19 июля фирма, о которой большинство людей, по здравому смыслу, никогда не слышали, выбила большую часть рутинных операций во многих учреждениях по всему миру. Это особенно сильно ударило по банковскому сектору. Было публично сообщено, что несколько крупнейших банков США пострадали от отключения. Я знаю, что один из них на это время оставил без работы кассиров и банкиров по всей стране. (Простите, если я не назову их имена, так как это будет стоить мне нескольких очков). Проблема затронула учреждения всех размеров, включая крупные региональные и общественные банки.
Вы могли бы разумно спросить, почему это произошло и, если на то пошло, как это вообще могло произойти.
Вам может быть интересно, как быстро восстановить финансовую систему из менее понятных источников кредитования, когда она выходит из строя. (Что, возможно, менее важно в качестве вывода, но это довольно красочно).
Во многих операционных системах есть различие между «ядром», поставляемым производителем операционной системы, и всем остальным программным обеспечением, работающим в компьютерной системе. По историческим причинам эта область, где выполняется почти все, называется «пространством пользователя».
В современном программном обеспечении программы, работающие в пользовательском пространстве (т. е. почти все программы), относительно ограничены в том, что они могут делать. С другой стороны, программы, работающие в пространстве ядра, получают прямой доступ к оборудованию под операционной системой. Определенные ошибки в программировании ядра — это очень, очень плохие новости для всего, что работает на компьютере.
CrowdStrike Falcon — это программное обеспечение для мониторинга конечных точек. Короче говоря, «мониторинг конечных точек» — это услуга, продаваемая предприятиям, у которых есть десятки или сотни тысяч устройств («конечные точки»). Эти устройства неразборчивы для организации, которой они принадлежат, из-за их масштаба; ни один человек или группа людей не понимают, что на них происходит. Это означает, что существуют очень разные уровни того, насколько полностью разряженными могут быть эти устройства в данный момент времени. Суть мониторинга конечных точек в том, что он дает вашим командам возможность снова сделать эти системы разборчивыми, а также извлекать выгоду из экономии масштаба, поскольку вы получаете от своего провайдера постоянно обновляемый поток угроз для сканирования.
Один из способов, которым конечная точка может быть повреждена, — это если она была физически украдена у вашего работающего на дому сотрудника в начале этой недели. Другой способ — это если она недавно присоединилась к ботнету, организованному геополитическим противником Соединенных Штатов после того, как один из ваших младших программистов решил установить варез, потому что шестизначная годовая зарплата была слишком мала для финансирования его пристрастия к видеоиграм. (Нет, я не читаю ваши отчеты об инцидентах, я разъясняю для каждой команды по безопасности в отрасли).
Теоретически вы осуществляете постоянный мониторинг всех своих компьютеров. Затем ваша группа по безопасности реагирует на оповещения, генерируемые вашим решением для мониторинга конечных точек. Иногда это требует дальнейшего расследования, а иногда — немедленного устранения неполадок. Разговоры варьируются от «Вы действительно только что установили взломанный Starcraft 2 на свой рабочий ПК? … Пожалуйста, не делайте этого» до «Новый вирус, о котором сообщалось сегодня утром, скомпрометировал 32 компьютера в офисе по управлению активами. Сдерживание было достигнуто к 14:05 по восточному времени, к этому моменту мы уже отключили все пакеты, исходящие из этой подсети, а затем физически отключили питание маршрутизатора, просто чтобы убедиться. Мы задействовали службу реагирования на инциденты, чтобы посмотреть, были ли какие-либо данные украдены за 47 минут между обнаружением и нулевой маршрутизацией. На данный момент у нас нет никаких признаков компрометации за пределами этой подсети, но мы не можем исключить, что злоумышленник использует вирус в качестве плацдарма или развертывает сложные постоянные угрозы».
(Да, это действительно похоже на роман Тома Клэнси. Нет, это не пародия.)
Поскольку этот сбой произошел в пространстве ядра в особенно уязвимое время, это привело к тому, что системы Windows столкнулись с полным отказом, начиная с загрузки. Видимый пользователем симптом иногда называют Синим экраном смерти.
Ошибки конфигурации составляют тревожно большую часть инженерных решений, которые приводят к сбоям. (Цитата: давайте остановимся на «общих знаниях как информированного отраслевого наблюдателя». Как всегда, хотя я раньше работал в Stripe, ни Stripe, ни ее команда по безопасности не обязательно одобряют то, что я говорю в своих личных сообщениях.)
Однако, поскольку эта ошибка конфигурации затронула очень широко распространенное программное обеспечение, работающее в пространстве ядра практически повсеместно на компьютерах, используемых сотрудниками важнейших учреждений во всем обществе (что наиболее актуально для этой статьи, банков, а также авиакомпаний и т. д.), радиус ее поражения был намного больше, чем у типичных ошибок конфигурации.
