防御性安全播客第267期

链接

• Aerojet Rocketdyne同意支付900万美元解决虚假索赔法案指控
• CISA警报：朝鲜国家支持的网络行为者使用Maui勒索软件针对医疗和公共卫生部门
• ZDNet文章：这些是明天的网络安全威胁，你今天就应该思考

播客内容

Jerry: [00:00:00] 好了，我们开始吧。今天是2022年7月10日星期日，这是防御性安全播客的第267期。我是Jerry Bell，今晚和往常一样，加入我的是Andrew Kellett先生。

Andy: 晚上好，Jerry，你好吗？很好，先生。

Jerry: 我很好。你怎么样？

Andy: 我很好，老兄。亚特兰大又热又潮湿，告诉你这么多。

Jerry: 是啊。我从海滩住处回来已经一个月了，我想今天是第一个没有高温预警的日子。[00:01:00]

Andy: 是啊，太疯狂了。

Jerry: 这里一直热得要命。

Andy: 你说海滩住处时，可能得具体一点，因为你现在有大概七个海滩房子了。

Jerry: 嗯，最南边的海滩房子。是的。

Andy: 是啊。一个是Chateau，一个 technically 是个 compound。

Jerry: 一个是个岛，

Andy: 那个。

Andy: 我们可能得给它们起名字，因为很难分清。

Jerry: 确实是的。没错。

Andy: 但是，我个人很欣赏你新的地主活动，并期待Jerry Landia的启动并从美国独立出来。

Jerry: 没错。就是这样。

Andy: 我会尽快申请公民身份。

Jerry: 好计划。好计划。好了，提醒一下，我们可能已经说过了，但我们在节目中表达的想法和观点是我们自己的，不代表我们雇主的意思。

Andy: 但只要钱够多，他们可以代表。

Jerry: 是啊，一切都可以商量。[00:02:00] 好了，有几个非常有趣的故事最近出现在我的桌上。第一个来自美国司法部，标题是Aerojet Rocketdyne同意支付900万美元解决虚假索赔法案指控。

Jerry: 关于联邦政府合同中的网络安全违规。所以这个故事是，有一个法案，正如你可能从标题看出的，叫做虚假索赔法案，允许与美国政府做生意的公司员工根据虚假索赔法案起诉公司，声称公司在执行合同时 misrepresenting itself。如果[00:03:00] 诉讼成功，提出指控的人，基本上是一种举报人安排，提出指控的人会获得和解金的一部分。在这个特定案例中，举报人获得了900万美元中的261万美元。

Andy: 哇。所以他的公司理论上在安全控制上撒谎。他发现了或知道了，并成为了举报人。拿到了261万。

Jerry: 正确。正确。

Andy: 我得去检查我公司的一切。我马上回来。

Jerry: 我猜他的律师可能会从261万中拿走大约200万，但是，嘿，那还是钱，对吧？

Andy: 太疯狂了。这让我想起，可能我们很多听众太年轻不记得，但商业软件联盟的日子，举报你的雇主使用盗版软件，你可以分一杯羹，但不是在[00:04:00] 七位数的范围。

Jerry: 是啊，这真的很有趣。更有趣的是， apparently 有一些迹象表明美国政府可能会扩大范围，包括非政府合同，甚至包括上市公司，受证券交易委员会管辖。我认为这还没有 codified yet。

Jerry: 可能目前只是夸张，但 holy moly。这真的真的强调了我们需要言行一致。

Andy: 那么 gaps 或 misses 是什么？他们说自己有什么问题。

Jerry: 我做了一些搜索，我没有 go through all of the details in that case。因为这是和解，可能没有实际细节 available，但我没能找到他们具体没有做什么的细节。

Andy: 是啊。我去了，因为我对这个非常好奇，做了一些搜索，找到了一些案例摘要和一些法律文件，看起来[00:05:00] 我能得到的最好信息是有一个56个安全控制的矩阵之类的，不要引用我，公司只有5到10个 satisfactory coverage。

