防御性安全播客第272集
音频播放器:链接
时间线:
- 00:00 介绍和剧集概述
- 01:08 CISO在数据泄露后避免入狱的指南
- 03:29 CISO角色的挑战和复杂性
- 13:35 美国最高法院裁决及其对网络法规的影响
- 20:51 Polyfill.io问题:现代供应链攻击?
- 28:54 理解Polyfill的混淆和风险
- 29:23 维护开源软件的健康
- 30:04 开源健康评级的必要性
- 30:41 第三方代码和安全的挑战
- 34:08 供应商问卷和虚假紧迫性
- 39:50 OpenSSH中的回归漏洞
- 41:18 云安全最佳实践
- 48:29 最终想法和建议
- 49:52 结论和告别
链接:
文字记录: [00:00:00] Jerry: 好的,开始吧。今天是2024年7月7日星期日,这是防御性安全播客的第272集。我是Jerry Bell,今晚和我一起的是Andrew Kalat先生。 Andrew: 晚上好,Jerry。这是我们一周内第二次录制,创了新纪录。 Jerry: 一周两次,难以置信。 Andrew: 我知道,太棒了。你辞掉了那份养活家人和宠物的糟糕工作,现在你是个无业游民了。 Jerry: 是的,我现在可以24/7播客了,我想我要成为一个影响者,一直直播。 Andrew: 你可以的,我期待你让我订阅并点击通知按钮。 Jerry: 没错,点击订阅按钮。 Andrew: 留下评分和评论。 Jerry: 点赞和订阅。好了,回到正题,我们恢复正常节奏。像往常一样,我们有几个故事要讨论。第一个来自Dark Reading,标题是“CISO在数据泄露后避免入狱的指南”。
Andrew: 在开始之前,我想声明,我们的观点不代表任何雇主,过去、现在或未来的。 Jerry: 说得好,或者我的猫。 Andrew: 不像你,我还得担心被解雇。 Jerry: 我还有个老板,她可以解雇我。 Andrew: 那叫离婚,先生。但没错。 Jerry: 是的。 Andrew: 回到你的故事。 Jerry: 是的,CISO在数据泄露后避免入狱的指南。这是在Black Hat的一个即将到来的演讲之后,讨论CISO如何尝试隔离自己免受工作带来的潜在法律危害。看看演讲内容会很有趣,因为文章本身,尽管标题如此,并没有提供太多可操作的信息。他们引用了Uber前CISO Joe Sullivan的话,给了一些背景,有趣的是他现在是个重罪犯,虽然还在上诉过程中。他之前被奥巴马总统任命为网络安全委员会成员,更早之前是联邦检察官。事实上,文章指出,他是第一个DMCA案件的检察官,我觉得很有趣。你不知道这一点,但有趣的是,这篇文章很大程度上基于对他的采访,包括与董事会和执行领导团队沟通的建议。但我假设他在Uber已经这么做了。
Andrew: 这对我来说很棘手,我认为很多优秀的人会因此回避CISO角色,如果有这种个人责任风险。有很多因素导致公司被入侵,并不总是在CISO的控制范围内,无论是预算、焦点还是公司优先级,而且你有一个活跃的对手在寻找任何可能的方式进入你的环境。那么,什么是构成入侵的基准?疏忽到入狱的程度是我一直纠结的问题,我认为那些没有在这个领域工作过的人可以轻易指出错误,但他们不一定理解导致这种情况的决策链的复杂性。在我做过的每一份工作中,当我们做出关于网络安全的严肃决策时,都是预算和优先级的权衡,如果我们不做X、Y、Z,公司就会面临生存威胁。来自五六个不同组织的同时,向CFO或CEO提出,他们必须做出艰难的决定,关于资源去向以保持员工就业。再加上一个非常敌对的第三方故意试图入侵你,这是一个艰难的局面,我认为我们没有人知道规则是什么。你在这个位置上,虽然不是入狱部分,但这个威胁在你上一份工作中比对我更有意义。
