Nitin Natarajan 是CISA (网络安全和基础设施安全局)的副主任,在网络安全领域拥有丰富的经验,包括监督美国国家安全委员会和美国卫生与公众服务部的关键基础设施。
在与 a16z 的普通合伙人 Joel de la Garza(曾担任 Box 的首席安全官,并领导过众多金融机构的安全团队)的讨论中,Natarajan 解释了为什么不断演变的网络安全威胁形势正在迫使各种规模的组织——以及个人——变得更加精通网络。他还涵盖了许多其他主题,包括行业和政府如何最好地合作以共享信息并保护每个人。
这是 5 月进行的现场讨论的编辑版本。您可以在此处以播客形式收听整个讨论。
JOEL DE LA GARZA:您以及 CISA 如何考虑优先考虑威胁?这似乎是您尝试做的所有事情的关键。
NITIN NATARAJAN:当我们考虑优先级时,归根结底是真正了解这些系统性风险是什么。我们如何能够帮助讲述级联影响分析的故事,以便人们能够就投资地点和投资以防范哪些风险做出决定?
或者,我们如何将风险视为三足凳?我认为我们花了很多时间谈论风险识别。我们花了很多时间谈论风险缓解。我们忘记了第三条腿,对我来说,我们发现并且我们没有减轻的每一个风险,我们都在接受。我们总是接受一些风险。我的意思是,我开车到这里。我走上舞台。我冒着风险来到这里。我会冒险离开并可能跌倒。
但是我们如何确保我们的眼睛对我们正在接受的东西睁大眼睛呢?我们如何理解风险格局并利用它来推动我们的优先级排序?然后,我们如何看待这 16 个处于不同成熟度的关键部门?
金融行业等行业通过投资网络安全获得了可量化的投资回报,但我们还有其他行业在该领域的投资没有那么长或那么多。我们希望能够以一种承认人们在不同地方的方式来应对风险,这种方式既适用于大型跨国公司,也适用于小型企业。当我们审视供应链风险时,很多风险并不存在于大型跨国公司,而是存在于创造这一小块的小企业,即一个至关重要的小部件。
因此,对我们来说,确定优先级是一个挑战,因为我们正在纵观整个行业——纵向和横向。但我们想要尝试和做的是真正了解系统性风险是什么。
媒体和安全行业往往总是谈论相同的威胁。有哪些我们不是每天都能听到的最让您头疼的事情?
我认为最大的威胁是自满。有很多关于对手是谁以及对手长什么样的讨论。我们如何参与?但我真正担心的是让人们真正了解他们成为受害者的潜力,以及他们如何看待威胁是他们的。
殖民地管道黑客事件和其他事件对此有所帮助,人们过去曾认为,“我不能成为受害者。没有人会追随我:我是一家小企业,或者我是一个小的农村管辖区,或者我是一所学校,你有什么。他们不担心我。他们担心世界上的纽约市,他们担心大型跨国公司。”我认为我们看到的是人们能够看到威胁对他们来说是真实的。
我们与一个成为勒索软件受害者的小学区发生了一起事件。他们拨通了电话,说:“我们没有钱。我们只是这个小学区。你不懂。”袭击者说:“不,我们知道你有多少钱。”
您如何考虑打破公众的麻木或自满情绪?
我认为是教育。它让消费者提出问题。因此,例如,如果您要去银行,银行是否使用多因素身份验证?您想要寻找这些类型的能力,以及该机构对您的个人信息和资源所做的事情,以及那里的价值。
我认为让人们了解甚至像物联网这样的东西,并且我们正在向世界引入更多的漏洞,这一点很重要。我的意思是,我们有冰箱连接到互联网。我不反对。我不知道它和我的冰箱有什么不同。但所有这些都带来了新的漏洞。
前几天我开玩笑地告诉某人,我很想回到以前的摩托罗拉 StarTAC时代。我们为我们的移动设备带来了很多功能和技术。但随之而来的是,我们带来了风险。而且我认为我们没有花足够的时间谈论风险,因为我们谈论的是像素大小和玩游戏的能力。
我认为我们还需要教育下一代。可以说,我迷路了。我相信我所相信的,你知道的,你如何改变我的想法?但我看着我高中毕业的孩子,人们会说,“哦,他们太精通网络了。”我会说他们不是——我会说他们精通技术。他们从两个月大就开始使用 iPad,但他们仍然将密码贴在 iPad 背面或键盘背面。
所以,我认为我们已经将精通技术等同于精通网络。我们需要让他们精通网络。我们需要把它融入下一代,让他们真正融入他们的日常生活,无论是个人的还是职业的。
是否存在我们过于痴迷并可能分散我们对真正风险的注意力的威胁?
