We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
cover of episode Defensive Security Podcast Episode 286
People
A
Andrew Kalat
J
Jerry Bell
Topics
Jerry Bell 和 Andrew Kalat 讨论了他们新的播客 "Getting Defensive",该播客将深入探讨网络安全主题,并采访业内专家。他们还讨论了 CISA 关于已利用漏洞的报告,该报告强调了零日漏洞日益增长的趋势。他们分析了 GitHub 上发生的恶意提交事件,该事件试图陷害一位安全研究人员,并讨论了微软新的 Windows 弹性计划以及 CISA 对关键基础设施组织进行的红队评估。他们强调了在安全评估中获得同意的重要性以及组织在管理与过时软件相关的风险方面面临的挑战。 Jerry Bell 和 Andrew Kalat 详细分析了 CISA 报告中提到的关键漏洞,并讨论了这些漏洞被利用的策略和影响。他们还讨论了在软件生产商和消费者层面应对这些漏洞的策略,包括及时修补、实施缓解控制措施以及加强监控和检测。他们还讨论了网络安全行业在及时修补和管理风险方面面临的挑战,例如劳动力短缺和修补带来的潜在风险。 Jerry Bell 和 Andrew Kalat 讨论了微软新的 Windows 弹性计划,该计划旨在增强安全性并提高系统完整性。他们讨论了该计划的一些关键功能,例如远程配置管理、改进的打印安全、密码管理改进以及内核访问限制。他们还讨论了这些改进可能带来的新的安全风险,以及这些改进如何影响安全工具的运行方式。 Jerry Bell 和 Andrew Kalat 讨论了 CISA 对关键基础设施组织进行的红队评估报告。他们分析了攻击者如何利用 NFS 共享、网络钓鱼以及已知漏洞来入侵该组织的系统。他们还讨论了该组织的安全团队如何发现并应对这些攻击,以及该组织在管理风险和实施缓解控制措施方面面临的挑战。他们强调了在安全评估中获得同意的重要性,以及在管理与过时软件相关的风险方面面临的挑战。

Deep Dive

Chapters
The discussion focuses on CISA's report highlighting the alarming trend of zero-day vulnerabilities being exploited more frequently. The hosts explore the implications for software producers and consumers, emphasizing the need for better patching practices and mitigating controls.
  • Over half of exploited vulnerabilities in 2023 were zero-days.
  • Six out of the top fifteen exploited vulnerabilities were in core network infrastructure.
  • CISA has improved its timeliness in updating the Known Exploited Vulnerabilities list.
  • Organizations need to prioritize patching and implement mitigating controls to address vulnerabilities effectively.

Shownotes Transcript

在本期Defensive Security Podcast中,主持人Jerry Bell和Andrew Kalat讨论了各种网络安全主题,包括他们新播客《Getting Defensive》的发布。他们深入探讨了CISA关于被利用漏洞的报告,强调了被利用的零日漏洞的令人担忧的趋势。谈话还涵盖了GitHub一起涉及恶意提交以陷害研究人员的事件、微软新的Windows弹性计划,以及CISA对关键基础设施组织的红队评估的见解。我们强调了安全评估中同意书的重要性,以及组织在管理与过时软件相关的风险方面面临的挑战。

新播客“Getting Defensive”的发布旨在探讨更深层次的网络安全主题。 CISA的报告表明,零日漏洞被利用的频率令人担忧地增加。 组织必须优先考虑修补和缓解控制措施,以有效解决漏洞。 GitHub事件凸显了恶意提交的风险以及代码审查的重要性。 微软的Windows弹性计划引入了增强安全性和系统完整性的新功能。 在渗透测试和安全评估中,同意至关重要。 组织经常接受与过时软件相关的风险,这可能导致漏洞。 有效的监控和检测对于减轻潜在攻击至关重要。 勒索软件并非唯一的威胁;组织必须意识到各种攻击媒介。 CISA红队评估为了解关键基础设施的安全态势提供了宝贵的见解。

链接:

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/ https://thehackernews.com/2024/11/microsoft-launches-windows-resiliency.html?m=1 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-326a

<raw_text>0 今天是2024年11月24日星期日。这是Defensive Security Podcast的第286集。我的名字是Jerry Bell,和我一起的是Andrew Kalat。

下午好,Jerry。我不得不检查一下,现在真的是11月份了。这有点疯狂,我不知道是怎么发生的。

是的,基本上还有一个月就到圣诞节了。这是真的。

但是,如果有人要给我买东西,我穿6.5码的鞋。

好的,一个很好的提示,一个很好的购物场所。

只是任何购物的人,但你好吗?

我很好。

对于那些不知道的人来说,我们开始了一个第二档节目,我们甚至还在做采访,叫做《Getting Defensive》,这有点奇怪。这是你和我又一次一起,因为我知道这是一个采访……

很多很多很多。我认为我们可能自上次做这个节目以来已经做了八次这样的采访了。所以,是的,这有点奇怪。

但是,嘿,如果你感兴趣,可以去看看,它是一个不同的播客订阅源。你可以在所有不同的播客平台和YouTube上找到它。嗯,Jerry,我们正在尽力成为优秀的采访者,采访网络安全行业中很酷的人?嗯,我想我们已经发布了四集了……

第五集可能会在明天或星期二发布,是的……

我认为我们上周发布的最新一集是Andy Green,对吧,谈论了围绕漏洞披露动机的各种很酷的东西。他是在肯特州立大学的教授,肯特州立大学是我们这里的大学,他谈论了他正在进行的所有各种酷的研究。然后还有一个非常有趣的故事,讲述了我们如何卷入整个投票机安全丑闻和偏离方向的披露。所以非常酷,很有趣。

这太吸引人了。我知道我在Peifer Y上听说过整个故事,只是透明地做了一个预告。所以,如果每个人都想听听那个节目,但是,你知道,在佐治亚州,这是一个关于佐治亚州选举问题的2020年的故事,是的,他的大学负责一些选举安全方面的工作,并非出于他的过错,最终却处于一种奇怪且有问题的境地,不幸的是,对他来说是糟糕的。但这是一个非常吸引人的故事,我鼓励你去听。

是的,顺便说一下,在之前的三个节目中,我们邀请了Amanda Berlin,她长期以来一直是我们的听众,在心理健康和医学书籍方面做了非常好的工作。

This Warden,他以法律技能、流程技能和商业管理技能的非常有趣的融合而闻名,这是一次很酷的讨论;还有Alan Lisa A,他因在某方面的出色工作而闻名,现在还阅读漫画书,也是一些很酷的东西。所以我们试图找到有趣的嘉宾,让你们听到他们的声音。你们有想法吗?给我们发送、给我们发送建议。

是的,绝对的,绝对的。所以在我们进入本周的故事之前,提醒一下,我们在节目中表达的想法和观点是我们自己的,不一定是我们雇主的观点,至少对于那些有雇主的人来说是如此。真实的意图,意图。我相信合适的词是我是一个自由职业者……