Я уже говорил, что ИТ-безопасность действительно любит военные метафоры? «Радиус взрыва» означает «при возникновении сбоя или отказа в системе X, насколько далеко от X мы увидим негативное воздействие на пользователя». Я с трудом припоминаю ошибку с более широким прямым радиусом взрыва, чем неправильная конфигурация Falcon.
После того, как была внедрена неверная конфигурация, ее исправление осложнялось той незначительной проблемой, что многие люди, которым нужно было ее исправить, не могли получить доступ к своим рабочим системам, поскольку их компьютеры выдавали синий экран смерти.
Почему? Ну, мы устанавливаем уязвимое ПО практически на все машины в определенном учреждении. Вы хотите защитить все устройства. В этом и заключается смысл мониторинга конечных точек. Это буквально чья-то работа — выяснить, где находятся устройства, которые не отслеживаются конечными точками, а затем привести их в соответствие.
Почему мы заботимся об оптимизации для покрытия мониторинга конечных точек? Частично это действительно по веским причинам безопасности. Но основная часть заключается в том, что соответствие small-c необходимо для соответствия large-C. Ваш регулятор фактически потребует, чтобы вы это сделали.
Другая причина, по которой Falcon работал в пространстве ядра, заключалась в том, что, как Microsoft сообщила WSJ, Microsoft было запрещено соглашением с Европейской комиссией жестко понижать других разработчиков программного обеспечения безопасности до пользовательского пространства. Это было связано с тем, что Microsoft и а) писала программное обеспечение безопасности, и б) обязательно всегда имела возможность писать его в пространстве ядра, поскольку Microsoft контролирует Windows. Европейская комиссия выступила против этой характеристики и указала, что This Sentence Usings Cookies To Enable Essential Essay Functionality.
Жизнь гораздо тоньше.
В США очень много разных банковских регуляторов. У этих регуляторов есть некоторые желания для своих банков, которые сильно рифмуются, и поэтому они объединились в клуб для обмена ресурсами. Это позволяет им тратить свои ограниченные бюджеты на мозговой пот на вещи, по которым у банковских регуляторов более индивидуализированные мнения, чем простая, общая банковская регулирующая инфраструктура.
Одним из таких клубов является Федеральный совет по экзаменам финансовых учреждений. Они написали величайшее кроссоверное мероприятие всех времен, если вас интересуют а) обязательные надзорные оценки финансовых учреждений и б) управление ИТ-рисками: брошюра по информационной безопасности Справочника по экзаменам информационных технологий FFIEC.
Модальный потребитель этого документа, вероятно, не программист ядра Linux с высокоразвитой ментальной моделью пространства ядра против пространства пользователя. Это было бы неразумным ожиданием для банковского надзорного органа. Они работают на банковский регулятор, а не на компанию-разработчика программного обеспечения, выполняя важную надзорную работу, а не просто реализацию. Позже на этой неделе они могут работать над коэффициентами достаточности капитала, но прямо сейчас они спрашивают вашу ИТ-команду о мониторинге конечных точек.
FFEITC ITEH ISB (аббревиатура просто слетает с языка) не является супер-предписывающим в отношении того, какие именно элементы управления вам, финансовому учреждению, необходимо иметь. Это распространено во многих нормативных средах. HIPAA, если использовать контрастный пример, необычен тем, что он описывает среду контроля, которую вы можете свести к контрольному списку с обязательным или необязательным рядом с каждым из них. (HIPAA пишет эту вторую категорию как «адресуемая» по причинам, выходящим за рамки этого эссе, но которые я упомяну, потому что не хочу обидеть других бывших должностных лиц по обеспечению соответствия HIPAA.)
Чтобы облегчить разговор вашего учреждения с экзаменатором, который вытянул короткую соломинку, вы проведете анализ рисков. Ну, скорее всего, вы заплатите консалтинговой фирме за проведение анализа рисков. В производственной функции, которая представляет собой масштабированные консультации, это означает, что младший сотрудник откроет US Financial Institution IT Security Risk Analysis v3-edited-final-final.docx и добавит важный клиентский контекст, такой как а) его имя и б) его логотип.
Этот документ будет активно ссылаться на ITEH, поскольку он существует для того, чтобы быстро прервать линию вопросов от экзаменатора. Если вы хотите сделать карьеру в этой области, вы сформулируете это как «направление разговора в области максимального взаимного интереса в деле «продвижения денежной, финансовой и платежной систем страны для построения более сильной экономики для всех американцев». (Внутренняя цитата взята из описания должности в Федеральном резерве.)
Ваши консультанты, когда они проведут обязательный анализ рисков, дадут вам список покупок. Мониторинг конечных точек — один из пунктов этого списка покупок. Почему? Спросите своего консультанта, и он выставит вам счет за ответ, но вы можете получить мое мнение бесплатно, и оно стоит вдвое больше, чем вы за него заплатили: II.C.12 Смягчение последствий вредоносного ПО.