我们花很多时间着眼于短期。这是自然,默认。我们专注于此时此地的事物,眼前的事物。但我不知道我们是否花足够的时间着眼于长远——如果我们真的、真正地着眼于 5 年、10 年、15 年的弹性会是什么样子。我认为这是因为它很难。我们不知道 5 年或 10 年后技术会走向何方,因此很难判断应该关注哪里。因此,我们专注于我们立即面临的问题。
我认为我们需要花更多的时间在长期的弹性上,因为建立它需要时间。当我查看企业解决方案或政府解决方案时,很多这类事情都是多年的努力。通常,至少在政府收购过程中,当我们确定范围并完成收购时,它已经过时了。我们只是再次开始循环。
最重要的是与我们互动。我们与我们认识的合作伙伴有着良好的关系。我最担心的是有很多我们不认识的合作伙伴。
让我们谈谈俄罗斯和乌克兰的情况。作为一个被动的观察者,一件非常有趣的事情是,我们没有像过去那样混乱——NotPetya和这些旨在扰乱乌克兰的东西被设计和开发,但出来并扰乱了全球商业。看来,在这次迭代中,附带损害要少得多。
那是因为我们刚刚升级并且我们做了很多吗?是政府推动标准和让人们知道的工作吗?因为我们收到了Shields Up的公告,我所在的许多董事会以及与我共事的人都非常重视。
我认为这在多个方面发生了变化。对手和那里的一些方法肯定发生了变化。我认为政府方面肯定会发生变化,以及我们多年来为真正提高标准所做的工作。其中很大一部分是由于与行业的合作,以及许多帮助行业变得更有弹性的事情。我认为人们比几年前更相信网络安全。所以,所有这些东西一起让我们走到了一个好地方。
我在公共卫生领域工作了一段时间,我们一直在与流行病作斗争。这对我们来说并不新鲜。我们正在与流行病作斗争,我记得当 H1N1(我们认为是流行病)袭击时。我们知之甚少。而且,你知道,我们当时实际上说的是,我们无法进行完整的远程工作或远程办公,因为 IT 系统无法处理。好吧,快进 12 年,我们成功了。我们实现了这一目标,不仅仅是因为向云的过渡——很多事情让我们走到了今天。
所以我认为,当我们看 NotPetya 与现在的对比时,其中一部分实际上是对手方面的变化,我们方面的变化,以及伙伴关系和关系的变化。 Shields Up 是一个很好的例子,我们能够向前倾斜并与行业合作伙伴分享更多信息,包括机密级别和非机密级别。我们如何从那里获取信息?我们如何让人们相信我们发布的信息?