所以,我部分地为了买杂货……

是的。所以,我在等待我的棒球和橄榄球合同,我在等待我的五亿美元合同。假设有人保存了我的联系方式。

是的,这就像诺贝尔和平奖每年都会颁发,我只是在等待提名,他们可能……

只是没有通过,然后他们必须转到下一个人。

这是公平的。而且我不太会接听我不认识号码的电话,你知道,你可能说得对。我应该……

接听诺贝尔委员会的电话。

好吧,你知道,事情是这样的,如果我们让另一个节目成功,我们可以得到一些额外的钱……

并通过所有这些。

所以我们……

在Spotify上签约了一亿美元。

这将会很精彩。你知道,如果我们能招到员工因为我们的节目而辞职抗议,我认为这算是一场胜利。

也许,也许我们可以雇佣一些人,明确的意图就是让他们辞职抗议。

哦,是的,就像抗议我对双因素身份验证的立场一样。

只是知道这有多糟糕。

没有坏的宣传,对吧?我喜欢这个……

因为我们可以雇佣人们在市政厅前抗议它……当然。有什么想法吗?非常好的方法。

好的。我们今天要讲的第一个故事来自Dark Reading。标题是:“零日漏洞荣获最常被利用漏洞奖”。所以CISA,网络安全和基础设施安全局,我仍然讨厌这个名字。我,我,我仍然希望有一天,有人会修复这个,这个……不合理的事情,这个,这个世界上称呼它的不公正之处,称之为网络安全和基础设施安全局。我觉得这根本就是错的。

这就像称呼它……称呼它为……ATM机。是的,非常相似,非常相似。它,它,它伤害了我,它实际上让我说它感到很痛苦,所以无论如何,CISA,我将称它们为CISA,因为我不喜欢全名。

发布了一份报告,顺便说一句,他们做得很好。所以这不是对他们的批评,而是对他们的名字的批评,任何想出这个名字的人都应该感到难过。

但是,如果我完成了,我们可以继续了,他们发布了这份报告,他们已经做了几年了,基本上列出了最常被利用的漏洞。我想说,我想稍微转移一下话题,如果你倒回一段时间,就会看到。所以CISA开始了……

这个清单是已知被利用漏洞的列表。很长一段时间,我把它描述为一个笑话,你知道,有些东西会被利用很长时间,然后有人会醒来,然后他们会把它添加到漏洞列表中。顺便说一句,目的是当某些东西被添加到至少美国政府机构的列表中时,美国政府机构以及可能代表政府行动的其他机构必须迅速采取行动来解决这些漏洞,就像他们有一个……他们有一个艰难的时期,你不能逃避修复它们,你必须立即修复它们。但在过去,我会说这两三年里,它已经转变为真正有用的东西,就像它们非常及时。

他们及时更新它,我认为它已经成为一种可靠的资源。所以,我,你知道,我想给他们点赞。我不知道发生了什么变化,我不知道为什么它会改变。有些东西改变了,我认为这很棒。

所以很好。我完全同意。顺便说一句,我讨厌对此如此刻薄,但我当时想,你知道,你会从政府新闻中听说,我一个月前才知道开源……对吧?就像你曾经参与过任何像FBI驱动的Ice Axe之类的特权信息吗?

我好像一个月前在Dark Reading上读到过这个。这不是他们特权的……只是它太慢了,我认为这是政府固有的某些问题,对吧?他们有太多的官僚主义,以至于他们无法以我们想要的速度行动。

所以是的,对。有些东西会改变。我很高兴,坦率地说,我确实发现它很有帮助。我认为我们看到了一些其他的统计数据,在我们做这个节目的时候发布的,新的CV与已观察到的利用活动之间的数量,对CV进行分类,大约有0.5%的CV确实已知被利用。

所以这是一个巨大的差距,我应该修补哪个?顺便说一句,如果我修补一切,这并不总是一个可行的选择,我需要以某种方式优先考虑。因此,拥有某种NMC工具来建立意识并围绕CV进行报告,这很有帮助,它使我能够对哪些工作更好给出更基于风险的指导。但回到今天的文章,真正有趣的是,我们都基于这样的假设:大多数威胁行为者不想使用零日漏洞,他们想要保留……最诱人的目标,最有趣的目标。这篇文章有点……

与之相反,是的,这里的报告显示,在2023年,超过一半被利用的漏洞一开始都是零日漏洞,这非常有趣。所以你基本上是说,大多数利用活动都针对的是……

没有补丁的漏洞,这是一个问题。这使得它更加困难。

是的,他们列举了几种不同的策略,一种是从软件生产商的角度,一种是从消费者的角度。当然,我会说我看到美国政府最近做的大部分工作都是在生产商方面,对吧?他们试图在软件生命周期管理、软件开发生命周期、内存安全语言和许多其他相关流程方面推动纪律。但是,你知道,并非所有我们都在创建软件。

