Espiral Ahora, No Más Tarde: Repensar la Preparación para el Ransomware

00:05 Raghu Nandakumara

Bienvenido a The Segment: A Zero Trust Leadership Podcast. Soy su anfitrión, Raghu Nandakumara, jefe de soluciones industriales en Illumio, la empresa de Segmentación de Confianza Cero. Hoy me une Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft.

Sherrod fue seleccionada como Mujer del Año de Ciberseguridad en 2022 y Portavoz de Relaciones Públicas de Ciberseguridad del Año para 2021. Anteriormente, fue vicepresidenta de investigación y detección de amenazas en Proofpoint, donde dirigió un equipo global de investigadores de amenazas, ingenieros inversas de malware y analistas de inteligencia de amenazas. Su carrera en ciberseguridad abarca 19 años, con roles previos que incluyen liderar servicios de equipo rojo en Nexum, Ingeniera Senior de Soluciones para Symantec, consultora senior de seguridad para SecureWorks y analista senior de seguridad de redes para la Administración Nacional de Seguridad Nuclear.

En esta conversación, destaca la importancia de la resiliencia al ransomware y la cobertura de los conceptos básicos de seguridad, así como el impacto de la IA tanto en los atacantes como en los defensores. La conversación destaca la necesidad de inteligencia de amenazas procesable y el elemento humano de seguridad.

Pero antes de entrar en el episodio, una palabra de Illumio: [insertar anuncio spot]

Sherrod, en primer lugar, antes de entrar en la conversación, es muy emocionante poder hablar con usted hoy. Y es gracioso, fue solo una completa coincidencia. Estaba escuchando algunos de tus episodios recientes de podcast en una especie de preparación para esto, y así, apenas la semana pasada, decidí volver a escuchar el podcast Lazarus Heist que hizo la BBC, con el que estoy seguro que estás muy familiarizado. Entonces pensé que esos eran, fue como, eso es una coincidencia. Y como resultado de escuchar eso durante las últimas dos noches, me he puesto la entrevista y luego me quedé dormido con ella. Entonces dice más sobre o estoy cansado de la película o no estuvo tan buena, pero, de todos modos, es un verdadero placer poder hablar contigo. Así que gracias por acompañarnos.

02:14 Sherrod de Grippo

Gracias. Gracias por tenerme. Creo que ya sabes, como lo demuestra tu consumo mediático, Corea del Norte realmente se está metiendo en el juego. Se están subiendo a la pizarra de maneras que no habíamos visto antes. En el último par de meses, Corea del Norte ha anotado algunos puntos.

02:28 Raghu Nandakumara

Absolutamente, y me encantaría discutir eso en algún momento de nuestra conversación de hoy. Pero como algo así es, supongo, la norma con estos podcasts es, como que rebobinemos la cinta y nos llevemos de vuelta a donde todo comenzó para ti en tu carrera para que, en última instancia, a lo que haces en tu papel de hoy.

02:48 Sherrod de Grippo

Claro. Entonces, quiero decir, creo que empezó cuando tenía 14 años. De verdad, tenía 14 años. Esto fue a principios de los 90, y leí porque era, ya sabes, un adolescente muy cool temprano, leí la revista Thrasher, Thrasher Magazine, que era una revista de skateboard. Y un mes, en la parte trasera de Thrasher Magazine, había un pequeño anuncio, y decía, llama al Thrasher BBS (sistema de tablón de anuncios), y tenía un número de teléfono. Y yo, ya sabes, fui a mi papá, que era un gran computador hardcore, un pendejo de supercomputadora. Y yo dije: “Papá, quiero llamar a esto BBS. ¿Qué hago?” Y él dijo: “Bueno, ya sabes, tengo un módem, y te podemos configurar, y vamos a conseguir que puedas llamar a la BBS”. Y recuerdo muy vívidamente que estaba usando un módem bit BitFax, que era la aplicación, o la aplicación en Windows 3.1, y recuerdo muy vívidamente que él dijo: “Voy a apagar ANSI. No necesitas eso”. Entonces esencialmente, me quitó la visualización gráfica muy temprano, como, ya sabes, él es como, mi hija de 14 años no necesita ver estas imágenes. Y simplemente llamé al Thrasher BBS, y estaba encendido, día tras día. Y entonces, aproximadamente un mes después, mi papá gritó: “Sherrod”. Yo estaba como, “Oh, estoy en problemas”. Yo había cobrado una factura telefónica de 300 dólares. Para los jóvenes que escuchaban, solíamos tener que pagar las llamadas telefónicas de larga distancia, y Thrasher BBS no era local para mí, así que costaba dinero por minuto. Y a mi papá no le gustaba eso, así que eso me metió en el enloquecido, en realidad; primero me considero un freaker, lo que significaba que, ya sabes, tenía un teléfono de liniero. Habia cosas como boxeo beige, y conocí a mucha gente que estaba muy emocionada de mostrarme muchas cosas. Y terminé solo, ya sabes, cuando estaba en la universidad, trabajaba en el centro comercial, y no ganaba suficiente dinero, y vi un cartel en el campus que decía: “Ven a trabajar en AT&T”. Y entonces cuando estaba en la universidad, empecé a trabajar en AT&T Y a partir de ahí, como que seguí consiguiendo trabajos de tecnología, hasta que fui temprano a trabajar a un ISP. Mi carrera, probablemente del 2000 al 2001, y ese ISP fue hackeado. Uno de los clientes del ISP fue hackeado, y dijeron, queremos que arregles esto. Ya sabe, era un data center. Así que saqué todos sus usos, todos sus servidores, los apilé en una mesa en una sala de conferencias, lo rastreé en una pizarra, y estaba como, voy a trabajar. Voy a hacer este trabajo. Ya sabes, ni siquiera se llamaba respuesta a incidentes entonces. Y era una instalación de PHP BB que era vulnerable, que fue hackeada por, cito, equipo de hackeo. Pusieron un montón de MP3 reproduciendo en segundo plano o tal vez incluso simplemente agitar archivos. Como si fuera muy primitivo. Y ese fue el punto donde estaba como, quiero hacer seguridad. Quiero asegurar las cosas. Quiero aprender cómo funciona todo esto. Quiero hackear cosas. Quiero asegurar las cosas. Y poco después de eso, conseguí mi primer trabajo de seguridad real, trabajando para la Administración Nacional de Seguridad Nuclear, parte del Departamento de Energía. Y eso inició mi obsesión por la seguridad de la red. Estoy obsesionado con la seguridad de la red. Y yo simplemente, ya sabes, hice eso durante bastante tiempo. Y no demasiado, pero luego después de eso, fui y trabajé en vendedores. Por lo que he comprometido los últimos 18 años de mi carrera con los proveedores de seguridad, Symantec, SecureWorks, Nexum Proofpoint y ahora Microsoft. Me encanta el espacio de vendedores.