Jerry: 哦，哇。

Andy: 还有另一个，他们做了第三方渗透测试，测试者在四个小时内进入了公司。看起来有很多未修补的漏洞。所以这是法律术语，对吧？所以有时很难翻译到我们的世界。

Andy: 但我 actually quite curious，我可能想做一些更多研究，弄清楚具体 gaps 是什么，我猜最终他们合同上同意了这些事，但就是没做。

Jerry: 正确。这就是 net of it。

Andy: 这主要是如果你和美国政府做生意，有政府合同。

Jerry: 正确。你有政府合同吗？

Jerry: 目前有。而且我确实认为随着时间的推移，就像我说的，我的[00:06:00] 理解是范围可能会增加。

Andy: 这，我真的觉得这很大。这可以打开大门。

Andy: 我的意思是你和我都知道那些合同义务和你回答那些问题的方式 often a little squishy。

Jerry: 是啊。是啊。乐观的，我认为。我认为乐观可能是。

Andy: 那公平。那公平。但也 interesting trying to have federal judges navigate this very complex world。是啊，就是这样。那是个疯狂的故事。我们看看会怎样。

Jerry: 所以无论如何，这真的突出了要非常诚实和 upfront with with what we’re doing。如果我们承诺做某事，我们需要做到。

Andy: 是啊，当有商业交易在那答案后端时，就变得模糊了。

Jerry: 不，我完全同意。

Jerry: 好了。下一个故事也很有趣。也来自美国政府机构。这个来自[00:07:00] CISA，网络安全和基础设施安全局。我讨厌这个名字。我真的希望他们想个不同的名字。security 这个词出现太多次了。无论如何，标题是朝鲜国家支持的网络行为者使用Maui勒索软件针对医疗和公共卫生部门。

Jerry: 从一个实际行为者或威胁行为者 standpoint，这里没有很多创新。他们没有做任何超级复杂的事情，我们在很多其他活动中没见过，但最有趣的是政府，美国政府将这个特定活动归因于朝鲜。朝鲜是， one of the most, perhaps the most heavily sanctioned country in the world for the us government。所以如果你，作为美国的一个实体 somehow support an [00:08:00] organization or a person or entity in North Korea，你可能受到美国政府的处罚。

Jerry: 这里的点是，如果你是这个勒索软件活动的受害者，你支付了赎金，你可能违反 those sanctions，那可能结束，除了作为违规结果你可能遇到的任何处罚，你可能 actually run into some pretty significant additional penalties as a result of supporting the north Korean government。

Andy: 嗯，那是个有趣的小问题，不是吗？

Jerry: 是的，它是。是的，它是。

Andy: 你需要的是一个空壳公司。来通过它运行你的勒索软件支付。

Jerry: 我感觉世界上有很多那样的事在发生。

Andy: 我们看到一些 shenanigans with like lawyers doing it as a proxy and with using。本质上[00:09:00] 特权通信来隐藏它。至少 allegedly 在我们之前 cover 的一些故事中。但那是个有趣的问题。是啊，我能看到那会是个挑战。也许如果你只支付勒索软件，比如用 bulk wheat shipments。

Jerry: 一个易货系统。

Andy: 因为我们送他们食物。

Jerry: 那是真的。

Andy: 那是允许的。

Jerry: 所以你通过支付人道主义援助来恢复你的数据。

Andy: 我认为 Twinkies for data 是个完美的活动。我们应该启动。

Jerry: 我甚至不知道说什么。

Andy: 要么支付三个比特币，现在可能值 like 30 bucks。我不知道，我最近没检查。或者。

Andy: 两 semi full of Twinkies。

Jerry: 但你怎么把 Twinkies 送到他们那里？那是我想知道的事。

Andy: 他们有船。他们造船，船出海，然后他们从船上卸下来。你没读我给你的书吗？

Jerry: 哦，天哪。显示我的无知。我会说底部有一些推荐。一些[00:10:00] 很有趣，你以前没看到很多推荐。但很多只是正常的 run of the mill platitudes。只使用安全网络，避免使用公共WiFi网络。考虑你使用和安装VPN。