我们很多人都在处理其他公司软件的影响的境地,对吧,我们或多或少被迫使用它,你的内部系统有这些零日漏洞。我发现特别有趣的一件事是,他们确实列出了……我认为是他们看到的被利用为零日漏洞的十五个漏洞中的前十五个。其中六个是我所谓的核心网络基础设施,例如思科、Crick和Fortinet的东西。

在工作中,有一些来自Progress的。你肯定会在迁移方面有所进展,到目前为止,它在修补方面做得很好。但是,你知道,有很多东西我通常认为应该在你的边缘,它们是这组被利用的系统的一部分,这有点与……不要把东西暴露给互联网的理念相悖,当问题实际上出在你故意购买并放在边缘以保护其他东西的东西上时,这种理念就开始瓦解了,然后,这就是人们进入的方式吗?

好吧,是的,我考虑得更多一点,但后来我想,好吧,这是一个统计偏差的情况,如果我做得很好,违反了其他一切,你唯一暴露的是这些旨在暴露的工具,因此它们会得到更多、更大、更多的关注。我不知道,我不知道这实际上是否属实。

我认为注册了这个奇怪的循环,这些位于边缘的工具已经变得越来越弱,更容易受到攻击。但是,这并不是……统计数据在这个博弈论中是如此的棘手,暴露的与未暴露的,已知寿命与已报告的,是什么……很难知道。但我认为,尽管如此,这告诉我的是,必须考虑一下博弈论。如果必须暴露的顶级设备被破坏了会发生什么?以及如何……

减轻它。

对,无论是通过更多的隔离,通过更多的监控,通过或多或少地在你的设备之间强制执行这种信任,即使假设坏人坐在那个主要设备上。好的,我该如何验证他们的流量?每个环境都略有不同。但这就是我在看到这条新闻后想到的东西。

绝对的,我也想说,我知道每一个都是一个稍微不同的故事,但有几个漏洞存在于不一定需要暴露给互联网的组件中。例如,虽然你的思科防火墙旨在放在边缘,但它的管理控制台不需要。我认为,我认为是Fortinet,如果我错了,请原谅我,但我认为Fortinet默认情况下它的管理控制台是面向互联网的,你实际上需要采取步骤来更改它。

所以我认为这里也存在一种最小权限,我不一定是在IAM的意义上说的,而是,如果你不……我认为你需要仔细查看你的设备,尤其是边缘设备的配置方式,以确保你最小化暴露的东西,因为它看起来确实像……在我们最近做的一个节目中,我们取笑了一个供应商在其管理控制台中使用PHP。好吧,你不必把它暴露给互联网。我们可以一直取笑它。

但这不应该暴露。然后它实际上并不是为了暴露。我还想说,回到你关于我如何考虑这个问题的观点,我认为如果……如果你回顾几年前,我认为当时业内出现了一种赞扬,因为一些研究人员发现了一个严重的漏洞,在一个防火墙中。

在本期Defensive Security Podcast中,主持人Jerry Bell和Andrew Kalat讨论了各种网络安全主题,包括他们新播客“Getting Defensive”的推出。他们深入探讨了CISA关于漏洞利用的报告,强调了零日漏洞被利用的令人担忧的趋势。对话还涵盖了GitHub一起涉及恶意提交以陷害研究人员的事件,微软新的Windows弹性计划,以及CISA对关键基础设施组织的红队评估的见解。我们强调了安全评估中同意重要性以及组织在管理与过时软件相关的风险方面面临的挑战。

新播客“Getting Defensive”的推出旨在探讨更深入的网络安全主题。 CISA的报告表明,零日漏洞被利用的频率令人担忧地增加。 组织必须优先进行修补和缓解控制,以有效地解决漏洞。 GitHub事件突显了恶意提交的风险以及代码审查的重要性。 微软的Windows弹性计划引入了增强安全性和系统完整性的新功能。 渗透测试和安全评估中同意至关重要。 组织经常接受与过时软件相关的风险,这可能导致漏洞。 有效的监控和检测对于减轻潜在攻击至关重要。 勒索软件并非唯一的威胁;组织必须意识到各种攻击媒介。 CISA红队评估为了解关键基础设施的安全态势提供了宝贵的见解。

