防御性安全播客第272期

音频播放器
https://media.blubrry.com/1463551/content.blubrry.com/1463551/defensive_security_podcast_episode_272.mp3
使用上下箭头键调整音量。
播客：在新窗口中播放 | 下载 | 嵌入
订阅：RSS

在第272期防御性安全播客中，主持人Jerry Bell和Andrew Kalat讨论了多个紧迫的网络安全话题。包括CISO在数据泄露后避免法律责任的挑战（以Uber前CISO Joe Sullivan的案件为例）、美国最高法院推翻Chevron原则对网络安全法规的影响、动态加载JavaScript库的风险，以及OpenSSH回归漏洞的广泛影响。全程提供了在不断演变的威胁环境中维护安全的实用建议和深入评论。

时间戳
00:00 介绍和剧集概述
01:08 CISO在泄露后避免入狱的指南
03:29 CISO角色的挑战和复杂性
13:35 美国最高法院裁决及其对网络法规的影响
20:51 Polyfill.io问题：现代供应链攻击？
28:54 理解Polyfill混淆和风险
29:23 维护开源软件健康
30:04 开源健康评级的必要性
30:41 第三方代码和安全的挑战
34:08 供应商问卷和虚假紧迫性
39:50 OpenSSH中的回归漏洞
41:18 云安全最佳实践
48:29 最终想法和建议
49:52 结论和告别

链接

• https://www.darkreading.com/cybersecurity-operations/a-cisos-guide-to-avoiding-jail-after-a-breach
• https://www.csoonline.com/article/2512955/us-supreme-court-ruling-will-likely-cause-cyber-regulation-chaos.html/
• https://sansec.io/research/polyfill-supply-chain-attack
• https://www.securityweek.com/over-380k-hosts-still-referencing-malicious-polyfill-domain-censys/
• https://www.tenable.com/blog/how-the-regresshion-vulnerability-could-impact-your-cloud-environment

