VentureBeat недавно встретился (виртуально) с Крисом Кребсом, бывшим первым директором Агентства по кибербезопасности и безопасности инфраструктуры (CISA) Министерства внутренней безопасности США (DHS) и, совсем недавно, директором по государственной политике в SentinelOne. Он был партнером-основателем Krebs Stamos Group, приобретенной SentinelOne. Кребс также является сопредседателем рабочей группы по кибербезопасности США Института Аспена.
Лидерство Кребса в области национальной защиты кибербезопасности и глобальная динамика киберугроз сформировали подход Соединенных Штатов к современным цифровым угрозам. Во время своего пребывания в CISA он возглавлял организацию, насчитывающую 2 500 членов, которая добилась значительных успехов в национальной защите кибербезопасности во время пандемии. Кребс известен своей способностью излагать сложные вопросы кибербезопасности в понятных терминах.
VentureBeat поговорил с Кребсом о недавнем законодательстве TikTok, искусственном интеллекте и о том, что компании могут сделать, чтобы быть бдительными в отношении кибербезопасности.
Ниже приведены основные моменты из сегодняшнего интервью VentureBeat с Крисом Кребсом:
VentureBeat: Каков результат законопроекта TikTok о нашей национальной стратегии кибербезопасности в долгосрочной перспективе, если предположить, что Сенат США не ратифицирует законопроект?
Крис Кребс: Интересный вопрос, не правда ли? Потому что Сенат, как правило, не любит, когда его насильно кормят бумагой Палаты представителей. Им нравится заниматься своими делами, и нет никаких сомнений в том, что они внесут коррективы. Во-первых, законопроект, как и любой законодательный акт, не идеален. Вероятно, в нем есть какие-то недостатки, и его можно улучшить, и Сенат любит придавать этому свой вид. И я подозреваю, что они уточнят некоторые формулировки.
Я думаю о реальной проблеме, о вопросах безопасности, но есть и более широкая проблема иностранного влияния. Итак, если вы разделите это, то, на мой взгляд, часть, которая немного запутала его, заключается в том, каковы реальные риски TikTok и других подобных приложений из Китая. И это еще одна вещь, которая, на мой взгляд, упущена из виду в этом законопроекте, заключается в том, что речь идет не только о ByteDance и TikTok, хотя это то, что TikTok хочет видеть в своей стратегии. Он гораздо шире, и я думаю, что он может касаться таких вещей, как WeChat и ряд других приложений, которые выходят из Китая, а также из России. Потенциально Telegram тоже может быть втянут в это.
Если это не пройдет, я думаю, что у нас есть нерешенная проблема безопасности и конфиденциальности данных в дополнение к иностранной пропаганде и потенциалу влияния. Поэтому я по-прежнему думаю, и я думаю об этом уже десять лет, что нам действительно нужен национальный или федеральный закон о неприкосновенности частной жизни.
В настоящее время мы подвергаем каждый Конгресс риску неприкосновенности частной жизни в течение более чем полудюжины сессий Конгресса. В то же время, то, что происходило, происходило от штата к штату, так что есть Калифорния, Иллинойс, Нью-Йорк и другие, которые действительно установили законы о конфиденциальности отдельных штатов, но затем есть Европа с Общим регламентом по защите данных (GDPR), который начинает задавать темп, и теперь они переходят к GDPR 2.
Практически все, кто совершает транзакции на глобальном уровне, по крайней мере, в ЕС, начинают устанавливать свои собственные внутренние стратегии, основанные на том, что диктует GDPR. Такого рода потоки происходят здесь, в США, и я не думаю, что это тот подход, который нам нужен. Это не тот подход, которого должен хотеть Конгресс. Я знаю, что было много жалоб на то, что Европа устанавливает технологическую политику США по умолчанию. Так что я думаю, что это моя первая реакция на все, что происходит с TikTok. Мы должны активизироваться, иначе европейцы продолжат диктовать, как работать наш бизнес.
В.Б.: Поскольку злоумышленники из национальных государств видят пробелы в гиперскейлерах и облачной безопасности, видят ли они эти пробелы как слабые места, которыми они могут воспользоваться, и именно поэтому они так усердно преследуют Microsoft, Google и Amazon, особенно Microsoft?