06:19 Raghu Nandakumara

Asombroso. Quiero decir, esa es toda una historia desde la revista Thrasher hasta el jefe de estrategia de inteligencia de amenazas en Microsoft. Esa es probablemente una trayectoria profesional, o incluso una trayectoria de vida, nunca hubieras sido capaz de mapear, si te hubieran preguntado en ese entonces a principios de los 90.

06:37 Sherrod de Grippo

BBSs e IRC me dieron forma. BBSs IRC y Live Journal. Esos son mis fundamentos de origen, seguro. Eso creo que una parte de ello fue porque cuando estaba creciendo, incluso desde muy joven, mi padre siempre decía: “Cualquier cosa que necesites aprender, hay un libro, y tú consigues el libro, y lo aprendes del libro, y puedes hacer cualquier cosa”. Y cuando me compró mi primer auto, me compró el manual del Chilton que iba con mi auto, y me dijo: “Tienes un auto, y ahora tienes el libro que va con el auto, y puedes arreglar el auto”. Y así como que me llevé eso conmigo. De cualquier cosa que necesites aprender, hay un canal IRC al que puedes entrar. Alguien te ayudará o te señalará algo. Y sigo creyendo eso de verdad. Cualquier cosa que necesites aprender, puedes encontrar el libro, puedes encontrar a la persona, puedes encontrar el recurso, y puedes aprenderlo, y puedes hacerlo.

07:30 Raghu Nandakumara

Supongo, reemplaza los canales IRC ahora con Reddit que tienes, sí, tienes tu fuente de información, derecho, o conocimiento. Entonces, entonces usted habló de ese incidente. Estás trabajando en el ISP; uno de tus clientes fue hackeado. Esencialmente sacaste toda su infraestructura de su rack, la pusiste sobre una mesa y dijiste, voy a resolver esto. Atraviesa ese proceso y una especie de platica con nosotros sobre como, qué hiciste mientras estabas haciendo esto, qué descubriste sobre una especie de naturaleza de los atacantes, el comportamiento, sus motivaciones.

08:06 Sherrod de Grippo

Si. Y creo que ese fue un momento realmente crucial para mí también. Así que trabajé en este ISP que era una capacidad de nube redundante muy temprana. Teníamos oficinas en la parte inferior, y el data center estaba en el segundo piso. Y entonces odiaba ir allá arriba porque hacía frío, ¿verdad? Si alguna vez ha estado en un centro de datos, es que, ya sabe, todos los que trabajan en un centro de datos tienen una capa en su escritorio que se ponen cuando van al centro de datos. Lo mismo conmigo. Y tampoco me gustaba ir allá arriba porque estoy un poco. No me gusta el racking, y no me gusta poner cosas en bastidores. Me parece engorroso y desagradable. Una vez que estén ahí, ya estoy listo para ir. Pero no me gusta poner servidores en racks. Entonces, ya sabes, subo, sé que voy a tener que tomar, este cliente tiene tres 1Us, que, ya sabes, en ese momento, era todo un despliegue, verdad. A principios de la década de 2000, tener tres 1U en un data center que era redundante. Es increíble. Entonces tuve que sacar todos esos. Yo tenía un carro. Cualquiera que haya trabajado en data centers ha hecho esto. Si alguna vez has trabajado en piso elevado, ya sabes de lo que hablo. Toma el carro. Toma un taladro; desenrosca fuera del bastidor. Sales de estos gigantescos y largos servidores que son muy, muy difíciles de manejar para sacar. Esperas no dejarlos caer, y los apilas en un carro, baja el carro en el elevador, los pones en tu escritorio o en una oficina. Si alguna vez ves a alguien con 1Us en su escritorio, está en problemas. Tienen malos problemas. Entonces, y ese fui yo. Tenía una sala de conferencias y dije: “Bien, voy a resolver esto”. Así que conecté todo de nuevo a los monitores y comencé a buscar registros, lo que creo que es una superpotencia en la que la mayoría de los respondedores de incidentes son realmente, muy buenos hoy en día. Entienden los registros que importan. Y empecé a ver que, ya sabes, este es un pequeño negocio, y en su momento era una gran, gran presencia web para un negocio tan pequeño. Y pensé, guau, este negocio está bastante avanzado. Tienen phpBB para que sus clientes hagan preguntas, y tienen todas estas páginas de manuales y todas estas cosas. Y empecé a mirar a través de él, e enseguida vi que esta versión de phpBB era vieja. Y yo estaba como, “Oh, esto es muy viejo”. Y había un par de archivos que podrías reemplazar en phpBB que le permitirían seguir funcionando pero te darían la pantalla de bienvenida. Y eso es lo que esto, ya sabes, ni siquiera quiero llamarlos actor de amenazas. Eran, como, probablemente un grupo de adolescentes, creo. Sabes, no puedo hacer una atribución completa sobre ello, pero creo que eran iraníes. Había puesto, ya sabes, “Has sido hackeado por el equipo de hackeo”. Música sonando de fondo, GIFs flotando por todo el lugar, y tenían algo que es muy querido para mi corazón hasta el día de hoy, que es un gritos y saludos al final. En la parte inferior, hay gritos y saludos y un montón de como hackeos de hackers. Lo cual, en ese momento, era muy común cuando desinfagarías cualquier tipo de sitio web que pondrías como, gracias a los otros hackers que te llevaban en tu camino. Soy un gran creyente en los gritos y saludos. Considero que es una filosofía de vida fundamental — agradece a las personas que te ayudaron a llegar allí. No necesariamente al hackear, no hagas eso. Pero sí, entonces aprendí realmente que las motivaciones de los grupos adversarios o de las personas adversarias no son algo que necesariamente alguna vez puedas entender realmente. Yo como que digo, ya sabes, mucha gente dirá: “¿Por qué el actor de amenazas hizo esto? ¿Cuál es su objetivo? ¿Cuál es su motivación?” Y de verdad, mi respuesta a eso muchas veces es que nunca sabemos la verdad del corazón de un actor de amenazas, ¿verdad? Y creo que se puede especular, se puede adivinar, pero en última instancia, no lo sabemos. ¿Esta persona está haciendo esto porque está tratando de mantener a su familia? ¿Es porque están con BEC (compromiso de correo electrónico empresarial) y la carnicería de cerdos? ¿Es porque están en una situación de trata de personas y tienen miedo por su vida? ¿Es porque realmente son una mala persona y quieren lastimar a otros? ¿Quieren solo dinero, y son salvajes y locos? Nunca se puede saber realmente eso. Y creo que en esta instancia, creo, ya sabes, fue solo un poco de diversión en un directorio abierto y abierto de phpBB que encontraron y se fueron a por ello.