链接:

https://www.bleepingcomputer.com/news/security/github-projects-targeted-with-malicious-commits-to-frame-researcher/ https://thehackernews.com/2024/11/microsoft-launches-windows-resiliency.html?m=1 https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-326a

<raw_text>0 我认为原因之一,就像我们过去讨论过的那样,CrowdStrike之所以喜欢在内核中运行,是因为如果有人点击了钓鱼链接或其他什么东西,攻击者无法像杀死其他安全软件那样杀死CrowdStrike进程。所以这将变得更有趣。我认为这是……

他们喜欢这种刀是双刃剑,我怀疑是这样,因为你现在提供了一种方法,我假设,让某些东西在用户态下无法被破坏。那么,这该如何被滥用呢?所以这就像……就像远程复活不可破坏的系统一样,这是否为滥用提供了新的途径?这会打开什么样的滥用途径?我希望从事这项工作的人足够聪明,能够提出这些问题。我不是在这里有什么突破性的发现,但我有一些疑问。我谨慎乐观,但我确实有一些疑问。

我确信另一个方面,所有这些人都在思考的是,好吧,如果微软要构建这种新方法,让驱动程序在用户态运行而不是内核态,这是否包括微软Defender?或者微软Defender仍然可以在内核态运行,而其他任何程序都不能?这是否会成为一个竞争优势,并迅速演变成反垄断问题,从而引发诉讼?

这在过去显然发生过。是的,所以问题是……

我们将拭目以待。我们将拭目以待。嘿,所有对这项工作的赞扬。我看到了好的东西。我不是想贬低他们。我很高兴他们正在做一些……一些垂直方向上的事情,比如,“哇,我们为什么以前没有这么做?”之类的想法。我很高兴他们正在研究它。

这是一个很好的指出,这绝对没有恶意攻击他们的意思。我认为他们做得很好,我希望这些改进会有意义。但关于实施细节有很多不确定性……

溜冰、裂缝。没关系。你可以承认你今天错过了午睡。你没有看你的马特洛克剧集,对吧?

顺便说一句,你知道有新的马特洛克吗?我知道,我知道。我没有……

知道那……

这次。我觉得我现在可以变老了,就像我……总之。总之,最后一个故事是另一个CISA报告。

我没有与之相关的文章,但它是来自CISA的报告。标题是“增强网络弹性:来自CISA对美国关键基础设施部门组织的红队评估的见解”。

这是一篇相当长的关于红队——或者我想我们更常称之为渗透测试报告——CISA对一个未具名的关键基础设施组织进行的报告。他们甚至没有告诉你该组织属于哪个部门。所以除了他们混合使用Windows和Linux系统之外,没有任何可识别的信息。这就是你能从中获得的所有信息。

但我真的很喜欢这篇报告,我认为这里面对每个人都有一些东西,因为他们谈到了他们如何入侵Linux环境,然后大规模入侵它,这并不是你通常会想到的事情,因为你知道,不像Windows系统那样,Windows系统通常通过活动目录具有这种固有的信任关系。Linux系统没有这个。所以至少从我的角度来看,这里的新颖之处在于,他们确实找到了一种方法,他们发现的方法是,这家公司的所有Linux系统都共享一个NFS服务器——我没有意识到人们还在使用NFS,我以为它很久以前就消失了。

我明白了,显然他们确实在用。很酷。他们发现有数十甚至数百人的家庭目录挂载在这个共享上,因为他们配置NFS挂载的方式,当你拥有其中一个系统的root权限时,你基本上可以访问NFS共享上的所有内容。所以他们能够进入,窃取大量的SSH私钥,以及其他一些有用的信息,比如一些证书,甚至一些使他们能够入侵活动目录的信息。

嗯,我认为这是一个有趣的攻击媒介,找到能够跨环境访问的SSH密钥。我认为另一个非常有趣的方面是,他们首先试图通过鱼叉式网络钓鱼攻击该组织。顺便说一句,我应该事先说明,该组织请求被攻击,对吧?他们请CISA进行这项任务。所以这不是CISA自作主张。

所以你认为同意很重要?

