211service.com
L'évolution de la cybersécurité : Chris Wysopal de Veracode
Depuis l'avènement d'Internet et après d'innombrables violations massives, la communauté mondiale continue de se débattre avec la cybersécurité et de la traiter comme une réflexion après coup.
27 juin 2019
Au fur et à mesure qu'Internet s'est imposé et que les piratages, les violations de données et autres cybermenaces sont devenues monnaie courante — les organisations et les gouvernements ont riposté grâce au développement constant des technologies et des stratégies de cybersécurité. Mais le succès dans la fourniture d'une véritable cybersécurité a été insaisissable. Pouvons-nous tirer des leçons de certaines des erreurs commises en cours de route ?
Chris Wysopal, CTO et cofondateur de Veracode, est impliqué dans la cyberdéfense depuis le début. En fait, en tant que chercheur sur les vulnérabilités au L0pht, un groupe de réflexion sur les hackers fondateurs, il a travaillé pendant des décennies pour exiger des technologies sécurisées auprès d'entreprises technologiques influentes.
Dans cet épisode, Wysopal partage son travail dans les premières années de la cybersécurité, relatant des histoires comme lorsqu'il a témoigné devant le Sénat de 1998 sur la sécurité informatique. À cette époque, il a plaidé pour l'adoption de réglementations sur les grandes entreprises comme Microsoft, afin d'imposer la responsabilité et le développement d'un code réfléchi et plus sûr qui protège la vie privée des consommateurs. Ces préoccupations initiales n'ont fait que croître, car il existe encore peu de protection contre le code et les micrologiciels qui permettent les violations. Où allons-nous à partir d'ici? Wysopal partage une certaine sagesse et quelques avertissements.
Business Lab est hébergé par Elizabeth Bramson-Boudreau, PDG et éditrice de MIT Technology Review. L'émission est produite par Katherine Gorman, avec l'aide éditoriale d'Emily Townsend. Musique de Merlean, de Epidemic Sound.
De la revue de technologie du MIT. Je suis Elizabeth Bramson-Boudreau. Et voici Business Lab : le salon qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché. Aujourd'hui, nous allons nous concentrer sur l'histoire et l'évolution de la cybersécurité et sur la façon dont ces premières approches se répercutent aujourd'hui. En d'autres termes, la réponse aux toutes premières cybermenaces a-t-elle façonné notre vision de la sécurité aujourd'hui ?
Elizabeth Bramson-Boudreau : Et y a-t-il des leçons sur la manière dont nous pratiquons notre sécurité numérique maintenant ? Il s'agit du deuxième de notre série sur la cybersécurité où nous explorons tout, des dernières attaques de piratage à ce que les organisations peuvent faire pour mieux protéger leurs employés et leurs données. Notre invité aujourd'hui est Chris Wysopal, directeur technique et co-fondateur de Veracode. Il est actif depuis le tout début dans la bataille en cours pour la sécurité numérique. Je suis ici avec Chris Wysopal, co-fondateur et directeur de la technologie de Veracode, une entreprise de cybersécurité sur Internet. Chris a, avant Veracode, une assez longue expérience dans la cybersécurité et je pense que nous allons commencer par là. Pouvez-vous nous parler, Chris, de votre histoire en matière de cybersécurité ?
Chris Wysopale : Oui définitivement. J'ai commencé dans la cybersécurité probablement comme à la fin des années 80 sur les systèmes de babillards électroniques avant Internet et il y avait ce genre d'attrait souterrain comme les médias alternatifs, un peu comme le monde des zines où vous communiquiez en tête-à-tête avec cette alternative espace. Certains des fichiers de ces systèmes parlaient de piratage du système téléphonique et c'était le genre d'informations que vous ne pouviez obtenir nulle part ailleurs. J'étais collégien à l'époque. C'était assez intrigant et je pense que cela m'a poussé à essayer d'explorer des informations sur les ordinateurs et les réseaux que j'ai fait tout au long des années 90.