Jerry: 这非常不舒服。当Uber的CISO和SolarWinds的CISO被起诉时,这是一种不舒服的感觉,一种暴露的感觉。在刑法中,有一个严格责任的概念。严格责任基本上意味着事情发生了,因为事情发生了,你是负责的人,这无关乎减轻因素。你的心态、动机,在严格责任案件中都不重要。在某种程度上,感觉就是这样,我不认为真的是这样,虽然作为CISO,这种想法会闪过脑海。在文章中,他们实际上指出,虽然CISO在事情出错时是避雷针,但不仅仅是CISO负责出错的事情。正如他们描述的那样,需要一个社区,而这个社区的结果,正如我们现在看到的或被指控的,被归咎于特定个人。我认为,从阅读Uber案件来看,我不太熟悉SolarWinds案件,虽然我显然知道发生了什么,但在Uber的情况下,他们有一个数据泄露,指控是对手试图勒索,他们通过漏洞赏金计划成功谈判支付给对手,对手可能删除了数据,因此他们没有报告泄露。所以真正的问题是未能报告泄露,政府追究他欺骗投资者。这不是说他恶意或什么,但我的外行看法是,他通过隐瞒有义务报告的信息欺骗了投资者。这是一个艰难的局面。让我担心的是,这是一个曾是联邦检察官的人,所以我身边有足够的合格法律顾问。感觉很好。我相当确定他也有。此外,他自己曾是检察官。所以我很难接受,也许我很天真,我很难接受他实际上试图歪曲或隐藏事情。这就是我的看法。感觉不好,文章指出,因为这,行业中的低语是,这迫使有资格担任这个角色并理解他们面临危险的人回避这个角色。然后导致可能不那么合格的人担任这个角色,显然做得不好,因此净效应是更弱的安全态势。
Andrew: 是的。我认为如果可以从中得到一些建议或给出一些建议,他们提到的一件事是,让组织中的其他人参与同样的决策。确保你的董事会和高管意识到,你不是唯一在最后承担风险的人。如果你必须自己承担风险,那么你需要有正式的控制。在这个案例中,理论上他遇到麻烦是因为他没有通知SEC,这是一家上市公司,是重大泄露。所以股东没有被告知,而不是他在技术控制和审计方面的网络安全职责疏忽。然而,感觉事情正在朝这个方向发展。我们听到越来越多要求公司直接对入侵负责并面临入狱风险的呼吁。这里有很多细微差别,这里发生的事情并不完全是这样。但我发现这非常令人不安,显然我有偏见,因为我在这个行业,我可能面临这种风险。但我认为这不是那么简单。没有CISO对环境有那么多控制,以至于他们应该单独为入侵负责,虽然这确实经常发生,但失去工作是一回事,入狱是另一回事。
Jerry: 是的。我认为作者在这里指出,至少正如Sullivan先生描述的那样,他感觉被Uber推出来当替罪羊。我不太理解的是,如果他在公司内更有效地创造所谓的共谋者,情况会好多少。我认为他们试图说的是,作为CISO,你应该去董事会、CEO或任何人那里,阐明风险,不是让他们成为共谋者,而是让他们说,天啊,现在我知道了,我不想入狱。我要重新分配资金或做任何需要的事情来解决特定风险。在这个例子中,这不是像我们必须花更多钱在安全上。更像是,嘿,我们有这个问题,我们披露还是不披露?我认为,这是一个稍微不同的看法,顺便说一句,再次,在这个池子里玩过,他不是独自做出那个决定。
Andrew: 当然。部分我,这可能不是完全一样,但我想起律师建议高管关于某事的合法性,高管可以接受或拒绝那个建议,CISO建议公司关于决策的合法性或结果或风险。他们并不总是做那个决定。他们在某种程度上受制于领导层关于公司想走哪条路。
Jerry: 有一个未写的方面我想讨论一下。那就是所有这些的潜台词,我认为,将在CISO和CISO的雇主之间创造一种对抗关系,因为我觉得政府更希望CISO跑去政府说,嘿,我的雇主行为不道德。不一定说在Uber的案例或任何这些案例中发生了,但我认为政府正在推动这个。当然,有一条不那么灰的线,超过那条线你有道德义务告发你的雇主。你可以想象各种情况,甚至不在安全领域,你会有义务去报告他们。但我觉得他们正在试图降低那个门槛。
Andrew: 是的,我能看到。不幸的是,这可能要混乱一段时间才能解决。需要很多案例法和先例。这让我紧张。如果我被提供一家上市公司的CISO机会,我可能会认真考虑很长时间,关于拒绝或尝试确保某种程度的安全来避免这个问题。
Jerry: 我们的下一个故事在这里撒了些沙子。这个来自CSO online,标题是“美国最高法院裁决可能导致网络法规混沌”。所以除非你一直生活在岩石下或不在美国,你可能知道最高法院上周推翻了所谓的Chevron尊重原则。这个名字来自石油公司Chevron,源于1984年最高法院的裁决,已经40年了,基本上我总结一下,国会通过的模糊法律可以由像FCC、FDA、SEC等监管机构解释。在美国,至少很多法规非常高层。它会说一些,我举个愚蠢的例子。它会说,使用强认证。然后由监管机构说强认证意味着使用多因素认证,而不是基于SMS的。最初的裁决旨在确立法院不是所有法律事务的专家。默认情况下,法院应该尊重这些监管机构。这已经经受了很长时间的考验。现在在这个最高法院 session中被推翻。无论你怎么想它的合理性。我认为我们现在面临的挑战是,我在社交媒体上开玩笑说,现在最有前途的职业机会肯定是审判律师,因为将会有各种法庭案件挑战不同的法规,这些在过去是相当确立的遵循美国行政分支设定的法规。但现在正如这篇文章指出的,从SEC关于数据泄露通知的要求到1999年的Graham-Leach-Bliley法案,安全领域有广泛的法规可能被法庭挑战,因为这些法律背后的规定基本上没有覆盖它们当前被颁布的方式。所以我们应该假设它们将被挑战,鉴于最高法院的裁决,来自行政分支的既定规定不再被尊重。顺便说一句,目前不清楚法院将如何承担他们解释这些事物的新责任,因为法官不是安全专家。所以我认为这就是为什么他们现在称之为混沌,因为我们真的不知道会发生什么。长期来看,我认为事情会正常化。
Andrew: 是的。企业讨厌不确定性。 Jerry: 是的。 Andrew: 无论好坏,企业可以对政府立法产生巨大影响。所以我认为这最终会解决,但我认为你是对的。我认为我们依赖或至少试图围绕的这些监管机构和理解这些规则现在都改变了,我认为你是对的。可能会有大量这些具有法律效力的规则现在在法庭上被挑战。我认为最终国会可能有缰绳来修复这个,如果他们想的话,但我认为这是另一个有趣的问题。如果最高法院说,看,你们监管机构在自行其是地掌握法律权力,我们不喜欢这样。所以法律权力来自国会和选举产生的国会官员。然后国会,你需要更好地具体定义这些规则。这提出了自己一系列有趣的挑战,因为他们会做得多好?我们看到很多善意的法律,特别是在非常复杂的领域,因为立法工作中的所有权衡和问题而带来自己的一套问题。所以这将非常有趣。这可能有很多广泛的影响。再次,你的观点,我不接近他们是否应该这样做,但我认为意图是未经选举的监管机构不应该制定法律,国会应该制定法律。好吧。但这说起来容易做起来难。
Jerry: 是的。我认为再加上宪法本身非常直接地说,由司法分支解释国会通过的法律。而不是行政分支。是的。是的。我认为如果你阅读多数意见,基本上那就是他们说的。我认为挑战在于宪法撰写时,那是一个简单得多的时代。
Andrew: 有很多有趣的论点在那里,有很多非常 passionate 的意见。所以我非常努力地避开政治修辞,只是,我同意这把我们行业中许多接受的先例置于疑问中。
Jerry: 但是,回到前一个故事,我不知道,再次,我不是律师。然而,如果我是Joe Sullivan,我会觉得我有一个新的上诉途径。 Andrew: 当然。是的。SEC是否在本质上制定了这条法律可能是他的论点。根据SCOTUS的这个特定裁决,那是一个不适当的裁决和/或不适当的法律。因此他不应该被定罪。显然我不是律师,因为我不像律师那样表达,但他可以说这就是为什么我不应该被定罪,请礼貌地滚开。
Jerry: 我确实认为意见确实说了类似的话,它不推翻先前持有的法庭案件,人们有权他们的法庭日。所以如果他有上诉途径,这就是司法系统的工作方式。这是刚发布的。我认为回声还在环绕地球,我们会看到这个结果一段时间,我不认为我们确切知道接下来会发生什么。敬请关注,我们会定期检查这个。 Jerry: 好的。下一个来自Sansec,实际上有两个故事,一个来自Sansec,一个来自Security Week。这是关于polyfill.io问题。我犹豫称之为供应链攻击,但我想大家都这么叫。
Andrew: 来吧,上车。 Jerry: 我知道,我知道。 Andrew: 如果你想成为一个影响者,伙计,你得用影响者的语言。 Jerry: 我觉得,称之为供应链攻击让我感觉脏。为什么你这么不舒服称之为供应链攻击?我不知道。我不知道。这是一个好问题。答案是我真的不知道。 Jerry: 只是感觉不对。 Andrew: 你妈妈经常和你谈供应链攻击吗? Jerry: 看,也许那就是问题。 Andrew: 好吧。想象你在沙漠中行走,遇到一个供应链攻击背朝上卡住了。你帮助它吗?但你不把它翻过来。为什么不把它翻过来,Jerry? Jerry: 我甚至不知道这要去哪里。 Andrew: 我得在最后两个故事之后轻松一下,伙计。你是个扫兴的人。 Jerry: Polyfill是一个JavaScript库,许多组织包含在他们自己的网站中。过度简化它,它使现代网络浏览器的一些更高级功能或新功能在旧版本浏览器中工作。所以我不完全理解这背后的理智。我认为,也许这将开始导致一些重新思考,但,这个JavaScript库是通过引用调用的,而不是由你的网络服务器提供,你是指向它,作为一个远程实体远程文档托管在,在这个例子中,polyfill.io。