归根结底,我们的目标不是将所有机密文件都发给所有人,也不是让所有人都获得安全许可。我们永远不会及时获得这些信息。它以人们可以实际使用的方式获取信息。多年来,我已经形成了一种关于信息共享的口头禅。对我来说,它是:我们如何及时将正确的信息传递给正确的人,从而做出更明智的决策。所以即使决定是一样的,至少它更明智。
因此,当我们查看此事件以及我们所看到的内容时,我们拥有获取信息的机制。我们让人们相信即将发布的信息的质量。我也认为向前倾斜并说我们没有很多信息是有价值的。我们看到了一些非常独特的东西。我们有很多信息,我们能够很快地从机密空间获得到讲台上——在某些情况下,在创纪录的时间内——并且真的能够利用这些信息来推动人们对他们应该采取什么行动的决策。所以我认为这是一个强有力和有效的回应。
但这一切都与协作和伙伴关系有关,因为如果无法使用信息,不仅仅是我们将信息放在那里。在我们获得反馈并真正以允许我们一起工作的方式构建这些系统之前,我们不会改变国家格局,因为我们正在研究关键的基础设施。
我看着我高中毕业的孩子,人们会说,“哦,他们太精通网络了。”我会说他们不是——我会说他们精通技术。他们从两个月大就开始使用 iPad,但他们仍然将密码贴在 iPad 背面或键盘背面。
我很想听听你对勒索软件的看法。政府对此非常认真。碰巧它主要集中在现在相互争斗的地区。我很好奇你处理勒索软件的方法,以及你如何消除其中的一些。因为它看起来确实可能变得更好……
我将为我们的勒索软件网站做插件,我们试图将所有内容放在一个中央网站中以获取信息。但我认为很多都归结为教育。它在教育人们,你不会通过电子邮件获得一百万美元——你会得到一张大纸质支票,有人会上门敲门。我认为归根结底是让人们了解谁是潜在的受害者。
我们与一个成为勒索软件受害者的小学区发生了一起事件。他们拨通了电话,说:“我们没有钱。我们只是这个小学区。你不懂。”
袭击者说:“不,我们知道你有多少钱。我们有您的银行账户对账单。我们知道你有多少。我们知道您可以支付多少,我们要求您支付的金额与您在银行的存款金额相当。所以我们不会拿走所有东西,我们会留下一些东西。但是,真的,这就是我们想要的。”
学区说,“好吧,你想要比特币。我不知道该怎么做。”
“我们有一个帮助台。我们有 14 种不同语言的帮助台,可以帮助您获得比特币。那我们怎么帮你?”
因此,我认为对于勒索软件,我们需要让人们了解漏洞、风险、目标可能是谁以及要采取的行动 [参见 CISA 联合咨询 2021 勒索软件趋势]。以及货币影响。对于勒索软件攻击和我们看到的其他类型的事情,人们是个人用户。但我也认为人们开始关注。我认为人们开始不再点击所有内容。
我确实担心流行病之类的事情以及那些我们有更大机会潜力的事情。或者收件箱中有 300 封电子邮件并且只需要通过它们的人,他们会成为这类事情的受害者。所以我们需要继续施压。我们需要保持消息传递。
我们也需要让年轻一代意识到这一点。因为,我犯了看高中生收件箱的错误。而且我不知道他们是否阅读了他们的电子邮件,或者什么。我不知道他们有什么……有数百封电子邮件。我什至不知道他们是从哪里来的,也不知道他们是怎么得到的。我们如何教育下一代生活在更好的地方?
归根结底,我们的目标不是将所有机密文件都发给所有人,也不是让所有人都获得安全许可。 . . .对我来说,它是:我们如何及时将正确的信息传递给正确的人,从而做出更明智的决策。
很高兴了解我们如何在私营部门更好地与政府合作并帮助使事情变得更好。因为这是团队运动之一,如果我们不赢,我们都会一起输。
我认为最重要的是与我们互动。我们与我们认识的合作伙伴有着良好的关系。我最担心的是有很多我们不认识的合作伙伴。我们不知道他们在哪里,也不知道如何到达那里。 CISA 是一个成长中的组织——我们在全国拥有大约 500 人的现场力量,我们需要继续发展——但即使是 500 人也只是杯水车薪。因此,我们需要知道如何参与以及与谁参与。这就是我认为行业可以提供帮助的地方,因为行业参与有更多机会让我们与那些可以帮助我们提高弹性标准的合适合作伙伴建立联系。
然后让我们诚实。让我们诚实并教育我们。你知道,我们真的在很多方面都在努力向前倾斜,因为我认为,在过去,我们对如何与行业打交道有很多恐惧:“我们能做什么?” “我们能说什么?” “我们不能说什么?”
我们现在已经在 CISA 建立了一个真正具有前瞻性的团队,我们不惧怕这种参与。是的,有线条,但我们在这些线条中有很多纬度。我们真的在努力保持在那些护栏内——我们不想撞穿并掉下悬崖——但只要我们留在那些护栏内,我们就没事。
所以我认为最重要的是告诉我们我们不知道的事情。我知道有很多我们不知道的。但是帮助教育我们这些是什么,帮助我们对我们正在做或不做的事情负责,我真的认为这将帮助我们前进并做出我们需要做出的重大飞跃。
勒索软件、网络知识和公私安全连接的帖子首先出现在Future上。
原文: https://future.com/cisa-deputy-director-cybersecurity-ransomware/