Jerry: 不，我 so tired of the, you should consider doing X。好吧。我考虑了。

Jerry: 你应该考虑不为你的用户使用管理权限。好吧。我考虑了。

Andy: 嗯，真正的问题 here is that ransomware is not one threat。它是结果 of。

Jerry: Exactly。

Andy: 是啊。这就是为什么勒索软件防御是个有趣的问题。除非你 actually just trying to stop the pure encryption component of it。那个勒索软件如何开始可能 highly varied。

Jerry: 它是链中的最终环节，对吧？因为如，他们早先在[00:11:00] 咨询中谈到。这个特定的Maui勒索软件 actually pretty manual。它实际上必须，apparently be launched by hand with the command line。所以无论威胁行为者是谁，他们找到了某种方式进入系统，你可以推断。假设CISA actually has that kind of insight。你可以通过阅读他们的推荐推断，他们认为朝鲜人如何进入那里使用暴露在互联网上的RDP，然后使用具有管理权限的用户凭证横向移动等等。所以你可以基于他们说什么不做推断 probably how it’s being propagated，但有时有点难理解，with these kinds of recommendations how much of it is the result of actual observations and just yeah, we have this list [00:12:00] of good hygiene practices。我们认为这是你应该做的。

Andy: 是啊。我认为问题是 that。True。勒索软件防御 highly varied based on the individual company’s stance platform, environment, situation。而且很难将其 roll that into a couple paragraphs in a generic article。

Jerry: 是啊。是的。Absolutely。

Jerry: 所以无论如何不要被勒索软件攻击，如果你被攻击了。不要支付朝鲜人，因为你会得到 double whammy。

Andy: 我 still don’t quite understand how the north Koreans are launching these from their Commodore 64s。但也许我们会在另一个节目中谈论那个。

Jerry: 这是个公平的问题，他们如何获得，但我预计是通过像中国和俄罗斯这样的国家进入，那里可能没有那种制裁。

Jerry: 顺便说一下，我认为这就是原因，因为你会问同样的问题。嗯，他们如何获得互联网访问？我的，我的理解是它。[00:13:00] 通过中国来的。

Jerry: 所以今天最后一个故事来自ZD net，标题是这些是明天的网络安全威胁，你今天就应该思考。

Andy: 嗯，等等。如果我在今天思考明天的威胁，思考今天的威胁 today。

Jerry: 嗯，你应该昨天思考今天的威胁。

Andy: 哦，

Jerry: 你应该上周思考昨天的威胁。

Andy: 我将不得不重新开始。

Jerry: 是啊， well， Look，这个 career。It’s not meant for everybody。

Andy: 这是他们所说的思想领袖吗？

Jerry: 我认为是的。

Jerry: 我认为是的。

Jerry: 所以第一个你需要今天担心的明天威胁。是量子威胁。那不是像詹姆斯·邦德的量子，对吧？这更像是。量子计算。黑客攻击你所有的公钥加密。顺便说一下，这可能比任何人真正想要[00:14:00] 承认的来得更快。

Jerry: 量子计算的世界正在进步 quite。Quite rapidly。而且。我认为有趣的事情是考虑，我们正在创造 massive amounts of encrypted data。On a daily basis today。而且 presumably it’s infeasible to decrypt almost all of it。Because of the complexity。

Jerry: 但在不久的将来，那 won’t be the case。我们今天创造的东西可能 relatively easily decrypted using things like quantum computing。所以 presumably there is enterprising companies and state actors and whatnot, and squirreling away encrypted data。Today。

Jerry: 那将被加密。Somewhere down the line。所以在某个点。对我们来说有意义， like we’re going to have to, I think even before。量子加密 because quantum Attacks against cryptography。Becomes [00:15:00] technically feasible。我们将不得不转向量子抵抗。加密，那将是有趣的，因为 there it’s you going out on a limb and saying that。

Jerry: 我们正在制造的量子抵抗加密 actually will be quantum resistant because we don’t have the kind of quantum computers that can verify that hypothesis。

Andy: 事实上NIST， just put out the beginning of the process to solicit and evaluate。For quantum resistant public key cryptography algorithms。

Jerry: 是啊。

Andy: 我的意思是，顺便说一下，不是个快速过程。我认为上次他们更新。花了三四年或五年的审查。所以不是个快速。Quick endeavor typically，但是啊。它是个奇怪的。我猜这背后的理论是量子计算机只是做数学 differently。所以所有的时间变量。

