211service.com
De evolutie van cyberbeveiliging: Chris Wysopal van Veracode
Sinds de komst van internet en na talloze, massale inbreuken, blijft de wereldwijde gemeenschap worstelen met cyberbeveiliging en behandelt het als een bijzaak.
27 juni 2019
Naarmate het internet de overhand kreeg en hacks, datalekken en andere cyberbedreigingen routine werden — organisaties en overheden hebben teruggevochten door de gestage ontwikkeling van cyberbeveiligingstechnologieën en -strategieën. Maar succes bij het bieden van echte cyberbeveiliging was ongrijpbaar. Kunnen we leren van enkele van de fouten die onderweg zijn gemaakt?
Chris Wysopal, CTO en medeoprichter van Veracode, is vanaf het begin betrokken bij cyberdefensie. Sterker nog, als de kwetsbaarheidsonderzoeker bij de baanbrekende hacker-denktank de L0pht, heeft hij decennialang gewerkt om veilige technologieën te eisen van invloedrijke technologiebedrijven.
In deze aflevering deelt Wysopal zijn werk in de beginjaren van cyberbeveiliging en vertelt hij verhalen zoals toen hij voor de Senaat van 1998 getuigde over computerbeveiliging. In die tijd pleitte hij voor de goedkeuring van regelgeving voor grote bedrijven zoals Microsoft, om aansprakelijkheid af te dwingen en voor de ontwikkeling van doordachte, veiligere code die de privacy van de consument beschermt. Deze aanvankelijke zorgen zijn alleen maar groter geworden, omdat er nog steeds weinig bescherming is tegen code en firmware die inbreuken mogelijk maakt. Hoe gaan we verder? Wysopal deelt wat wijsheid en enkele waarschuwingen.
Business Lab wordt gehost door Elizabeth Bramson-Boudreau, de CEO en uitgever van MIT Technology Review. De show wordt geproduceerd door Katherine Gorman, met redactionele hulp van Emily Townsend. Muziek van Merlean, van Epidemic Sound.
Van MIT Technology Review. Ik ben Elizabeth Bramson-Boudreau. En dit is Business Lab: de show die bedrijfsleiders helpt om nieuwe technologieën te begrijpen die uit het lab en op de markt komen. Vandaag gaan we ons concentreren op de geschiedenis en evolutie van cyberbeveiliging en hoe die vroege benaderingen vandaag de dag weerklinken. Met andere woorden, heeft de reactie op de allereerste cyberdreigingen de huidige kijk op beveiliging bepaald?
Elizabeth Bramson-Boudreau : En zijn er lessen voor de manieren waarop we onze digitale veiligheid nu in de praktijk brengen? Dit is de tweede in onze serie over cyberbeveiliging waarin we alles onderzoeken, van de nieuwste hackaanvallen tot wat organisaties kunnen doen om hun mensen en hun gegevens beter te beschermen. Onze gast vandaag is Chris Wysopal, de CTO en mede-oprichter van Veracode. Hij is al vanaf het prille begin actief in de voortdurende strijd om digitale veiligheid. Ik ben hier met Chris Wysopal, mede-oprichter en chief technology officer van Veracode, een internetcyberbeveiligingsbedrijf. Chris heeft, vóór Veracode, een behoorlijk lange geschiedenis in cyberbeveiliging en ik denk dat we daar gaan beginnen. Kun je ons iets vertellen over je achtergrondverhaal over cyberbeveiliging?
Chris Wysopal : Ja absoluut. Ik begon in cyberbeveiliging, waarschijnlijk zoals eind jaren '80 op bulletinboard-systemen vóór internet en het had een soort ondergrondse aantrekkingskracht, zoals alternatieve media, een soort van de 'zine-wereld waar je een-op-een communiceerde met dit alternatief ruimte. Sommige bestanden op deze systemen spraken over het hacken van het telefoonsysteem en het was het soort informatie dat je nergens anders kon krijgen. Ik was toen een studente. Het was een beetje intrigerend en ik denk dat dat me op een reis zette om informatie rond computers en netwerken te verkennen, wat ik de hele jaren '90 heb gedaan.
Elizabeth : Dus hoe heb je het landschap zien evolueren... je hebt hier een behoorlijk lange carrière in gehad en dus heb je het landschap echt zien veranderen, denk ik over die 20, 30 jaar. Wat heb je gezien — hoe zou je de veranderingen die je hebt waargenomen omschrijven?
Chris : Ja, dus begin jaren 90 was ik software engineer. Ik werkte eigenlijk bij Lotus hier in Cambridge en we kregen een internetverbinding. En ik soort van — we begonnen na te denken over wat als we onze software op internet hadden laten draaien, zodat mensen via internet verbinding konden maken met onze software? En dat opende mijn geest voor het idee dat, wauw, dat klinkt alsof er al deze beveiligingsproblemen zullen zijn.
Elizabeth : In dat stadium. Waarom zag je dat die toegang tot internet altijd in twee richtingen zou leiden, in beide richtingen?
Kris: Dus begon ik te werken aan software die was verbonden met internet en het begon een moeilijk probleem te worden om het veilig te maken, zodat mensen niet alleen toegang konden hebben tot de gegevens achter je software. Het is eigenlijk moeilijk om veilige software te bouwen . Het was bijna alsof we niet wisten hoe. Dat opende echt mijn ogen dat naarmate meer en meer dingen met internet werden verbonden, het echt problematisch zou worden.
Elisabeth: En dus, wat is het grootste probleem dat je nu ziet? Dus, aangezien je weet dat je er vanaf het allereerste begin was, zag je een heleboel dingen naar voren komen. Je eigen geschiedenis was dat je een tijd als hacker hebt doorgebracht. Wat zie je vandaag dat je 's nachts wakker houdt waarvan je denkt dat het de belangrijkste dingen zijn waarvan je niet alleen weet dat mensen naar deze podcast luisteren, maar misschien zouden onze wetgevers en onze en onze leiders aan moeten denken?
Chris : Weet je waar ik bang voor ben, is dat mensen systemen, software, IoT bouwen en dat ze vanaf het begin niet echt over beveiliging nadenken, of ze denken er helemaal niet aan, alsof het ze niets kan schelen, of ze denk er helemaal aan het einde over na en ze doen het absolute minimum en ze eindigen je weet dat je een product op de markt brengt dat inherent zal worden geschonden. Het is inherent dat de problemen erin zullen worden gevonden. En ik denk gewoon dat we voortdurend een stroom van technologie uitzenden die fundamenteel wordt verbroken vanuit een beveiligingsstandpunt. En we zijn het constant aan het opruimen.
Elisabeth: Dus je hebt het over software? Je hebt het over IoT-apparaten? Je hebt het over al deze dingen? En waarom maken mensen die deze dingen maken zich geen zorgen over hun veiligheid?
Kris: Ja. Dit was iets waar we het over hadden toen ik in 1998 voor de Senaat getuigde, wat de eerste computer was — hoorzitting over computerbeveiliging van de overheid en sommige dingen waar we het over hadden, waren dat de verkopers niet wisten wat ze moesten doen. De verkopers geven er niet om omdat hun klanten er niet om vragen. De verkopers zijn niet aansprakelijk. Ze licentiëren de software. Als er iets misgaat, hebben ze elke aansprakelijkheid afgewezen. We hadden een markt waar mensen dingen naar buiten konden brengen zonder nadelen van problemen die voortkwamen uit hun onvermogen om te beveiligen. Een van de grootste spelers in die tijd was Microsoft. En Microsoft verscheepte al deze software en het had veel kwetsbaarheden. En iedereen die rent — alle bedrijven die de software draaiden kregen — er werd ingebroken en dat was gewoon een soort status-quo, zoals de partijlijn van Microsoft was, weet je, nee, we bouwen veilige software' en onze partijlijn was nee, dat doe je niet. We gaan je de kwetsbaarheden in de software laten zien. En er was een periode waarin je het bewustzijn moest vergroten en deze bedrijven bijna te schande moest maken om betere dingen te bouwen die ze zouden verkopen.