Andrew: 所以而不是静态代码生活在你的HTML代码中。你在说去从这个机器人获取代码片段并提供它。 Jerry: 正确。它告诉网络浏览器直接去获取代码。是的。二月份发生了什么我不完全理解,什么促成了这个,但polyfill.js库和polyfill.io域的维护者被卖给了一家中国公司。那家公司然后开始使用,他们基本上改变了JavaScript脚本库,根据你所在位置和其他因素,要么为你提供恶意软件,要么提供垃圾广告等等。
Andrew: 所以你是说在我地区没有热辣单身准备见我? Jerry: 令人惊讶,但可能实际上有。 Andrew: 继续。 Jerry: 他们不可能都用Polyfill。无论如何,有,取决于你相信谁, somewhere ranging from 100,000个网站包含这个polyfill.io代码到数千万如CloudFlare所声称的。顺便说一下,此时问题有所缓解。我会回来说为什么我说有所缓解,托管恶意代码的polyfill.io域已被关闭。大多数大型CDN提供商正在重定向到他们自己的本地已知良好副本,但再次,他们没有解决根本问题,即仍然指向由其他人托管的JavaScript代码。虽然,像CloudFlare、Akamai和Fastly这样的公司可能比中国的Funnel更值得信赖。
Andrew: 是的,因为他们实际上出来否认任何恶意意图,并对整个事情哭诉犯规,这很有趣。 Jerry: 是的。但人们做得相当好。事实上,Sansec报告相当好。相当彻底地检查了被提供的内容。你可以清楚地看到它提供一些域名看起来像,我觉得很有趣,Googie-dash-any-analytics.com,应该看起来像googleanalytics.com。我假设如果全大写,可能看起来更像那样。但另一个有趣的事情是,这些研究人员注意到同一家公司还有几个其他域名,其中一些也一直在提供恶意软件。那些也被关闭了,但还有其他一些尚未被看到提供恶意软件,仍然活跃。所以可能值得让你的威胁情报团队看一下这个,因为我的猜测是,在未来某个时候,这个组织拥有的其他域名可能同样被用来提供恶意软件。
Andrew: 大胆假设我们都有威胁情报团队。 Jerry: 公平。你可能只是你。 Andrew: 正确。我和Google。 Jerry: 是的。 Andrew: 和我方便的博客RSS feed,但是的, Jerry: 没错, Andrew: 但他们似乎,哦,有点历史不干好事。这个特定的中国开发者。 Jerry: 是的,防御这个,我认为相当,相当困难,除了我在供应方面说的。我认为这是,我认为这是个坏主意。也许我是个纯粹主义者。也许我老派,应该退休了。我认为风险如我们现在多次看到的。这远不是第一次发生在包括通过引用托管事物作为某种开源程序的一部分。不一定挑开源那里。我认为在商业软件中发生较少。如我们现在看到它现在在开源程序中发生了好几次,要么,包括像浏览器扩展之类的东西。现在说了这个,你可以想象一个宇宙,这存在作为一个简单且 solely 一个GitHub repo,公司,而不是引用polyfill.io,正在下载polyfill代码到他们自己的网络服务器。很可能你会有 between a hundred thousand and 10 million websites serving locally, modified code, but then again, nobody updates Andrew: 对?会受到影响,但我们运行的是28年前的版本。 Jerry: 所以可能不会。 Andrew: 是的,但是伙计,你的观点,这给我一点 heebie jeebies 说你所负责的网站是动态加载内容并提供它,而你无法控制,但那可能非常天真。我不做太多网站开发。我不知道那是否常见,但作为安全人员,那让我说,哦,那很风险。所以我们根本不控制那个。某个第三方做。我们把它提供给我们的客户或访问者来到我们的网站,我们只是必须信任它。好吧。但那可能存在于现代供应链或现代开发环境的许多其他方面