Кребс: Это мой любимый вопрос в мире, потому что он сочетает в себе динамику рынка с аналитикой угроз и кибербезопасностью. Итак, если оглянуться назад и посмотреть на сдвиги в цифровой трансформации за последние пять лет, переход в облако, то это продолжается уже более десяти лет. Пандемия COVID действительно подтолкнула многие организации к переходу от локальных решений к облачным.
Только в CISA у нас было около 2500 сотрудников, которые внезапно за одни выходные перешли на работу из дома. Для 2 500 человек у нас было всего около 1200 лицензий VPN по всей организации, потому что... Мы никогда не проводим нагрузочное тестирование на случай, если все внезапно выйдут из игры. У нас была политика удаленной работы, но она была очень ограничена в округе Колумбия. Но вдруг, бум, все дома. Не сработало.
Весь наш подход рухнул и рухнул, поэтому нам пришлось перейти на модель «рабочее место как услуга» с Office 365, и это действительно решило для нас множество проблем. Мы были не единственной организацией, которая осознала, что предыдущая цифровая стратегия не приведет нас к успеху и производительности. Так что это был настоящий бум в облаке.
Мы видим это, мы делаем это с точки зрения бизнеса, угадайте, кто еще это видит? Плохие парни. Плохие парни видят, что весь этот трафик смещается, и говорят: «Хорошо, что здесь происходит?» Они обращаются к гораздо меньшему целевому набору организаций, гипермасштабируемых облаков, а также Microsoft, GCP, AWS и другим, и это дает им гораздо меньший набор организаций, на которые они могут ориентироваться. И они могут протянуть руку и прикоснуться к ним, потому что есть что-то, просто по природе связи с ИТ.
В частности, Китай, но также и Россия, они уже довольно давно выделяют ресурсы и расставляют приоритеты против проникновения через этих облачных провайдеров. Таким образом, Кубок Тяньфу в Китае предоставляет довольно значительные награды за уязвимости в облаке, побеги из Hyper-V и тому подобное. Таким образом, мы видим, что они действительно организуют стратегию, связанную с переходом в облако.
В.Б.: Как изменилась наша способность использовать «красную команду» для выявления уязвимостей в связи с тем, что мы стали больше полагаться на гиперскейлеры и облако как основную часть инфраструктуры?
Кребс: Исторически сложилось так, что с (Microsoft) Exchange или любым другим локальным решением правительственные «красные команды» могли захватить Exchange, они могли положить его на скамейку запасных в Форт-Мид, и они могли выбить из него все эти уязвимости и узнать, как атаковать, но главным образом как защищаться. А затем они могли бы поделиться этим с Microsoft и сказать что-то вроде: «Эй, мы нашли эту штуку, вам, ребята, нужно решить эту проблему, потому что, если мы можем ее найти, это означает, что кто-то другой сможет».
У вас нет такой возможности с облачным решением, которое находится в Редмонде или какой-либо другой общедоступной облачной системе. Это незаконно. Правительство не может этого сделать. Есть некоторые новые возможности частных экземпляров облака, которые облачные провайдеры предоставляют Форту или разведывательному сообществу, но они не так распространены и, конечно, не так легко доступны. Таким образом, в определенной степени поставщики коммерческих облачных услуг не получают такой же поддержки и выгоды от сообщества национальной безопасности, которые они когда-то получали, просто из-за того, как все работает, из-за контрактов и законов. Таким образом, у нас не обязательно будет та же команда, которая вела бы борьбу, как если бы это было другое технологическое развертывание.
Таким образом, складывается впечатление, что облачные провайдеры борются с этим в одиночку. Они получают некоторое понимание, но с технологической или технической точки зрения это не так хорошо, как раньше.
И это то, что приводит меня к разговорам, которые я веду с людьми в сообществе национальной безопасности, где мы как будто висим на волоске. Это действительно становится кризисной точкой, когда нам действительно нужно получить как можно больше таких средств, будь то государственно-частное партнерство или... Я думаю, что в основном, честно говоря, это государственно-частное партнерство.
Во второй части нашего интервью Крис Кребс подчеркивает важность прогнозирования киберугроз, особенно со стороны России и Китая, и необходимость упреждающих мер кибербезопасности для защиты критически важной инфраструктуры от меняющихся угроз. Кребс выступает за дальновидный подход к кибербезопасности для эффективного устранения будущих рисков и уязвимостей.