Elisabeth: Dus denk je dat Microsoft destijds echt begreep dat ze producten bouwden die niet veilig waren of denk je dat toen ze zeiden dat onze producten goed genoeg waren, ze oneerlijk waren?
Chris : Ik denk niet dat ze begrepen wat ze aan het bouwen waren. Ik denk dat je weet dat de zakelijke PR-lijn is dat we veilige software bouwen. Dat is ons standpunt. Ze waren dus in staat om soortgelijke beveiligingsfuncties te bouwen, zoals authenticatie en cryptografie. Eigenlijk deden ze dat vrij slecht, maar ze begrepen niets van kwetsbaarheden. Ze begrepen niet dat fouten in de code door aanvallers konden worden gebruikt om bij de gegevens achter de applicatie te komen en hun eigen opdrachten op de software uit te voeren. En dat was waar hackers binnenkwamen en de leveranciers lieten zien wat mogelijk was als jij de slechterik was. En dan zeg je dat je weet dat je een hacker bent. Dat is hoe ik mijn rol zag en de rol die we hadden bij de L0pht, de hackergroep waar ik deel van uitmaakte, maakte bekend dat de leveranciers niet wisten wat ze deden en dat ze software anders moesten gaan bouwen.
Elizabeth : Dit is geweldig. Laten we dit een beetje in context plaatsen voor mensen die hiernaar luisteren. Dus je getuigde voor het Congres in 1998 en op dat moment kun je me een beetje een beeld schetsen van wat de redenen waren dat je aan het doen was en in je doelen — wat je op dat moment probeerde te bereiken. En dan kom ik terug en vraag je om het te koppelen aan waar we nu zijn, waar we meer recentelijk mensen voor het Congres hebben gezien — Mark Zuckerberg heel opvallend. En wat je bent, je weet welke connecties en welke ervaringen je hebt als je dat soort dingen ziet gebeuren, weet je al die jaren later.
U weet dat we in 1998 hebben getuigd, maar de paar jaar daarvoor zijn we begonnen met wat we kwetsbaarheidsonderzoek noemen. We zouden een populair product als Internet Explorer nemen en het in een laboratorium opzetten en het reverse-engineeren. We zouden proberen te achterhalen waar de problemen waren en we zouden manieren bedenken om het te compromitteren. Ik bedoel, nu denken we erover alsof je iets weet dat iedereen over je weet, klik op een link en je computer draait op de software van iemand anders — onder de controle van iemand anders. Ik denk dat iedereen nu het risico kent als je op een link klikt en het is kwaadaardig, het kan ertoe leiden dat iemand anders die je kent je computer bestuurt. Dat is precies het soort kwetsbaarheden dat we in '96, '97 onderzochten en probeerden mensen aandacht te geven. En we begonnen dit te doen met slechts een doel van onderzoek en verkenning. Maar na een tijdje realiseerden we ons dat consumenten niet weten dat dit een probleem is. De verkopers weten het niet, maar de consumenten weten het ook niet. En dus begonnen we een rol als belangenbehartiger van de consument op ons te nemen, waarbij we zouden proberen bekend te maken dat onveilige software ertoe zal leiden dat uw computer wordt gecompromitteerd.
En daar kregen we wat pers voor en dat bracht ons op de radar van de Senaat toen ze deze kwestie begonnen aan te pakken. In '98 was het het eerste rapport van het Government Accountability Office dat naar de veiligheid van alle verschillende federale agentschappen keek en dat voor de allereerste keer werd gedaan. En dus wilde de commissie voor regeringszaken, senator Thompson, die toen voorzitter was, een hoorzitting houden om te praten over de resultaten en hoe slecht de regering het deed, waarschijnlijk omdat ze op dat moment veel Microsoft-software gebruikten, maar veel van andere leveranciersdingen ook. Ik weet niet wie de bug in hun oor heeft gestopt, maar ze wilden meer hebben dan het standpunt van de overheid, ze wilden hier een externe mening over hebben. En we werden uiteindelijk afgeluisterd, zoals je weet, een soort getuigenis van een expert, zoals dit, is een soort van buitenstaander die hackers zo goed hebben, zoals je weet, een kijk van buitenstaanders op problemen waarvan je niet weet dat ze worden gemotiveerd door de normale overheid of commerciële bedrijven.
Elisabeth: En dus een brug slaan tussen die ervaring en meer recentelijk zoals Mark Zuckerberg. Ben je verbaasd over hoe? — allereerst lijkt het je al die jaren later anders wat je zag toen hij daar over Facebook sprak? Of komt het je schokkend bekend voor? Weet je wat de vergelijkingen zijn, de verschillen die je met ons wilt delen?
Kris: Facebook heeft veel verschillende problemen gehad, waarvan veel van hun eigen creatie, zoals alleen met de manier waarop ze omgaan met privacy en hun bedrijfsmodel. Sommige van de problemen zijn te wijten aan het feit dat je weet dat het een uitdaging is om software te beveiligen die zo groot en complex is en dat ze inbreuken hebben gehad, toch? Het is zowel veiligheid als privacy, als je erover nadenkt. Het verschil van vandaag is dat de risico's zoveel groter zijn omdat er zoveel meer afhankelijkheid is van systemen zoals Facebook. Denk maar aan de hoeveelheid persoonlijke informatie op Facebook die kan worden gebruikt tegen mensen die duidelijk zouden zijn — mensen zouden niet blootgesteld willen worden. En je weet dat tot op zekere hoogte tegen je wordt gebruikt, je kent ons hele systeem van democratie. Rechts? En tegen de samenleving en niet alleen tegen individuen. Dus de inzet lijkt nu zoveel hoger dan in '98, toen we gewoon probeerden het bewustzijn te vergroten, door te zeggen alsof we zien dat dit een probleem is dat alleen maar erger zal worden. En dan kijk ik terug en zeg je dat er fundamenteel niet veel is veranderd. In principe is er nog steeds geen aansprakelijkheid voor software. Je weet dat als Facebook wordt gehackt, het is alsof, ach, je weet dat het moeilijk is om veilige software te bouwen en het lijkt alsof iedereen die software bouwt een pas krijgt als ze worden geschonden. Dus dat is in wezen niet veranderd. Maar ik denk dat wat er veranderd is, is dat de impact van deze inbreuken op de samenleving is. Het doordringt gewoon ons hele leven.
Elisabeth: Denkt u dat wetgevers die nieuwe wetten maken om betere cyberbeveiliging te implementeren het antwoord zijn? En zo ja, zijn er bepaalde maatregelen die u het meest interesseert om uitgevoerd te zien worden?
Kris: Ja, dus ik kijk graag naar analogieën in andere zaken — andere industrieën die de overheid heeft gereguleerd, zoals dingen zoals je weet dat voedsel is gereguleerd met ingrediëntenetiketten en netheid en dat soort dingen. Veiligheid is op veel plaatsen gereguleerd: auto's, vliegtuigen, allerlei soorten vervoer, de werkplek en zelfs consumentenproducten. Ik vind het leuk om naar die analogieën te kijken en te zeggen dat je weet. Hoe hebben we dat gekregen, hoe krijgen we het voordeel zonder die industrieën te verstikken? Ik bedoel, de veiligheid in auto's is duidelijk een groot succesverhaal geweest. Rechts? Alsof we nu zoveel veiliger rijden. En je weet dat dat niet zo is — de auto-industrie lijkt het goed te doen. Dus hoe kunnen we regelgeving hebben die de beveiliging kan verbeteren die redelijk dicht bij veiligheid ligt, vooral als we beginnen te praten over IoT en apparaten die worden bestuurd door computers. Hoe kunnen we, hoe kunnen we het op zo'n manier doen dat we die industrieën niet verstikken? We moeten heel voorzichtig te werk gaan, maar ik denk dat als we kijken naar sommige dingen die hebben gewerkt, zoals je weet voor voedsel, dingen zoals ingrediëntenlabels hebben gewerkt. Dus gewoon transparantie over wat er in zit en de consument laten beslissen. Zoals natuurlijk, als iets kanker blijkt te veroorzaken, halen we dat van de markt.