Имеет ли FFEITC чрезвычайно предписывающее представление о том, что вам следует делать для мониторинга вредоносных программ? Ну, нет:
Но ваши консультанты скажут вам, что вам нужен очень отзывчивый ответ на вопрос II.C.12 в этом отчете и что, поскольку у вас, вероятно, нет возможности Google заполнить этажи людьми, проводящими ведущие в отрасли исследования безопасности, вам следует просто купить что-то с надписью «Да, мы это делаем».
Торговые представители CrowdStrike с радостью скажут вам: «Да, мы это делаем». Эта веб-страница существует в результате детерминированного процесса, совместно принадлежащего отделам маркетинга и продаж в компании-разработчике программного обеспечения B2B, для создания отраслевых «стимулирующих» материалов. По сути, если вы хотите предоставить CrowdStrike свой адрес электронной почты и должность, они даже отправят вам документ, который не называется «Точная формулировка для внесения в вашу оценку рисков, включая пять целей и семнадцать элементов управления, которые решит покупка этого продукта».
CrowdStrike, строго говоря, не единственный поставщик, который вы могли бы установить на каждом компьютере, которым вы владели, чтобы ваши регуляторы были довольны вами. Но из-за капризов в работе отделов продаж корпоративного ПО они зашили ужасно много отраслей, прилегающих к правительству. Это было отчасти потому, что они настойчиво добивались написания документов, которые вам нужны, если люди, которые читают ваши планы проектов, имеют сводки по национальной безопасности.
Я не высмеиваю Федеральный совет по проверке финансовых учреждений за то, что он занимается косплеем, притворяясь, что у него есть задание по национальной безопасности. (Бог знает, что такое часто случается в сфере кибербезопасности... и в правительстве в целом. Нью-Йорк любит притворяться, что у него есть разведывательная служба, которая совершенно не является программой патронажа, призванной заставить налогоплательщиков оплачивать неопределенно долгие зарубежные отпуска с минимальными реальными должностными обязанностями.)
Но деньги — это основная социальная инфраструктура, как и электросеть и транспортные системы. Было бы очень плохо, если бы хакеры, работающие на иностранное правительство, могли просто отключить деньги. Это было бы более разрушительно, чем обычная ракета, запущенная наугад по Нью-Йорку, и мы могли бы быть более ограничены в ответе.
Итак, мы оказались в ситуации, когда мы пригласили в пространство ядра сложную постоянную угрозу.
Возможно, важно отметить, что специалисты по безопасности понимают, что инструменты безопасности сами по себе создают уязвимости безопасности. Отчасти беспокойство заключается в том, что монокультура может иметь определенную слабость, которая может быть использована определенным образом. Отчасти это связано с тем, что инструменты безопасности (и сотрудники службы безопасности!) часто имеют больше привилегий, чем обычно, и поэтому они могут быть напрямую скомпрометированы противником. Это наблюдение является фрактальностью в системной инженерии: на каждом уровне абстракции, если ваша плоскость управления скомпрометирована, вы проигрываете. (Плоскость управления имеет определенное значение в сетях, но для этой цели просто округлите его до «операционная система (метафорически), которая управляет вашими операционными системами (буквально)»).
CrowdStrike утверждает, что они не понимают, что это тот случай, когда злоумышленник намеренно пытался разрушить глобальную финансовую инфраструктуру и авиакомпании, используя их в качестве оружия. Нет, CrowdStrike сделали это сами, случайно, по собственной воле. Но это довольно ясно демонстрирует проблему: если младший сотрудник, споткнувшись о шнур питания в вашей компании, выводит из строя компьютеры по всему миру, у плохих парней есть множество вариантов для достижения направленно схожих целей, атакуя направленно схожие шнуры питания.
Недавно моя семья приобрела дуплекс и сейчас делает ремонт перед переездом. По сложным социальным причинам, подробное перечисление которых сделало бы меня персоной нон грата во всем политическом спектре, привлечение достаточного количества подрядчиков в Чикаго приведет к тому, что одному из них придется вносить частые и значительные платежи наличными.
Для меня это стало незначительной чрезвычайной ситуацией, поскольку для некоторых подрядчиков, с которыми я работал, это была незначительная чрезвычайная ситуация.
Многие подрядчики — это малые предприятия. Многие малые предприятия очень слабо капитализированы. Многие сотрудники малых предприятий крайне зависимы от получения компенсации именно в день выплаты зарплаты, а не после нее. И поэтому, хотя многие люди в Чикаго в ту пятницу в основном не пострадали, потому что их деньги продолжали работать (в мобильных приложениях, через Venmo/Cash App, через кредитные карты и т. д.), людям, зависящим от наличных, был нанесен огромный удар по их планам.