Andy: 今天 break a standard encryption 需要多长时间 don’t apply or apply very differently to quantum computing than they do to our standard type of computing today。

Jerry: 是啊。[00:16:00] 正确。可以想象一个。A well。In properly skilled quantum computer could。拿一个，当代。公钥加密并 break it, in, in very short time。

Andy: 本质上通过暴力破解它 just much, much, much faster。

Jerry: 它不是 actually brute forcing。它只是解决数学。

Andy: 是啊，我。嗯，我想说的是有。There’s nothing inherently weak in the encryption algorithm。是计算的速度在改变。

Jerry: 是方法。

Andy: 你可以破解它。你也可以破解今天的加密。只是需要很长时间。

Jerry: 嗯， the。今天加密的强度来自我们必须基本上只是暴力破解你知道尝试因式分解。数字。但在世界中。当你得到它。到量子计算。

Jerry: 你不必 actually brute force。The

Andy: 嗯。

Jerry: 可以 just, you can just solve it。Like you don’t。你甚至不必暴力破解，所以解决它。It [00:17:00] is。

Jerry: 它是 well, It’s。It is a

Jerry: 它只是非常不同。它是非常不同的事情。它不是像你不能拿一个二进制计算机。

Jerry: 并比较它到一个量子计算机。

Jerry: 它几乎像一台模拟计算机。无论如何，它非常有趣。它是一个，我 actually think it’s more closely aligned to。What had been described as the DNA computers，在那里你可以安排，你可以 break。DNA的片段并让它自己组装成复杂问题的答案，你会有很难的时间，用传统计算机回答。我认为它更接近那个。

Jerry: 比它更像一个，一个实际的二进制计算机。概念难以翻译，这告诉我 like That is by the way, the concern I have as we approach。你创造这些[00:18:00] 量子安全算法？Like we were like hypothesizing, how。量子计算 is going to evolve once it the。

Jerry: 无论如何，那是。

Andy: 是啊，在我们移动到最后一件事之前我会说这感觉像魔法黑盒。那有点 bogeyman because a lot of people don’t understand it。But

Jerry: Totally。But it is。it is。

Jerry: 一个实际的事情，而且它是一个负责任的事情，我们去创造这些，这些量子安全算法并开始迁移到它们。

Jerry: With as soon as practical。所以我只是 concerned that like how confident can we be that？They’re actually quantum safe。所以下一个未来威胁，我认为不是 actually a future threat，我认为它 like already here is software supply chain attacks。这是， obviously things like what happened with solar winds and Microsoft exchange。And。

Jerry: 许多其他 where the threat actors, I think are finding it a lot easier to attack。Purveyors of [00:19:00] software and software as a service companies and in and whatnot。Because if you do that you you can not just attack one company you can conceivably, with one attack yet。

Jerry: Access to many different organizations as we saw with Kaseya。And solar winds as well。所以是啊，我，我 definitely think this is。On the upswing。I fear is it is an industry。Our response to this threat is like more spreadsheets。

Jerry: I

Andy: 并回答更多问题。

Jerry: 是啊。I

Andy: 不。我们必须生活 off。Look，我们需要回到 pioneer times and we code all of our own software。那是唯一的解决方案 Jerry。

Jerry: 它像现代版本 of

Andy: Look。

Jerry: 我们必须建造它。

Andy: 是啊，我认为，是啊。而且你不能下载任何其他人的代码，因为你不知道里面有什么。你必须自己编码。唯一的选项。

Jerry: 它是真的。顺便说一下，构建你自己的加密是 it still irresponsible？所以试着弄清楚那个。

Andy: [00:20:00] 我在开玩笑。Of course。是啊，它是个 tough。It’s a tough problem。有 so much inherent trust that you establish if we’d look back at solar winds and Yeah how many times have you and I said, Hey, upgrades and patches are important。然后那 became the attack。Vector。让我们只是希望那 becomes a rarity。

Andy: 并且让我们 also hope that。Somebody else gets hit by that before you do, and you have time to react。

Jerry: 是啊我们 just, we have to find a more mature way as an industry of