Video: A difesa dei cieli: il 36° Stormo dell'Aeronautica Militare (Settembre 2024)
Howard Schmidt ha fatto tutto. Ha gestito la sicurezza per Microsoft ed eBay. Ha servito come assistente speciale del presidente e come coordinatore della sicurezza informatica per il governo. Attualmente è socio, insieme all'ex segretario del DHS Tom Ridge, nella società di consulenza Ridge-Schmidt Cyber. Nella sua veste di presidente dell'International Advisory Board for Kaspersky Labs, ha tenuto un affascinante panel su attacchi mirati e spionaggio informatico al recente vertice sulla sicurezza informatica di Kaspersky.
Gli altri esperti hanno portato conoscenze ed esperienza in vari settori. Fred Schwien, direttore dei programmi e strategia di sicurezza nazionale, The Boeing Company, deve occuparsi della sicurezza a tutti i livelli, a partire dalla catena di approvvigionamento. (Schwien ha scherzato, "Il mio stipendio è ancorato al numero di lettere nel mio titolo.") Joe Sullivan, CSO di Facebook, si preoccupa di più del regno elettronico, naturalmente. A completare il panel, Eugene Kaspersky è il fondatore, presidente e CEO del colosso globale della sicurezza Kaspersky Lab. Non posso riferire l'intera discussione di ampio respiro, ma colpirò i punti più alti.
Schmidt: "Quando guardiamo al problema della catena di approvvigionamento, Fred, nella catena di approvvigionamento del lavoro è tutto. Hai rivetti, motori, sedili, cose molto importanti per la tua attività e per il governo. Come vedi la catena di approvvigionamento il tuo mondo di infrastrutture critiche?"
Schwien: "Mi piace dire che il nuovo 747 è composto da sei milioni di pezzi che volano in formazione. Lavoriamo duramente per proteggere la catena, per garantire che le cose siano fatte su misura e non corrotte. Abbiamo un gruppo settimanale specifico per la catena di approvvigionamento. " Schwien ha continuato a elaborare i modi in cui le compagnie aeree e le agenzie governative condividono le informazioni, compresi i briefing classificati dell'FBI, della TSA e altro ancora.
Schmidt: "Joe, Fred sta parlando di grandi infrastrutture, agenzie governative, trasporti. Che ne dici di Facebook? Suppongo che tu abbia molti fornitori da cui dipendi, quindi questo è un problema della catena di approvvigionamento. Come gestirli?"
Sullivan: "Le persone si affidano a noi, quindi guardiamo non solo al sito Web ma a tutte le aree che potrebbero essere vulnerabili. Pensiamo a quattro cose, il front-end, il back-end, i nostri dipendenti e i nostri fornitori. Abbiamo un piano globale per ciascuno e ci impegniamo per un costante stato di miglioramento ". Sullivan ha osservato che quando Facebook ha aggiunto una ricompensa di bug per le vulnerabilità sul lato server, ha acquisito preziose informazioni dalla comunità di ricerca.
Schmidt: "Eugene, hai scritto un blog su questo. Una violazione non deve essere un assalto frontale. Abbiamo visto un grande rivenditore compromesso da un fornitore apparentemente non correlato. Come vedi tu e il tuo team a lavorare con una catena di fornitura?"
Kaspersky: "È un po 'complicato. Rappresento la sicurezza degli ID e sono un paranoico. Le aziende devono pensare non solo alla propria sicurezza ma anche ai propri fornitori. Non sono solo le società che forniscono parti per una grande azienda come Boeing. I ristoranti, la sala da pranzo, forniscono un servizio. Si connettono alla tua rete? Offri un servizio di taxi? Dispone di Wi-Fi? Devi pensare a tutti i fornitori diretti e indiretti. " Ha riferito di una scoperta dei ricercatori di Kaspersky Lab. Nel controllare un'azienda che sviluppa applicazioni SCADA per centrali elettriche, hanno scoperto una backdoor. Chiunque lo abbia installato ha pieno accesso alla tecnologia e la possibilità di modificare il codice sorgente. "Se il tuo fornitore è stato infettato, non puoi più fare affidamento sui tuoi dati", ha affermato Kaspersky. "Sono buone notizie per la sicurezza IT, cattive notizie per il resto del mondo."
Schmidt: "Eugene, quando guardi l'intera impronta globale del mondo, stai bloccando gli APT per Microsoft, Boeing, Facebook… Quali sono i vantaggi per i piccoli?"
Kaspersky: "Il crimine informatico è una storia diversa. Vogliono soldi . Non vogliono ucciderti, o rovinare la tua reputazione o rubare i tuoi segreti. Se una piccola azienda viene colpita dal cyberespionage, qualcuno ha fatto un errore."
Schmidt: "Joe, dove fai i tuoi sforzi per garantire la catena di approvvigionamento?"
Sullivan: "Esaminiamo se le terze parti sono in grado di soddisfare gli standard pubblicati, ma ciò non è sufficiente e non è possibile trarre conclusioni in base alle dimensioni o all'età dell'azienda. Abbiamo verificato una società di 15 persone che era davvero sicura perché era costruito pensando alla sicurezza. Un altro fornitore, un importante istituto finanziario, ha limitato le password a otto caratteri, nessun carattere speciale e nessuna distinzione tra maiuscole e minuscole. Non puoi giudicare in base alle dimensioni."
Schmidt: "Eugene, da dieci anni sentiamo che l'antivirus è morto". È vero?"
Kaspersky: "Cosa cita Mark Twain? Le voci sulla sua morte sono molto esagerate. Esistono firme antivirus, sono ancora importanti, non le più importanti. Come la cintura di sicurezza della tua auto; devi averla, ma non è il parte più importante ".
Schmidt: Fred, Tom Ridge ha menzionato le normative relative alla sicurezza. Quelli esistono qui e in ogni paese. Puoi essere conforme ma essere insicuro. Come gestite le normative come società globale?"
Schwien: "A volte definiamo un aereo un sistema di controllo industriale mobile globale. Un aereo che mi è venuto a prendere a Newark è partito da Singapore e mi ha portato a Tel Aviv. Lavoriamo nell'ambiente per ogni paese". Schwien ha osservato che le normative statunitensi sono spesso le più severe, il gold standard, sia per la sicurezza fisica che per la sicurezza informatica. Ha continuato citando il generale Keith Alexander, ex capo della NSA, a proposito della squadra di difesa informatica degli Stati Uniti: "Abbiamo la migliore squadra del mondo, ma sono ancora negli spogliatoi".
Sullivan: "Per concludere, i maggiori problemi di utilizzo sono state le minacce nuove di zecca. Le firme non avrebbero funzionato. Abbiamo bisogno di maggiori investimenti in sicurezza al di fuori dei nostri confini e quando abbiamo a che fare con nuove vulnerabilità dobbiamo sviluppare nuovi modi di protezione La condivisione delle informazioni è la chiave."
Kaspersky: "Cosa deve essere fatto? Il mondo deve essere suddiviso in tre categorie, individuale, aziendale e infrastruttura critica. Non abbiamo bisogno di alcuna regolamentazione sugli individui, sugli utenti di Facebook. Ma abbiamo bisogno di una rigida regolamentazione della sicurezza delle infrastrutture critiche. Le imprese, loro" nel mezzo. Abbiamo bisogno di educazione. Soprattutto, abbiamo bisogno di una regolamentazione governativa speciale per i test degli ufficiali di sicurezza. Devono superare un test di paranoia! Questo cambierà il mondo ".
Ecco qua. Proteggere la catena di approvvigionamento, assicurarsi che le informazioni di sicurezza fondamentali siano condivise e assicurarsi che tutti i responsabili della sicurezza superino il test di paranoia. I membri del pubblico hanno mostrato grande entusiasmo.
