Vidéo: #46 : Défense contre une attaque couteau courte distance (Novembre 2024)
Howard Schmidt a tout fait. Il a géré la sécurité pour Microsoft et eBay. Il a été assistant spécial du président et coordinateur de la cybersécurité pour le gouvernement. Il est actuellement associé, avec l'ancien secrétaire du DHS, Tom Ridge, de la société de conseil Ridge-Schmidt Cyber. En sa qualité de président du conseil consultatif international de Kaspersky Labs, il a dirigé un panel fascinant sur les attaques ciblées et le cyberespionnage lors du récent sommet de Kaspersky sur la cybersécurité.
Les autres panélistes ont apporté des connaissances et de l'expérience de diverses industries. Fred Schwien, directeur de la stratégie et de la stratégie de sécurité intérieure de la société Boeing, doit s’occuper de la sécurité à tous les niveaux, à commencer par la chaîne logistique. (Schwien a plaisanté: "Mon salaire est indexé sur le nombre de lettres de mon titre.") Joe Sullivan, le CSO de Facebook, s'inquiète davantage du domaine électronique, naturellement. Pour compléter le panel, Eugene Kaspersky est le fondateur, président et chef de la direction du géant de la sécurité mondiale Kaspersky Lab. Je ne peux pas rendre compte de l'intégralité de la vaste discussion, mais je vais aborder les points saillants.
Schmidt: "Quand nous examinons la question de la chaîne logistique, Fred, tout est dans la chaîne logistique de votre travail. Vous avez des rivets, des moteurs, des sièges, des éléments très critiques pour votre entreprise et le gouvernement. Comment voyez-vous la chaîne logistique dans votre monde d'infrastructure critique?"
Schwien: "J'aime dire que le nouveau 747 représente six millions de pièces volantes en formation. Nous travaillons dur pour sécuriser la chaîne, pour nous assurer que les choses sont fabriquées à la spécification et non corrompues. Nous avons un groupe hebdomadaire spécifique à la chaîne d'approvisionnement. " M. Schwien a poursuivi en expliquant les nombreuses façons dont les entreprises de transport aérien et les agences gouvernementales partagent les informations, notamment les briefings classifiés du FBI, de la TSA, etc.
Schmidt: "Joe, Fred parle de grandes infrastructures, d'agences gouvernementales, de transports. Qu'en est-il de Facebook? Je suppose que vous avez beaucoup de fournisseurs sur lesquels vous comptez, alors c'est un problème de chaîne d'approvisionnement. Comment gérez-vous cela?"
Sullivan: "Les gens nous ont fait confiance. Nous ne nous intéressons donc pas uniquement au site Web, mais à tous les domaines susceptibles d'être vulnérables. Nous réfléchissons à quatre choses: le front-end, le back-end, nos employés et nos fournisseurs. Nous avons un plan complet pour chacun et nous nous efforçons de nous améliorer constamment. " Sullivan a noté que lorsque Facebook a ajouté une prime de bogues pour les vulnérabilités côté serveur, il a acquis des informations précieuses auprès de la communauté des chercheurs.
Schmidt: "Eugene, tu as blogué à ce sujet. Une violation ne doit pas nécessairement être une attaque frontale. Nous avons vu un grand détaillant compromis par un fournisseur apparemment indépendant. Comment envisagez-vous de travailler avec une chaîne d'approvisionnement avec votre équipe?"
Kaspersky: "C'est un peu compliqué. Je représente la sécurité d'identité et je suis un paranoïaque. Les entreprises doivent penser non seulement à leur propre sécurité, mais aussi à leurs fournisseurs. Il ne s'agit pas uniquement des entreprises qui fournissent des pièces pour une entreprise aussi importante que Boeing. Les restaurants, la cantine, ils fournissent un service. Se connectent-ils à votre réseau? Proposez-vous un service de taxi? At-il le Wi-Fi? Vous devez penser à tous les fournisseurs directs et indirects. " Il a raconté une découverte par des chercheurs de Kaspersky Lab. En vérifiant une entreprise qui développe des applications SCADA pour les centrales, ils ont découvert une porte dérobée. Quiconque l'a planté a eu un accès complet à la technologie et la possibilité de modifier le code source. "Si votre fournisseur était infecté, vous ne pouvez plus vous fier à vos données", a déclaré Kaspersky. "C'est une bonne nouvelle pour la sécurité informatique et une mauvaise nouvelle pour le reste du monde."
Schmidt: "Eugene, quand vous regardez l'empreinte mondiale globale, vous bloquez les APT pour Microsoft, Boeing, Facebook… Quels sont les avantages pour les petits gars?"
Kaspersky: "La cybercriminalité est une histoire différente. Ils veulent de l' argent . Ils ne veulent pas vous tuer, ni ruiner votre réputation, ni voler vos secrets. Si une petite entreprise est victime d'un cyberespionnage, quelqu'un commet une erreur."
Schmidt: "Joe, où mettez-vous vos efforts pour sécuriser la chaîne d'approvisionnement?"
Sullivan: "Nous cherchons si des tiers peuvent respecter les normes publiées, mais cela ne suffit pas. Vous ne pouvez pas tirer de conclusions en fonction de la taille ou de l'âge de l'entreprise. Nous avons audité une entreprise de 15 personnes qui était vraiment en sécurité parce qu'elle Un autre fournisseur, une grande institution financière, limite le nombre de mots de passe à huit caractères, sans caractères spéciaux, et ne fait aucune distinction entre les majuscules et les minuscules. Vous ne pouvez pas en juger par la taille."
Schmidt: "Eugene, nous entendons depuis dix ans que l'antivirus est mort." Est-ce vrai?"
Kaspersky: "Quelle est cette citation de Mark Twain? Les rumeurs de sa mort sont grandement exagérées. Les signatures antivirus existent, elles sont toujours importantes, mais pas les plus importantes. Comme la ceinture de sécurité de votre voiture, vous devez l'avoir, mais ce n'est pas le cas. partie la plus importante."
Schmidt: Fred, Tom Ridge a mentionné les réglementations relatives à la sécurité. Celles-ci existent ici et dans tous les pays. Vous pouvez être conforme tout en étant peu sûr. Comment gérez-vous la réglementation en tant que société mondiale?"
Schwien: "Parfois, nous appelons un avion" système mondial de contrôle industriel mobile. Un avion qui m'a récupéré à Newark est parti de Singapour et m'a emmenée à Tel Aviv. Nous travaillons dans l'environnement pour chaque pays. " Schwien a noté que la réglementation américaine est souvent la norme la plus stricte, la norme absolue, à la fois pour la sécurité physique et la cyber-sécurité. Il a poursuivi en citant le général Keith Alexander, ancien chef de la NSA, à propos de l'équipe américaine de cyberdéfense: "Nous avons la meilleure équipe au monde, mais ils sont toujours dans les vestiaires."
Sullivan: "Pour résumer, les plus gros problèmes d'utilisation ont été les nouvelles menaces. Les signatures n'auraient pas fonctionné. Nous avons besoin d'investir davantage dans la sécurité en dehors de nos frontières et face aux nouvelles vulnérabilités, nous devons développer de nouveaux moyens de protection Le partage de l'information est la clé."
Kaspersky: "Que faut-il faire? Le monde doit être divisé en trois catégories: infrastructure individuelle, entreprise et infrastructure critique. Nous n'avons besoin d'aucune réglementation sur les utilisateurs individuels ni sur Facebook. Mais nous avons également besoin d'une réglementation stricte en matière de sécurité des infrastructures critiques. Les entreprises, elles ' Nous avons besoin d’éducation. Plus important encore, nous avons besoin d’une réglementation gouvernementale spéciale pour les tests des agents de sécurité. Ils doivent réussir un test de paranoïa! Cela changera le monde."
Voilà. Protégez la chaîne logistique, assurez-vous que les informations de sécurité cruciales sont partagées et que tous les responsables de la sécurité réussissent le test de paranoïa. Les membres du public ont fait preuve d'un grand enthousiasme.
