Добро пожаловать в Кибербезопасность сегодня. Это обзор недели, заканчивающейся в пятницу, 12 апреля 2024 г. Я Говард Соломон.
Через несколько минут Дэвид Шипли, руководитель Босерон Секьюрити, будет здесь, чтобы обсудить последние новости. Мы поговорим о большем количестве горячей воды для Microsoft, втором взгляде на панику, с которой сталкивается сообщество Linux, предупреждение сектора здравоохранения о мошенничестве со службой ИТ-поддержки и предупреждение владельцам смарт-телевизоров LG.
Прежде чем мы перейдем к обсуждению, вот другие основные моменты этой недели:
LastPass опубликовал отчет описание фейкового аудиозвонка сотруднику, выдающему себя за генерального директора.
Занятия в Университете Нью-Мексико Хайлендс оставаться отмененным из-за атаки программы-вымогателя, начавшейся 3 апреля. Занятия возобновятся в ближайший понедельник, 15 апреля. Несмотря на потерю более недели занятий, срок обучения в университете продлен не будет. Выпускные церемонии продолжатся в соответствии с графиком.
Во вторник Социальная сеть, которая раньше называлась Twitter, начала автоматически изменять ссылки в твитах, в которых упоминается «twitter».[.]com», чтобы прочитать «x[.]ком». Это был еще один шаг в ребрендинге сервиса, который теперь называется X. Но стратегия изменения ссылок привела к обратным результатам. По словам репортера по безопасности Брайана Кребсабыло быстро зарегистрировано как минимум 60 новых доменов с именами, оканчивающимися на «twitter».[.]ком». Целью некоторых из этих новых доменов было мошенничество с интернет-пользователями. Значит, кто-то был достаточно умен — или достаточно хитрый — чтобы создать «fedetwitter[.]com», который в твитах стал «fedex.com». Большинство новых доменов были зарегистрированы людьми, которые понимали, что такая неразбериха возможна, и хотели предотвратить создание доменов мошенниками. Но в результате беспорядка X перестал обрезать все домены, оканчивающиеся на «twitter».[.]ком».
AT&T уведомляет Более 51 миллиона клиентов, личная информация которых распространялась в Интернете, исходили от компании. В марте компания заявила, что речь идет о информации о 73 миллионах клиентов. Разница, AT&T сообщила Bleeping Computer: в том, что у некоторых людей было несколько учетных записей.
Агентство национальной безопасности США выпустил информационный бюллетень чтобы помочь организациям реализовать стратегию защиты данных с нулевым доверием. Я не собираюсь повторять все рекомендации, но они напоминают ИТ-руководителям, что стратегия нулевого доверия «сосредоточена на защите данных организации посредством постоянной проверки». Важным элементом этого является эффективная каталогизация, маркировка и шифрование данных для ограничения утечки данных. Ссылка на документ есть в текстовой версии подкаста на TechNewsday.com.
Агентство США по кибербезопасности и безопасности инфраструктуры служба анализа вредоносных программ теперь открыт для любого ИТ-отдела и исследователя безопасности кто хочет отправить подозрительный код. До сих пор портал Malware Next-Gen был доступен только правительствам и вооруженным силам США. Вам необходимо зарегистрироваться, чтобы использовать его.
Окончательно, Фортинет выпущены обновления безопасности для нескольких продуктов, включая операционную систему FortiOS и приложения FortiProxy и FortiClient Linux. Уязвимость в FortiClient Linux оценивается как критическая и требует быстрого исправления.
(Ниже приводится отредактированная стенограмма первой из четырех тем обсуждения. Чтобы услышать остальную часть выступления, включите подкаст)
Говард: На прошлой неделе, как вы помните, Совет по обзору кибербезопасности опубликовал отчет, в котором резко раскритиковал Microsoft способность злоумышленника подделать поддельный токен авторизации, который использовался для компрометации учетных записей электронной почты Microsoft Exchange в Интернете. На этой неделе Microsoft снова оказалась в центре внимания. Турецкая компания по кибербезопасности под названием SOCRadar обнаружила, что сотрудники Microsoft оставили сервер хранения Azure открытым для Интернета, на котором хранились коды Microsoft, пароли и другие конфиденциальные материалы. Неизвестно, как долго облачный сервер был незащищен и обнаружил ли его кто-либо, кроме исследователей. Дэвид, здесь есть пара вещей: оба этих инцидента связаны с облачными сервисами — поддельные токены позволяют злоумышленнику проникнуть в Exchange онлайн. Открытый сервер размещался на платформе Microsoft Azure. Что эти инциденты говорят об облачной безопасности в целом и безопасности Microsoft в частности?
Дэвид Шипли: Во-первых, облачная безопасность — это сложно, даже если вы создаете и продаете облачную среду. Это должно быть то, что мы все уделяем минутку [to think], «Даже люди, которые могут с этим бороться». Это просто реальность ситуации. Он большой, сложный, а также природа угроз и способность просто найти каждый маленький недостаток. Кибер-это почти то же самое, что нашествие мышей в вашем доме: вы просто не можете понять, какими разными способами эти штуки могут проникнуть и просто испортить вам день.
Я надеюсь, что это часть начала конца повествования. «Просто потому, что оно находится в облаке, оно безопаснее, чем локальное».
Я думаю, что касается Microsoft, давайте проясним: Microsoft легко превзойти. Они большие дети в городе. У них самый большой и повсеместный след. У них за спиной самая большая цель. Но было совершенно ясно, что с огромным ростом и успехом Azure и облака, а также Microsoft 365 возникли обязательства по обеспечению безопасности, затраты, которые явно начинают догонять. Это почти похоже на закон физики современного цифрового бизнеса: каждая прекрасная бизнес-возможность, похоже, все чаще имеет равную и противоположную сторону безопасности, затрат и ответственности, которую сложно сбалансировать. Это плохой год для Microsoft. Хиты продолжают поступать, из некоторых обзоров выйдет еще больше, так что они, вероятно, не уйдут из этого года без еще нескольких ударов.