12:28 Raghu Nandakumara

Creo que esa historia a tantos niveles con los que puedo asociarme. Hablemos simplemente de, una especie de trabajo en un data center y un piso elevado. Yo absolutamente, eso me lleva de vuelta a los primeros días de mi carrera, y hablas de sacar cosas de los bastidores, etc. Ese tipo de solo esperar no caer nada en tus pies más que nada, ¿verdad? Era un miedo real o una preocupación real.

12:52 Sherrod de Grippo

O tienen que usar las ventosas gigantes para jalar las tejas.

12:55 Raghu Nandakumara

Oh, sí, ya lo he hecho. Simplemente me senté alrededor de un centro de datos, mis pies colgando en el vacío de abajo, mientras configuraba, configuraba las cosas en los racks. Y el ejemplo que dio es una especie de estos niños potencialmente guiones que esencialmente explotan una vulnerabilidad, ¿verdad? Y en este caso, en php. Y solo yendo a uno de los otros podcasts, creo que fuiste invitado en hace poco, y lo que dijiste fue que el 98% de las intrusiones pueden ser abordadas por prácticas básicas de seguridad, ¿verdad? Y yo diría que el parcheo es una de esas prácticas de seguridad esenciales. Y mi perspectiva aquí es que cuando en cierto modo, cuando me siento, y veo por qué los ataques son exitosos, siento una y otra vez, los atacantes en última instancia explotan la negligencia en una o más de estas prácticas de seguridad para propagarse. Entonces, en tu opinión, ¿sientes que le damos suficiente importancia a estos, a lo básico, o somos, como disciplina, estamos demasiado atrapados en lo que es el nuevo juguete brillante? ¿Cuál es la nueva capacidad brillante? Y hemos perdido de vista lo básico, o tal vez los básicos son demasiado aburridos.

14:10 Sherrod de Grippo

Me encantan los básicos. Soy un creyente en lo básico porque como que me crié en la Escuela de Seguridad Bruce Schneier, Ed Skoudis. Creo en lo básico porque la seguridad es en gran medida algo que atrae a las personas con ansiedad.

Y si puedes bajar lo básico, por lo general te sientes un poco mejor. Y creo que, honestamente, a lo que se reduce es que no suficientes organizaciones tengan suficiente ansiedad. Creo que no hay suficiente preocupación, y no hay suficiente ansiedad clínica productiva, profesionalmente en la industria. Yo sí creo que nos distraemos con juguetes brillantes y vemos lo básico como aburrido. Pero hay, creo, una exhaustividad, satisfacción en sentir que sé que tenemos un inventario completo, ya sabes, de activos. Por ejemplo, encuentra a esas personas y consíguelas en tu equipo que tengan esa necesidad de completar esas cosas, y sentir muy fuertemente que las tienen. Creo que también, ya sabes, no pensamos lo suficiente en ese 2% de cosas que no necesariamente se pueden hacer con lo básico y cómo vamos a manejarlas. Para mí, creo que una de las cosas que realmente nos falta en seguridad, particularmente con la actual epidemia de ransomware, ni siquiera es lo más importante, sino como la toma de decisiones previas. Si venimos bajo rescate, ¿vamos a pagar? Y mucha gente comienza a dar vueltas en espiral, y es como, espera, ¿quieres estar en espiral ahora? ¿O quieres estar en espiral cuando en realidad estamos bajo rescate? Vamos a la espiral ahora. Hagamos esa preocupación ahora para que si algo sucede en el futuro, estemos listos para eso. Creo que no hacemos lo suficiente de eso. A mí me gustaría ver muchas más, ya sabes, decisiones tomadas con anticipación y anotadas en papel, para que ejecutivos y líderes técnicos y expertos en la materia de seguridad ya estén literalmente en la misma página para cuando pase algo, que es algo que en muchos incidentes no he sentido que estuviera sucediendo.

16:21 Raghu Nandakumara

Entonces, un par de cosas a las que voy a volver, el punto de falta de ansiedad que hiciste en un segundo. Pero hablemos de la cuestión del ransomware, ¿verdad? Y para parafrasear a Shakespeare, ransomware: pagar o no pagar, esa es la cuestión.

A mi me encanta. A mi me encanta.

Sí, eso lo vamos a usar en los recortes sociales. Quiero decir, de vez en cuando, nos piden que comentemos, digamos, alguna nueva parte de, como, elegir un gobierno en todo el mundo diciendo: “Oye, queremos que los pagos de ransomware sean ilegales, ¿verdad? ¿Y cuáles son tus pensamientos?” Y algo así como el comentario es, bueno, bien, es eso va a ser, eso va a ser genial, ¿verdad? Por lo que es el ransomware, lo que potencialmente alimenta el ransomware, etc. Pero si lo piensas desde una perspectiva práctica, eso puede no ser posible para todas las organizaciones, porque es una opción entre pagar y potencialmente estar de vuelta en el negocio, operativo más temprano que tarde, o simplemente decir: “Bueno, en realidad, no puedo, no puedo permitirme pagar, pero igualmente, no tengo las habilidades para recuperarme adecuadamente”. Entonces, ¿dónde te sientas en eso? Porque no creo que sea una decisión fácil, binaria.