Я лично пробовал снять наличные в трех финансовых учреждениях в разных весовых категориях, но мне сказали, что это абсолютно невозможно (по размеру) во всех из них из-за проблемы с Falcon.
В одном из них мне сказали, что я не могу воспользоваться услугами кассиров, но могу воспользоваться банкоматом. К сожалению, как и многие клиенты, я пытался снять с банкомата больше наличных, чем когда-либо. К счастью, их система, которая помечает потенциально мошенническое поведение, позволяет клиенту снять пометку, ответив на мгновенное сообщение от банка. К сожалению, поддомен, на который их направляет сообщение, работает на сервере, по-видимому, защищенном CrowdStrike Falcon.
Это было не невозможно во всех финансовых учреждениях. Я знаю несколько в Чикаго, у которых закончились физические наличные в некоторых отделениях, потому что весь спрос на наличные в пятницу обслуживался ими, а не «всеми финансовыми учреждениями». (Как всегда бывает во время широкомасштабных нарушений в инфраструктуре, быстро возникает теневая экономика торговли информацией, которая перенаправляет относительно искушенных людей в места, которые способны их обслуживать. Это происходит через офлайновые социальные сети с незапамятных времен и онлайновые социальные сети с тех пор, как мы их изобрели. Первое, вероятно, более влиятельно, но второе более понятно, поэтому банковские регуляторы делают вид, что этот класс проблем возник полностью сформированным из технологической отрасли как раз вовремя, чтобы обрушить банки в прошлом году).
Я обладаю некоторыми знаниями об истории всеобъемлющих провалов финансовой инфраструктуры, поэтому я решил поступить традиционно, когда конвертируемость депозитов приостанавливается из-за общеотраслевых проблем: отправиться в бар.
Надеюсь, это излишнее предупреждение: нижеизложенное является историческим фактом, несмотря на то, что рифмуется со стереотипом.
В 1970 году в банковском секторе Ирландии прошла масштабная и продолжительная (шесть месяцев!) забастовка. Работники не могли обналичить зарплатные чеки, поскольку кассиры отказывались работать. Поэтому, в качестве меры предосторожности для клиентов, владельцы пабов обналичивали чеки в кассе, полагая, что в конечном итоге чеки, выписанные на счета местных работодателей, снова станут хорошими средствами.
Некоторые владельцы пабов даже обналичивали персональные чеки, подкрепленные быстрым и ужасным правосудием бюро кредитной отчетности Мы контролируем, сможете ли вы когда-нибудь снова насладиться пинтой пива с друзьями. Это поддерживало циркуляцию физических банкнот в экономике.
Как я сказал своим подрядчикам, к их смущению, я не мог просто спуститься в местный бар, чтобы получить для них наличные, пока банки были в упадке. У меня нет достаточного кредита у оператора местного бара, так как я не пью.
Я сказал им, к их еще большему замешательству, что я подумывал пойти в приход и выкупить все их наличные деньги с помощью персонального чека. Церкви, как и бары, получают большую часть своего еженедельного дохода через электронные платежи, но все равно осуществляют значительное управление денежными средствами в течение рабочей недели, приближаясь к выходным. Я гораздо более известная величина в церкви, чем в дружелюбном соседском заведении. (Кроме того, пытаясь обойти ошибки финансовой инфраструктуры, чтобы заставить рабочих платить им зарплату, рассмотрите возможность положиться на контрагентов, которые общеизвестны из Иакова 5:4).
В конце концов я решил проблему более скучным способом: написал сообщение человеку, у которого, как я обоснованно предполагал, были наличные, и попросил его принести их.
Финансовая инфраструктура обычно функционирует таким образом, чтобы абстрагироваться от личных связей и заменить обмен услугами на общедоступные услуги по доступным ценам.
К счастью, хотя этот сбой оказался на удивление глубоким и масштабным, в следующий понедельник банки в основном вернулись к нормальной работе.
Вы могли бы разумно спросить, почему это произошло и, если на то пошло, как это вообще могло произойти.
Вам может быть интересно, как быстро восстановить финансовую систему из менее понятных источников кредитования, когда она выходит из строя. (Что, возможно, менее важно в качестве вывода, но это довольно красочно).
Краткий необходимый технический контекст
Около 20% читателей этой колонки имеют инженерное образование. Я заранее извиняюсь за следующее махание рукой. (Возможно, вам больше подойдет Предварительный обзор инцидента после инцидента).Во многих операционных системах есть различие между «ядром», поставляемым производителем операционной системы, и всем остальным программным обеспечением, работающим в компьютерной системе. По историческим причинам эта область, где выполняется почти все, называется «пространством пользователя».
