防御性安全播客第277期
在本期节目中,Jerry Bell和Andrew Kalat讨论了网络安全领域的多个话题,包括网络保险对公司风险降低的影响、保险公司如何提供指导以降低风险,以及组织网络安全成熟度的潜在挑战和顾问效应。节目还详细探讨了安全工具内核级访问的问题、CrowdStrike服务中断的影响,以及微软为解决这些问题即将推出的更改。他们回顾了一个关于朝鲜操作的案例,涉及通过笔记本电脑农场在美国公司获取职位,引发重大安全担忧。讨论强调了依赖生命周期结束软件(尤其是在并购场景中)的陷阱,以及这可能成为重大漏洞的原因。最后,他们探讨了Snowflake的大规模数据泄露事件,以及服务提供商和客户之间的安全责任分担,强调了多因素认证和适当安全管理的重要性。
相关链接:
- 保险推动网络风险降低
- CrowdStrike对竞争对手的 shady 评论不满
- 微软计划9月网络安全活动
- 纳什维尔男子因运行笔记本电脑农场为朝鲜人获取工作被捕
- 生命周期结束软件为何是黑客的起点
- Snowflake坚持安全责任在客户
文字记录: Jerry: 开始吧。今天是8月24日星期六,这是防御性安全播客的第277期。我是Jerry Bell,今天一如既往地加入我的是Andrew Kalat先生。
Andrew: 晚上好,Jerry先生。你好吗?
Jerry: 我很好。你呢?
Andrew: 我很好。我很好。我正准备下周度个假,所以有点 senioritis。如果我在节目中开始走神,你就知道为什么了。
Jerry: 恭喜,这是应得的。我知道。
Andrew: 谢谢,但除此之外很好,一如既往地很高兴来到这里。
Jerry: 好。好的。提醒一下,我们在节目中表达的想法和观点是我们自己的,不代表任何其他人,包括雇主、猫、亲戚等等。
Andrew: 各种有感知的植物。
Jerry: 没错。好了,今天跳进一些故事。第一个来自cybersecuritydive.com,顺便说一句,那里有很多令人惊讶的好内容。
Andrew: 是的,我很喜欢他们写的很多东西。我们那里有几个好故事。
Jerry: 是的。是的。所以这里的标题是“保险覆盖推动公司网络风险降低,研究人员说”,这个故事的要点是,最近进行了两项研究或报告,一份来自一家叫Omeda的公司,另一份来自Forrester,我想我们都熟悉和喜爱。
我总结一下,说这两份报告都表明,拥有网络保险的公司往往更擅长“降低风险”,更可能检测、响应和恢复数据泄露和恶意攻击,与没有保险的组织相比。所以我觉得这有点有趣。
另一方面,对我来说,这感觉有点像可用性偏差,我的意思是,如果你去调查那些去健身房锻炼的人饮食,你可能会发现他们比大众吃得更健康。
Andrew: 但我去。
Jerry: 你只是去。
Andrew: 我,看,
Jerry: 我不是说,我不是说每个人,对吧?
Andrew: 至少我出现了,对吧?有人告诉我出现是 half the battle。
Jerry: 是 half the battle,没错。知道是另一半。
然后做是另一半。
Andrew: 我会说,说到G.I. Joe的引用,我以为着火会是我生活中一个比实际大得多的问题。
Jerry: 那是和流沙。
Andrew: 我,我们小时候听过很多关于那个的。
Jerry: 流沙。
Andrew: 嘿。
Jerry: 流沙是,我,我生活在对流沙的恐惧中,但结果发现它真的不是那么大的担忧。
Andrew: 至于我听到的 stop drop and roll,做过吗?