Говард: Я углублюсь в Microsoft через минуту, но сначала хочу отметить, что в отчете Совета по обзору кибербезопасности очень четко сказано о безопасности для всех поставщиков облачных услуг, а также для тех, кто использует облачные сервисы.
Дэйвид: Это не уникальная проблема для Microsoft. У AWS есть свои проблемы, у Google есть свои проблемы. Мы говорим об огромных, сложных системах и уровнях мощности и возможности подключения. У нас даже нет опыта, чтобы полностью понять это. Никогда еще не было так важно полностью и абсолютно понять модель совместной ответственности. [for buyers and producers of cloud services] и понять, какова ваша склонность к риску, если вы передаете контроль над определенными аспектами пирамиды угроз поставщику облачных услуг. Вас это устраивает? Есть ли у вас гарантии от этого поставщика облачных услуг и стратегия устойчивости, если этот поставщик облачных услуг подведет себя и вас?
Говард: На шоу на прошлой неделе мы с Терри Катлером обсуждали отчет Совета по обзору кибербезопасности об атаке Microsoft с поддельными токенами. Напомним, что электронные письма около 500 человек по всему миру, включая министра торговли США, посла США в Китае и других важных людей, были скомпрометированы. Только из Государственного департамента США за шесть недель злоумышленник загрузил около 60 000 электронных писем. Совет по обзору резко раскритиковал Microsoft: он заявил, что взлом можно было предотвратить и что он никогда не должен был произойти. Он называет культуру безопасности Microsoft неадекватной и требует пересмотра. И он жаловался, что Microsoft не была откровенна с общественностью, поскольку до сих пор не знает, как и когда хакерская группа получила ключ подписи, который позволил осуществить эту атаку. Доска была слишком мягкой?
Дэйвид: Я не думаю, что это было слишком нежно. Вероятно, это один из самых серьезных вызовов, которые я когда-либо видел от группы неудачников. Но дело не в вине. Что мне действительно нравится в модели Совета по обзору кибербезопасности, так это то, что она основана на авиационной отрасли и гарантирует, что мы прозрачно делимся ключевыми уроками, извлеченными из каждой авиакатастрофы. Это была киберкатастрофа, и сейчас мы собираем ее по кусочкам и рассказываем историю. Что мне показалось довольно резким в отчете, так это то, что [to Microsoft]«Прямо сейчас перестаньте сосредотачиваться на разработке новых функций, воронке дохода и целях продаж, наведите порядок в своем доме». Для Microsoft это, вероятно, один из последних съездов, на которые они собираются пойти, прежде чем они попадут в довольно серьезную ситуацию, которая потенциально может оказаться на территории антимонопольного законодательства из-за конфликта между их основными направлениями бизнеса: Azure, Microsoft 365, [Windows] операционная система и их бизнес по обеспечению безопасности. Потому что может наступить время, когда крупные поставщики облачных услуг, такие как Microsoft, будут нуждаться в регулировании, поскольку они обладают квазимонополистическим уровнем власти. Поэтому они, вероятно, должны подвергнуться более тщательному контролю. Должны ли они взимать дополнительные деньги за продукты безопасности, чтобы исправить то, что, в свою очередь, может оказаться фундаментальным недостатком, которого вообще никогда не должно было произойти в их продуктах, я оставлю это на усмотрение более умных людей, чем я. Но я думаю, если они, если [Microsoft] они прислушаются, если они начнут действовать, если это не просто пиар-ответ на это, если они сделают то, что они сделали 22 года назад с Trustworthy Computing… и переделают, перепланируют и реинвестируют, они смогут выйти из этого. Если они проигнорируют это, это будет для них опасно.
Говард: Что в этом инциденте показалось вам самым большим из провалов Microsoft?
Дэйвид: Самое сложное – это всегда [failure to follow the]основы, которые понятны каждому… Для всех нас это возможность научиться говорить: «Все это [cybersecurity] это действительно очень сложно, и иногда нам нужно замедлять скорость, с которой мы бежим». Мы бежим с головокружительной скоростью, внедряя новые продукты и услуги, увеличивая прибыль. Это давление ведения бизнеса в капиталистической экономике. Но если мы игнорируем эти основы, они всегда возвращаются, чтобы укусить нас.
Говард: Инцидент, когда кто-то оставил сервер открытым без защиты, случается со многими организациями: кто-то создает и хранит данные в облаке и забывает — или игнорирует — корпоративные правила по их надлежащей защите. Как нам это остановить?
Дэйвид: Нет. Это люди и технологии. Вы пытаетесь создать лучшие процессы, лучшие процедуры, лучший мониторинг, лучшее образование для людей, ответственных за создание этих вещей. Но не существует технологической серебряной пули, которая могла бы предотвратить серию действительно глупых вещей, потому что каждая из этих глупых вещей сама по себе, вероятно, очень безобидна — и, вероятно, является очень необходимой частью [business] Процесс заключается в построении систем и инфраструктуры. Просто иногда мы даже не понимаем всех последствий того, что начинаем и чем это в итоге становится… Количество скрытых серверов и данных и прочего, что просто теряется [it an IT environment] это потрясающе… Облачные активы, мониторинг, разрешения и отслеживание, и все это не так уж и сексуально. Это основы. Внимание к деталям. Тот факт, что у нас нет кибер-кода для компаний с набором основных стандартов и доказательством комплексной проверки, приводит к этому непрерывному циклу.