Elisabeth : Alors, comment avez-vous vu le paysage évoluer... vous avez eu une assez longue carrière dans ce domaine et donc vous avez vraiment vu le paysage changer, je pense, au cours de ces 20, 30 ans. Qu'as-tu vu — comment caractériseriez-vous les changements que vous avez observés ?
Chris : Oui, donc au début des années 90 j'étais ingénieur logiciel. En fait, j'ai travaillé chez Lotus ici même à Cambridge et nous nous sommes connectés à Internet. Et j'ai en quelque sorte — nous avons commencé à réfléchir à ce qui se passerait si notre logiciel fonctionnait sur Internet afin que les personnes sur Internet puissent se connecter à notre logiciel ? Et cela m'a en quelque sorte ouvert l'esprit à l'idée que, wow, on dirait qu'il va y avoir tous ces problèmes de sécurité.
Elisabeth : A ce stade. Qu'est-ce qui vous a fait comprendre que l'accès à Internet irait invariablement dans les deux sens, dans les deux sens ?
Cris : J'ai donc commencé à travailler sur un logiciel connecté à Internet et il est devenu difficile de le sécuriser afin que les gens ne puissent pas simplement accéder aux données qui se trouvaient derrière votre logiciel. Il est en fait difficile de créer un logiciel sécurisé. . C'était presque comme si nous ne savions pas comment. Cela m'a vraiment ouvert les yeux sur le fait que de plus en plus de choses étaient connectées à Internet, cela allait devenir vraiment problématique.
Elisabeth : Et donc, quel est le plus gros problème que vous voyez maintenant ? Donc, étant donné que vous savez que vous étiez là au tout début, vous avez vu beaucoup de choses émerger. Votre propre histoire est que vous avez passé un certain temps en tant que pirate informatique. Que voyez-vous aujourd'hui qui vous empêche de dormir la nuit et que vous pensez être les plus grandes choses auxquelles non seulement vous connaissez les gens qui écoutent ce podcast, mais peut-être que nos législateurs et nos dirigeants devraient penser?
Chris : Vous savez, ce qui me fait peur, c'est que les gens construisent des systèmes, des logiciels, de l'IoT et qu'ils ne pensent pas vraiment à la sécurité dès le début, soit ils n'y pensent pas du tout, comme s'ils s'en fichaient, soit ils pensez-y à la toute fin et ils font le strict minimum et ils finissent par mettre un produit là-bas qui va intrinsèquement être violé. C'est intrinsèquement que les problèmes vont se trouver là-dedans. Et je pense juste que nous publions continuellement un flux de technologie qui est fondamentalement cassé du point de vue de la sécurité. Et nous le nettoyons constamment.
Elisabeth : Alors, tu parles de logiciel ? Vous parlez d'appareils compatibles IoT ? Vous parlez de toutes ces choses ? Et pourquoi les gens qui créent ces choses ne se soucient-ils pas de leur sécurité ?
Cris : Oui. C'est quelque chose dont nous avons parlé lorsque j'ai témoigné devant le Sénat en 1998, qui était le premier ordinateur — audience sur la sécurité informatique du gouvernement et certaines des choses dont nous avons parlé étaient que les fournisseurs ne savent pas quoi faire. Les vendeurs ne s'en soucient pas car leurs clients ne le demandent pas. Les vendeurs ne sont pas responsables. Ils octroient la licence du logiciel. En cas de problème, ils déclinent toute responsabilité. Nous avions un marché où les gens pouvaient mettre des choses sur le marché sans aucun inconvénient à cause de problèmes liés à leur incapacité à sécuriser. L'un des plus grands acteurs à l'époque était Microsoft. Et Microsoft livrait tous ces logiciels et il y avait beaucoup de vulnérabilités. Et quiconque court — toutes les entreprises exécutant le logiciel recevaient — ils se faisaient cambrioler et c'était juste une sorte de statu quo comme la ligne du parti de Microsoft était vous savez Non, nous construisons des logiciels sécurisés 'et notre ligne du parti était non vous ne le faites pas. Nous allons vous montrer les vulnérabilités du logiciel. Et il y a eu une période de temps où vous avez dû sensibiliser et presque faire honte à ces entreprises pour qu'elles construisent de meilleures choses qu'elles vendraient.
Elisabeth : Alors pensez-vous qu'à l'époque Microsoft a vraiment compris qu'ils construisaient des produits qui n'étaient pas sécurisés ou pensez-vous que lorsqu'ils disaient que nos produits sont assez bons, ils étaient malhonnêtes ?
Chris : Je ne pense pas qu'ils aient compris ce qu'ils construisaient. Je pense que vous connaissez la ligne de relations publiques des entreprises, c'est que nous construisons des logiciels sécurisés. C'est notre position. Ainsi, ils ont pu créer des fonctionnalités de sécurité similaires telles que l'authentification et la cryptographie. En fait, ils l'ont fait assez mal, mais ils n'ont pas compris les vulnérabilités. Ils ne comprenaient pas que des erreurs dans le code pouvaient être exploitées par des attaquants pour accéder aux données derrière l'application, exécuter leurs propres commandes sur le logiciel. Et c'est là que les pirates sont arrivés et ont montré aux vendeurs ce qui était possible si vous étiez le méchant. Et c'est là que vous dites que vous savez que vous êtes un hacker. C'est ainsi que je vois mon rôle et le rôle que nous avions au L0pht, le groupe de hackers dont je faisais partie, était de faire savoir que les vendeurs ne savaient pas ce qu'ils faisaient et qu'ils devaient commencer à créer des logiciels différemment.
Elisabeth : C'est bien. Mettons cela un peu en contexte pour les gens qui écoutent cela. Donc, vous avez témoigné devant le Congrès en 1998 et à ce moment-là, pouvez-vous me brosser un peu le tableau des raisons pour lesquelles vous faisiez et de vos objectifs — ce que vous essayiez d'accomplir à ce moment-là. Et puis je vais revenir et vous demander de faire le lien avec où nous en sommes maintenant où nous avons vu plus récemment des gens devant le Congrès — Mark Zuckerberg notamment. Et ce que vous êtes, vous savez quelles connexions et quelles expériences vous avez quand vous voyez ce genre de chose se produire, vous savez toutes ces années plus tard.
Vous savez, nous avons témoigné en 1998, mais les quelques années qui ont suivi, nous avons commencé à faire ce que nous appelons la recherche sur la vulnérabilité. Nous prenions un produit populaire comme Internet Explorer et nous le mettions en place dans un laboratoire et nous procédions à une ingénierie inverse. Nous essaierions de déterminer où se situaient les problèmes et nous trouverions des moyens de le résoudre. Je veux dire maintenant, nous y pensons car vous savez quelque chose que tout le monde sait sur vous cliquez sur un lien et votre ordinateur exécute le logiciel de quelqu'un d'autre — sous le contrôle de quelqu'un d'autre. Je pense que tout le monde connaît maintenant le risque. Parfois, si vous cliquez sur un lien et qu'il est malveillant, cela pourrait amener quelqu'un d'autre que vous connaissez à contrôler votre ordinateur. C'est le genre exact de vulnérabilités que nous recherchions en 1996, 1997 et essayions d'attirer l'attention des gens. Et nous avons commencé à faire cela avec juste un objectif de recherche et d'exploration. Mais après un certain temps, nous avons réalisé que les consommateurs ne savaient pas que c'était un problème. Les vendeurs ne le savent pas, mais les consommateurs ne le savent pas non plus. Et donc, nous avons commencé à assumer un rôle de défense des consommateurs où nous essayions de faire connaître qu'un logiciel non sécurisé va conduire à la compromission de votre ordinateur.
Et nous avons eu de la presse pour cela et cela nous a mis sur le radar du Sénat quand ils ont commencé à s'attaquer à ce problème. En 1998, c'était le premier rapport du Government Accountability Office qui examinait la sécurité de tous les différents organismes fédéraux et cela a été fait pour la toute première fois. Et donc la commission des affaires gouvernementales, le sénateur Thompson, qui était le président à l'époque, voulait avoir une audience pour parler des résultats et de la piètre performance du gouvernement, probablement parce qu'il utilisait beaucoup de logiciels Microsoft à l'époque, mais beaucoup d'autres trucs de vendeur aussi. Je ne sais pas qui leur a mis le micro dans l'oreille, mais ils voulaient avoir plus que le point de vue du gouvernement, ils voulaient avoir un point de vue externe à ce sujet. Et nous avons fini par être exploités car vous savez, une sorte de témoignage d'expert comme celui-ci est en quelque sorte le point de vue extérieur que les pirates ont ce grand point de vue extérieur sur des problèmes qui ne sont pas motivés par le gouvernement normal ou commercial.
Elisabeth : Et, donc, un pont entre cette expérience et plus récemment comme Mark Zuckerberg. Êtes-vous surpris de la façon dont — Tout d'abord, cela vous semble-t-il différent toutes ces années plus tard, ce que vous avez vu quand il était là-bas en train de parler de Facebook ? Ou cela semble-t-il étonnamment familier? Vous savez quelles sont les comparaisons sont les différences que vous souhaitez partager avec nous?
Cris : Facebook a eu beaucoup de problèmes différents certains, beaucoup d'entre eux de leur propre création, comme simplement avec la façon dont ils gèrent la confidentialité et leur modèle commercial. Certains des problèmes sont dus au fait que vous savez qu'il est difficile de sécuriser des logiciels aussi volumineux et complexes et qu'ils ont subi des failles, n'est-ce pas ? C'est à la fois la sécurité et la confidentialité, quand on y pense. La différence aujourd'hui est que les risques sont tellement plus élevés parce qu'il y a tellement plus de dépendance à des systèmes comme Facebook. Pensez simplement à la quantité d'informations personnelles présentes sur Facebook qui pourraient être utilisées contre des personnes qui seraient clairement — les gens ne voudraient pas être exposés. Et vous savez, dans une certaine mesure, il est utilisé contre vous savez tout notre système de démocratie. À droite? Et contre la société et pas seulement contre les individus. Ainsi, les enjeux semblent tellement plus élevés maintenant qu'en 1998, lorsque nous essayions simplement de sensibiliser, en disant que nous voyons que c'est un problème qui va s'aggraver. Et puis je regarde en arrière et je dis que vous savez que fondamentalement, beaucoup de choses n'ont pas changé. Fondamentalement, il n'y a toujours aucune responsabilité pour les logiciels. Vous savez, si Facebook est piraté, c'est comme, eh bien, vous savez qu'il est difficile de créer des logiciels sécurisés et il semble que tous ceux qui créent des logiciels obtiennent un laissez-passer lorsqu'ils sont piratés. Cela n'a donc pas fondamentalement changé. Mais je pense que ce qui a changé, c'est l'impact de ces infractions sur la société. Il imprègne simplement toute notre vie.
Elisabeth : Pensez-vous que les législateurs, les régulateurs, créant de nouvelles lois pour mettre en œuvre une meilleure cybersécurité sont la réponse ? Et si oui, y a-t-il des mesures particulières que vous souhaiteriez voir mises en œuvre ?
Cris : Oui donc j'aime regarder des analogies dans d'autres affaires — d'autres industries que le gouvernement a réglementées, comme des choses comme vous le savez, les aliments sont réglementés avec des étiquettes d'ingrédients et la propreté et des choses comme ça. La sécurité est réglementée dans de nombreux endroits : les voitures, les avions, tous les types de transport, le lieu de travail et même les produits de consommation. J'aime regarder ces analogies et dire que vous savez comment cela nous a-t-il permis d'obtenir des avantages sans étouffer ces industries ? Je veux dire, évidemment, la sécurité dans les voitures a été une grande réussite. À droite? Comme si nous conduisions tellement plus en sécurité maintenant. Et tu sais que ce n'est pas le cas — l'industrie automobile semble bien se porter. Alors, comment pouvons-nous avoir une réglementation qui peut améliorer la sécurité qui est assez proche de la sécurité, en particulier lorsque nous commençons à parler de l'IoT et des appareils contrôlés par des ordinateurs. Comment pouvons-nous, comment pouvons-nous le faire de manière à ne pas étouffer ces industries ? Nous devons faire très attention, mais je pense que certaines des choses qui ont fonctionné comme vous le savez pour les aliments, comme les étiquettes des ingrédients, ont fonctionné. Donc, juste la transparence sur ce qu'il y a dedans et laisser le consommateur décider. Comme évidemment, si quelque chose s'avère causer le cancer, nous le retirons du marché.
Mais d'autres choses sont juste fondamentalement vous savez que c'est basé sur le risque, basé sur vous connaissez votre santé. Donc, nous pouvons penser à la transparence de ce qui est entré dans le logiciel, a-t-il été traité dans une installation qui a fait des fous, vous savez ? Alors c'est quoi. Comment est-il créé ? Et quels sont les ingrédients, comme quels éléments open source sont là-dedans, quelle cryptographie utilise-t-il ? Je pense que les étiquettes d'ingrédients et la transparence sont une bonne façon de commencer. Mais l'autre chose qui, à mon avis, doit se produire, c'est que lorsqu'il y a des violations importantes, traitez-les comme vous le savez comme un accident de transport et essayez de trouver la cause profonde de ce qui se passe. Nous semblons toujours faire cela avec le transport et souvent, lorsqu'il s'agit d'une violation, nous disons en quelque sorte comme eh bien, c'est le nombre de dossiers qui ont été compromis. Nous allons acheter à tous ceux que vous connaissez des rapports de solvabilité ou de la surveillance du crédit et nous allons essayer de ne pas que cela se reproduise. Mais vous savez, nous ne savons pas vraiment ce qui s'est passé. Je pense que 10% du temps, vous savez que les nouvelles sortent et c'est généralement parce que le groupe d'attaquants fait des réclamations.
Elisabeth : À droite. Je veux dire, c'est tellement intéressant ce que vous dites parce que ce genre d'analyse post-mortem sur ce qui s'est passé, vous savez certainement que vous pouvez regarder les accidents d'avion et ils exposent chaque pièce là-dessus, vous savez, dans un entrepôt et ils examinent absolument tout et ils essaient vraiment de comprendre exactement ce que la boîte noire leur dit, etc. — Je veux dire et puis vous parlez de choses comme un accident de sécurité alimentaire, vous savez que vous avez une situation où la laitue romaine va mal, oubliez ça - vous ne trouverez jamais de laitue romaine jusqu'à ce que vous sachiez que la crise est passée. Et je pense qu'il y a un réel avantage à ce genre d'approche.
Mais je pense que les défis et votre point de vue m'intéresse, c'est qu'ils sont — il y a quelque chose d'intrinsèquement plus facile pour les gens à comprendre ce qui a servi à faire cette salade et à préparer une salade prélavée ou quelles sont les différentes pièces de l'avion qui interagissent les unes avec les autres ? Et d'une manière ou d'une autre, lorsqu'il s'agit de vulnérabilités logicielles et que vous connaissez une grande faille de sécurité du réseau, c'est peut-être l'absence de connaissances et d'un aperçu réel de ce que sont tous les ingrédients. Mais pour quelques personnes précieuses, je pense que les ingrédients qui y sont présentés peuvent donner un sens.
Cris : Mais vous avez des experts qui se superposent à ces trucs de base comme il y a des nutritionnistes, il y a des médecins et ensuite ils peuvent donner des conseils basés sur ces bases. Et je dirais que tout type d'accident d'avion est un échec très compliqué qui s'est produit comme si vous regardez le plus récent avec Ethiopia et Lion Air, c'est une chaîne assez compliquée de logiciels, vous savez peut-être certains mauvaise conception que cela que cela y entre. Ce n'est jamais une chose aussi simple qu'une panne de capteur qui a provoqué la panne d'un logiciel, puis un échec de formation. C'est généralement comme deux ou trois choses combinées. Et, donc je pense que c'est en fait assez similaire à ce que nous voyons dans le cyber-monde.
Elisabeth : Je veux dire, je pense que je pense peut-être plus aux législateurs. Je veux dire, je ne peux pas m'empêcher de rejouer dans ma tête de nombreuses fois les questions posées à Mark Zuckerberg sur le thème Eh bien, comment gagnez-vous de l'argent ? Et comme trahissant vraiment une ignorance au Congrès sur la façon dont cette entreprise et probablement beaucoup d'autres fonctionnent sur Internet moderne, ce qui m'amène à trouver un peu difficile d'imaginer que nous pourrions nous frayer un chemin vers une autorité de régulation — quoi que cela signifie - cela pourrait avoir une réelle capacité à séparer les choses. J'espère que — Je veux dire, je pense aussi que c'est une chose intéressante et convaincante vers laquelle se diriger, mais je me demande aussi quel est votre point de vue, en particulier depuis que vous avez engagé Microsoft à l'époque, autour de la puissance de ces énormes sociétés Internet et de la manière dont elles vont répondre à certains types de bruits similaires de la part des législateurs. Je pense que les compagnies aériennes sont dans une situation différente et que les entreprises alimentaires sont dans une situation différente. Comment pensez-vous que Facebook ou Instagram ou Twitter ou Google ou qui que ce soit réagirait ou aurait répondu jusqu'à présent à ce genre d'idées ?
Cris : Beaucoup de ces entreprises, comme, prenez simplement Microsoft, elles ont répondu en 2000... Je pense que c'était en fait en 2002, Bill Gates est sorti et a dit que nous allions vous savez en quelque sorte arrêter le développement et tout le monde va être formé et ils maintenant appelé informatique de confiance. Et ils se sont mis sur la voie de la création de logiciels sécurisés, puis probablement 10 ans plus tard, ils font en fait un très bon travail. À droite? Et je pense que c'était en partie pour protéger leur marque, ils devaient le faire. Je regarde beaucoup cela et ce sont les entreprises qui le font pour protéger leur marque. Comme si vous voulez regarder les fournisseurs de cloud comme Amazon et AWS. ils sont très forts en matière de sécurité car ils doivent avoir une marque forte autour de la sécurité ou personne n'utilisera leur service. Donc, s'il y a alignement entre la marque de l'entreprise et ce qu'elle fournit en toute sécurité, je pense que cela peut fonctionner. Mais je pense que le problème avec Facebook est que je ne pense pas que l'alignement soit nécessaire, nécessairement là, à cause de la façon dont les gens donnent leurs informations. L'alignement n'est pas toujours là. Et si nous regardons comme vous savez bon marché, vous savez que les fabricants d'IoT qui ont des noms dont nous n'avons jamais vraiment entendu parler en provenance de Chine, il n'y a aucun alignement de marque et ils s'en fichent du tout. C'est là que je pense que le problème est le plus important, ce n'est peut-être pas avec les plus gros joueurs mais c'est comme les mille prochains joueurs qui continuent toujours d'avoir une vulnérabilité quelque part afin que le réseau de chacun soit toujours compromis. Vous savez, comme si vous regardez n'importe quel type de système, plus vous vous éloignez des meilleurs joueurs et le nom de la marque qui pose problème, comme WordPress, est en fait assez bon. Mais vous pourriez mettre un plug-in d'un lecteur inconnu dans votre site de blog WordPress et c'est maintenant le compromis. C'est là que je pense que la réglementation ou la transparence doit se concentrer, sur le fait de lever le bas et non de rendre les meilleurs joueurs plus forts.
Elisabeth : Je veux maintenant passer à vous savez ce qui se passe aujourd'hui et certaines des innovations qui sont — été développé pour plus de sécurité. Nous vivons maintenant dans un monde avec une authentification à deux facteurs autour de nos mots de passe. Combien de temps pensez-vous que ce sera la norme en particulier et vers quels autres facteurs comme la biométrie et d'autres choses pensez-vous que nous allons nous diriger, le cas échéant ?
Cris : Je pense donc que le double facteur est l'une des plus grandes innovations, en particulier vous savez où vous pouvez utiliser votre appareil mobile comme deuxième facteur, car vous savez que c'est presque aussi facile à utiliser qu'un mot de passe et que c'est presque facile à configurer comme mot de passe. Je pense que nous allons voir deux facteurs durer très longtemps. La biométrie, vous savez que c'est bien car vous connaissez un appareil matériel, quelque chose que vous savez être votre serrure de porte ou votre téléphone. Cela commence à devenir plus problématique lorsque ces données biométriques doivent être largement partagées sur de nombreux systèmes et qu'elles doivent être sécurisées. Par exemple, si vous pensez à la biométrie de votre téléphone, cette empreinte digitale ne quitte jamais la puce sécurisée de votre téléphone, n'est-ce pas ? C'est l'une des choses qui fait que ça marche vraiment. Lorsque les gens commencent à parler de biométrie, vous connaissez le guichet automatique ou vous connaissez d'autres endroits qui se trouvent sur un vaste réseau. Ensuite, je commence à m'inquiéter que cela n'aide pas vraiment. Et puis il y a un risque réel là-bas parce que maintenant votre empreinte digitale est — vous savez que vous pouvez changer votre mot de passe mais vous ne pouvez pas changer votre pouce ou du moins pas facilement. Je ne suis pas sûr de la biométrie.
Elisabeth : Et qu'en est-il des problèmes de cybersécurité dans les applications d'apprentissage automatique ? Nous parlons beaucoup d'apprentissage automatique et de nombreuses personnes qui écoutent ce podcast utilisent des solutions d'apprentissage automatique pour analyser de grands ensembles de données. Quelles sont certaines des préoccupations qu'ils devraient garder à l'esprit?
Cris : L'apprentissage automatique peut certainement être utilisé pour résoudre certains problèmes de cybersécurité. Je pense que cela entre en territoire difficile lorsque vous essayez de séparer le comportement normal du comportement malveillant, car ils sont si proches. Je veux dire qu'il y a des cas extrêmes où vous savez que vous vous connectez toujours depuis le Massachusetts et puis tout à coup vous vous connectez depuis la Chine pour la première fois et nous sommes vraiment bons dans ce genre de choses. C'est en quelque sorte la détection anti-fraude utilisée par les sociétés de cartes de crédit. Et donc ce genre d'anomalies extrêmes - c'est bien. Mais cela devient plus difficile lorsque vous essayez de comprendre, vous savez que le comportement d'un utilisateur sur un réseau est en fait le genre de comportement malveillant par rapport au comportement humain normal ? Comme peut-être que quelqu'un accède à une feuille de calcul pour la première fois parce qu'on vient de lui dire de faire quelque chose. Voulez-vous bloquer cette activité ? Voulez-vous que quelqu'un suive physiquement cette activité ? Cela pourrait conduire à beaucoup de faux positifs. Donc, en ce qui concerne le comportement humain qui consiste simplement à protéger votre PC ou votre réseau, je pense que c'est un défi et nous n'en sommes pas encore là.
Elisabeth : Et pour les cadres qui dirigent des entreprises qui doivent penser à leur sécurité, à quel point devraient-ils être inquiets ? Et je me demande souvent, savez-vous s'il s'agit d'un cas d'attaque terroriste qui, statistiquement, est plutôt improbable ? Ou est-ce plutôt la menace d'un accident de la circulation sur le chemin du travail ? Où dois-je concentrer mes soucis ? Et vous savez, le nombre d'entreprises qui aimeraient me dire que c'est terriblement dangereux en termes de risques de cybersécurité auxquels je suis confronté ici à Technology Review est probablement infini. Et comment filtrer le signal du bruit ?
Cris : Ouais. C'est donc difficile parce que vous savez que vous ne savez pas quel niveau de risque vous devriez en quelque sorte tolérer en tant qu'entreprise, comme différentes entreprises ont des niveaux de risque différents, comme évidemment quelque chose qui est une banque a un niveau de risque différent de celui d'un média entreprise. À droite? Une entreprise de médias peut survivre, vous savez que son site Web est saccagé, mais une banque ne peut pas nécessairement survivre en perdant des milliards de dollars. À droite? Il existe une tolérance au risque différente pour chaque type d'entreprise. Mais nous en voyons - et c'est comme quand il s'agit plutôt d'une attaque ciblée. Quelque chose qui m'inquiète, c'est l'attaque aléatoire aveugle comme nous l'avons vu avec le virus NotPetya qui a détruit Merck et je pense qu'il y a quelques sociétés de transport mondiales et Maersk, je pense, était l'une d'entre elles. Et à hauteur de centaines de millions de dollars, comme s'ils n'étaient pas en mesure d'exploiter leurs activités mondiales pendant des semaines, vous savez ? C'est donc quelque chose dont chaque entreprise doit s'inquiéter. je voudrais — si je devais me concentrer sur ma cybersécurité, je me concentrerais sur ces types d'événements — événements à grande échelle - d'abord, puis sur lesquels je me concentrerais, par exemple, y a-t-il des cibles directement dirigées vers mon entreprise ? Et vous savez comment puis-je gérer ceux-ci? Je pense que vous pouvez le séparer en deux et ce sera un peu différent pour chaque entreprise.
Elisabeth : Ouais. Et qu'en est-il des personnes qui entrent dans le domaine de la cybersécurité maintenant qui sont — vous savez soit qu'ils sont venus, qu'ils ont été des pirates ou qu'ils sont vraiment intéressés à rendre le Web et les entreprises plus sûres, vous savez, en opérant sur le Web ? Que leur dites-vous ? Parce que les choses ont beaucoup changé. Vous connaissez les pirates et le piratage est devenu beaucoup plus sophistiqué. C'est certainement un outil pour vous, les États-nations. Comment leur conseillez-vous de réfléchir à l'endroit où ils veulent construire leur carrière ?
Chris : J'étais en fait à cet événement au VMI en Virginie. Il s'agissait d'un événement de capture de drapeau où 13 équipes collégiales différentes se sont réunies pour effectuer ces cyber captures de drapeau. Et je leur ai parlé et vous savez ce que j'aime dire, c'est commencer par les bases. Vous devez vraiment comprendre comment fonctionne le réseau TCP/IP et Internet. Vous devez comprendre comment fonctionnent les systèmes d'exploitation comme Unix et Windows. Vous devez savoir quelque chose sur le codage et vous avez besoin d'une sorte de base de base large. Je pense juste pour commencer et ensuite vous devez décider dans quoi vous voulez vous spécialiser. Allez-vous être en défense ou allez-vous faire partie de l'équipe rouge ? Allez-vous faire de la réponse aux incidents et de la criminalistique ? Comme ce que j'ai fini par faire, vous savez, travailler avec des gens qui développent des logiciels pour les aider à mieux développer des logiciels. Je pense que tout le monde a besoin de cette base car il y a tellement de couches différentes sur lesquelles vous pouvez attaquer les systèmes. Vous pouvez attaquer sur le réseau, vous pouvez attaquer sur le système d'exploitation et je suppose qu'un autre domaine entier se situe au niveau de la couche humaine. Comme comment trompez-vous les gens pour qu'ils fassent des choses ? Je pense que je pense que vous devez comprendre les bases de toutes ces couches, puis vous concentrer sur vos aptitudes. Vous savez, évidemment, certaines personnes gravitent naturellement vers l'attaque ou la défense. J'ai fini par commencer en attaque puis en défense parce que j'aime mieux ça. J'essaierais quelques choses et puis vous savez aller en profondeur et me concentrer sur un domaine.
Elisabeth : Super. Eh bien, c'est une conversation très intéressante et j'apprécie vraiment que vous preniez le temps.
Cris : Eh bien merci de m'avoir ici.
Elisabeth : C'est tout pour cet épisode de Business Lab. Je suis votre hôte Elizabeth Bramson-Boudreau. Je suis PDG et éditeur de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology. Vous pouvez nous trouver en version imprimée, sur le Web, lors de dizaines d'événements en direct chaque année. Et maintenant sous forme audio. Pour plus d'informations sur nous, veuillez consulter notre site Web et TechnologyReview.com. L'émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous évaluer sur Apple Podcasts.
Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next avec l'aide d'Emily Townsend et avec l'aide éditoriale de Mindy Blodgett. Un merci spécial à notre invité Chris Wysopal. Merci pour votre écoute et nous reviendrons bientôt avec notre prochain épisode.