17:38 Sherrod de Grippo

No, definitivamente no es una decisión fácil. Creo que es por eso que soy un gran creyente en la planificación de resiliencia al ransomware. Y Microsoft lanzó una guía fantástica sobre la resiliencia al ransomware que las organizaciones pueden considerar para desarrollar su resiliencia así como evaluar su resiliencia al ransomware. Mi pregunta cuando la gente dice: “Hacer que los pagos de ransomware sean ilegales”. Mi pregunta inmediata a eso es, ¿y cuál es el castigo por violar? Entonces la organización ha sido rescatada, ellos pagan para salir del rescate, y ahora vamos a castigarlos, supongo, con una multa. Y en ese punto, nuevamente se convierte en un cálculo de riesgo con solo otro nexo que el que tenías antes. El cálculo del riesgo ahora es en contra de pagar a los actores de amenazas y recuperar tus datos, y en contra de tener que pagar una multa al gobierno por eso. No sé si eso necesariamente va a ser un disuasivo súper exitoso y feliz. Creo que, como tecnólogos, tenemos que hacer mucho más trabajo. No creo que venga nadie a salvarnos en muchos de estos. Creo que tenemos que hacer que la tecnología y las organizaciones y las personas sean resilientes al ransomware. No podemos decir simplemente como, bueno, habrá leyes y estatutos y algún tipo de superhéroe ransomware va a descender y arreglarlo todo. Es un problema muy complejo, como dijiste, y no sé si necesariamente tengo las respuestas, aparte de trabajar en volverme más resiliente y preparado para que esas cosas sucedan. Ya sabes, concéntrate mucho en el crimen y en mi trabajo y operan bajo reglas diferentes a las que creo que la mayoría de la gente realmente entiende.

19:17 Raghu Nandakumara

Entonces, ha mencionado la palabra resiliencia, solo varias veces en esa respuesta, y es resiliencia, operación, resiliencia, resiliencia cibernética, y es tan de actualidad en estos días. Creo que ahora es como que las conferencias cibernéticas han pasado de estar enfocadas como Zero Trust a la IA, y ahora todo se trata de resiliencia. Pero quiero vincular eso a algo más que dijiste sobre la falta de ansiedad. ¿Cómo se impulsa una cultura de mejor resiliencia al ransomware si el nivel de ansiedad no está donde debería estar para impulsar la mejora en lo básico? Porque siento que esos dos están interconectados.

20:03 Sherrod de Grippo

Yo también lo creo. Y tengo una opinión caliente muy polémica de esa.

20:07 Raghu Nandakumara

Yo querría oírlo. Para eso estamos aquí.

20:10 Sherrod de Grippo

Sabes, realmente pienso, ya sabes, siempre hay estos debates, ya sabes, en las redes sociales y en la industria sobre la pasión. Eso no me interesa. A mí me interesa, ¿tiene un llamado para esto? ¿Y hacer trabajos de seguridad resulta en que tu alma sienta una descompresión, una relajación? ¿Asegurar algo es un consuelo espiritual para ti? Si es así, esas son las personas que queremos en la industria. Porque esas personas persiguen implacablemente la eficacia, y esas son las personas con las que tenemos que contar y de las que dependemos, porque este no es un trabajo de 9 a 5. Por mucho que queramos hablar de equilibrio trabajo-vida y como, no te agotes, claro. Pero ese no es el mundo en el que vivimos. El ransomware ocurre las 24 horas del día. No tenemos suficiente gente para trabajar las 24 horas, todas estas cosas. Entonces creo que tenemos que conseguir a las personas adecuadas en los lugares correctos, y ahí es donde podemos acentuar parte de esa preocupación. Vengo de la era del proveedor de seguridad FUD, miedo, incertidumbre, y duda. Eso fue por una década, ese fue el plan de marketing. No creo que haya funcionado. Si funcionara, estaríamos en un lugar más seguro de lo que estamos. Pero sí creo que hay un elemento de evaluación de riesgos y comprensión del riesgo que nosotros como profesionales de seguridad necesitamos encarnar e interiorizar y luego evangelizar externamente a nuestros colegas que no son de seguridad. Y creo que podemos hacerlo hablando ese idioma. Soy practicante, algo llamado programación neurolingüística, que habla de cómo platicar con la gente. Apelas a la sensación de que están más conectados con ellos. ¿Está oyendo? ¿Está viendo? ¿Está viendo? ¿Se siente? ¿Está experimentando? Tienes que hablar con la gente en su idioma y a su nivel y ayudarles a entender cuáles son esos riesgos. Volviendo a la resiliencia. Ser resiliente. Nos hemos movido a ese idioma porque estamos viendo lo inevitable ahora. Hemos pasado de detener la brecha, detener el ataque, antes de que pase que esté bien cuando lo haga. Y creo que ese es un cuadro mucho más realista. No creo que sea pesimista. Creo que es realista. Y deberías sentirte mejor cuanto más resistente te vuelvas, porque estas cosas son, creo que a estas alturas son inevitables.

22:44 Raghu Nandakumara

Entonces quiero volver a la asumen brecha, especie de mentalidad, y el cuando no si. Porque creo que se empata, no muy bien, con una especie de enfoque de confianza cero para construir sus controles de seguridad. Pero antes de ir allá, volviendo de nuevo, otro término que mencionaste es, es eficacia, ¿verdad? Y estoy absolutamente de acuerdo. Creo que lo he hecho, solo llevo poco menos de cinco años en el lado de los vendedores, y antes de eso. Gracias. Gracias. Es genial. Es genial estar aquí. Debí haber venido antes, lo disfruto. Ven de este lado antes. Pero absolutamente correcto. Estoy completamente de acuerdo, y más o menos eso existía el marketing centrado en FUD, pero mi perspectiva cuando entré en el lado de los proveedores era que se podía hacer mucho tomando un enfoque de marketing mucho más basado en el valor y basado en la eficacia. Pero es pero es difícil, porque estamos acostumbrados a decir: “Somos mejores, somos más rápidos, somos más fuertes, estamos más seguros”. Pero es realmente difícil para nosotros poner un donde te hacemos a ti. Escojamos un número, 50% más seguro. Ese es un número bastante bueno, ¿verdad? Sé que nos gustaría decir 95%, pero yo diría que incluso un 50% más seguro es un buen número. Pero, ¿por qué es tan difícil para en el espacio de seguridad ser cuantitativo sobre lo efectivo que es un control, una práctica, un proceso? Para obtener más validación y justificación para poder hacer más de ello.

24:14 Sherrod de Grippo

Sí, creo que eso es parte de lo que me tomo personalmente como persona. Quiero ser una persona efectiva. Quiero que mi tecnología sea efectiva para mí, y quiero ser una persona efectiva. Y creo que eso es muy difícil de medir, y me encantan las cosas que son muy difíciles de poner métricas. Entonces esa parte de la razón por la que me atrae la seguridad es que está llena de subjetividad. Está lleno de zonas grises. Está lleno de medianos flexibles con los que tenemos que lidiar y averiguar, y eso es, creo que mucha gente siente lo mismo, como, por eso están en seguridad. Medir la eficacia es increíblemente difícil. Entonces vengo de, ya sabes, la seguridad de la red y la seguridad del correo electrónico desde hace muchos años, y FNFP es nuestro pan y mantequilla, ¿verdad? Falso negativo, falso positivo. Sí, esas son las cosas que dictan nuestras elecciones y cómo tomamos decisiones, y está muy impulsado por los datos, a pesar de que no creo en un enfoque totalmente basado en datos cada vez en seguridad. En el mundo de la FNFP, estás viendo esos números hora a hora. Y sí creo que necesitamos ser muy objetivos donde podamos, y eso es duro, como, hay un libro llamado Cómo medir cualquier cosa, que permite métricas, y ahí está ese dicho de ya sabes, no puedes administrar lo que no puedes medir. Creo que esas cosas son realmente ciertas. Pero también creo que junto a la medición objetiva en seguridad, tenemos que ayudar a nuestros líderes a entender el aspecto subjetivo de la misma, y la toma de decisiones y el aspecto humano de gran parte de ella. La ingeniería social es algo que es muy difícil de medir. Por ejemplo, esta brecha ocurrió ¿qué porcentaje de ella fue causado por la ingeniería social? Eso es muy, muy difícil de precisar. Pero si podemos tener esa numeración objetiva, esos datos objetivos lado a lado con información subjetiva de toma de decisiones, creo que nos damos como profesionales de seguridad, pero también nuestros líderes que no necesariamente están hasta las rodillas en este espacio todo el tiempo, una mejor manera de avanzar para entender lo importante que es y generar algo de esa ansiedad que esperamos obtener de las personas que están tomando las decisiones,

26:26 Raghu Nandakumara

si, me gusta como se expresa eso, sobre poder acercar realmente lo subjetivo y lo objetivo mucho más juntos, y realmente encontrar esa intersección Donde los datos de uno pueden informar la percepción del otro, derecho, y viceversa, para proporcionar esa imagen mayor. Así que vamos a seguir adelante. Y hablemos, y la otra cosa de la que habláis antes son los registros. Como arrastrear a través de troncos. Genial. Es increíble lo que puedes encontrar ahí dentro, ¿verdad? Y yo tal como dijiste que estaba pensando, creo que así es como ha evolucionado la función del SOC, ¿verdad? La búsqueda de amenazas evolucionó es que es solo una especie de avance en el análisis esencialmente de registros, y ese es un tipo de progreso, e incluso lo que vemos hoy en día dentro de las comas invertidas, una especie de herramientas impulsadas por IA, está mejorando en el análisis de registros. Entonces como lo has hecho, y sé que llevas muchos años mirando logs de diversos actores de amenazas, ¿qué has notado mientras has estado haciendo esto, qué has notado por el estilo, cuáles son los indicadores claros de esa evolución que has visto?

27:45 Sherrod de Grippo

Sí, creo que eso es de verdad, está muy claro. Así que lo más temprano, tal vez no el más temprano, pero una de mis primeras pasiones por los registros fue que tenía un servidor web, y seguiría los weblogs para ver el acceso. Entonces era una situación de sitio web de muy bajo tráfico. Pero cuando tenía eso abierto y funcionando, podía ver como la gente entra en el sitio web, que, si nunca lo has hecho antes, viendo registros en tiempo real. Te da una percepción diferente de nuestro mundo digital, en mi opinión. Está mostrando actividad humana, yendo directamente al sitio web que se muestra como datos de máquina, que es la entrada de registro. Entonces creo que hay algo realmente especial en eso. Convierte un registro de una especie de este registro estático en como una cosa viva, que respira, evoluciona frente a tus ojos. Los actores de amenazas de hoy van tan rápido que saben que los registros son su enemigo, por lo que miran el tiempo que pueden ahorrar, especialmente como los actores de amenazas en el espacio del crimen, por lo general. Así que, si piensas en un actor de amenazas de Octo Tempest, un gran actor de ransomware, se mueven tan rápido. Es ese tiempo de permanencia desde la entrada y el acceso al rescate lo que cada vez es más pequeño, lo que reduce, francamente, la cantidad de registros que se crean. Y estos actores de amenaza, creo, son deliberados en eso. Quieren reducir la cantidad de entradas de registro, que es, creo, potencialmente en parte responsable del reciente, ya sabes, durante el último año o dos, la explosión de popularidad de vivir de la tierra. Puede ocultarse en esos registros cuando se encuentre en conjuntos de herramientas existentes que ya residen en ese host. Entonces creo que los registros siempre serán súper importantes, porque los registros, en muchos sentidos, representan simbólicamente el tiempo. Y cuantos menos registros pueda tener, y cuanto más rápido pueda ir, más éxito tendrá como actor de amenazas. Volviendo a la eficacia, nosotros como defensores tenemos un enfoque de eficacia. Los actores de amenazas tienen un enfoque de eficacia, y estamos compitiendo autos tragamonedas uno al lado del otro, tratando de ser más efectivos que ellos, y esperando que tengamos, ya sabes, una ventaja de cinco segundos para poder ser más efectivos.

30:27 Raghu Nandakumara

Hoy es básicamente una carrera de F1. Es impulso para sobrevivir, ¿verdad?

30:36 Sherrod de Grippo

Conduce para sobrevivir. Sí, eso es lo que es la seguridad. Estamos impulsando a sobrevivir aquí en InfoSec.

30:42 Raghu Nandakumara

Eso me gusta. Podría apreciar absolutamente la alegría de ver los registros del servidor web, y luego, cuando los combina con registros de proxy y registros de firewall y registros de balanceador de carga y registros de identidad, puede crear una imagen. Eso, como en mis primeros días en el tipo del lado practicante, eso fue tan emocionante poder hacer eso fuera de la universidad y juntarlo todo. Yo estaba como, ¡oh Dios mío! Como, podría ver lo que está pasando aquí, pero solo por estos datos. Entonces gastaste, hablaste sobre vivir de la tierra, y sobre cómo los actores de amenazas realmente quieren generar la menor cantidad de señales posible, o cuantas menos señales mejor, ¿verdad? Porque más señales significan más posibilidades de detección, etc. Y entonces, como que, atándolo de nuevo a lo que dijiste, es que realmente, ese ataque, ese compromiso es inevitable, así que necesitamos diseñar para eso. Desde tu perspectiva, ¿verdad? Porque a menudo pienso que adoptar un enfoque de confianza cero es realmente reducir lo que está disponible en la tierra para vivir. Una forma de pensarlo, con una especie de interés en Zero Trust y proyectos reales de Zero Trust que existen. Creo que sé que Microsoft tiene una especie de justa; es como un juego significativo en el ecosistema Zero Trust. Por ejemplo, ¿cuál es su perspectiva al respecto como experto en inteligencia de amenazas sobre cómo Zero Trust está mejorando la seguridad, mejorando de manera mensurable la seguridad?

32:07 Sherrod de Grippo

Creo que lo mejor que ha hecho el concepto Zero Trust en los últimos años es resonar tan fuertemente con los líderes ejecutivos. Creo que la mayoría de los practicantes, Zero Trust para ellos son muchas cosas que han estado haciendo todos los días. Hay muchas cosas básicas. Hay muchas combinaciones de mejores prácticas. O cuando empecé por primera vez, como después del endurecimiento, ya sabes, cosas, cosas así, con las que los practicantes están realmente familiarizados. Pero Zero Trust nos ha permitido comunicarnos en el mismo lenguaje con ejecutivos, tomadores de decisiones e incluso personas que no están necesariamente en roles técnicos, les ha permitido entender como, “Oh, eso es malo” o “Oh, esta es una manera de asegurarnos de que no terminemos con la gente equivocada en los lugares equivocados”. Este es un concepto abarcador para las mejores prácticas en torno a la administración de identidades y accesos. Al igual que esas son cosas que pienso en seguridad, hemos luchado. Hemos querido usar la jerga; hemos querido tener nuestra propia nomenclatura. Hemos querido tener nuestro propio lenguaje súper secreto separado. Y Zero Trust realmente nos ha permitido llegar a un punto de comuna con líderes y tomadores de decisiones y personas ajenas a eso y ponerlos en la misma página que nosotros. Lo cual creo que es una de las mejores cosas que podríamos haber hecho.

33:30 Raghu Nandakumara

Sí, creo que eso es tan importante en este momento, particularmente ahora, que la importancia de lo cibernético tiene que ser comunicada no solo a la función de seguridad en la organización, sino a través de las funciones y hasta los niveles más altos. Tener un enfoque que te permita comunicar eso de manera efectiva es una bendición. Es una bendición masiva alinear todo lo demás. Y ¿estás viendo este tipo de día a día en clientes con los que hablas, compañeros, etc.?

34:06 Sherrod de Grippo

Sí, creo que muchos clientes con los que hablo están absolutamente en un viaje de confianza cero. Y lo dicen de esa manera, ya sabes. Dicen, ya sabes, hace un año decidimos, o hace dos años, decidimos que para, ya sabes, 2026 íbamos a sentir que implementamos completamente Zero Trust en todos los rincones de la organización. Y creo que ha aportado mucho peso y gravedad al foco de seguridad. Creo que permite, permite un razonamiento para que la gente haga cosas y diga: “Bueno, esto es parte de Zero Trust, entonces tenemos que lograrlo”. Y antes no siempre teníamos ese mango. No siempre tuvimos eso, como enfoque unificador que creo que tenemos hoy, que ha funcionado. Y francamente, también creo que la epidemia de ransomware ha traído a muchos de ustedes, ya saben, es agridulce, pero ha traído mucho enfoque y atención a organizaciones que tal vez no hayan estado pensando realmente en Zero Trust, o que no hayan estado pensando en asegurar su organización. Ellos ven ransomware, y, de nuevo, inspira esa ansiedad, sí, y provoca movimiento, que creo que es lo que queremos.

35:20 Raghu Nandakumara

Es decir, en realidad iba a mencionar que se suma a la ansiedad. Pero tú, me ganaste. Así que de nuevo, bien, volviendo a una especie de trabajo diario de monitorear esencialmente a los actores de amenazas, cierto, comprender sus comportamientos a lo largo del tiempo, ya que ha visto a las organizaciones mejorar sus capacidades de seguridad y potencialmente emprender ese tipo de viaje de confianza cero. ¿Ha notado un cambio real en el tipo de lo que iba a decir, las técnicas y procedimientos adoptados por los actores de amenazas? Porque yo diría eso y por favor corrígeme si me equivoco, que las tácticas, en última instancia tácticas, más o menos son esas tácticas de alto nivel y esas, esas son consistentes, ¿verdad? El atacante tiene que pasar por ellos, pero la forma en que los ejecutan va a cambiar con el tiempo. ¿Has visto un cambio real en esas técnicas y procedimientos?

36:11 Sherrod de Grippo

Creo que siempre veremos a los actores de amenazas cambiar y evolucionar. Ya sabes, están buscando eficacia otra vez, como nosotros. Entonces, cualesquiera que sean las herramientas que puedan meter en su arsenal para llegar al objetivo al que quieren llegar, lo harán. Siempre hay, curiosamente, ya que he estado observando de cerca el panorama de amenazas, siempre hay como estas de moda, ya sabes, oh, todo el mundo está haciendo esto en este momento, como MFA, bypass, atacante en el medio, el phishing es enormemente popular en este momento. Creo que parte de la razón de la popularidad del mismo es que operamos especialmente cuando se trata del panorama delictivo, actores de amenazas motivados financieramente, ellos operan como un ecosistema. Así que no es un grupo de ransomware que sea como, “Oh, tengo que hacer un atacante en el kit de phishing del medio ahora. Tengo que poner estas páginas. Tengo que comprar... “No, simplemente se van. Encuentran un proveedor. Ellos les pagan. Ellos obtienen esa herramienta del proveedor. Lo aprovechan en combinación con herramientas de otros proveedores, infraestructura, código, cualquiera de estos servicios que puedan haber comprado, y juntan todas esas piezas, y eso los lleva al objetivo final del ransomware. Entonces, a medida que ese ecosistema evoluciona, y a medida que nuevos jugadores entran en el ecosistema, y estamos hablando del crimen organizado, a medida que entran los nuevos jugadores, surgen nuevas tendencias. Y creo que es mi evaluación que la razón por la que surgieron esas tendencias es porque los actores de amenazas, algunos son mejores en marketing que otros. Algunos dentro del ecosistema hacen cosas como, literalmente, ventas. Harán una venta en, tenemos un actor de amenazas, Storm 1101, que ejecuta esta cosa llamada Naked pages, que es un atacante en el kit phish de MFA medio. Ellos te dirán, si ya eres cliente, puedes obtener un descuento. Harán servicio al cliente en vivo para usted. Tendrán especiales, tuvieron un especial de Año Nuevo a principios de este año. Darán las gracias a sus clientes por ser clientes leales. Tal como te imaginas que haría un pequeño negocio local. Entonces creo que algunas de las tendencias nacen, francamente, de la destreza de marketing de algunos dentro del ecosistema. Si eres mejor en la comercialización y venta de tu herramienta, es muy probable que esa herramienta se vuelva más popular. Entonces ataca a los kits de phishing del medio, vivir de la tierra, cosas que no necesariamente están atadas al ecosistema, pero están atadas a foros, y gente hablando de lo que funciona, y personas que tienen estas tácticas diferentes que comparten. Cosas así. Y entonces siempre vemos evento actual, ingeniería social. Te garantizo, sea cual sea el gran evento que esté sucediendo en el mundo en ese momento, ya sea una elección, un desastre natural, una temporada de vacaciones, los actores de la amenaza saben que va a resonar psicológicamente, y lo utilizan para ingeniería social.

39:08 Raghu Nandakumara

Y entonces vemos una técnica o un procedimiento asociado a eso que de alguna manera aparece en nuestra lista, ¿verdad?

39:14 Sherrod de Grippo

Así que necesitamos una lista de tendencias de los 10 TTP principales, como cada trimestre.

39:19 Raghu Nandakumara

¡Sí, creo que sí! A lo mejor es algo que te ajuste para que lo presentes en tu podcast muy exitoso. A lo mejor eso es una idea. Pero quiero traerlo de vuelta a una cosa es que nosotros como defensores hemos tenido éxito en obligar a los atacantes a retirar técnicas y procedimientos y los hemos hecho prácticamente garantizados para fallar, y los hemos obligado a hacer algo diferente.

39:49 Sherrod de Grippo

Sí, 100%. Todos los oyentes están como, voy a pelear con ella. Entonces, ¿cuándo fue la última vez que lidiaste con un rootkit? ¿Cuándo fue la última vez que tuvo un intento individual de ransomware contra un consumidor? ¿Cuándo fue la última vez que trató con un kit de explotación para una bóveda de navegador? Es decir, siguen sucediendo, pero tenemos superficie de ataque reducida. ¿Cuándo fue la última vez que los documentos maliciosos con macros tuvieron éxito? Microsoft apagó eso hace dos años, tres años atrás. La superficie de ataque se está reduciendo. Pero el hecho de que reduzcamos continuamente la superficie de ataque no significa que los actores de amenazas no sigan siendo creativos. Y eso es de nuevo, parte del impulso para sobrevivir a la situación de F1 en la que estamos. Va a ser una escalada y evolución para siempre. Esa es una de las razones por las que me encanta la seguridad es porque es subjetiva. Y voy a decir algo otra vez, sé que soy una toma caliente. Soy una buena toma, chica. La seguridad es un sentimiento. ¿Te sientes seguro? ¿Está seguro? Es imposible. Es imposible decir: “Sí, estamos seguros”. Si su CISO viene a usted y le dice: “¿Esta organización es segura?” ¡Vamos!

41:12 Raghu Nandakumara

Oh 100%.

41:15 Sherrod de Grippo

Si. Entonces es como, ya sabes, estamos en el negocio de los sentimientos, por mucho que mucha gente no quiera admitir que la seguridad es el negocio de los sentimientos. Y utilizamos todas las herramientas técnicas que tenemos a nuestra disposición para hacer que ese sentimiento sea verdadero para que ese sentimiento sea efectivo. Pero en última instancia, ¿estamos seguros? Es subjetivo. Es una suposición.

41:43 Raghu Nandakumara

Eso me gusta mucho. Seguridad: Estamos en el negocio de los sentimientos. A mí me gusta, ese es un buen consejo. Deberíamos usar eso para comercializar ayuda a llenar algunas de estas habilidades de ciberseguridad, escasez de habilidades. Solo tengo que volver y decir, ¿cuándo fue la última vez que escuchaste a alguien usar un rootkit o explotar una vulnerabilidad del navegador? Y solo voy a responder esto porque escuché, creo que fue el último pero uno podcast inteligente de tecnología de Microsoft, estabas hablando de algunos actores de amenazas norcoreanos que habían traído algunos de esos de vuelta.

42:17 Sherrod de Grippo

¡Sí! Estábamos todos como, ¿qué? Están encadenando bóvedas de navegador, tienen cero días, y están explotando el navegador de cadena como, ¿qué? Y creo que fue, fue tan genial porque estábamos como, “Oh, no hemos visto esto. No hemos visto esto en mucho tiempo, amigos, esto es vintage”. Y creo que es cierto. Ya no vemos tanto esas cosas. Y cuando lo hacemos, es, es un gran pop en el paisaje. Como, guay, esto es noticia.

42:44 Raghu Nandakumara

Bien, así que cambiemos la tarea un poco antes de envolver, ¿verdad? Por supuesto, mis productores han dicho: “Oye, si no hablas de IA, inteligencia artificial, no vamos a poder, los algos sociales simplemente, como, simplemente degradarán esto. Así que solo lo digo unas cuantas veces, pero quiero preguntarte algo en el contexto de, y sé que tienes una versión realmente interesante de lo artificial, la A en IA es para acelerar versus artificial. Pero ahí estaba el Foro Económico Mundial, creo que voy a decir, dentro de los últimos 12 meses, había hecho una especie de encuesta a líderes de seguridad, y la pregunta era a quién crees que la IA en el ciberespacio se está beneficiando, ¿verdad? Y creo que los datos eran algo así en algún lugar alrededor del 55 al 60% dijo que está beneficiando más a los atacantes que a los defensores. En algún lugar alrededor de una especie de 25 a 30% dijo que está beneficiando a los defensores y lo que sea. El resto dijo que es igual, correcto. Desde donde estás, ¿cómo ves el uso de la IA en el ciberespacio en la actualidad? ¿Verdad? ¿A quién ve beneficiando? ¿Qué es lo que ve habilitando? ¿Y se siente preocupado por ello, ya sea del lado defensor o atacante?

43:59 Sherrod de Grippo

Soy un creyente de la IA. Yo lo uso todos los días. Yo soy, ya sabes, caí como una suscripción de streaming para poder cambiarlo por ChatGPT pagado. Me encanta la IA y las oportunidades que se nos presentan con ella. Pero es una herramienta, y por lo tanto casi puede ser análogo, de alguna manera, a algunos de esos que viven de la tierra materia de la que hemos hablado. Esta es una herramienta disponible para todos. Puedes usarlo para el bien. Puedes usarlo para el mal. Puedes saltarlo, no usarlo para nada, que creo que algunos actores de amenazas también están todavía en esa etapa. Hemos visto actores de amenazas en Microsoft aprovechándolo. Saquamos un informe de inteligencia sobre el uso de IA por parte de Corea del Norte, Rusia, China e Irán. Creo que es algo que va a seguir desarrollándose. No estamos viendo un gran apalancamiento por parte de los actores de amenazas hoy en día para hacer cosas novedosas. Y creo que eso es reconfortante de alguna manera, porque significa que los cimientos de seguridad son sólidos, ¿verdad? Lo básico sigue funcionando. Y de nuevo, volviendo a la aceleración, ahí es donde me pongo nervioso. Estamos tomando algo que pueda hacer que los actores de amenazas sean más rápidos, permitirles escalar, permitirles hacer cosas dentro de un alcance que no habíamos visto anteriormente. Es una herramienta habilitadora. Un ejemplo que siempre uso con eso es que hemos visto violaciones de datos durante años. Hemos visto violaciones de datos disponibles para descargar desde hace años. Puede poner esos datos de violación en un LLM y comenzar a hacerle preguntas al LLM sobre esos datos de violación, que es algo que no puede hacer con un Regex. No me importa qué tipo de mago Regex seas, y los he conocido a todos. Vivo mi vida entre magos Regex. No se puede pedir sentimiento a un Regex. No puede pedirle a un Regex que encuentre cada instancia de una empleada femenina y un empleado masculino teniendo conversaciones inapropiadas. No puedes pedirle a un Regex que te diga que encuentres todo el tráfico de información privilegiada que ocurre en estas comunicaciones. Es llevar las cosas al nivel donde los actores de amenazas se están volviendo casi como sobrehumanos si están pensando en hacer cosas como esta. Por lo tanto, acelera esa capacidad. Los hace más rápidos. Les da la capacidad de redipar a una organización, bajar esos archivos, mirar esos archivos, encontrar información incriminatoria y extorsionable en cuestión de minutos, y luego regresar y decir: “En realidad, dijimos un millón. Ahora estamos a las dos”.

46:37 Raghu Nandakumara

Creo que es acercar es habilitarlo o acelerarlo, juntando la subjetividad de eso y el objetivo. Si la regex es algo así, ese enfoque objetivo. El subjetivo es lo que describiste, ¿verdad? Las cosas que no puede hacer, pero la IA puede hacer.

46:58 Sherrod de Grippo

Y puede hacerlo al instante. Ni siquiera hay tiempo de espera. No hay tiempo de procesamiento. Sucede en segundos. Y ya sabes, los actores de amenazas tradicionalmente harán lo que sea necesario para conseguir lo que quieren. Y no van a ir típicamente más allá de eso. Pero una vez que se dan cuenta de eso, y se dan cuenta de que pueden hacerlo más rápido y de manera más efectiva, eso va a abrir las cosas, creo.

47:29 Raghu Nandakumara

Entonces, al concluir, soy consciente de que tienes otro lugar para estar pronto. Danos una toma caliente más. Así que en el futuro de la inteligencia de amenazas.

47:43 Sherrod de Grippo

¿El futuro de la inteligencia de amenazas? Creo que el futuro de la inteligencia de amenazas sigue siendo cada vez más procesable y sigue teniendo una correlación directa con la eficacia de una postura de seguridad de una organización. Ahí tiene que estar el futuro. Ahí es donde tenemos que ir, es que hace más efectiva una postura de seguridad o hace que esos líderes sean más capaces de tomar decisiones informadas.

48:13 Raghu Nandakumara

Sherrod, muchas gracias. Esa ha sido una conversación súper emocionante. Realmente agradezco que se haya tomado el tiempo para estar con nosotros hoy.

48:21 Sherrod de Grippo

Realmente lo disfruté, Raghu. ¡Gracias por tenerme!

‍