Maar andere dingen zijn gewoon dat u weet dat het op risico's is gebaseerd, op basis van uw gezondheid. Dus we kunnen nadenken over de transparantie van wat er in de software ging, werd het verwerkt in een faciliteit die gek maakte, weet je? Dus wat is het. Hoe wordt het gemaakt? En wat zijn de ingrediënten, zoals welke stukjes open source erin zitten, welke cryptografie gebruikt het? Ik denk dat ingrediëntenlabels en transparantie een goede manier zijn om daarmee te beginnen. Maar het andere dat volgens mij moet gebeuren, is dat wanneer je weet dat er grote inbreuken zijn, ze worden behandeld alsof je weet dat het een transportongeval is en dat je de oorzaak probeert te achterhalen van wat er gebeurt. We lijken dat altijd te doen met transport en vaak als het een inbreuk is, zeggen we zoiets als ach, dit is hoeveel records zijn gecompromitteerd. We gaan iedereen kopen die je kent, kredietrapportage of kredietbewaking en we gaan proberen om het niet nog een keer te laten gebeuren. Maar je weet dat we niet echt weten wat er is gebeurd. Ik denk dat ongeveer 10 procent van de tijd dat je weet dat het nieuws naar buiten komt en dat komt meestal omdat de aanvallers beweringen doen.
Elisabeth: Rechts. Ik bedoel, het is zo interessant wat je zegt, want dit soort postmortale analyse van wat er is gebeurd, je weet zeker dat je naar vliegtuigongevallen kunt kijken en ze leggen daar alles over uit, weet je, in een magazijn en ze bekijken absoluut alles en ze proberen er echt achter te komen wat de zwarte doos hen vertelt enz. En er zijn een paar verschillende — Ik bedoel, en dan praat je over dingen als een voedselveiligheidsongeval, je weet dat je een situatie hebt waarin Romeinse sla bederft, vergeet het maar - je zult nooit Romeinse sla vinden totdat je weet dat die crisis voorbij is. En ik denk dat er echt voordeel is van dat soort benadering.
Maar ik denk dat de uitdagingen en ik ben geïnteresseerd in uw standpunt is dat die zijn: — er is iets inherent gemakkelijker voor mensen om te begrijpen wat er is gebeurd bij het maken van die salade en de voorbereiding van de voorgewassen salade, of wat zijn de verschillende stukken in het vliegtuig die met elkaar in wisselwerking staan? En op de een of andere manier, als het gaat om softwarekwetsbaarheden en je weet dat er een grote inbreuk op de netwerkbeveiliging is, is het misschien de afwezigheid van kennis en echt inzicht in wat alle ingrediënten zijn. Maar voor een paar kostbare mensen zou ik denken dat de ingrediënten die daar allemaal zijn neergelegd, betekenis kunnen geven.
Kris: Maar je hebt experts die bovenop deze basisdingen zitten, zoals voedingsdeskundigen, er zijn artsen en dan kunnen ze advies geven op basis van die basis. En ik zou beweren dat elke soort vliegtuigcrash een zeer gecompliceerde mislukking is die daarin is verwerkt, zoals als je kijkt naar de meest recente met Ethiopië en Lion Air, het is een behoorlijk gecompliceerde keten van je kent software, training weet je misschien wat slecht ontwerp dat dat dat erin gaat. Het is nooit iets simpels, zoals een sensor die faalde waardoor sommige software faalde en toen was er een trainingsfout. Het is meestal als twee of drie dingen gecombineerd. En dus denk ik dat dat eigenlijk vrij gelijkaardig is aan wat we in de cyberwereld zien.