文字记录

[00:00:00]
Jerry: 好了，我们开始。今天是2024年7月7日星期日，这是防御性安全播客的第272期。我是Jerry Bell，今晚和我一起的是Andrew Kalat先生。
Andrew: 晚上好，Jerry。这是重新建立的记录，一周两次。
Jerry: 一周两次，难以置信。
Andrew: 我知道，太棒了。你刚刚辞掉了那份为你家庭和宠物提供收入的糟糕工作，但现在你成了无业游民。
Jerry: 是的，我现在可以24/7播客了。我想我要成为一个影响者，一直直播。
Andrew: 你可以，我真的很期待你让我订阅并点击通知按钮。
Jerry: 没错，点击订阅按钮。
Andrew: 留下评分和评论。
Jerry: 点赞和订阅。好了，回到正题，我们正在恢复正常节奏。像往常一样，我们有几个故事要讨论。第一个来自Dark Reading，标题是《CISO在泄露后避免入狱的指南》。
Andrew: 在我们开始之前，我想声明，观点和意见不代表我们任何雇主、过去、现在或未来的立场。
Jerry: 说得好，或者我的猫。
Andrew: 不像你，我得担心被解雇。
Jerry: 我仍然有老板，她可以解雇我。
Andrew: 那叫离婚，先生。但没错。
Jerry: 是的。
Andrew: 不管怎样，回到你的故事。
Jerry: 是的，《CISO在泄露后避免入狱的指南》。这是在Black Hat即将举行的演讲之后，讨论CISO如何尝试隔离自己免受工作可能带来的法律危害或风险。看看演讲中实际内容会很有趣，因为文章本身，在我看来，尽管标题如此，并没有提供很多关于如何避免入狱的可操作信息。他们引用了Uber前CISO Sullivan先生的话，并给出了一些背景信息，有趣的是他现在是一名被定罪的罪犯，尽管我认为这仍在上诉过程中。他之前被奥巴马总统任命为网络安全委员会成员，更早之前是一名联邦检察官。事实上，文章指出，他是第一个DMCA案件的检察官，我觉得这很有趣。你不知道这一点，但有趣的是，这篇文章很大程度上基于对他的采访，包括与董事会和执行领导团队沟通的建议。但我假设他在Uber时已经这么做了。
Andrew: 这对我来说很棘手，我认为很多优秀的人都在文章中提到了这一点。我想避开CISO的角色，如果存在这种潜在的个人责任。当公司被入侵的原因有很多因素不在CISO的控制范围内，无论是预算、焦点还是公司优先级，而且你有一个积极的对手在寻找任何可能的方式进入你的环境。那么，什么构成了入侵的基准？疏忽到入狱的程度是我一直纠结的问题，我认为那些没有在这个领域工作过的人可以很容易地指出所犯的错误，但他们不一定理解导致这种情况的决策链的复杂性。在我从事的每一份工作中，当我们做出关于网络安全的重大决策时，都是预算和优先级的权衡，如果我们不做X、Y和Z，公司就会面临生存威胁。来自五六个不同组织的人同时找到CFO或CEO，他们必须做出艰难的决定，关于资源去向以保持员工就业。再加上一个非常敌对的第三方故意试图入侵你，这是一个艰难的局面，我认为我们没有人知道规则是什么。到目前为止，让自己远离麻烦。你曾经处于这个位置，不是在入狱的部分，但这种威胁在你上一份工作中比对我更有意义。
Jerry: 这非常不舒服。当Uber的CISO和SolarWinds的CISO被起诉时，这是一种不舒服的感觉，一种暴露的感觉。在刑法中，有一个严格责任的概念。严格责任基本上意味着事情发生了，因为事情发生了，而你对事情负责，这并不重要，没有减轻因素。你的心态、动机，在严格责任案件中都不重要。在某种程度上，感觉就是这样，我不认为它真的是，尽管当你是一名CISO时，这种想法可能会闪过你的脑海。在文章中，他们实际上指出，尽管CISO在事情出错时是避雷针，但不仅仅是CISO对出错负责。正如他们所描述的，需要一个社区，而这个社区的结果，正如我们现在看到的或被指控的，被归咎于某个个人。我认为，从阅读Uber案件来看，我对SolarWinds案件不太熟悉，尽管我显然知道SolarWinds发生了什么，对于Uber，情况是他们有一个数据泄露，指控是对手试图勒索，他们通过漏洞赏金计划成功谈判支付给对手，也许对手不是正确的词，据称删除了数据，因此他们没有报告泄露。所以真正的是未能报告泄露，政府追究他的是基本上欺骗投资者。并不一定他是恶意的或什么的，但我的外行看法是，他通过隐瞒有义务报告的泄露信息来欺诈投资者。这是一个艰难的局面。让我担心的是，这是一个曾经是联邦检察官的人，所以我身边有 plenty of competent legal counsel。那感觉很好。我相当确定他也有，而且他本人是一名检察官。所以我很难接受，也许我只是很天真，我很难接受他实际上试图歪曲事实或隐藏事情。我想这就是我对此的看法。感觉不好，文章指出，因为这一点，行业中的低语是，这迫使有资格担任该角色并理解他们所面临危险的人回避担任该角色。然后导致可能不那么合格的人担任该角色，显然做得不好，因此实际上净效应是安全态势更弱。
Andrew: 是的。我认为如果可以从中得到一些建议或尝试给出一些建议，他们提到的一件事是，缺乏更好的术语，将组织中的其他人绑在同一个决策上，对吧？确保你的董事会和高管意识到，你不是唯一在最后承担风险的人，如果你必须自己承担风险，那么你需要有正式的控制。在这种情况下，我们谈论的是。理论上，他遇到麻烦是因为他没有通知SEC，这是一家上市公司，是重大泄露。因此，股东没有被通知，而不是他在技术控制和审计方面的网络安全职责疏忽。然而，感觉事情正在朝这个方向发展。我们听到越来越多要求公司直接承担法律责任并有入狱风险的呼声。这里有很多细微差别，并不完全是这里发生的事情。但我发现这非常令人不安，显然我有偏见，因为我在这个行业，我可能面临这种风险。但我只是认为这不是那么简单。没有哪个CISO对环境有那么多控制，以至于他们应该独自承担如果发生入侵的责任，尽管这确实经常发生，但失去工作是一回事，入狱是另一回事。