В современном программном обеспечении программы, работающие в пользовательском пространстве (т. е. почти все программы), относительно ограничены в том, что они могут делать. С другой стороны, программы, работающие в пространстве ядра, получают прямой доступ к оборудованию под операционной системой. Определенные ошибки в программировании ядра — это очень, очень плохие новости для всего, что работает на компьютере.
CrowdStrike Falcon — это программное обеспечение для мониторинга конечных точек. Короче говоря, «мониторинг конечных точек» — это услуга, продаваемая предприятиям, у которых есть десятки или сотни тысяч устройств («конечные точки»). Эти устройства неразборчивы для организации, которой они принадлежат, из-за их масштаба; ни один человек или группа людей не понимают, что на них происходит. Это означает, что существуют очень разные уровни того, насколько полностью разряженными могут быть эти устройства в данный момент времени. Суть мониторинга конечных точек в том, что он дает вашим командам возможность снова сделать эти системы разборчивыми, а также извлекать выгоду из экономии масштаба, поскольку вы получаете от своего провайдера постоянно обновляемый поток угроз для сканирования.
Один из способов, которым конечная точка может быть повреждена, — это если она была физически украдена у вашего работающего на дому сотрудника в начале этой недели. Другой способ — это если она недавно присоединилась к ботнету, организованному геополитическим противником Соединенных Штатов после того, как один из ваших младших программистов решил установить варез, потому что шестизначная годовая зарплата была слишком мала для финансирования его пристрастия к видеоиграм. (Нет, я не читаю ваши отчеты об инцидентах, я разъясняю для каждой команды по безопасности в отрасли).
Теоретически вы осуществляете постоянный мониторинг всех своих компьютеров. Затем ваша группа по безопасности реагирует на оповещения, генерируемые вашим решением для мониторинга конечных точек. Иногда это требует дальнейшего расследования, а иногда — немедленного устранения неполадок. Разговоры варьируются от «Вы действительно только что установили взломанный Starcraft 2 на свой рабочий ПК? … Пожалуйста, не делайте этого» до «Новый вирус, о котором сообщалось сегодня утром, скомпрометировал 32 компьютера в офисе по управлению активами. Сдерживание было достигнуто к 14:05 по восточному времени, к этому моменту мы уже отключили все пакеты, исходящие из этой подсети, а затем физически отключили питание маршрутизатора, просто чтобы убедиться. Мы задействовали службу реагирования на инциденты, чтобы посмотреть, были ли какие-либо данные украдены за 47 минут между обнаружением и нулевой маршрутизацией. На данный момент у нас нет никаких признаков компрометации за пределами этой подсети, но мы не можем исключить, что злоумышленник использует вирус в качестве плацдарма или развертывает сложные постоянные угрозы».
(Да, это действительно похоже на роман Тома Клэнси. Нет, это не пародия.)
Сокол ударил кулаком
Falcon отправил ошибку конфигурации. Вкратце, это означает, что вместо того, чтобы писать новое программное обеспечение (которое, как мы надеемся, в современной практике разработки проходит довольно обширные процедуры тестирования и выпуска), CrowdStrike отправил немного данных в системы с установленным Falcon. Эти данные предназначались для простого обновления набора условий, которые сканировал Falcon. Однако из-за ошибки в CrowdStrike это фактически привело к катастрофическому сбою существующего уже проверенного программного обеспечения Falcon.Поскольку этот сбой произошел в пространстве ядра в особенно уязвимое время, это привело к тому, что системы Windows столкнулись с полным отказом, начиная с загрузки. Видимый пользователем симптом иногда называют Синим экраном смерти.
Ошибки конфигурации составляют тревожно большую часть инженерных решений, которые приводят к сбоям. (Цитата: давайте остановимся на «общих знаниях как информированного отраслевого наблюдателя». Как всегда, хотя я раньше работал в Stripe, ни Stripe, ни ее команда по безопасности не обязательно одобряют то, что я говорю в своих личных сообщениях.)
Однако, поскольку эта ошибка конфигурации затронула очень широко распространенное программное обеспечение, работающее в пространстве ядра практически повсеместно на компьютерах, используемых сотрудниками важнейших учреждений во всем обществе (что наиболее актуально для этой статьи, банков, а также авиакомпаний и т. д.), радиус ее поражения был намного больше, чем у типичных ошибок конфигурации.
Я уже говорил, что ИТ-безопасность действительно любит военные метафоры? «Радиус взрыва» означает «при возникновении сбоя или отказа в системе X, насколько далеко от X мы увидим негативное воздействие на пользователя». Я с трудом припоминаю ошибку с более широким прямым радиусом взрыва, чем неправильная конфигурация Falcon.
После того, как была внедрена неверная конфигурация, ее исправление осложнялось той незначительной проблемой, что многие люди, которым нужно было ее исправить, не могли получить доступ к своим рабочим системам, поскольку их компьютеры выдавали синий экран смерти.
Почему? Ну, мы устанавливаем уязвимое ПО практически на все машины в определенном учреждении. Вы хотите защитить все устройства. В этом и заключается смысл мониторинга конечных точек. Это буквально чья-то работа — выяснить, где находятся устройства, которые не отслеживаются конечными точками, а затем привести их в соответствие.
Почему мы заботимся об оптимизации для покрытия мониторинга конечных точек? Частично это действительно по веским причинам безопасности. Но основная часть заключается в том, что соответствие small-c необходимо для соответствия large-C. Ваш регулятор фактически потребует, чтобы вы это сделали.
Почему Falcon работает в пространстве ядра, а не в пространстве пользователя?
Falcon работает в пространстве ядра, а не в пространстве пользователя, отчасти потому, что самый простой способ совать свой нос в дела других программ — просто игнорировать гарантии безопасности, которые операционные системы предоставляют программам, работающим в пространстве пользователя. Совать свой нос в память другой программы обычно считается чем-то средним между грубостью и запретом-очень-существенной-инженерной-работой. Однако программное обеспечение для мониторинга конечных точек считает, что другое программное обеспечение, работающее на устройстве, может быть там по указанию противника. Поэтому оно считает уровень комфорта этого программного обеспечения при его вторжении отдаленным вторичным соображением.Другая причина, по которой Falcon работал в пространстве ядра, заключалась в том, что, как Microsoft сообщила WSJ, Microsoft было запрещено соглашением с Европейской комиссией жестко понижать других разработчиков программного обеспечения безопасности до пользовательского пространства. Это было связано с тем, что Microsoft и а) писала программное обеспечение безопасности, и б) обязательно всегда имела возможность писать его в пространстве ядра, поскольку Microsoft контролирует Windows. Европейская комиссия выступила против этой характеристики и указала, что This Sentence Usings Cookies To Enable Essential Essay Functionality.
Положения, которые настоятельно рекомендуют покупку определенного программного обеспечения
Было бы преувеличением сказать, что федеральное правительство Соединенных Штатов приказало финансовым учреждениям США установить CrowdStrike Falcon и тем самым заложить мину в ядра компьютеров всех своих сотрудников. Любой, кто так говорит, понятия не имеет, как работает банковское регулирование.Жизнь гораздо тоньше.
В США очень много разных банковских регуляторов. У этих регуляторов есть некоторые желания для своих банков, которые сильно рифмуются, и поэтому они объединились в клуб для обмена ресурсами. Это позволяет им тратить свои ограниченные бюджеты на мозговой пот на вещи, по которым у банковских регуляторов более индивидуализированные мнения, чем простая, общая банковская регулирующая инфраструктура.
Одним из таких клубов является Федеральный совет по экзаменам финансовых учреждений. Они написали величайшее кроссоверное мероприятие всех времен, если вас интересуют а) обязательные надзорные оценки финансовых учреждений и б) управление ИТ-рисками: брошюра по информационной безопасности Справочника по экзаменам информационных технологий FFIEC.
Модальный потребитель этого документа, вероятно, не программист ядра Linux с высокоразвитой ментальной моделью пространства ядра против пространства пользователя. Это было бы неразумным ожиданием для банковского надзорного органа. Они работают на банковский регулятор, а не на компанию-разработчика программного обеспечения, выполняя важную надзорную работу, а не просто реализацию. Позже на этой неделе они могут работать над коэффициентами достаточности капитала, но прямо сейчас они спрашивают вашу ИТ-команду о мониторинге конечных точек.
FFEITC ITEH ISB (аббревиатура просто слетает с языка) не является супер-предписывающим в отношении того, какие именно элементы управления вам, финансовому учреждению, необходимо иметь. Это распространено во многих нормативных средах. HIPAA, если использовать контрастный пример, необычен тем, что он описывает среду контроля, которую вы можете свести к контрольному списку с обязательным или необязательным рядом с каждым из них. (HIPAA пишет эту вторую категорию как «адресуемая» по причинам, выходящим за рамки этого эссе, но которые я упомяну, потому что не хочу обидеть других бывших должностных лиц по обеспечению соответствия HIPAA.)
Чтобы облегчить разговор вашего учреждения с экзаменатором, который вытянул короткую соломинку, вы проведете анализ рисков. Ну, скорее всего, вы заплатите консалтинговой фирме за проведение анализа рисков. В производственной функции, которая представляет собой масштабированные консультации, это означает, что младший сотрудник откроет US Financial Institution IT Security Risk Analysis v3-edited-final-final.docx и добавит важный клиентский контекст, такой как а) его имя и б) его логотип.
Этот документ будет активно ссылаться на ITEH, поскольку он существует для того, чтобы быстро прервать линию вопросов от экзаменатора. Если вы хотите сделать карьеру в этой области, вы сформулируете это как «направление разговора в области максимального взаимного интереса в деле «продвижения денежной, финансовой и платежной систем страны для построения более сильной экономики для всех американцев». (Внутренняя цитата взята из описания должности в Федеральном резерве.)
Ваши консультанты, когда они проведут обязательный анализ рисков, дадут вам список покупок. Мониторинг конечных точек — один из пунктов этого списка покупок. Почему? Спросите своего консультанта, и он выставит вам счет за ответ, но вы можете получить мое мнение бесплатно, и оно стоит вдвое больше, чем вы за него заплатили: II.C.12 Смягчение последствий вредоносного ПО.
Имеет ли FFEITC чрезвычайно предписывающее представление о том, что вам следует делать для мониторинга вредоносных программ? Ну, нет:
Но ваши консультанты скажут вам, что вам нужен очень отзывчивый ответ на вопрос II.C.12 в этом отчете и что, поскольку у вас, вероятно, нет возможности Google заполнить этажи людьми, проводящими ведущие в отрасли исследования безопасности, вам следует просто купить что-то с надписью «Да, мы это делаем».
Торговые представители CrowdStrike с радостью скажут вам: «Да, мы это делаем». Эта веб-страница существует в результате детерминированного процесса, совместно принадлежащего отделам маркетинга и продаж в компании-разработчике программного обеспечения B2B, для создания отраслевых «стимулирующих» материалов. По сути, если вы хотите предоставить CrowdStrike свой адрес электронной почты и должность, они даже отправят вам документ, который не называется «Точная формулировка для внесения в вашу оценку рисков, включая пять целей и семнадцать элементов управления, которые решит покупка этого продукта».
CrowdStrike, строго говоря, не единственный поставщик, который вы могли бы установить на каждом компьютере, которым вы владели, чтобы ваши регуляторы были довольны вами. Но из-за капризов в работе отделов продаж корпоративного ПО они зашили ужасно много отраслей, прилегающих к правительству. Это было отчасти потому, что они настойчиво добивались написания документов, которые вам нужны, если люди, которые читают ваши планы проектов, имеют сводки по национальной безопасности.
Я не высмеиваю Федеральный совет по проверке финансовых учреждений за то, что он занимается косплеем, притворяясь, что у него есть задание по национальной безопасности. (Бог знает, что такое часто случается в сфере кибербезопасности... и в правительстве в целом. Нью-Йорк любит притворяться, что у него есть разведывательная служба, которая совершенно не является программой патронажа, призванной заставить налогоплательщиков оплачивать неопределенно долгие зарубежные отпуска с минимальными реальными должностными обязанностями.)
Но деньги — это основная социальная инфраструктура, как и электросеть и транспортные системы. Было бы очень плохо, если бы хакеры, работающие на иностранное правительство, могли просто отключить деньги. Это было бы более разрушительно, чем обычная ракета, запущенная наугад по Нью-Йорку, и мы могли бы быть более ограничены в ответе.
Итак, мы оказались в ситуации, когда мы пригласили в пространство ядра сложную постоянную угрозу.
Возможно, важно отметить, что специалисты по безопасности понимают, что инструменты безопасности сами по себе создают уязвимости безопасности. Отчасти беспокойство заключается в том, что монокультура может иметь определенную слабость, которая может быть использована определенным образом. Отчасти это связано с тем, что инструменты безопасности (и сотрудники службы безопасности!) часто имеют больше привилегий, чем обычно, и поэтому они могут быть напрямую скомпрометированы противником. Это наблюдение является фрактальностью в системной инженерии: на каждом уровне абстракции, если ваша плоскость управления скомпрометирована, вы проигрываете. (Плоскость управления имеет определенное значение в сетях, но для этой цели просто округлите его до «операционная система (метафорически), которая управляет вашими операционными системами (буквально)»).
CrowdStrike утверждает, что они не понимают, что это тот случай, когда злоумышленник намеренно пытался разрушить глобальную финансовую инфраструктуру и авиакомпании, используя их в качестве оружия. Нет, CrowdStrike сделали это сами, случайно, по собственной воле. Но это довольно ясно демонстрирует проблему: если младший сотрудник, споткнувшись о шнур питания в вашей компании, выводит из строя компьютеры по всему миру, у плохих парней есть множество вариантов для достижения направленно схожих целей, атакуя направленно схожие шнуры питания.
Когда деньги перестают приносить деньги
Я узнал об уязвимости CrowdStrike обычным способом: Twitter. Но затем мой дружелюбный местный филиал банка сослался на нее (цитирую Microsoft systems issue endquote), когда я пытался снять наличные в кассе.Недавно моя семья приобрела дуплекс и сейчас делает ремонт перед переездом. По сложным социальным причинам, подробное перечисление которых сделало бы меня персоной нон грата во всем политическом спектре, привлечение достаточного количества подрядчиков в Чикаго приведет к тому, что одному из них придется вносить частые и значительные платежи наличными.
Для меня это стало незначительной чрезвычайной ситуацией, поскольку для некоторых подрядчиков, с которыми я работал, это была незначительная чрезвычайная ситуация.
Многие подрядчики — это малые предприятия. Многие малые предприятия очень слабо капитализированы. Многие сотрудники малых предприятий крайне зависимы от получения компенсации именно в день выплаты зарплаты, а не после нее. И поэтому, хотя многие люди в Чикаго в ту пятницу в основном не пострадали, потому что их деньги продолжали работать (в мобильных приложениях, через Venmo/Cash App, через кредитные карты и т. д.), людям, зависящим от наличных, был нанесен огромный удар по их планам.
Я лично пробовал снять наличные в трех финансовых учреждениях в разных весовых категориях, но мне сказали, что это абсолютно невозможно (по размеру) во всех из них из-за проблемы с Falcon.
В одном из них мне сказали, что я не могу воспользоваться услугами кассиров, но могу воспользоваться банкоматом. К сожалению, как и многие клиенты, я пытался снять с банкомата больше наличных, чем когда-либо. К счастью, их система, которая помечает потенциально мошенническое поведение, позволяет клиенту снять пометку, ответив на мгновенное сообщение от банка. К сожалению, поддомен, на который их направляет сообщение, работает на сервере, по-видимому, защищенном CrowdStrike Falcon.
Это было не невозможно во всех финансовых учреждениях. Я знаю несколько в Чикаго, у которых закончились физические наличные в некоторых отделениях, потому что весь спрос на наличные в пятницу обслуживался ими, а не «всеми финансовыми учреждениями». (Как всегда бывает во время широкомасштабных нарушений в инфраструктуре, быстро возникает теневая экономика торговли информацией, которая перенаправляет относительно искушенных людей в места, которые способны их обслуживать. Это происходит через офлайновые социальные сети с незапамятных времен и онлайновые социальные сети с тех пор, как мы их изобрели. Первое, вероятно, более влиятельно, но второе более понятно, поэтому банковские регуляторы делают вид, что этот класс проблем возник полностью сформированным из технологической отрасли как раз вовремя, чтобы обрушить банки в прошлом году).
Я обладаю некоторыми знаниями об истории всеобъемлющих провалов финансовой инфраструктуры, поэтому я решил поступить традиционно, когда конвертируемость депозитов приостанавливается из-за общеотраслевых проблем: отправиться в бар.
Надеюсь, это излишнее предупреждение: нижеизложенное является историческим фактом, несмотря на то, что рифмуется со стереотипом.
В 1970 году в банковском секторе Ирландии прошла масштабная и продолжительная (шесть месяцев!) забастовка. Работники не могли обналичить зарплатные чеки, поскольку кассиры отказывались работать. Поэтому, в качестве меры предосторожности для клиентов, владельцы пабов обналичивали чеки в кассе, полагая, что в конечном итоге чеки, выписанные на счета местных работодателей, снова станут хорошими средствами.
Некоторые владельцы пабов даже обналичивали персональные чеки, подкрепленные быстрым и ужасным правосудием бюро кредитной отчетности Мы контролируем, сможете ли вы когда-нибудь снова насладиться пинтой пива с друзьями. Это поддерживало циркуляцию физических банкнот в экономике.
Как я сказал своим подрядчикам, к их смущению, я не мог просто спуститься в местный бар, чтобы получить для них наличные, пока банки были в упадке. У меня нет достаточного кредита у оператора местного бара, так как я не пью.
Я сказал им, к их еще большему замешательству, что я подумывал пойти в приход и выкупить все их наличные деньги с помощью персонального чека. Церкви, как и бары, получают большую часть своего еженедельного дохода через электронные платежи, но все равно осуществляют значительное управление денежными средствами в течение рабочей недели, приближаясь к выходным. Я гораздо более известная величина в церкви, чем в дружелюбном соседском заведении. (Кроме того, пытаясь обойти ошибки финансовой инфраструктуры, чтобы заставить рабочих платить им зарплату, рассмотрите возможность положиться на контрагентов, которые общеизвестны из Иакова 5:4).
В конце концов я решил проблему более скучным способом: написал сообщение человеку, у которого, как я обоснованно предполагал, были наличные, и попросил его принести их.
Финансовая инфраструктура обычно функционирует таким образом, чтобы абстрагироваться от личных связей и заменить обмен услугами на общедоступные услуги по доступным ценам.
К счастью, хотя этот сбой оказался на удивление глубоким и масштабным, в следующий понедельник банки в основном вернулись к нормальной работе.
Last edited:
