bewust waren en dat ze heel, heel snel patchten. Maar er waren een aantal klanten die we konden helpen waar ze zo groot zijn dat ze niet eens één centrale set mailservers hebben. Dus zonder Expanse zouden ze niet eens al hun mailservers kunnen vinden en ze niet op tijd kunnen patchen, omdat ze zo verspreid zijn dat ze zelfs een inventaris van zelfs hun mailservers nodig hadden. En het is erg moeilijk om dat op één centrale manier samen te voegen, tenzij je een ASM-tool zoals Expanse gebruikt. Omdat u in veel gevallen meestal Microsoft Outlook en Microsoft Excel gebruikt. Je gaat e-mails sturen naar verschillende business units. Je gaat IT-leiders in die verschillende business units vragen. Als ze zijn gepatcht, sturen ze e-mails en spreadsheets terug. Het is een heel, heel handmatig proces.

Dus in staat om dat echt te identificeren en ze echt te helpen in een zeer korte orde van, zoals een dag, om elke afzonderlijke server die ze op hun landgoed hadden te vinden en te repareren, waarvan we denken dat de uitkomst echt, echt veranderde, omdat ze konden zijn in bepaalde gevallen al weken kwetsbaar. Ook voor SolarWinds denk ik dat de details een beetje anders zijn, omdat niet alle SolarWinds-activa noodzakelijkerwijs worden blootgesteld aan internet. En ook in veel gevallen waren ze er al maanden. Als onderdeel van het bredere Palo Alto hadden we andere producten die SolarWinds konden stoppen: de SolarWinds-aanval in het bijzonder, ons eindpuntframework genaamd XDR. Maar zelfs daar voor SolarWinds, toen de aanval eenmaal bekend was, hebben klanten nog steeds het probleem van, ze wisten niet eens waar al hun SolarWinds-servers waren, wat weer teruggaat op dit inventarisprobleem en het kiezen van mogelijkheden, zowel zoals Expanse en andere mogelijkheden die we nu hebben als onderdeel van Palo Alto, waren we in staat om klanten zeer snel te helpen begrijpen waar ze een blootstelling aan SolarWinds hadden, zodat ze dat heel snel konden verminderen. Er was dus in feite een proces in twee stappen. Bij Palo Alto konden we de aanval op onze klanten voorkomen, zelfs zonder te weten dat de toeleveringsketen was geschonden. En toen het eenmaal meer openbaar was, waren we in staat om ook iedereen te helpen alle servers die ze hadden te identificeren en ervoor te zorgen dat ze allemaal up-to-date waren en niet geïnfecteerd waren met de supply chain-trojan.

Laurier : Dat is heel interessant, want sommige bedrijven denken misschien: 'Ach, we hebben geen waterplanten en geen verouderde infrastructuur om ons zorgen over te maken.' Maar weet u eigenlijk waar al uw e-mail is opgeslagen en op hoeveel verschillende servers deze zich bevinden en op verschillende cloudinstanties of waar dan ook? En als je maar een kwestie van uren hebt om deze kritieke patch te maken, hoe snel kun je dat dan doen?

Mat : Precies. En veel van de vragen die ik onze klanten heb gesteld, zijn gewoon: 'Hoe kunt u erop vertrouwen dat uw systemen in feite up-to-date zijn?' Zelfs schijnbaar eenvoudig klinkende vragen beantwoorden met bestaande IT, als je geen Expanse of ASM hebt, is eigenlijk verrassend moeilijk. Ik zal nog een leuk voorbeeld geven. Ik vraag het hoofd informatiebeveiliging de hele tijd: 'Hoeveel routers heeft uw organisatie?' Het lijkt een vrij basale vraag, het lijkt erop dat ze zouden weten, althans bij een zeer goede benadering, dat het IT-team waarschijnlijk precies zou moeten weten hoeveel routers ze hebben. Het zijn zeer belangrijke netwerkapparatuur, vooral op bedrijfsniveau, ze zijn duurder. Het is dus niet zomaar die wifi-hotspot voor thuis die we gewend zijn. Deze dingen kunnen tientallen, in sommige gevallen honderdduizenden dollars kosten om workloads op ondernemingsniveau aan te kunnen.