Elisabeth: Ik bedoel, ik denk dat ik misschien meer aan de wetgevers denk. Ik bedoel, ik kan het niet helpen, maar herhaal de vragen aan Mark Zuckerberg vaak in mijn hoofd over Nou, hoe verdien je geld?' En als echt het verraden van een onwetendheid in het Congres over de manier waarop het bedrijfsleven en waarschijnlijk een heleboel anderen behalve op het moderne internet draaien, wat ertoe leidt dat ik het een beetje moeilijk voor te stellen dat we onze weg naar een regelgevende autoriteit zouden kunnen krijgen — wat dat ook betekent - dat zou echt het vermogen kunnen hebben om dingen uit elkaar te halen. ik hoop dat — Ik bedoel, ik denk ook dat het een interessant en meeslepend iets is om naar toe te rijden, maar ik vraag me ook af wat je standpunt is, vooral sinds je vroeger met Microsoft bezig was, rond de macht van deze enorme internetbedrijven en de manier waarop ze reageren op een aantal soortgelijke soorten geluiden van wetgevers. Ik denk dat luchtvaartmaatschappijen zich in een andere situatie bevinden en voedingsbedrijven in een andere situatie. Hoe denk je dat Facebook of Instagram of Twitter of Google of wie dan ook zou reageren of tot nu toe gereageerd zou hebben op dit soort ideeën?
Kris: Veel van die bedrijven, zoals, neem Microsoft, ze reageerden in 2000... Ik denk dat het eigenlijk 2002 was, Bill Gates kwam naar buiten en zei dat we je gaan vertellen, een soort van stopzetting van de ontwikkeling en iedereen zal worden getraind en zij noemde het nu vertrouwd computergebruik. En ze zetten zichzelf op weg om veilige software te bouwen en dan waarschijnlijk 10 jaar daarna, doen ze echt heel goed werk. Rechts? En ik denk dat het deels was om hun merk te beschermen, ze moesten dit doen. Ik kijk hier veel naar en het zijn bedrijven die dit doen om hun merk te beschermen. Like als je wilt kijken naar de cloudproviders zoals Amazon en AWS. ze zijn erg sterk op het gebied van beveiliging omdat ze een sterk merk rond beveiliging moeten hebben, anders zal niemand hun service gebruiken. Dus dat is als er afstemming is tussen het merk van het bedrijf en wat ze veilig bieden, ik denk dat het kan werken. Maar ik denk dat het probleem met Facebook is dat ik niet denk dat afstemming nodig is, noodzakelijkerwijs daar, vanwege de manier waarop mensen hun informatie opgeven. De afstemming is er niet altijd. En als we kijken alsof je goedkope, je kent IoT-fabrikanten die namen hebben waarvan we nog nooit echt hebben gehoord dat ze uit China komen, er is helemaal geen merkafstemming en het kan ze helemaal niets schelen. Dat is waar ik denk dat het probleem groter is, het is niet met misschien de grotere spelers, maar het is net als de volgende duizend spelers die gewoon altijd ergens een kwetsbaarheid hebben, zodat ieders netwerk altijd compromitterend is. Weet je, als je naar een systeem kijkt, hoe verder je weggaat van de topspelers en de merknaam die het probleem is, zoals WordPress is eigenlijk best goed. Maar je zou een plug-in van een onbekende speler in je WordPress-blogsite kunnen plaatsen en dat is nu het compromis. Dat is waar ik denk dat de regulering of transparantie zich moet concentreren, op het naar boven halen van de top, niet om de topspelers sterker te maken.
Elisabeth: Ik wil nu overgaan tot u weet wat er vandaag gaande is en enkele van de innovaties die zijn — ontwikkeld voor meer veiligheid. We leven nu in een wereld met tweefactorauthenticatie rond onze wachtwoorden. Hoe lang denk je dat dat in het bijzonder de standaard zal zijn en naar welke andere factoren, zoals biometrie en andere zaken, denk je dat we zullen evolueren als die er zijn?
Kris: Dus ik denk dat two-factor een van de grootste innovaties is, vooral je weet waar je je mobiele apparaat kunt gebruiken als de tweede factor, omdat je weet dat het bijna net zo gemakkelijk te gebruiken is als een wachtwoord en dat is bijna eenvoudig in te stellen als een wachtwoord. Ik denk dat we two-factor heel lang zullen zien duren. Biometrie, u weet dat dat prima is, want u kent een hardwareapparaat, iets waarvan u weet dat het uw deurslot of uw telefoon is. Het begint problematischer te worden wanneer die biometrische gegevens op grote schaal over veel systemen moeten worden gedeeld en dat veilig moet worden gehouden. Alsof je nadenkt over de biometrische gegevens op je telefoon, die vingerafdruk verlaat nooit de beveiligde chip op je telefoon, toch? Dat is een van de dingen waardoor het echt werkt. Als mensen over biometrie beginnen, ken je dat bij de geldautomaat of ken je andere plekken die op een breed netwerk zitten. Dan begin ik me zorgen te maken dat het niet echt helpt. En dan is er een reëel risico, want nu is je vingerafdruk — u weet dat u uw wachtwoord kunt wijzigen, maar u kunt uw duim niet veranderen, of in ieder geval niet gemakkelijk. Ik ben niet zo zeker van biometrie.
Elisabeth: En hoe zit het met cyberbeveiligingsproblemen in machine learning-toepassingen? We hebben het veel over machine learning en veel van de mensen die naar deze podcast luisteren, gebruiken oplossingen voor machine learning om grote hoeveelheden gegevens te analyseren. Wat zijn enkele van de zorgen waarmee ze rekening moeten houden?
Kris: Machine learning kan zeker worden gebruikt om een aantal cyberbeveiligingsproblemen op te lossen. Ik denk dat het een uitdaging wordt als je normaal gedrag probeert te scheiden van kwaadaardig gedrag, omdat ze zo nauw op elkaar lijken. Ik bedoel, er zijn extreme gevallen waarin je weet dat je altijd inlogt vanuit Massachusetts en dan ineens voor de eerste keer inlogt vanuit China en we zijn eigenlijk goed in dat soort dingen. Dat is een soort antifraudedetectie die creditcardmaatschappijen gebruiken. En dus dat soort extreme anomalieën - dat is prima. Maar het wordt moeilijker als je probeert te begrijpen dat je weet dat het gedrag van een gebruiker op een netwerk eigenlijk het soort kwaadaardig gedrag is in plaats van dat je het normale menselijke gedrag kent? Alsof iemand voor het eerst een spreadsheet opent omdat hem net is verteld iets te doen. Wil je die activiteit blokkeren? Wilt u dat iemand die activiteit fysiek opvolgt? Dat dat zou kunnen leiden tot veel valse positieven. Dus als het gaat om menselijk gedrag dat gewoon een soort van bescherming is, je kent je pc of je netwerk, ik denk dat het een uitdaging is en we zijn er nog niet helemaal.
Elisabeth: En voor mensen die leidinggevenden zijn die bedrijven leiden en die moeten nadenken over hun veiligheid, hoe bezorgd moeten ze zijn? En ik vraag me vaak af of je weet is dit een geval van een terroristische aanslag die statistisch gezien nogal onwaarschijnlijk is? Of is dit meer de dreiging van een verkeersongeval op weg naar het werk? Waar moet ik mijn zorgen concentreren? En je weet dat het aantal bedrijven dat me graag zou vertellen dat het verschrikkelijk gevaarlijk is in termen van cyberbeveiligingsrisico's waarmee ik hier bij Technology Review te maken heb, waarschijnlijk oneindig is. En hoe filter ik het signaal uit de ruis?
Kris: Ja. Dus het is een uitdaging, want je weet dat je niet weet, je weet niet welk risiconiveau je moet tolereren, aangezien een bedrijf verschillende bedrijven verschillende risiconiveaus hebben, zoals uiteraard heeft iets dat een bank is een ander risiconiveau dan een mediabedrijf bedrijf. Rechts? Een mediabedrijf kan overleven, je weet dat hun website wordt weggegooid, maar een bank kan niet per se overleven als ze miljarden dollars verliezen. Rechts? Er is een andere risicotolerantie voor elk soort bedrijf. Maar we zien er een paar - en dat is net als wanneer het meer een gerichte aanval is. Iets waar ik me zorgen over maak, is de willekeurige willekeurige aanval, zoals we zagen met het NotPetya-virus dat het uitschakelde, het was Merck en ik denk dat er een paar wereldwijde transportbedrijven zijn en Maersk, ik denk dat ik er een van was. En voor een bedrag van honderden miljoenen dollars alsof ze wekenlang niet in staat waren om hun wereldwijde bedrijven te runnen, weet je wel? Dus dat is iets waar elk bedrijf zich zorgen over moet maken. ik zou — als ik mijn cyberbeveiliging zou richten, zou ik me op dat soort evenementen concentreren — wijdverbreide evenementen - eerst en daarna zou ik me concentreren op, zoals, zijn er doelen die rechtstreeks op mijn bedrijf zijn gericht? En weet je hoe ik daar mee om moet gaan? Ik denk dat je het in de twee kunt scheiden en dat het voor elk bedrijf een beetje anders zal zijn.
Elisabeth: Ja. En hoe zit het met mensen die nu het veld van cyberbeveiliging betreden en dat zijn? — je weet dat ze ofwel hackers zijn geweest of dat ze er gewoon echt in geïnteresseerd zijn om het internet en bedrijven beter te maken, weet je dat het werken op het internet veiliger is? Wat vertel je hen? Want er is veel veranderd. U weet dat hackers en hacken veel geavanceerder is geworden. Het is zeker een hulpmiddel van u, kent natiestaten. Hoe adviseer je hen om na te denken over waar ze hun carrière willen uitbouwen?
Chris : Ik was eigenlijk bij dit evenement bij VMI in Virginia. Het was een capture-the-flag-evenement waar 13 verschillende collegiale teams samenkwamen om deze cyber capture-the-flags te doen. En ik sprak met ze en je weet wat ik graag zeg, begin bij de basis. U moet echt begrijpen dat u weet hoe TCP/IP-netwerken werken en hoe internet werkt. Je moet begrijpen hoe besturingssystemen werken, zoals Unix en Windows. Je moet iets weten over coderen en je hebt een soort brede basisbasis nodig. Ik denk gewoon om te beginnen en dan moet je beslissen waarin je je wilt specialiseren. Toch? Ga je in de verdediging of zit je in het rode team? Ga je incidentenbestrijding en forensisch onderzoek doen? Zoals wat ik uiteindelijk deed, weet je, werken met mensen die software ontwikkelen om hen te helpen software beter te ontwikkelen. Ik denk dat iedereen die basis nodig heeft, omdat er zoveel verschillende lagen zijn waarop je systemen kunt aanvallen. Je kunt aanvallen op het netwerk, je kunt aanvallen op het besturingssysteem en ik denk dat een ander heel gebied zich op de menselijke laag bevindt. Zoals hoe verleid je mensen om dingen te doen? Ik denk dat je de basis van al die lagen moet begrijpen en je dan moet concentreren op waar je aanleg voor hebt. Het is duidelijk dat sommige mensen van nature aangetrokken worden tot aanval of verdediging. Uiteindelijk kwam het erop neer dat je weet dat je in de aanval begon en dan overging naar de verdediging, omdat ik dat leuker vind. Ik zou een paar dingen proberen en dan weet je dat je diep gaat en je op één gebied concentreert.
Elisabeth: Geweldig. Dit is een zeer interessant gesprek en ik waardeer het zeer dat u de tijd neemt.
Kris: Nou, bedankt dat je me hier hebt.
Elisabeth: Dat was het voor deze aflevering van Business Lab. Ik ben je gastheer Elizabeth Bramson-Boudreau. Ik ben de CEO en uitgever van MIT Technology Review. We zijn in 1899 opgericht aan het Massachusetts Institute of Technology. Je kunt ons in print, op het web, op tientallen live-evenementen per jaar vinden. En nu in audiovorm. Kijk voor meer informatie over ons op onze website en op TechnologyReview.com. De show is overal beschikbaar waar je je podcasts vandaan haalt. Als je deze aflevering leuk vond, hopen we dat je even de tijd wilt nemen om ons te beoordelen en te recenseren op Apple Podcasts.
Business Lab is een productie van MIT Technology Review. Deze aflevering is geproduceerd door Collective Next met hulp van Emily Townsend en met redactionele hulp van Mindy Blodgett. Speciale dank aan onze gast Chris Wysopal. Bedankt voor het luisteren en we komen snel terug met onze volgende aflevering.