Jerry: 还没有。
Andrew: 那是真的。日子还长。不管怎样,回到你的故事。我想你是对的,我还会说,与许多这些公司合作过,有趣的是,他们有自己的方式试图防止你被黑客攻击。他们必须赔付,所以他们推动某些事情,比如,我自己见过,我不会说它在哪里,什么时候,但如果你有像其中一个知名的EDR工具良好部署,他们可能会给你费率或费率优惠。因为他们的精算表说,嘿,如果你使用某些技术,降低了通常勒索软件的风险,对吧?所以
Jerry: 当然。
Andrew: 在我看来,我的观点是,这些保险公司觉得一些知名的EDR品牌在Windows环境中非常有效或相当有效地阻止勒索软件,因此他们赔付的可能性较小,因此他们降低你的费率。所以可能也有一些那种情况。他们确实给公司提供指导,告诉他们他们在行业中看到什么来降低风险。
Jerry: 我想那有道理。我会说,一方面,就像我之前说的,我认为购买网络保险的公司可能更成熟,更投入保护他们的环境。但我认为,当你想推动变革时,也有这种顾问效应,无论那种变革是什么,重组、改革你的安全计划,为任何事情证明额外费用,外部指导通常比内部来的更有分量。
Andrew: 悲伤但真实。
Jerry: 所以我认为,是的,任何在行业呆了很长时间或任何时间的人都知道,尤其是这是CISO的技巧,对吧?当你作为CISO进入一个新组织时,你做的第一件事是去雇一个大名鼎鼎的顾问。你花50万在咨询项目上。那时,不是你在告诉公司,嘿,我们必须花一大笔钱来改进我们的安全计划。而是某个难以争辩的独立第三方在进行评估。在某种程度上,你争辩那是自找麻烦,对吧?因为现在它成了一个评估,如果出了问题,它成为 exhibit a,这既是福也是祸。但我的经验是,它肯定有很大帮助。我认为这种网络保险及其围绕你需要实施的控件和技术类型的有些规定性的指导和期望是非常类似的事情,对吧?如果你与他们接触,他们会对你应该和不应该做的事情有意见,然后像咨询项目一样。是第三方给你那种指导。所以我认为那往往更有分量。
Andrew: 同意所有观点。我唯一要提醒的是,有时这些来自一些保险公司的建议通常不是针对你的特定风险环境或情况定制的。它们是非常广泛的方法,用于减少许多不同类型环境中的风险,具有许多不同类型的风险概况。技术栈等等。所以它们是非常有些通用的建议,我认为。
Jerry: 我想你可能是对的。无论如何,我觉得很有趣。当然,拥有那种保险可以有帮助。我会告诉你,在我作为CISO的时间里,处理客户和某种程度上业务伙伴时,有一种,我会说,越来越高的期望,你必须拥有网络保险。实际上,我亲身经历了不少客户实际上在合同中写入。你现在必须有,我不知道那种情况在行业中渗透多广,但我认为现在可能变得普遍得多,因为,公司有这种相互依赖,所以它不一定只是像云服务提供商那样那种事情可以显现,看,在,现在多少,12、13年我们做节目以来。我们多少次谈论像Target或Home Depot这样的公司因为供应商发生的事情而被黑客攻击?所以我认为,随着时间的推移,我们将看到那成为 kind of table stakes,拥有这些业务关系,尤其是与更大更成熟的公司。
Andrew: 你为什么认为那是,你认为第三方假设你会从那种保险中得到什么?只是这样你有能力从事件中恢复并持续经营,或者他们假设如果你有保险,它带有提升你计划成熟度的要求,或者你认为第三方看到他们的业务伙伴拥有网络保险有什么价值?
Jerry: 这是个好问题。我认为两者都是,实际上。我认为有这种天真的观点,如果,如果发生坏事,这种保险会提供那种缓冲。它会确保,公司不会倒闭,但现实是,尤其是,如果你看一些非常大的黑客攻击。可能发生在相对较小的组织,他们,我会说杠杆率相当高,至少就他们的保险单而言。所以是的,很好。他们可能有一个500万的保险单,但如果他们是,比方说,一个1亿的公司,他们被击中,遭受5000万的违规费用,他们的500万保险覆盖,不会走得很远。所以我不知道它在保护客户免受伤害方面非常有用。我认为它提供了一种门面。我也认为它确实给,至少公司中的一部分角色,给了他们这种温暖、模糊的感觉,有人在监督他们。在那方面,它不像sock to或ISO,SOA或 whatever。
Andrew: 我想知道是否有某种隐含的,嘿,你有勒索软件,你可以恢复得更快。我想到的另一件事是反常的激励。所以当我们看保险一般时,它是为了转移风险。它是为了转移
Jerry: 我
Andrew: 风险给第三方。所以是否有风险,一个执行委员会会说,嘿,我们不需要在网络安全上投资太多,因为我们有保险,如果发生坏事。
Jerry: 我的意思是,我想坐在这里说不,那永远不会发生。但我不认为那发生在每个组织,但我肯定期望它发生的比应该的多。
Andrew: 是的,有趣。有趣的是竞争优先级的相互作用。当你开始引入这类东西时,以及什么样的行为经济学开始起作用
Jerry: 是的,绝对。好了。无论如何,去和你的保险承运人谈谈,它可能可能帮助你的内部计划,并证明对你的计划的额外改进是合理的。我们的下一个故事来自Ars Technica,标题是Crowdstrike。对竞争对手在服务中断后的 shady 评论不满
Andrew: 我震惊了。我说震惊