同意很重要。他们是一个政府机构,所以我不知道……我假设他们都符合资格,无论如何。但就是这样。所以,他们开始尝试鱼叉式网络钓鱼攻击,他们确定了一组攻击目标,我猜是通过LinkedIn。他们做了一些研究,以了解他们使用了什么类型的计算机,使用了什么类型的安全软件,等等,然后……结果这并没有奏效。事实上,他们说他们的一个受害者,他们的一个目标,确实执行了他们的代码,但这个组织运行着一款安全软件——CISA没有提到是什么软件——这款软件阻止了该恶意软件的运行,这很有趣。是的,是的……

我认为他们说在13个目标中,一个用户回复了他们,两个用户实际上运行了恶意软件,但没有成功……但它可能是在磨刀,这才是真正咬人的地方。

我确信它可能是磨刀,当然。

当然,但我首先想到的是,如果这触发了警报,这可能暗示有人在搞鬼,或者可能只是意外发生的事情。你如何知道这仅仅是一次偶然事件的开始,还是一次有针对性的、蓄意的攻击?当你收到这样的警报时,这是我事后才想到的,事后诸葛亮总是对的。

当时,它只是另一个警报。你怎么知道?好问题。

没错。所以,他们转向攻击基础设施。他们查看了Shodan和其他公开情报来源。他们确定了一个存在漏洞的应用程序,并使用一些概念验证代码,实际上获得了webshell。但真正奇怪的是,一旦他们部署了这个webshell,他们就开始四处探查,发现系统上已经有另一个webshell,是由另一个……

测试人员放置的,而且从未删除……某种概念验证,我想,而且从未清理过。

没错。顺便说一句,如果你不小心,如果你雇佣的渗透测试人员不尽职,这种情况就会发生,他们可能会留下一些可以被利用的小问题。所以CISA红队实际上报告了这个webshell,因为这个webshell是公开的,任何人都可以访问。

当然,这导致该组织进行了调查。他们发现了很多,但不是全部,CISA红队的活动,我认为他们根除了他们所有持久性机制中的四个,这仍然是四个,所以你知道,他们的调查本来可以做得更好,我想。但随着时间的推移,这项任务发生了一些变化,我不太清楚是什么导致了这种变化。

但他们——这个组织——他们的安全团队意识到他们正在遭受攻击。所以,该组织的协调与CISA联系的人员和内部团队之间达成了相互协议,内部团队基本上会退居幕后,只以监控模式运行。所以它有点像……在这一点上,没有进一步尝试阻止他们。

他们只是坐着观看,并向CISA报告他们所看到的情况。所以报告的大部分内容是基于对红队所做的事情与组织安全团队所报告的事情的比较,而不是……而不是以更具对抗性的方式进行的。

如果考虑到这个概念,那在这一点上就变成了紫色团队。

是的,没错。所以,他们能够通过几种不同的方法,入侵该组织的活动目录。他们指出,从他们的DMZ(web服务器所在的位置)到他们的内部网络很容易,因为没有太多的隔离。

他们指出了这一点。我认为这很有趣,该组织实际上已经采取措施阻止其DMZ进行主动连接到互联网。顺便说一句,这是一个好习惯。这确实是一个好习惯。

很难始终如一地做到这一点。

对吧?不好的习惯是他们有一个相对未经监控的代理,允许访问互联网。所以,他们阻止了对互联网的访问,但他们提供了一种访问互联网的途径,显然没有受到监控。

这很荒谬,因为使用代理的全部意义在于监控和控制它,对吧?

他们在NFS共享上找到的一个文件包含一个活动目录帐户的凭据。他们能够登录到一个具有不受限制的委派权限的系统。该系统上的活动目录配置为不受限制的委派。

所以基本上,这允许他们伪造活动目录中的其他用户。从那里,他们基本上可以控制整个域。

而当你达到这一点时,游戏就结束了,你可以访问工作站,你可以访问服务器,你基本上可以做任何你想做的事情。他们稍微谈到了Windows和Linux系统上的一些持久性机制。在Linux系统上,他们修改了一些cron作业和ifup脚本,这些脚本处理网络接口的启动和关闭,以运行他们的持久性脚本,基于webshell的调用。所以你知道,有趣的事情,到处都有机会,正如你可能预期的那样,这些东西可以通过文件完整性监控来检测。但我认为更有趣的一个方面是,他们做得非常出色地列举了所有不同的要点,以及围绕这些要点的一些处方,你知道,更实际的信息……我将回顾其中的一些内容,但这里有一段引文我认为非常值得阅读,内容是……

如果目标组织更多地收听Defensive Security Podcast,他们本可以避免……

很好,我认为……我认为是的,尽管不,实际上我认为这句话在最终稿中被删除了。

这种情况经常发生……

时间。但这句话是引文,“这份文件说明了关键基础设施所有者和……

运营商为不安全的软件和硬件付费的巨大负担和成本……”

炮火连天。好吧,正如我们之前讨论的那样,我认为CISA很长一段时间以来一直在……有点点名批评受害者,但我认为在过去至少一年里,他们真的专注于软件供应商。我们不会重述我们在关于创建可靠和安全软件需要什么方面讨论的所有内容,但这显然是他们关注的重点。他们说,这不是一个问题,或者不一定是关键基础设施公司的问题,也不是这些公司失败的问题,而是他们使用的软件的问题,如果他们有更安全的软件,这些问题就不会存在。我的意思是,这很难反驳,我的意思是,从表面上看,你很难反驳这一点。但我认为你也意识到要做到这一点需要什么?我认为这部分开始分解,你知道,创建真正强大的软件会牺牲一些灵活性,成本更高,创新速度更慢等等。所以,我不知道这个思路最终会走向何方,但你绝对可以看到CISA试图推动这场讨论的方向。

是的,是的,是的。这不仅仅是增加员工的问题。但在真空中,总是有更多需要考虑的事情。

在他们如何走到这一步的决策过程中,有更多的投入。所以很容易说,“哦,你因为这个而很愚蠢。”但做出这些决定的人通常有很多相互竞争的优先事项需要平衡,所以……是的。

是的。所以我不会通读所有……尽管我认为值得你花时间通读,特别是报告的后半部分,它从“倾听、学习”开始,然后进入一些具体的缓解步骤。

但我想要重点关注其中几个,其中一个是关于业务风险的经验教训,他们称之为发现编号七,“该组织使用已知的、不安全和过时的软件。红队在一个组织的web服务器上发现了过时的软件。在他们的行动之后,红队了解到不安全和过时的软件是一个已知的安全问题。”

很好。我觉得这很不错,我很高兴能找到一些好人进行良好的讨论。所以我希望你也喜欢它。

无论如何,这就是节目,我玩得很开心。我很开心。哦。

如果你想找到那个新节目,最后总结一下,我们的无耻宣传网站 gettingdefensive.com,因为我怎么能不注册那个域名呢?这太完美了。而且所有主要的播客平台,以及,呃,视频,这些都是视频。

如果你想要视频内容,它将在 YouTube 的 Defensive Podcast 频道上,这是我们刚刚开始的新频道。看,我们变得疯狂了。我们在这里变得疯狂。

我们的社交媒体。但就这些。

我就这些了。

好吧,你可以在 info sector exchange 找到我和我可爱的搭档 Jury。他们可以在哪里找到你?

我也在第二次变更的 erg L R G 上。我仍然在 alert 那里闲逛。嗯,是的,那些是亮点。

谢谢大家。我们很快再聊。

祝你有个愉快的一周。玩得开心。

再见。