En wat we ontdekken is dat als je die vraag stelt, er eigenlijk meestal niet één centrale plek is waar alles wordt bijgehouden. In plaats daarvan wordt het op verschillende manieren gevolgd door lokale ontwikkelings- en IT-teams. Het wordt bijgehouden in meerdere spreadsheets. Er zijn misschien bepaalde lokale IT-beheersystemen die dat weten, maar aan het eind, als je zei: 'Hoeveel routers heb je nu?' Het proces dat ze zouden gebruiken om dat te beantwoorden, gaat niet naar een systeem of logt in, het begint eigenlijk een e-mailketen. Dat is eigenlijk een van de belangrijkste problemen die het oppervlaktebeheer probeert op te lossen, is: hoe heb je een nauwkeurige en actuele inventaris van alles, zodat je daarbovenop een verscheidenheid aan processen kunt bouwen, inclusief beveiliging ? Maar als je geen up-to-date inventaris hebt of je denkt van wel, maar dat is niet zo, dan, als je aan die draad begint te trekken, dan zijn er veel bedrijfsprocessen, veel IT-processen, veel van beveiligingsprocessen die u in uw hele onderneming wilt toepassen, realiseert u zich ineens: 'Wacht, dit wordt eigenlijk maar gedeeltelijk geïmplementeerd, want als ik geen volledige inventaris heb, hoe weet ik dan eigenlijk wat er aan de hand is? al mijn activa doornemen in plaats van alleen de activa waarvan ik weet?' En dat is waar we het over hebben als we zeggen onbekende onbekenden. Zoals je hierboven al zei, is het: 'Ik ken mijn systemen tot op zekere hoogte, maar ken ik ze allemaal?' Die delta kan alles zijn voor organisaties, omdat het grootste deel van hun risico zich bevindt in de delen van hun netwerk waarvan ze niet eens wisten dat ze het moesten onderzoeken.

Laurier : Welke andere gegevensgestuurde beslissingen kunnen worden genomen vanuit dit soort focus op daadwerkelijk weten waar al uw activa zich bevinden. Hoe kan dit het bedrijf nog meer helpen?

Mat : Twee gebieden waarmee dit organisaties echt helpt, zijn cloudgovernance en fusies en overnames. Dit zijn vooral zeer uitgestrekte ondernemingen. Dus voor veel van onze klanten hebben ze mogelijk honderden verschillende cloudaccounts bij de openbare cloudproviders, dus in veel gevallen AWS, Azure, Oracle, Google, Alibaba, en ze hadden geen manier om dit daadwerkelijk te rationaliseren omdat ze zou een heleboel verschillende ontwikkelingsteams hebben en ze konden niets krijgen. En dus, als ze zeggen dat ze naar de cloud gaan, zal een typisch refrein van onze klanten zijn als: 'Ja, dat doen we. We hebben deals met Amazon en we dekken onze weddenschappen een beetje af. We verkennen ook Azure, dus we zitten niet alleen vast in één cloud.' Wat we ontdekken is dat de gemiddelde klant voor Expanse bij 11 verschillende infrastructuuraanbieders zit.

Ik heb het niet over SaaS, ik heb het over plaatsen die je echt krijgt, zoals het huren van een server, het plaatsen van gegevens over jezelf. Het is verbazingwekkend en astronomisch en we zouden kunnen zeggen: 'Nou, ja, je bent op Azure. Je zit ook op AWS. Wist je dat je ook in DigitalOcean zit? Je bent ook in Linode. Uw algemeen directeur in Europa heeft u waarschijnlijk in OVH- of Orange-hosting geplaatst. Je hebt iets anders in het Maleisische datacenter. Ik weet niet precies wat dat is. En dat is typisch. Eén klant zat voor ons eigenlijk bij meer dan honderd verschillende providers omdat het een hele grote multinational is. Ik denk dat we dan zien dat de plannen voor cloudbeheer van mensen versus de cloudrealiteit dramatisch verschillen. En door hen daarbij te helpen, kunnen ze zowel veilig als snel naar de cloud verhuizen.

De tweede is fusies en overnames. Ik denk dat dit iets is dat steeds meer gebeurt. Omdat veel industrieën consolideren, is er de laatste tijd veel fusies en overnames. Maar als je erover nadenkt, is een fusie en overname een van de grootste IT-veranderingsgebeurtenissen die een organisatie kan hebben, vooral als het een grote overname is. Dus ik weet hier een beetje vanaf, aangezien we onlangs dit proces hebben doorlopen met Palo Alto Networks aan de andere kant van de tafel, maar het aantal dingen dat je moet integreren is vrij groot. En in het geval van Expanse zijn we geïntegreerd met een topbeveiligingsbedrijf ter wereld en zijn we ook relatief klein. Dus de integratieproblemen waren bijna niet aanwezig, en het was echt een geweldig proces.

Maar voor grotere organisaties waar dat zou kunnen, een organisatie met 50.000 mensen is een organisatie met 10.000 mensen aan het verwerven, het aantal verschillende stappen dat je moet doorlopen, de hoeveelheid IT die je moet overdragen, de hoeveelheid legacy die je moet begrijpen is gigantisch. En in veel gevallen worden deze in veel gevallen slechts gedeeltelijk geïmplementeerd, omdat u als overnemer misschien niet eens weet waar alle activa die u verwerft zich bevinden. Voor een luchtvaartmaatschappij was er bijvoorbeeld een reeks fusies en we zijn in staat om activa van de gefuseerde luchtvaartmaatschappij te vinden die niet meer bestaan, maar die meer dan tien jaar na de fusie nog steeds op internet stonden.

Dat geeft je een idee van hoe lang sommige van deze dingen duren. Dat is de andere kant van, hoe we onze klanten echt helpen, is eigenlijk begrijpen: 'Als je daadwerkelijk een asset verwerft, hoe voltooi je dat proces dan eigenlijk? Hoe meet je het? Hoe monitor je het en hoe doe je dat op de schaal van internet in plaats van met veel consultants, Excel-spreadsheets, stukjes papier en e-mails?'

Laurier : Dus uit ons gesprek van vandaag, heb ik het gevoel dat dit de, als je niet weet wat je niet weet, je echt een waarschuwing moet bedenken, als je het nog niet eerder hebt gehoord. Maar hier is toch een sprankje hoop in? Want als het asset bestaat, kun je het op zijn minst vinden, volgen en beoordelen wat je ermee gaat doen, bemiddelen bij eventuele wijzigingen die je moet aanbrengen of het beoordelen om het weer volledig aan cyberbeveiliging te laten voldoen. Wat geeft je hoop over wat er mogelijk is na het zien van de eerste drie maanden van dit jaar en wat er is gebeurd met aanvallen, de aanhoudende problemen die we zullen hebben? Maar daar zijn kansen, toch? Er is hoop. Wat zie je dat je optimistisch maakt over cybersecurity en waar we de komende vijf jaar naar uitkijken?

Mat : Ja, ik ben eigenlijk best optimistisch, zelfs niet op de lange termijn, maar zelfs op de middellange termijn denk ik, zelfs over drie, vier jaar. Op korte termijn zullen er zeker wat ruwe zeeën in het verschiet liggen, maar dit is wat me het meest optimistisch maakt. Ten eerste denk ik dat dit eigenlijk een oplosbaar probleem is, grotendeels met veel technologie die wordt ontwikkeld. En daarmee is het duidelijk dat als je eenmaal weet dat er een probleem bestaat, het oplossen ervan eigenlijk vrij eenvoudig is. Er zijn veel mechanistische stappen om daar beter in te worden. Er zijn veel automatiseringen die daarop kunnen worden aangebracht. En er komt veel op je af. Maar in veel gevallen is het echt moeilijk om te zien wat je echt moet oplossen en alle problemen te kennen en ze vervolgens effectief te prioriteren en er vervolgens aan te gaan werken.

En ik denk in het bijzonder dat de dingen die ik heb gezien binnen de industrie zijn, ik denk dat er de komende jaren veel technologieën zullen zijn die de marketinghype die al jaren bestaat, zullen ontmoeten. Ik praat veel met branchepartners. We gebruiken grote hoeveelheden data. Met mijn achtergrond, waar ik een doctoraat heb van Stanford in operations research en machine learning, gebruiken we echt echt machine learning in onze producten. We gebruiken ook veel heuristieken. Ik maak grapjes dat we soms machine learning classifiers hebben om een ​​probleem op te lossen. Andere keren hebben we SQL-query's die het probleem oplossen.

We hebben een aantal echt goed geschreven SQL-query's. Ik ben erg trots op die. Maar ik denk dat de industrie zelf, vooral in marketingmateriaal, zou denken dat alles in cyberbeveiliging deze geautomatiseerde AI is, alles met ML mogelijk maakt. In de meeste gevallen, maar niet in alle, maar in veel gevallen in de hele branche, en dit geldt vooral voor startups, is het slechts een regel om te pitchen. En wat bedrijven eigenlijk AI noemen, zijn gewoon standaard softwareregels en er is echt niets bijzonders aan de hand.

Of er is een oude grap die zegt: 'Oh, ik heb dit geweldige AI-ding. Wat is het? We hebben een stel analisten die voormalige inlichtingenofficieren zijn, meestal in Maryland of buiten Tel Aviv, en zij doen alles. Maar we hebben een systeem dat werk efficiënt naar hen leidt en dat is onze AI.' En ze zeggen: 'Wacht, dat zijn mensen.' Ik denk dat wat ik heb gezien is dat automatisering in brede zin een echt iets is. Maar automatisering betekent eigenlijk op de grond, je neemt iets dat voorheen uren en dagen en 10 mensen kostte. En dan met software op dit moment, het is meer dus hoe breng je dat terug naar 15 minuten en twee of drie mensen?

Ik denk dat we in bepaalde bedrijfsprocessen nog grotere winsten gaan zien of zelfs mensen helemaal uit de lus gaan halen. En ik denk dat wat we zien en dit is veel van waar we aan werken en waar ik nu aan werk, is dat in de komende maanden en jaren daadwerkelijk grootschalige machine learning-mogelijkheden daadwerkelijk in productie worden geïmplementeerd. Ik denk dat er een paar zijn die er in kleine stukjes zijn. Er zijn veel meer regels dan waar iemand het over wil hebben, maar we zien nu dat er genoeg verzameling van gegevens is, dat er voldoende normalisatie van gegevens is, vooral bij de grotere bedrijven, en dat ondernemingen meer bereid zijn om informatie met leveranciers te delen als het de beveiligingsservice die ze krijgen aantoonbaar verbetert, dat we in staat zullen zijn om steeds geavanceerdere mogelijkheden langs die lijnen in te zetten en de product-realiteit te matchen. Ik denk dat dat in ieder geval de bredere marketingtijdgeest van de branche was.

Ik heb er veel gezien, ze zijn heel, heel echt en ze komen eraan. En ze komen op industriële schaal voor verdedigers. En ik denk dat dat is waar ik het meest enthousiast over ben, want ondanks het feit dat er het oude gezegde is van: aanvallers moeten één keer gelijk hebben, verdedigers moeten altijd gelijk hebben, in toenemende mate is het nu schaalbaarder voor verdedigers om gelijk te hebben en om zeer uitgebreide monitoringnetwerken op te zetten, zodat als de aanvallers een keer de fout ingaan, de verdedigers ze bij die aanval volledig kunnen uitschakelen. En dat beide asymmetrisch de kosten beïnvloedt en ik denk ook dat het zal helpen het veld terug naar de verdediging te kantelen.

Mat : Ik denk dat wanneer je gedeeltelijke AI-oplossingen en ML-oplossingen en gedeeltelijke automatisering had, het aanvallers veel meer hielp omdat ze een paar verschillende onderdelen aan elkaar konden plakken, bepaalde dingen zeer hoog konden opschalen en dan gewoon konden zien wat er in een goede manier. Ik denk dat verdedigers vergelijkbare capaciteiten zullen hebben die effectief zijn, omdat ze eigenlijk alles dekken wat er in een onderneming gebeurt. En daarmee kunnen we het tij keren.

Laurier :Matt, heel erg bedankt dat je vandaag bij ons bent gekomen in wat een fantastisch gesprek was op het Business Lab.

Dat was Matt Kraning, de chief technology officer en mede-oprichter van Expanse, met wie ik sprak vanuit Cambridge, Massachusetts, de thuisbasis van MIT en MIT Technology Review, met uitzicht op de Charles River.

Dat was het voor deze aflevering van Business Lab. Ik ben je gastheer, Laurel Ruma. Ik ben de directeur van Insights, de custom publishing-divisie van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology. En u kunt ons ook elk jaar in print, op het web en op evenementen over de hele wereld vinden.

Ga voor meer informatie over ons en de show naar onze website op technologyreview.com.

Deze show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te beoordelen. Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next. Bedankt voor het luisteren.

Deze podcastaflevering is geproduceerd door Insights, de afdeling voor aangepaste inhoud van MIT Technology Review. Het is niet geproduceerd door de redactie van MIT Technology Review.

zich verstoppen