Jerry: 是的。我认为作者在这里指出，至少正如Sullivan先生所描述的那样，他感觉被Uber推出来作为替罪羊。我不太理解的是，如果他在公司内更有效地创建了我 loosely 称之为共犯的人，情况会好多少。我认为他们想说的是，你作为CISO应该去董事会、CEO或任何人那里，阐明风险，不是意图让他们成为共犯，而是让他们说，天哪，现在我知道了，我不想入狱。我要重新分配资金或做任何需要的事情来解决特定风险。现在，我认为在这种情况下，不像是我们必须花更多钱在安全上。更像是，嘿，我们有这个问题。我们披露还是不披露？我认为这是一个稍微不同的看法，我顺便假设，再次，在这个池子里玩过，他不是独自做出那个决定的。
Andrew: 当然。我的一部分，这可能不完全类比，但我想到律师就某事的合法性向高管提供建议，高管可以接受或拒绝该建议，CISO就公司决策的合法性或结果或风险提供建议。他们并不总是做出那个决定。他们在某种程度上受制于他们的领导，关于公司想走哪条路。
Jerry: 有一个未写的方面我想讨论一下。那就是所有这一切的潜台词，我认为，将在CISO和CISO的雇主之间创造一种对抗关系，因为在我看来，政府更希望CISO跑去政府那里说，嘿，我的雇主行为不道德。不一定说这在Uber的案件或任何这些案件中发生了，但我认为这是政府试图推动的。现在， Granted 有一条不那么灰的线， beyond which 你有道德义务告发你的雇主。你可以想象各种情况，甚至不在安全领域， where 你有义务去报告他们。但在我看来，他们试图降低那个门槛。
Andrew: 是的，我能看到这一点。不幸的是，这可能要混乱一段时间才能解决。这将需要很多案例法和很多先例。这让我紧张。如果我被提供一家上市公司的CISO机会，我可能会认真考虑很长时间，关于放弃它或尝试确保某种程度的安全来避免这个问题。
Jerry: 我们的下一个故事在那里撒了一些沙子。这个来自CSO online，标题是《美国最高法院裁决可能导致网络法规混乱》。所以除非你一直生活在岩石下或可能不在美国，你可能知道最高法院，我想是上周，推翻了所谓的Chevron原则。这个名字来自石油公司Chevron，源于1984年最高法院的一项裁决，所以是40年前的裁决，基本上我总结一下，国会通过的模糊法律可以由像FCC、FDA、SEC等监管机构解释。在美国，至少很多法规非常高层。它会说一些，我选一个愚蠢的例子。它会说，使用强认证。然后由监管机构说强认证意味着你使用多因素认证。不是基于SMS的。最初的裁决旨在确立法院不是所有法律事务的专家。默认情况下，法院应该 defer 这些监管机构。这已经经受住了时间的考验很长一段时间。现在在这个最高法院 session 中被推翻了，无论你想怎么想它的合理性。我认为我们现在面临的挑战是，我在社交媒体上开玩笑说，现在最有前途的职业机会肯定是 trial lawyers，因为将会有各种法庭案件挑战不同的法规，这些法规在过去是相当 well established 遵循美国行政部门的法规。但现在正如这篇文章指出的，从SEC关于数据泄露通知的要求到1999年的Graham Leach Bliley Act，安全领域有广泛的法规，可能会在法庭上受到挑战，因为这些法律背后的规定基本上没有涵盖它们目前被颁布的方式。所以我们应该假设它们将在法庭上受到挑战，鉴于最高法院的裁决，来自行政部门的既定规定不再被 defer to。顺便说一下，目前不清楚法院将如何承担他们解释这些事物的新责任，因为法官不是安全专家。所以我认为这就是为什么他们现在称之为混乱，因为我们真的不知道会发生什么。从长远来看，我认为事情会正常化。
Andrew: 是的。企业讨厌不确定性。
Jerry: 是的。
Andrew: 无论好坏，企业可以对政府立法产生巨大影响。所以我认为这最终会解决，但我认为你是对的。我认为我们所依赖的，或至少试图围绕或与这些监管机构合作并理解的规则现在都改变了，我认为你是对的。将可能有大量这些具有法律效力的规则在法庭上受到挑战。我认为最终国会可能有缰绳来修复这个问题，如果他们想的话，但我认为这是另一个有趣的问题。如果SCOTUS说，看，你们监管机构在自行其是地掌握法律权力，我们不喜欢这样。所以法律权力来自国会和国会选举产生的官员。然后国会，你需要更好地具体定义这些规则。这 presents 它自己的一系列有趣挑战，因为他们会做得多好？我们已经看到很多善意的法律，特别是在非常复杂的领域，由于所有权衡和问题进入国会立法工作，导致问题。所以这将非常有趣。这可能有很多广泛的影响。再次，你的观点，我没有接近他们是否应该或不应该这样做，但我认为意图是你们未经选举的监管机构不应该制定法律，国会应该制定法律。好的。但这说起来容易做起来难。
Jerry: 是的。我认为那是加上宪法本身非常直接地说，由司法部门解释国会通过的法律。是的。是的。而不是行政部门。我认为如果你阅读多数意见，那基本上是总结，他们所说的。我认为挑战在于当宪法被撰写时， like 那是一个 much, much simpler time。