Jerry: 完全 surprised by this 所以我们谈过这个几次,我肯定我们会再谈几次 CrowdStrike显然有一个相当灾难性的 Snafu 与其一个产品导致可能历史上最大的单一I.T. meltdown 和他们的许多竞争对手一直在利用那种服务中断。所以现在这个故事谈论在一些来回 tit for tat 之后。 mudslinging 一直在进行。我想他们特别指出 Sentinel one。 CrowdStrike是,我想,有点恼火于他们的竞争对手的行为,基本上说,嘿,这可能发生在任何人身上。根据我的经验和接触行业,我认为行业中有很多不同的意见。我不认为每个人都在那辆巴士上。我认为有很多人认为,不,这真的在其他公司可能性小得多。虽然有趣的是 SentinelOne是,是其中之一,我想更激进的 mudslingers 之一,但他们也,顺便说一句,据我所知,确实使用他们确实访问windows 内核。事实上,我们有的下一个故事直接谈论那个。
Andrew: 是的他们做,这回到一些事情,我没有专业知识,所以我只是围绕一些我不能权威的事情跳舞和 pontificating,但我想我不断看到的是,大多数安全工具觉得他们需要在Windows内核中才能有效,就Windows今天的架构方式。有趣的是,当他们谈论他们 being various competitors of CrowdStrike 谈论更安全的方法论,无论那意味着什么,我想在某种程度上那暗示可能不在内核级别操作。然而,更安全就更安全而言,不会导致服务中断本身,但他们在发现和阻止恶意软件方面是否同样有效?我不知道。我,我的假设是总是有些权衡。如果我们有大多数行业想在内核级别操作,我们有一个故事稍微谈论这个,微软自己在谈论也许我们可以找到方法使这有效。在我看来,没有在那些公司工作过,但是在内核级别操作允许这些安全工具对恶意软件试图关闭它们更有弹性,理论上更快更有效,如果它们在用户级别或用户空间操作,我从这些文章中得到的暗示是恶意软件可以关闭反恶意软件工具,做任何它想做的事。那在内核级别似乎更难。它更能保护自己,在操作系统的更深层次发现事情。我不知道那是否真实,但似乎大多数这些公司那样操作。事实上,甚至有一个暗示我们在之前的节目中谈过。来自Alex Stamos,他是 newly appointed CSO over at or c SSO or cso, one of the two over at Sentel
Jerry: CTO。 CTO。
Andrew: 现在在这个 particular
Jerry: 哦,好的。
Andrew: 好吧。不管怎样,他谈到,嘿,如果我们所有的竞争对手也退出使用内核,我们会退出。那里 clearly 有些优势。我不认为有人真的想谈论那个。
Jerry: 我想有,我想我们谈论这个好像它是一个单一的、 monolithic 选择,你要么在那里,要么不在那里。
Andrew: 是的。
Jerry: 那可能不是正确的思考方式。我怀疑有细微差别,有某些种类的功能你不需要在内核中执行。作为一个例子,你不需要,解析你的文件,你的定义文件在内核中。你可以在用户模式做那件事,然后。拉它进内核模块。我怀疑有一些那种情况。它肯定增加了很多复杂性,我不会争辩那,但我想那是,我不知道,我对SentinelOne和他们的技术一无所知,但我要猜什么,当他们说,当他们试图向CrowdStrike扔石头时,我想他们可能说的是我们做。更多事情 outside of outside of the kernel。但就像你说的,如果他们完全移出内核,他们的功能能力会受损。所以那 dovetails 进关于这个的第二个故事,来自CNBC。标题是微软计划9月网络安全活动讨论CrowdStrike服务中断后的更改。有我不知道这是否直接是Ed Bastian, Delta的CEO, 对CNBC的评论的结果,天哪,就在服务中断后。他说了像,我们看不到这种问题与Apple。而且,他正在。真的谈论,顺便说一句我假设Ed从,他的安全人员那里听到那个嘿,Apple只是不允许这个,这是真的,对吧?他们不他们对此访问严格得多。微软肯定会指向在EU against them 的裁决,迫使他们打开这个,因为顺便说一句,微软是SentinelOne和CrowdStrike的直接竞争对手,当谈到终端安全产品时。就像他们有自己的,他们有自己的产品,与Apple对比。Apple没有真的有一个,等价的东西像Microsoft Defender,对吧?他们,
Andrew: 一个单一品牌围绕安全。他们做事有点不同。这是一个艰难的对比,我 struggle 我听到这个,我沮丧,因为它在真空中不看市场份额。它不看
上下文。它不看所有微软必须做出的权衡来运行一个开放硬件生态系统和所有向后兼容的选择他们做了 Apple,只是说Apple只是做得更好。它不是而且我不是反Apple粉丝。我整天用Mac,但它是微软 Mechanics www.microsoft.com。我不真诚地说它 outside of the context of everything else around that ecosystem that has contributed to this。和所有人们对Apple如此硬核的沮丧,哦是的,你,对不起,这个硬件不再支持,走开。或者Apple的冲浪者生态系统在哪里或,有,只是,他没有错,但它也像故事的十分之一。
Jerry: 当然。你
Andrew: 像那样。有,它不只是,不只是微软是愚蠢的。它是,和Apple是聪明的。有这么多更多进入这个。是我的沮丧。
Jerry: 你知道,作为一个社会,虽然,我们把一切煮 down to 15 second soundbites,它只是世界的方式。
Andrew: 你不是
Jerry: 失去了我们的,我们失去了对细微差别的容忍。
Andrew: 但那是
Jerry: 但是,
Andrew: Jerry。把细微差别带回来。
Jerry: 没错。微软在9月10日,即将到来很快。将与终端安全提供商有这个峰会。我想他们试图建立的是围绕什么是在内核中做和不是做的最佳实践集,这样他们可以避免像这样的灾难 going forward。然后 also,就像我们过去谈过的,他们将开始尝试鼓励这些公司使用eBPF接口,那是,一种挂钩进内核的替代方式,能力较少。它提供可能不是完全相同水平的控制和可见性,非常、非常 substantially similar 没有所有一些缺点。所以我想我想微软的eBPF实现正在迅速成熟,相对于Linux已经有一段时间的东西,但它是,它不是安全行业真的 embraced yet 的东西,但我想这可能是强迫函数,真正驱动我们朝那个方向。这个,顺便说一句,可能是那件事最终使微软能够说,不再访问内核。如果你想做这个,你必须通过这个特定功能像eBPF。我想那是 how I see this playing out。我想如果你看五年,五年 down the road,我不认为公司会链接和挂钩进内核。我想他们会被迫通过一个功能像eBPF。它只是 Jerry’s wild ass speculation though。
Andrew: 它有道理。我想提到的一个引用来自这篇文章,那种 goes to 我们之前故事中说的,那是,引用,来自CrowdStrike、Checkpoint、SentinelOne和其他终端保护市场的软件目前依赖内核模式。这种访问
Jerry: 对。
Andrew: 引用,“监控和停止不良行为,防止恶意软件关闭安全软件”,结束引用,一个发言人说。所以那种
Jerry: 是的。
Andrew: 我们之前说的那里 clearly 有些
Jerry: 是的。
Andrew: 确定他们试图得到,就像你提到的,新方法论给他们那种能力而不深入内核。
Jerry: 但我想,我想这些终端产品的客户和制造商也会说,好吧,好。但然后告诉我你将如何帮助我们不被,不是我们的终端安全产品,不被杀死由。勒索软件公司对手谁相当 adept 在停止事情,甚至那些今天在内核中运行,用用户模式进程做那容易得多。所以我,我想那里会有点 meet me in the middle 这里微软会说,把你的 crap 弄出内核。而那些公司会说然后,给我们一些东西。使我们能够因为他们,我不认为他们今天完全 enabled。是的,
Andrew: 不会公平。我想那是EU出来 with their ruling years ago that started all this。所以有,毫无疑问,我想说的是,那里绝对有竞争对峙 going on here。这些公司是 frenemies 在这种情况,所以他们不想退出和是,离开Windows,他们的竞争对手有唯一能力做他们不能做的事,然后他们不能竞争。
Jerry: 确切地。顺便说一句,我的微软我们有,我们之前谈过它。我们见过实例微软也 shot themselves in the foot too,对吧?这是,它不是前所未有的微软自己的更新导致服务中断。服务中断。所以我必须,我必须相信像他们也在思考这个。它如此伟大。他们他们踢所有其他终端安全产品出内核。然后突然他们 are,他们是下一个CrowdStrike规模服务中断的原因因为他们的安全产品现在是唯一一个在内核中的。那对他们会有多糟?Holy crap。 无论如何我想那是我们将看到的。同意。
Andrew: 在你那里。
Jerry: 不,都好。所以我们的下一个我们的下一个故事也来自Ars Technica,这是一个 bit of a follow up from the Know Before story that we talked about, I think, two or three episodes ago。标题是,标题这里是,Nashville Man Arrested for Running Laptop Farm to Get Jobs for North Koreans。 所以,如果你 recall, 如果你 recall 安全意识公司Know Before published a blog post about how they had hired what turned out to be a North Korean agent。而那种方式 went down was they interviewed and selected and hired a a person who turned out to be a North Korean citizen。他们运送笔记本电脑到一个笔记本电脑农场。 我实际上有一些问题关于那如何工作。这个实际上解释 how this goes down。它非常 enlightening。所以这个这个人名叫Newt,他的姓氏是Matthew Isaac Newt,谁住在 in Nashville。所以他有一组关系与一些人在North Korea,在哪里他会 facilitate and it looks like it was a fairly sophisticated operation where he would help track down identities that they could use。 他提供了一个地方为North Koreans who were being hired by, unknowingly hired by the way, by U.S. companies to have their laptop sent to。他会接收笔记本电脑,放它在她的家庭网络上。安装远程访问软件并允许North Koreans远程访问进笔记本电脑所以他们可以引用,“做他们的工作”。 它只是 a,它是一个迷人的事情。他我想他们,他们说他们 making each one of the North Korean employees was making about 250,000 over the roughly year period that this was going on。美国政府的指控是,这些人赚的钱反过来被North Korean用来资助他们的武器计划。 所以显然不不是超级 awesome。他们确实继续说在文章中,顺便说一句,这不是一个 one off situation。他们提到另一个人名叫Christina Marie Chapman。在Arizona who basically did the very same thing 所以它是一个迷人的我没有意识到这是一个 as large of a problem as it is, but 显然这是一个相当 Industry becoming an industrial scale operation run by, individuals。 我我 surprised。
Andrew: 是的它有趣。它有点不同到 know before because in this case, it looks like the North Korean it employees are doing legitimate work。他们不立即安装,恶意软件和 that they’re trying to earn their wage as it were Activity in this case。 但我也非常好奇钱是如何转移到North Korea。而且,是这个,支付,我肯定它支付到一个US银行账户。然后什么样子得到它 over North Korea,这是有些 non trivial。我不知道他们是否使用Bitcoin或类似的东西。但那是这里 charges 的一个大部分是 wire fraud,那种事情。 但另一件事我想 about is, if as an employer don’t allow your random employee to install software, it would stop a lot of this。我得到那是一个大的 cultural taboo 和有很多 gnashing of teeth around that topic,但如果他们不能安装远程访问工具或,你作为IT部门或安全部门不监控那些远程访问工具,它肯定 would stop a lot of this。 你会,它只是不会工作,除非找到一些其他方法论。一种方式战斗这个它是 one more reason to not necessarily let local users have full admin rights。
Jerry: 即使你做,我认为非常 prudent to actively look for and block and investigate people who are installing remote access tools because like remote access tools。无论是RDP或TeamViewer或,任何 myriad other software,那种东西是来源 of so many security incidents over the years。 事实上,它是常见方式之一那种欺诈,就像 just garden variety fraud is perpetrated where,Windows帮助桌面骗局,在哪里他们会打电话给你并最终安装某种远程访问软件进入你的系统。所以我认为这真的重要。 现在我会说,我认为这个 particular set of scams was reliant on them installing this remote access software。但我想,一个复杂的,如果他们 were if they were sophisticated,网络KVM这些天相当便宜。所以它不一定是一个 home run to say we’re like, we’re fully protected because we don’t allow that we would certainly detect it。 但它是 not,有其他方式 around that。它是另一步。我可以想象它会 make,或许会增加成本和复杂性 of hosting these but probably not prohibitively。而且,它回到你必须,尤其是在远程工作 situation,你必须 have good diligence on and good awareness of who you’re hiring。 顺便说一句,那我说那是 somebody like full throated supportive remote work。
Andrew: 是的,当然,但我也觉得 like you’ve spent a lot of time thinking about this。这是你的新退休后职业吗?你在设置笔记本电脑
Jerry: 但我的,我的孩子们已经搬出。我的大儿子已经搬出,很快我的小儿子会搬出。所以我试图弄清楚,我走Airbnb或我走,托管笔记本电脑农场?我还不知道。
Andrew: 那解释八个新空调单元你刚添加 onto your house。
Jerry: 是的。然后Bitcoin挖矿,就像你必须多样化。
Andrew: 你有空闲时间是危险的。我不知道这完全是一件好事。
Jerry: 什么说法关于 idle hands?
Andrew: 确实。
Jerry: 好了。下一个 next article comes from Dark Reading, and the title here is Why End of Life for Applications is the Beginning of Life for Hackers。这是一个大问题。所以这个故事的要点是,生命周期结束应用程序是威胁行动者的福音。它他们提到35,000个应用程序移动 to end of life status over the course of the next year。 我想那可能是 optimistic。我想它取决于你如何定义应用程序肯定,但我想看,在我的,我的,我的个人经验。这可能是一个较大的问题我们在IT中有。它只是,我们上次谈过打补丁和如何没有人想,没有人想打补丁东西。 但有这么多问题伴随使用生命周期结束软件。不是最不重要的,顺便说一句,是那大多数漏洞管理程序是建立 around, subscribing to vendor alerts to understand that a patch was, needs to be applied。当你使用生命周期结束软件时,那不再发生。 就像它是,它 goes quiet。当然。
Andrew: 生命周期结束为漏洞。更少问题补丁。
Jerry: 是的。
Andrew: 是的。
Jerry: 是的,大多数时间你是。你的供应商,供应商通知不是漏洞基于,它们是补丁基于。他们宣布补丁的可用性修复一个漏洞。所以现在你知道你有一件工作必须做因为一个补丁被发布,你必须去应用那个补丁。 没有补丁。许多漏洞扫描器工作在一个类似的方式,尤其是关于可能 less less well known applications。现在,当然如果你使用一个 tenable Nessus 和你运行一个 out of support version of Linux or Windows,就像它,它标记那本身作为一个关键漏洞,但你没有粒度关于实际技术漏洞是什么因为他们不知道。 它就像它是生命周期结束。谁知道什么。什么样的漏洞那里有和我想它 gets It starts to descend into obscurity after that when you get into like open source Components and whatnot。你只是不知道你 unaware that they’re not being maintained anymore 而那成为一个大问题我还会说,一件事他们谈论一点关于公司如何能进入或防御 against letting this, letting things go end of life。 但我会说我的,在我的经验中,它是容易的。它是一个陷阱 fall into when something goes end of life,对吧?因为,嘿它是生命周期结束,但没有已知漏洞和我们有另一件事需要做和它是超级高优先级。它会赚十亿美元,等等等等。 而在那时,那是真的,对吧?它是真的。它是一个低,它是一个低风险事情。你的你的WordPress版本是过时的。没有已知漏洞。但然后,你开始收集这些东西。突然,你被埋 under too much technical debt。和和它很难,真的很难摆脱 under 和你最终在这个位置 where you’ve got so much of this debt that you have a hard time even understanding, not only what is, what all is end of life, but, are there actually vulnerabilities? 就像在那时你做了那个风险接受允许这个生命周期结束事情发生。你知道那里没有,但你是否实际上保持 up with the vendor and with the industry to know whether that has changed? 和我想,如果你谈论一件事,一个应用程序,它相当容易管理。 但一旦你开始积累很多这些,它变得真的 unmanageable。
Andrew: 是的,你呼应了很多笔记我也有,那是一旦你 so far behind,它 that much more difficult to get caught back up。然后它变得 that much more of a fight comparing against other higher priority things to work on patching or massive upgrading, as opposed to just keeping things up to date bit by bit。另一件事我想 about, I don’t have my notes here, is 如果 something is that far end of life,它不只是安全事情。你不知道 necessarily if other interactive or interrelated components are supporting that version anymore, or tested against that version。和你可能开始看到一些 weird buggy artifacts as a result。和你带来 open source thing。那是。大多数这些 sort of end of life checks are usually coming from some sort of end of life policy statement from a commercially supported application or operating system。问题与很多这些 open source dependencies and third party packages,他们没有那个。 他们没有任何 sort of published end of life, end of support methodology。所以你如何知道当某事 goes end of life when it’s open source? 它没有被更新 in three years。那是只是因为它只是真的稳定或因为它被放弃和什么标准你想用那里? 你有一个标准说,嘿,我们需要使用当前维护的第三方依赖在我们的代码中。好的。你如何定义那是什么?某事有 had an update in the last X amount of months we see all the time that。Open source packages just become abandoned ware without any notification, without any understanding of that。它只是事后你 go,哦是的,那家伙停止工作在那三年前。谁知道。
Jerry: 是的,它不当然不 universally true。有大量 open source,尤其是更大的有定义的路线图。但我想你是 spot on。如果你不,如果你没有看到更新在一个特定的 piece of open source,是否因为那里没有错与它或,或是否在你去看它的GitHub仓库和看到那像人们已经 been。
Andrew: 是的。
Jerry: 另一件事顺便说一句那我想 hammer on because I hate it。 我恨它 With the burning passion and it has happened every time i’ve been involved in it 和它是某事那我觉得 like as an industry, we have to do something about。而那是 in the aftermath of an acquisition, accounting systems。 我们能只是谈论那些为一秒吗?因为我不知道多少收购我 been, on the acquired side and I’ve been on the acquire side a bunch of times。 和它发生每一个 single goddamn time。被收购公司有一个会计系统。和什么发生当,为什么公司收购其他公司?主要原因之一是这东西叫协同效应,对吧?和协同效应基本上意味着我们不想运行重复的HR系统和会计等等。 如果我们合并所有那后端东西。和继续赚钱和产品他们卖,然后像我们有,我们增加了价值那整体是 more than the sum of the parts。而那为什么很多公司
Andrew: 是,
Jerry: 其他,
Andrew: 是的。对不起,
Jerry: 对吧?
Andrew: 会说后端办公室开销
Jerry: 和
Andrew: 是的。 是的。
Jerry: 确切地。所以想。当公司收购另一家公司时,一件事他们想做得非常快,尽可能快,是开始实现那些节省。和一件事发生首先是, putting out to pasture the accounting system。而这可能也是HR系统,虽然,没有人做HR internally anymore。 它就像运行你自己的语音邮件系统这些天。但会计系统似乎仍然非常 much insourced。和,每一个 single time I,没有例外,每一个 single time I’ve seen this happen,公司被收购。我们停止,他们停止支付维护在会计应用程序上。 和。最终运行在一些 old ass operating system that is out of date。它不能是你不能更新操作系统因为会计系统不会工作在新操作系统上。你不能更新应用程序,会计系统因为就像他们倒闭或你没有许可证升级 anymore and it would cost millions of dollars and it’s not in the business case,我的,哦我的God。 和它。不会提供任何像增值价值给公司如果你升级它因为它不会 used anymore it 但你知道什么如果你关闭它 like people will go to jail at least that’s what i’ve been told over and over again 所以你最终与这东西坐在角落 which is as best i can describe it an attractive nuisance because like everything about it is terrible it’s all out of date and it can’t go away because you Joe from accounting says that somebody will go to jail if you turn it off。 无论如何,我可能有点生气关于这个。啊,
Andrew: 如果你只是运行你的会计在Excel上,像God intended,你不会 have this problem。
Jerry: 它是
Andrew: 不
Jerry: 所以真实。
Andrew: 比什么能做在一个Excel sheet。
Jerry: 阿门。我,唯一我能说的是在,在那些实例中,和我看我要只是坦率地说,我从未见过一个有效的。 counter to this。它是一个问题每一个 single time I’ve seen it happen。唯一我能说的是,作为一个想法,有一个,有一个方式我不认为任何公司会是我 shouldn’t say any company, but I think most companies will not be effective in changing those facts。 它会 happen,你的被收购公司会有一个会计系统。不会有 appetite to update it 但那里它是,和所以你必须你必须 mitigate the risk of it,和我想那 having a defined approach to doing that, whether it’s like a separate VLAN that has no access, or like you have to, do multi factor authentication to get in and out of that network,它可能相当简单和肮脏,但有一个计划,因为它只是,它发生无论它让我多 mad,它,它发生。 和和所以我想我们必须认识到有案例 where that will be and come up with, relatively workable mitigations around it,但它不能是规则。
Andrew: 什么是你的理想用例?他们只是迁移所有数据 off the old system to the new system and just kill it? 因为我
Jerry: 我不知道。我
Andrew: 系统被维护,是因为他们需要一个记录系统为过去七年或无论什么,为税务目的或政府监管目的。和我猜那是为什么,我假设。
Jerry: 通常,是的。在, frankly,我认为最好的课程会是弄清楚不同类型的报告需要和做,运行导出和有那些导出存在在一个电子表格中。现在,我不知道是否有,我不是会计师,我不是一个,
Andrew: right out of the 看,看,它都回来。
Jerry: 但我不知道是否有 some like statutory requirement that data,那记录系统必须在那里因为如果,像sec或,司法部或一些其他法律 Authority came to you and wanted to investigate like why did you claim? 为什么你说你赚了 x dollars in,七个季度前 before you were acquired? 你必须能够回去和重放那也许那是为什么和也许那不能做通过导出我不知道但我在每一个实例,会计 folk have insisted that system has to be available。它不够只是转储数据。 现在我不知道那是否是懒惰或什么。另一个问题我有,而当我 beating on this drum,随着时间的推移,熟悉那系统的人离开
Andrew: 当然。
Jerry: 和所以像在之一,一件事你必须 watch out for is that eventually what,像当那系统的有用性完成时,没有留下任何人说,嘿,现在是时候关闭它。
Andrew: 然后谁想冒风险是那个做出错误决定的人?所以他们说人们去监狱。我们能谈论谁可能去监狱和如果那真的是一件坏事吗?
Jerry: 我喜欢这走向。我,
Andrew: 只是权衡结果。我的选项是什么?
Jerry: 我想我已经 beat that one to death。这个 the last story we have today,它 also from the cyber security dive。和标题是 after a wave of attacks, Snowflake insists security burden rests with customers。现在,Snowflake had a a large problem。而这发生在早先 in, in 2024 before we got back to podcasting。 但我会说我不认为它是一个 overstatement to say that the security breaches or data breaches associated with Snowflake will probably go down as the largest in history。它,比任何曾经有的大,和或许比任何将有的大再次,也许它是一个巨大的数字 of customers。 失去大量数据。现在,这个故事的要点是说,嘿,像Snowflake不是,snowflake是说,嘿,不是我们。不是我们。它是。我们的客户。
Andrew: 因为他们
Jerry: 他们不
Andrew: 单因素登录,是容易找到在其他密码转储坏演员做了广泛运动 to,和 upward force,密码测试,所有那些密码 against Snowflake用户账户和lo and behold,一堆 worked。和那是,他们是
Jerry: 是的。
Andrew: 不应该依赖单因素和重用 of passwords。 和那在你因为你没有采取适当安全措施。
Jerry: 正确。是的我们只是提供你一个账户和一个地方存储你的数据或处理你的数据。它在 you,客户,挑选一个好密码。而那基本上 what they are saying here。他们说我们的系统,我们的Snowflake系统没有被黑客攻击。我们,你知道我们的基础设施是好的。 一切工作如设计。事实坏家伙得到你的密码和偷所有你的数据是一件可怕的事情,但它不是我们的错。它是你的错因为,它是你的密码他们得到。我们不知道他们如何得到你的密码。是否是相同密码你用在LinkedIn或 on,Ashley Madison? 我不知道。谁,谁知道?和那是,他们说它不是我们的问题,不是我们的错。和他们基本上,当然他们给 lip service to the fact that,嘿,有客户和当然我们关心他们和我们在它 together as they say,但不是我们的错。 顺便说一句他们自从实施了一些snowflake,我应该说,has since implemented some changes, which require mandatory multi factor authentication for new customers, and it also gives customers the ability to require or enforce multi factor authentication for all of their users or for specific roles in their account。 所以我应该,顺便说一句,我应该说为那些不知道的人,Snowflake是一个什么我会叫像管理存储管理数据库提供商。他们做大量。增值服务围绕数据分析和等等。所以那种数据你会存储在Snowflake是那种数据你不会想被泄露。 和所以我认为这是一个中心地方,一站式购物为一些对手去和做他们的密码填充。和它看起来像他们他们得到 somewhere in the neighborhood of 150 or 200 different customer accounts and pulled all that data out。和它是,和仍然是顺便说一句,我们仍然,甚至现在听到关于 net new companies that were hacked or had their data stolen。 和我不知道那是否因为他们已经,被引用,“响应和调查”到事件,或如果他们刚刚最近意识到那已经发生,但这是一个大问题和我想 more interesting than,这个本身,因为我不认为Snowflake是所有那, commonly used in the