Andrew: 有很多有趣的论点在那里，有很多非常 passionate opinions 关于这个。所以我非常努力地避开围绕它的政治 rhetoric，只是，我同意这 throws 很多关于我们行业的 accepted precedent into question。
Jerry: 但是，回到前面的故事，我不知道，再次，我不是一名 attorney。然而，如果我是Joe Sullivan，我会觉得我有新的上诉途径。
Andrew: 当然。是的。SEC是否在本质上制定了这条法律可能是他的论点。基于SCOTUS的这个特定裁决，那是一个不适当的裁决和/或不适当的法律。因此他的。显然我不是律师，因为我表达得不像律师，但他可以说这就是为什么我不应该被定罪，请 politely pound sand。
Jerry: 我确实认为意见确实说了类似的话，它不推翻 previously held court cases，人们 due their day in court。所以如果他有上诉途径，这就是司法系统的工作方式。这是刚出炉的。我认为回声仍然在地球上盘旋，我们将在一段时间内看到这个结果，我不认为我们确切知道接下来会发生什么。敬请关注，我们将定期检查这个。好的。下一个来自Sansec，实际上有两个故事，一个来自Sansec，一个来自Security Week。这是关于polyfill.io问题。我犹豫是否称之为供应链攻击，但我想每个人都这么叫。
Andrew: 来吧，上车。
Jerry: 我知道，我知道。
Andrew: 如果你想成为一个影响者，伙计，你必须使用影响者语言。
Jerry: 我觉得，称之为供应链攻击让我感觉脏。那么为什么你如此不舒服称之为供应链攻击？我不知道。我不知道。我，这是个好问题。答案是我真的不知道。
Jerry: 只是感觉不对。
Andrew: 你妈妈经常和你谈论供应链攻击吗？
Jerry: 看，也许那是问题。
Andrew: 好的。想象你走在沙漠中，遇到一个供应链攻击 upside down stuck on its back。你帮助它吗？但你没有把它翻过来。你为什么不把它翻过来，Jerry？
Jerry: 我甚至不知道这要去哪里。
Andrew: 我必须在最后两个故事之后轻松一下，伙计。你是个 downer。
Jerry: Polyfill是一个JavaScript库，许多组织包含在他们自己的网站中。它过于简化了。它使现代Web浏览器的一些更高级功能或新功能在旧版本Web浏览器中工作。所以我不完全理解这背后的 sanity。我认为这可能会开始引起一些重新思考，但，这个JavaScript库是通过引用调用的，而不是由你的Web服务器提供，你是指向它，作为一个远程实体远程文档托管在，在这个例子中，polyfill.io。
Andrew: 所以而不是静态代码生活在你的HTML代码中。你说去从这个机器人获取代码片段并提供它。
Jerry: 正确。它告诉Web浏览器直接去获取代码。是的。二月份发生了什么我不完全理解，是什么 precipitated this，但polyfill.js库和polyfill.io域的维护者被卖给了一家中国公司。然后那家公司开始使用他们基本上，他们改变了JavaScript脚本库以 alt， alternatively，取决于你所在的位置和其他因素，要么为你提供恶意软件，要么为你提供垃圾广告等等。
Andrew: 所以你说没有热辣单身在我 area ready to meet me？
Jerry: 令人惊讶，但可能实际上有。
Andrew: 继续。
Jerry: 他们不可能都使用Polyfill。不管怎样，有，取决于你相信谁， somewhere ranging from 100,000 网站包含这个polyfill.io代码到 tens of millions 正如CloudFlare所声称的。所以顺便说一下，此时问题 somewhat mitigated。我会回到为什么我说 somewhat mitigated，托管恶意代码的polyfill.io域已被取下。大多数大型CDN提供商正在重定向到他们自己的本地已知良好副本，但再次，他们没有解决根本问题，即仍然指向由其他人托管的JavaScript代码。尽管， presumably 像CloudFlare、Akamai和Fastly这样的公司可能比中国的Funnel更值得信赖。
Andrew: 是的是的，因为他们实际上出来否认任何恶意意图并对整个事情 cried foul，这很有趣。
Jerry: 是的。但人们做得相当好。事实上，San Sec报告相当好。相当彻底地检查了正在提供的内容。你可以非常清楚地看到它正在提供一些域名 lookalikes， like 我觉得 hilarious，Googie dash any analytics. Com，应该看起来像 googleanalytics. com。我假设如果它是全大写，可能看起来更像那样。但另一个有趣的事情是，这些研究人员注意到同一家公司还有几个其他域名，其中一些也一直在提供恶意软件。那些也被取下了，但还有其他一些还没有被看到提供恶意软件，仍然活跃。所以可能值得让你的威胁情报团队。看看这个，因为我的猜测是，在未来的某个时候，这个组织拥有的其他域名可能同样被用来提供恶意软件。
Andrew: 大胆地假设我们所有人都有威胁情报团队。
Jerry: 公平。你只是，它可能只是你。
Andrew: 正确。我和Google。
Jerry: 是的。
Andrew: 和我方便的博客的RSS提要，但是是的，
Jerry: 没错，
Andrew: 但他们似乎有，哦，一点点的历史 being up to no good。
Andrew: