Hacia una confianza cero

0:00:04.4 Raghu Nandakuma: Bienvenido al podcast The Segment, A Zero Trust Leadership podcast. Soy su anfitrión, Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio, la empresa de Segmentación de Confianza Cero. Hoy me une Ryan Fried, Ingeniero Senior de Seguridad de la Información en Brooks Running. En Brooks, Ryan es responsable de supervisar los proyectos de seguridad en toda la organización desde el diseño hasta su finalización. Antes de Brooks, trabajó como Analista de Seguridad, Ingeniero de Redes, Gerente de Evaluación de Riesgos y Arquitecto de Seguridad en organizaciones como Coverys y BlueSnap. Hoy, Ryan se une a nosotros para discutir el papel de la ciberseguridad en los sectores manufacturero y minorista, la construcción de un exitoso programa Zero Trust y la diferencia entre cumplir con las normas y ser seguro.

0:00:50.3 Raghu Nandakuma: Oye, Ryan, es genial tenerte hoy aquí con nosotros, gracias por unirte. ¿Cómo te va?

0:00:55.5 Ryan Fried: Bien, realmente agradezco la oportunidad. Siempre es genial platicar contigo.

0:01:00.1 Raghu Nandakuma: Es un placer para nosotros. Debo decir en primer lugar, las zapatillas Brooks Running que llevo usando ahora desde hace un mes más o menos son sin duda las zapatillas para correr más cómodas, ligeras y mejores que he tenido en mi vida. No puedo creer que no los hubiera probado hasta este momento. Así que es doblemente emocionante tenerte a bordo. Me gusta comenzar estas conversaciones con nuestros invitados y preguntarles cómo terminaron en el ciberespacio. Entonces, ¿cuál ha sido tu viaje?

0:01:27.5 Ryan Fried: Seguro. Yo diría que soy una de las rutas más tradicionales hacia el ciberespacio. Fui a la escuela para los sistemas de información de gestión, por lo que un cruce entre los negocios y la tecnología. Acabamos consiguiendo un trabajo en una gran compañía de seguros de salud en un programa rotacional de TI, por lo que cada seis a ocho meses cambiábamos a una parte diferente de TI. Entré en ello pensando que quería ser gerente de proyecto y después de seis meses rápidamente me enteré de que no es el caso. Me gusta más del trabajo práctico. Entonces después de mi segundo año, la compañía de seguros de salud obtuvo sus, al menos uno de sus primeros, CISO. Simplemente trajo esta increíble cultura a la empresa hasta el punto en que todos los días a las 4 en punto, el trabajo de todos prácticamente se detendría en seguridad e infraestructura y demás, y hablaría de las últimas amenazas y vulnerabilidades sobre las que la gente está leyendo o reportando, para luego tener esa discusión. Y ninguna otra compañía que haya escuchado donde la persona de seguridad se lo lleve a la persona de infraestructura en la llamada y ellos desarrollen un plan para remediarlo tal vez dentro de unos días. Después hubo diferentes ingenieros que hablaron de su actividad en la web oscura y de mantener un oído al suelo. Entonces me quedé cautivada y realmente no he mirado atrás desde entonces.

0:02:42.5 Raghu Nandakuma: Eso es tan emocionante escuchar solo en primer lugar, ese comentario sobre que haces gestión de proyectos durante un año y luego cambias. Definitivamente me recuerda a una conversación que tuve antes de mi primer trabajo fuera de la universidad en el programa de analista y esencialmente tuve en... En la mano izquierda fue: “Oye, podrías tomar un trabajo en gestión de proyectos de TI, en la mano derecha estaba, podrías tomar un trabajo en el ciberespacio”. Yo digo: “Sólo hay una opción ahí, no es la mano izquierda”. Pero esa cultura del aprendizaje es tan grandiosa de escuchar porque, tienes toda la razón. Esa oportunidad, literalmente, bajar herramientas y luego pasar media hora de tu día todos los días aprendiendo y discutiendo y compartiendo ideas es una oportunidad increíble para tener. Qué, justo desde esos primeros días experimentando eso, ¿cuáles fueron las cosas con las que saliste?

0:03:37.3 Ryan Fried: Solo teniendo esa mentalidad de crecimiento. Hace 10 años acabamos de empezar a hablar un poco de nube pública, pero más en torno a las máquinas virtuales e incluso dentro del último año o dos tuve que aprender básicamente sobre contenedores y DevSecOps desde cero, y saber lo suficiente para dar requerimientos para las personas que llevan cinco años haciéndolo tanto de una manera segura como también de mutuo acuerdo. No les vamos a dar requisitos y decir que debes hacer estos, pero preguntándoles, saben un poco de seguridad. Entonces justo cuando piensas que las cosas tecnológicas avanzan, tienes que aprender la siguiente, pero estar abierto a aprender sobre ella es realmente importante.

0:04:19.8 Raghu Nandakuma: Sí, absolutamente. Entonces, en ese descubrimiento inicial de ciberseguridad y amenazas, ¿puedes compartir tal vez una capacidad de seguridad en particular o tal vez es una amenaza que te llamó la atención y dijo: “Dios, eso es realmente emocionante, esto es lo que quiero perseguir”.

0:04:37.9 Ryan Fried: Sí, creo que mirando hacia atrás hace unos 10 años, la tecnología más emocionante era CrowdStrike en el espacio EDR. Crecí conociendo los conceptos básicos de Sophos o Vera y haciendo que esos hagan escaneos básicos. Pero luego, cuando vi la visibilidad que puede hacer algo como CrowdStrike o realmente cualquier otro proveedor de EDR para mirar ese árbol de procesos y usar ese enfoque basado en el comportamiento, pensé que era realmente genial.

0:05:05.8 Raghu Nandakuma: Entonces, ese cambio de la detección basada en heurística a la detección conductual fue obviamente un cambio sísmico en la forma en que hicimos la protección basada en puntos finales. Y eso se ha desarrollado significativamente en los últimos 10 años con la evolución de la tecnología basada en ML e IA. Entonces, y sé que estuvo en RSA recientemente, ¿qué fue particularmente emocionante de lo que vio de los vendedores de allí?

0:05:34.4 Ryan Fried: Si. Desde RSA, pensé que una de las tecnologías más geniales era que tiene su protección de seguridad en la nube, buscando la configuración de la nube lo cual es realmente útil. Pero para mí, quiero saber qué están haciendo los actores de amenazas y mapeando eso a los controles, generalmente configuraciones erróneas para plataformas en la nube. Hay muchas plataformas de configuración en la nube que te darán 300 alertas altas lo cual no es útil para mí. Así que estoy empezando a ver que los proveedores hacen un enfoque más basado en el riesgo donde tal vez pueda detectar que tiene una dirección IP pública asociada y acceso abierto a Internet o esta es una configuración errónea que se está explotando en la naturaleza. Estoy empezando a ver un poco más de un enfoque basado en amenazas para las configuraciones erróneas de la nube pública, lo cual es realmente útil como ingeniero.

0:06:31.7 Raghu Nandakuma: Y usa las palabras o los términos “basado en el riesgo” y “basado en amenazas” y los escuchamos mucho y particularmente en la mercadotecnia de proveedores. Como practicante y como practicante muy experimentado, cuando dices basado en el riesgo y cuando dices basado en amenazas, ¿a qué te refieres con mucha precisión?

0:06:54.2 Ryan Fried: Entonces, cuando uso esos dos términos, normalmente pienso en la administración de vulnerabilidades. Así que no puedes parchearlo todo. Debe tener libremente un alto nivel de fidelidad para lo crítico que debe ser cuando acude a su equipo de infraestructura. Entonces algunas cosas que miro, que algunas herramientas de administración de vulnerabilidades hacen mejor que otras, son el activo al que se enfrenta el público? ¿Es su vulnerabilidad, tiene prueba de concepto como código de explotación por ahí? ¿Se está explotando activamente? Que CISA hace un muy buen trabajo con la conocida lista de vulnerabilidades explotadas ahora. ¿Cuál es el nivel de complejidad que tomaría un hacker? ¿Pueden simplemente escribir una línea de comandos de una línea usando Metasploit, o requiere un alto nivel de complejidad? Y entonces ¿cuál es el nivel de interacción del usuario? ¿Están enviando un correo electrónico donde ni siquiera tienen que abrirlo? ¿O requiere que un usuario haga clic un par de veces? Entonces esas suelen ser las cosas que encima de la puntuación CVSS que nos ayudan realmente a priorizar lo que deberíamos estar buscando remediar primero.

0:08:01.8 Raghu Nandakuma: Y creo que usaste el término exposición. ¿Cuál es la exposición real, el riesgo de exposición de las vulnerabilidades? ¿Cómo, como profesional, cómo construye una imagen de la exposición de sus activos para su organización?

0:08:20.0 Ryan Fried: Sí, eso es muy duro. La gestión de activos en la mayoría de las empresas en las que he estado definitivamente ha sido un reto. Tienes activos por todo el lugar. Tienes gente que va y viene tan lejos como estaciones de trabajo. Tiene nuevos servidores que se están haciendo girar. Tienes DevSecOps donde tienes servidores efímeros que se están hilando en la parte superior de tu nube pública. Y me han quemado en el pasado con pentest donde tenemos una caja de Windows 2008 que estaba copiada, no tenía un agente EDR, el probador de pluma lo encontró, lo explotó y luego se movió lateralmente y obtuvo acceso de dominio y administrador. Por lo tanto, los mejores métodos que he encontrado recientemente son el acceso API a su pila de VMware, la presencia en la nube pública, sea lo que sea que use, su solución MDM. De esa manera, no está confiando en que se instale un agente o que se esté dando un paso.

0:09:14.0 Ryan Fried: Así que hay un par de proveedores que están haciendo un muy buen trabajo en cuanto a usar la conexión API a diferentes plataformas. Pero entonces también un reto como practicante es asegurarse de que todos sus agentes estén en todas partes lo que... Nunca he tenido un 100% de cumplimiento de normas en todos los agentes, en todos los servidores y estaciones de trabajo. Por lo tanto, al poder, en lugar de pasar manualmente y mirar a su proveedor de EDR y su proveedor de administración de bóveda, existen herramientas que ejecutarán llamadas a la API. Obtendrán ese nombre de host y dirá que vemos EDR, vemos administración de bóveda pero no vemos la herramienta que saca tus registros y los envía a la SIM. Entonces lo hace mucho más fácil, de lo contrario, lo estás haciendo tú mismo lo que no siempre vas a conseguir al 100%.

0:10:01.2 Raghu Nandakuma: Esa cosa sobre, nunca vas a llegar al 100% y siempre estás jugando a ponerse al día. Y no me refiero a esto en el contexto de, solemos decir, “oh, los atacantes siempre están un paso por delante”. No estoy hablando de ello desde esa perspectiva pero como dijiste, solo en lo básico siempre estamos jugando a ponernos al día ya sea con parches o si es con descubrimiento de activos, etc. ¿Cómo determinas qué es lo suficientemente bueno? Lo que es un nivel aceptable y luego más allá de eso es un bono, pero también el costo de hacerlo mejor también es potencialmente prohibitivo. ¿Cómo configuras eso? Porque, y no para cortarte porque, volviendo de nuevo a ese ejemplo de ese servidor Windows 2008 que simplemente no conocías. Esa es la vulnerabilidad que termina siendo explotada. ¿Cómo se logra ese equilibrio?

0:10:46.1 Ryan Fried: Si. Me alegra mucho que hayas sacado a colación la frase “suficientemente bueno” porque eso es algo por lo que vivo en el campo de la seguridad. He trabajado en compañías fuertemente reguladas como seguros de salud y Fintech y datos de titulares de tarjetas, donde es bastante prescriptivo sobre lo que tienes que hacer, pero ninguna compañía para la que he trabajado está en el negocio para estar segura. Brooks está en el negocio de vender zapatos y estamos tratando de minimizar nuestra superficie de ataque. Y si y cuando nos golpea el ransomware eso no nos saca como empresa. Para trabajar en el sector retail para bien o para mal no hay un marco de cumplimiento que realmente tengamos que cumplir desde una perspectiva holística. Entonces usaremos cosas como el marco de ciberseguridad NIST o CIS Top lo que era 20 creo que ahora es 18.

0:11:34.5 Ryan Fried: Y luego solemos, una vez al año, echaremos un vistazo, y nos calificamos a nosotros mismos, a los diferentes controles porque digamos la gestión de activos. Es importante para nosotros. Y si nos ponemos en una escala del uno al cinco, tal vez estamos en un dos o en un tres, pero tal vez no lleguemos a un cinco. ¿Cuál es el nivel de esfuerzo para llegar de un dos a un tres vs. tres a cuatro y cuatro a cinco? ¿En qué momento lo llamamos suficientemente bueno en función de nuestro tamaño, nuestro personal, y luego pasar a lo siguiente? Entonces realmente le echamos un vistazo a lo que es más importante para nosotros, la administración de activos es obviamente muy importante. Y luego determinamos cuál es un puntaje aceptable para ello y mejorarlo.

0:12:16.5 Raghu Nandakuma: Eso es realmente interesante. Y dijiste algunas cosas realmente interesantes allí sobre las industrias fuertemente reguladas contrastantes como las finanzas, como la salud, frente a una industria mucho menos regulada, particularmente cuando se trata de requisitos de ciberseguridad como la fabricación y el comercio minorista. Y cuando pienso en esas industrias altamente reguladas típicamente tienen las tres palancas. El uno es la regulación, uno es una idea muy clara de esto es algo que absolutamente tengo que proteger de lo contrario pérdida de reputación, pérdida de ingresos comerciales, etc. Y luego a menudo ha habido un evento sísmico que afecta a esa industria, ese sector lo que significa que nadie más quiere ser el acto titular. Pero ahora en las industrias, no desreguladas, sino menos reguladas, ¿cómo construye esencialmente esas palancas para hacer avanzar su programa?

0:13:12.7 Ryan Fried: Sí, creo que lo más importante que hemos hecho en Brooks, y he visto en otras empresas, es tener ese comité directivo. Entonces mi jefe se reúne con el COO, el CFO, jefe de privacidad y jefe de legal, y para que entiendan la importancia de la seguridad, eso nos compra un montón de apalancamiento. Entonces creo que eso es realmente lo más importante, se necesita la aceptación de la C-suite y para poder articular dónde estamos, dónde tenemos que llegar a estar y qué se necesita, ya sea dinero o personas, es realmente como encontré la manera más exitosa de hacerlo.

0:13:48.0 Raghu Nandakuma: ¿Y cómo contrasta el papel que desempeña hoy en Brooks con algunos de los roles en sus empleadores anteriores en esas industrias reguladas? ¿Cuáles son los desafíos en uno frente a los desafíos en el otro? Y así, porque es realmente interesante que te hayas mudado en estas diferentes industrias haciendo este papel.

0:14:09.1 Ryan Fried: Sí, creo que nuestra Estrella del Norte es un poco diferente. Así que trabajando en una industria altamente regulada para HIPAA para seguros, estábamos mucho más impulsados por los datos. Se utilizaron herramientas para encontrar datos confidenciales restringidos. Hemos hecho más en torno a la prevención de pérdida de datos. No quiere decir que no hagamos eso en Brooks, pero no tenemos esos datos que están altamente regulados. Mientras que en Brooks, estamos mucho más enfocados en la disponibilidad. Así que mirar el ransomware impulsa mucho de lo que hacemos. Así que sí, yo diría que si bien pensamos en tal vez algún tipo de datos patentados en propiedad intelectual, estamos mucho más centrados en la disponibilidad de diferentes amenazas.

0:14:52.2 Raghu Nandakuma: Y eso me parece realmente fascinante porque eso pensamos en eso tradicional, el triángulo de seguridad de la CIA. Por lo general, la C recibe mucho enfoque. Y el I obtiene una cantidad decente de enfoque y la A a menudo no se ignora, pero es la parte que todos están dispuestos a sacrificar para proteger la C y la I. Pero nuevamente, creo, siento particularmente con el término resiliencia cibernética realmente poniéndose de moda en los últimos dos años que el enfoque en la A está aumentando y las organizaciones están poniendo mucha más importancia al pilar de disponibilidad del triángulo de la CIA además de la C y la I. ¿Así es como tú? ¿Lo ves?

0:15:37.3 Ryan Fried: De verdad que sí. Si. Pensamos en la disponibilidad de nuestro sistema ERP. Una cosa que he notado es que cada vez más empresas están, según mi experiencia, probando esa recuperación de ransomware. Una cosa es ponerlo en su lugar, pero poder averiguar cuánto tiempo lleva realmente y luego recuperarlo y que ese usuario comercial pueda obtener los datos que necesita es realmente importante porque no quiere hacer eso por primera vez con ransomware. Y luego es súper interesante encontrar... He estado involucrado con los esfuerzos de continuidad del negocio y digamos que alguien necesita la aplicación XYZ, usted le pregunta qué tan rápido y ellos dicen una hora. Porque ¿por qué no? ¿Por qué no decir una hora? Cuando en realidad podría tomar a nuestro equipo de infraestructura ocho horas y luego averiguar esa discrepancia donde puedan decir: “Podemos hacerlo en una hora, pero vas a tener que pagar por otro centro de datos que esté activo y de escritura y va a costar digamos un millón de dólares y luego dicen, 'Ocho horas suenan bastante bien'”. Por lo tanto, administrar esas expectativas de cuánto tiempo toma realmente para esas aplicaciones críticas es importante para establecer niveles, ya que lleva más tiempo de lo que cree.

0:16:52.5 Raghu Nandakuma: Sí, absolutamente. Y tú lo dijiste... Sólo un par de cosas. Lo siento, me emociona mucho cuando nuestros invitados, solo esta corriente de pensamiento y todo, como que quiero hacer doble clic en todas esas cosas. Entonces comencemos por el inicio de esa corriente de pensamiento y usted habló de la efectividad y de lo efectivos que son mis controles. Entonces, una pregunta un poco cargada, en su perspectiva y nuevamente esto se remonta a su tiempo en industrias más reguladas es, ¿cuál ve como la diferencia entre cumplir con las normas y ser seguro?

0:17:27.9 Ryan Fried: Sí, esa es una diferencia enorme. Por lo tanto, el cumplimiento se puede utilizar de manera positiva. Al trabajar con datos de tarjetas de crédito, PCI es realmente prescriptivo y tiene muchas cosas geniales, pero también recomienda contraseñas de ocho caracteres, con las que me cuesta mucho. Así que es una buena línea de base y puedes usarla para hacer las cosas. Creo que tener ese enfoque basado en amenazas de en qué industria se encuentra, cómo van los atacantes al respecto. Por ejemplo, con la nube, Gartner sale con Creo que el 90-95% de las brechas en la nube son errores de configuración. No sé que las auditorías estén hablando de eso, pero eso es importante porque tenemos presencia en la nube. Entonces el cumplimiento es bueno, puede ser tu amigo, pero eso no puede ser todo lo que haces.

0:18:18.4 Raghu Nandakuma: La forma en que veo esto desde roles anteriores es que a menudo el cumplimiento de normas y las auditorías se comparan con una lista de verificación o un conjunto de estándares que usted ha definido en comparación con lo que es la amenaza real y cómo podría explotar esta configuración actual. Entonces eso me lleva a la siguiente pregunta a ese tipo de flujo de pensamientos que compartiste es ¿cómo pruebas que tus controles son efectivos?

0:18:52.0 Ryan Fried: Entonces ahora estás viniendo sobre mi proyecto de pasión en mi último par de trabajos.

0:18:57.6 Raghu Nandakuma: Muy bien, vamos.

0:18:57.8 Ryan Fried: Sí, cuando empecé, habla de la evolución de 10 años. Pagarías a un probador de bolígrafos por mucho dinero y básicamente solo ejecutarían un escaneo Nessus y te dirían que estas son todas tus vulnerabilidades y eso fue todo. La siguiente parte que he visto es ahora pagas a un lapicero tester, tal vez les das acceso en tu entorno, tal vez no. Probablemente no. Intentan entrar, pueden entrar, van a tener acceso, y luego tú arreglas esas cosas. En el último par de años, se empieza a ver la evolución del teaming morado y herramientas como Atomic Red Team, donde ahora alguien que no está entrenado como un lapicester formal puede realmente ejecutar simulaciones de lo que están usando los hackers.

0:19:38.7 Ryan Fried: Entonces voy a ver diferentes reportes de Mandiant o Red Canary y dirá, estas son las 10 mejores técnicas de hackers que hemos visto en el último año. Y luego voy a usar una herramienta para ejecutar esas técnicas en mi computadora portátil en nuestra red. Veremos qué atrapan nuestros EDR o firewalls. Si atrapan la mayor parte, genial. Y si no atrapan algo, voy a escribir una detección desde nuestro SEM o EDR, así que lo atraparemos la próxima vez. Así que un ejemplo rápido es, la mayoría de los hackers cuando se meten, van a ejecutar algo como, ¿quién soy yo? Para averiguar exactamente dónde están, qué cuenta tienen. Y vimos que nuestra herramienta EDR no detectaba en ella, así que escribimos una detección rápida cada vez que vemos eso y hemos captado a los probadores de pluma así con algo tan simple y tan temprano. Sí, solo creo que usar cosas como la emulación de adversario o incluso ejecutar cosas en indicaciones de comando, como quién soy yo o sysinfo o net group admin es realmente impactante y gratuito.

0:20:46.3 Raghu Nandakuma: Entonces quiero preguntar eso. Y absolutamente, y creo que esa es realmente la evolución de las pruebas de seguridad. Donde ahora creo que estamos en una etapa en la que somos mucho más realistas al probar nuestras defensas de seguridad. Y, por supuesto, los ejercicios en equipo permiten un bucle de retroalimentación rápido para mejorar eso. Pero cuando digamos que está allí, está buscando la próxima capacidad de seguridad que desea incorporar para proteger en este caso Brooks, ¿cómo valida lo que sea que ese proveedor esté tratando de venderle realmente le va a proporcionar el aumento de seguridad que está esperando? ¿Cómo lo haces?

0:21:30.1 Ryan Fried: Sí, creo que es realmente importante definir criterios de éxito realmente prescriptivos. Entonces, ¿qué caso de uso estás tratando de encontrar? Porque no vas a pasar un buen rato si solo vas a buscar un proveedor y dices, quiero la capacidad para hacer esto. ¿Por qué? ¿Contra qué intentas defenderte? ¿Y puedes emular eso? Si está buscando una solución de administración de postura de seguridad en la nube, tal vez haga un POC rápido y luego haga un bucket S3 abierto al mundo sin datos en él y vea qué tan rápido lo atrapa. O para la microsegmentación, tal vez tenga una computadora portátil y haga un escaneo Nmap a todo el entorno y vea lo que puede comunicar de nuevo. Y luego pones la herramienta en modo de aplicación y ves lo que aún puedes alcanzar. Así que creo que necesita entender el caso de uso y el problema que está tratando de resolver antes de siquiera pensar en buscar proveedores.

0:22:30.2 Raghu Nandakuma: Sí, absolutamente. Estoy de acuerdo. porque es el, y creo que ambos desde el lado del cliente está teniendo una idea clara del caso de uso que está tratando de resolver frente a un general, “Oye, necesito esta capacidad”. Tiene que estar empatado en beneficio. Y luego creo que desde la perspectiva del proveedor es poder conectarse claramente con ese caso de uso en lugar de decir nuevamente: “Oye, te estamos vendiendo esta capacidad”, y simplemente funciona así. Y poder decir eso, creo que es muy importante. Y quiero ir a lo siguiente porque este es un podcast Zero Trust Leadership. Entonces vamos a hablar un poco de Zero Trust. Y sé que eres en gran medida un practicante de Zero Trust. Ha creado al menos dos programas Zero Trust en diferentes empleadores. En primer lugar, ¿cómo piensas de Zero Trust y por qué resuena contigo?

0:23:23.4 Ryan Fried: Si. Así que siempre pienso en la violación de Target de hace aproximadamente una década, cuando un contratista de HVAC tenía acceso a la red y luego podía acceder a los datos de los titulares de tarjetas. Esa es una de las razones por las que estamos tratando de hacerlo. O básicamente pienso en si y cuando un usuario está infectado, ¿cómo minimizamos ese radio de ráfaga dándoles el menor acceso de privilegios para que no puedan hacer mucho daño?

0:23:52.4 Raghu Nandakuma: Entonces cuando aplicas eso, y por supuesto... Entonces, eso se corresponde absolutamente con el enfoque Zero Trust para la seguridad, entonces, ¿cómo se construye entonces un programa para ayudar a su organización a adoptar ese enfoque? Porque escuchamos constantemente que Zero Trust es una gran idea, pero difícil de lograr en la práctica, y sin embargo lo has hecho dos veces con éxito. Entonces, ¿cuál es la salsa secreta que tienes que otros necesitan saber?

0:24:23.0 Ryan Fried: Claro. La confianza cero es más un principio. He podido aplicarlo de un par de maneras diferentes. En casi todo lo que hacemos, pensamos en cómo podemos ir hacia Zero y también Zero ish Trust. La Zero Trust real es realmente difícil de hacer, y creo que es realmente intimidante. Cuando pensé por primera vez en Zero Trust, pensé en poder permitir menos comunicación servidor a servidor, lo que realmente me asusta, y realmente tiene un impacto en la producción. Pero por ejemplo, de lo que estamos hablando es de microsegmentación desde una perspectiva de confianza cero. ¿Cuál es el mejor beneficio por nuestro valor que vamos a conseguir con ser los menos disruptivos? Porque como ustedes, y estoy seguro que sus oyentes saben, he perdido credibilidad por una herramienta o una tecnología, algún tipo de herramienta de seguridad que bloqueó algo, tal vez fue un bloqueo legítimo, tal vez no, pero es realmente difícil recuperar esa confianza.

0:25:22.3 Ryan Fried: He tenido herramientas donde cada vez que algo se rompía, eran como, “¿Es esa herramienta?” Yo digo, “No”. Entonces, partiendo de eso, analizamos la comunicación de estación de trabajo a estación de trabajo, que debería ser ninguna. Y luego la interacción de usuario a servidor, porque más del 90% de nuestra base de empleados no están en TI. Por lo que realmente no acceden a los servidores a menos que sea a través de HTTPS no están accediendo a ellos de forma remota. Y cuando piensas en una perspectiva de amenazas, la mayoría de las intrusiones comienzan con un correo electrónico de phishing en una estación de trabajo, las personas normalmente no acceden al correo electrónico en un servidor y no deberían hacerlo. ¿Cómo lo hago? Entonces escuché que alguien fue golpeado con ransomware que no estaban teniendo un mal día, no pueden afectar a ninguna otra estación de trabajo y no pueden afectar a la mayoría de los otros servidores. Eso para mí es el Zero ish Trust desde una perspectiva de microsegmentación.

0:26:19.2 Raghu Nandakuma: A mí me gusta el camino, cómo dijiste que es cero-ish. porque creo que se remonta a algo de lo que estábamos hablando antes es suficiente. Y es trazar esa línea entre esta... Sé que aquí es donde el... Y creo que parafrasear lo que acabas de decir es, sé que estos son los mayores riesgos con un acceso excesivamente permisivo dentro de mi red. Entonces ese es el acceso en el que me voy a centrar en reducir esa confianza implícita. Entonces avanzando hacia una confianza más cero-implícita pero trazo la línea aquí porque, más allá de esto, el retorno que obtengo por el esfuerzo que estoy poniendo es insignificante o potencialmente creo que retrocediendo... Y ese fue un punto realmente importante sobre... Es potencialmente una carrera que define a menudo. Los controles de seguridad definen la carrera porque si van bien y eres capaz de demostrar que has reducido el riesgo y tu exposición, entonces todos cantan tus elogios. Pero hay una posibilidad mucho mayor de que alguna aplicación crítica se rompa y sean como, “Oye Ryan, oye Raghu, vamos a tener una charla sobre esta cosa que acabas de aplicar”. Y como dijiste, tienes que pasar horas, días, explicando por qué no fue tu producto el que causó el problema. Nuevamente, creo que tal vez solo para reiterar, ¿cuál es esa medida que dice hasta este punto, el esfuerzo vale la pena? Eso es lo suficientemente bueno. Y luego más allá de esto, el costo es alto para obtener más beneficios. ¿Cómo traza esa línea en la arena?

0:27:56.8 Ryan Fried: Claro, definitivamente puede ser subjetivo, pero para mí, pienso en el overhead administrativo y luego en el impacto de la producción en las aplicaciones. Personas en su descripción de trabajo aparte de nosotros, no dice que sean seguros. Necesitan que sus aplicaciones se ejecuten. Entonces puedo dar un buen ejemplo de algo que no hicimos porque no pensé que valiera la pena el bang por el valor. Entonces otro riesgo potencial es digamos que un servidor se infecta y visitan un comando y dominio controlado y descargan malware y están infectados. Directamente desde el servidor, no requirió que un usuario se conectara a él. Ahora una cosa que podríamos hacer es hacer Zero Trust donde solo permitimos que aplicaciones o servidores vayan a dominios específicos, ciertos sitios web. Siendo realistas, los servidores no van a muchos sitios web pero el trabajo detrás de eso es increíble. Y eso solo lo sé porque lo intentamos. Hay tantos dominios en un sitio web que las cosas llegan a ellos. Entonces sería una pesadilla administrativa y de producción impactando si digamos que descargan una nueva aplicación, no funciona. Y digamos que es alguien en Asia o Europa y yo soy la persona que lo hace. Entonces realmente lo que pienso es, ¿cuál es el riesgo? El riesgo es que nuestro DNS no capte ese dominio, nuestro EDR no captura ese dominio, nuestro firewall no captura ese dominio y es un servidor C2. ¿Puede un actor estatal hacer eso? Claro. Pero para mí eso no vale la pena por lo que la producción impacta en ella puede ser. Entonces lo hemos hecho de otras maneras.

0:29:45.1 Raghu Nandakuma: Sí. Y tengo una experiencia similar, así que lo entiendo absolutamente. Entonces, ¿cuál es el futuro para tu programa Zero Trust y cómo piensas de esa evolución continua? ¿Qué aspecto tiene eso?

0:30:01.1 Ryan Fried: Sí, creo que desde la microsegmentación, asegurándose de que se aplique en todas partes. Observar diferentes casos de uso, tal vez más desde una perspectiva de visibilidad para averiguar qué está hablando de lo que vemos en la nube pública y asegurarnos de que estamos utilizando el menor privilegio posible cuando se trata de roles y acceso y cosas así. Y en el acceso con privilegios mínimos en general a través de nuestras cuentas de Active Directory, tanto en Azure como en las instalaciones. Esas son algunas de las grandes cosas en las que estamos trabajando.

0:30:29.6 Raghu Nandakumark: Y hablaste varias veces de la nube. Y, a menudo, las organizaciones y los profesionales diferencian entre la seguridad en la nube y la seguridad tradicional del campus y del centro de datos. Y, en realidad, estuve en un evento a principios de esta semana y en el escenario estaba esencialmente una persona que dirigía DevOps o DevSecOps en una gran organización financiera. Y lo que dijo fue que el problema que hemos creado es decir: “Bien, yo separo la seguridad de manera diferente o cómo pienso sobre la seguridad de manera diferente para la nube frente a la heredada, tradicional, como quieras llamarla”. ¿Cuáles son tus pensamientos? Porque su perspectiva era que necesitas pensar en esos de la misma manera para que tengas una seguridad consistente.

0:31:18.0 Ryan Fried: Estoy absolutamente de acuerdo. El dicho que siempre uso es que la nube es solo una extensión de su centro de datos. Ya sea una VM, una VM de Windows en la nube o en su centro de datos o debajo de su escritorio. Todavía necesita ser parcheado, todavía necesita ciertos agentes y es una vista realmente peligrosa verlos por separado. Y creo que está tomando algo de tiempo acostumbrarse, tanto desde una perspectiva de seguridad como de infraestructura. Pero como dijiste, los controles tienen que ser similares. Ahora, cuando llega a ciertas cosas como los servicios y los contenedores de almacenamiento de información, estos pueden ser diferentes. Una VM es una VM, sea efímera o no. Por lo tanto, aún necesita esa visibilidad y parches, y tal como lo haría en su centro de datos.

0:32:04.6 Raghu Nandakumark: Entonces, qué tipo de, ahora cuando miras, lo que estás mirando hacia el futuro. ¿Cuáles son las tendencias, tecnologías que realmente te emocionan? Sé que has hablado un poco sobre tu proyecto de pasión, pero ¿qué es lo que realmente estás deseando que suceda en el mundo de la ciberseguridad?

0:32:24.8 Ryan Fried: Sí, creo que solo mejoras en la administración de activos, como hablamos, más de ese enfoque basado en API para averiguar cuál es su recuento total de activos. Eso es algo difícil de averiguar, pero también creo que en los próximos años veremos algo más de tecnología en torno a la seguridad de las API. Creo que eso es algo que las empresas probablemente tienen más exposición de lo que creen, especialmente si tienen aplicaciones, aplicaciones de llamadas en su red o más probablemente en otras aplicaciones o redes basadas en el personal. Y puede que no tengas idea de qué tipo de seguridad tienes para eso. Así que estoy muy emocionado de ver esa tecnología para saber dónde están tus APIs y qué tipo de seguridad tienes a su alrededor. Y luego tener ese enfoque basado en el desarrollador donde, esa no es mi experiencia, pero me encantaría una herramienta que la ponga en el lenguaje del desarrollador y con la criticidad adecuada para que puedan arreglarlo.

0:33:19.3 Raghu Nandakuma: Y en realidad, insinuaste sobre desarrollador y escuchamos muchos términos como DevSecOps y un shift left y seguro por diseño o seguro por defecto. De ninguna manera soy un experto en ninguno de estos términos, pero estoy... Soy lo suficientemente peligroso como para que los haya leído y que pueda descartarlos. ¿Qué significan estos para ti y qué significan para lo que haces como practicante?

0:33:46.1 Ryan Fried: Sí, creo que Shift-left es realmente importante. He estado en ambos lados donde los desarrolladores dirán: “Oye, tenemos esta aplicación que va a estar en producción en dos semanas. ¿Puedes simplemente dar una aprobación?” Yo estoy como, “¿Qué?” Y luego usamos diferentes herramientas para poder tratar de ver las vulnerabilidades de las aplicaciones y demás. Y lo averiguamos. Lo más probable es que vaya a salir en vivo de todos modos. Así que idealmente nos involucramos desde el principio y no tengo una gran experiencia en desarrollo de aplicaciones, pero a veces encuentro que solo tener seguridad en la sala los hace hablar o comportarse de manera diferente en esa discusión inicial. Pero entonces también creo que es realmente importante porque hay herramientas de análisis de código estático, herramientas de análisis de código dinámico. Deje que el desarrollador elija lo que le gusta. Porque lo más probable es que no vaya a estar en él día a día, quiero algo que sea amigable para los desarrolladores. Y así hemos tenido un buen éxito con eso. Obviamente, queremos mirarlo para ver si tiene el mínimo de referencia de verificaciones tipo seguridad, pero queremos que sea en un lenguaje donde ellos entiendan y estemos más en un rol consultivo.

0:34:56.1 Raghu Nandakuma: Estoy jugando con la idea de que adoptar un enfoque de confianza cero para la seguridad realmente se alinea con un cambio a la izquierda. Y tomando eso en lugar de tratar de bloquear cosas malas, ser explícito al decir, estas son las cosas buenas que quiero permitir mucho se alinea con digamos el desarrollo de una aplicación donde casi estás diciendo, bien, sé que estas son las cosas que necesito que haga la aplicación y quiero escribir las reglas de seguridad que me permitan hacer eso. Entonces, ¿crees que es el caso que como vemos la seguridad shift a la izquierda, eso va a... Para que eso sea práctico, será una mayor adopción de Zero Trust o para decirlo de otra manera, esencialmente ¿más enfoque en definir una seguridad basada en listas de permitir?

0:35:48.4 Ryan Fried: Sí, creo que el shift-left definitivamente juega junto con él. Pienso que ahora, a medida que incorporamos nuevos servidores o aplicaciones, nos involucramos antes porque se va a poner en nuestro entorno de microsegmentación y queremos entender qué comunicación realmente necesita esa herramienta. Y puedo dar un ejemplo rápido. Hemos tenido una aplicación donde el proveedor dijo que necesitamos puertos del uno al 65,000 abiertos, lo cual es salvaje y extremadamente perezoso de ese proveedor.

0:36:16.7 Raghu Nandakuma: ¿Y los otros cientos al final? ¿No querían esos?

0:36:20.6 Ryan Fried: Si. Estaban intentando, el menor privilegio o la confianza cero. Si nos involucramos temprano, podemos dejarlo funcionar durante un mes y ver que tal vez sea un rango de solo 100 o 1,000 puertos. Pero si no nos involucramos temprano y ellos instalan la aplicación sin que nosotros lo sepan y ya está en producción, probablemente vamos a tener que mantener el uno a 65,000 a menos que tengamos un trabajo extenso y un bucle de retroalimentación rápido. Participar al principio de esa fase de requerimiento y observar los datos que le ayudan a tener éxito en una estrategia de confianza cero.

0:36:58.1 Raghu Nandakuma: Absolutamente. Y creo que entonces vuelve a una especie de madurez de la que hablabas de eso a medida que ese programa madura, naturalmente el compromiso de seguridad se desplaza cada vez más hacia la izquierda. Y de nuevo, qué tan lejos a la izquierda realmente depende de qué tan lejos se quiera llevar ese programa. Quiero decir como hemos dicho que hay mucho más que podemos discutir, pero soy consciente de tu tiempo. ¿Qué es lo que te emociona en términos de futuro? ¿Cuáles son las cosas que querrías que los oyentes escuchen y se lleven y tal vez pongan en práctica?

0:37:37.3 Ryan Fried: Sí, he estado hablando de como la validación de control. Me ha entusiasmado mucho ver el cambio en la seguridad de realmente la colaboración y la inteligencia de amenazas procesable. Creo que MITRE ATT&CK ha sido algo realmente positivo para la industria al codificar básicamente lo que los atacantes están haciendo desde un alto nivel. Entonces poder ser parte de un grupo de intercambio de información o ir a una conferencia o simplemente leer artículos y ver qué están usando los hackers, y luego darle el valor o el comando para ejecutar. De esa manera puede ejecutarlo en su entorno para ver si se ve afectado. Porque antes tendrías una prueba de pluma una vez al año, y luego después de eso, tienes que esperar hasta el próximo año y es, se vuelve rancio muy rápidamente debido a los entornos de adaptación. Así que estoy muy emocionado de seguir viendo que eso sucede y tal vez incluso cambiar la nube para ver qué son los logs que debería estar viendo. ¿Qué están haciendo los atacantes? ¿Cómo puedo emularlo? ¿Cómo puedo ver si funcionaría o no?

0:38:40.2 Raghu Nandakuma: Impresionante. La otra cosa, Ryan, ¿es cierto que en Brooks Running, haces todas tus reuniones importantes de seguridad mientras estás fuera a correr en entrenadores de Brooks? ¿Eso es cierto? Solo háganoslo saber.

0:38:49.0 Ryan Fried: Sí, creo que te lo estaba diciendo antes, como lo entrevisté, tienes que mandar tu tiempo de 5K y estar por debajo de 20 minutos.

0:38:55.1 Raghu Nandakuma: Habiendo corrido contigo, estoy bastante seguro de que podrías hacer un sub-20 si lo intentaras. Sé que me iba fácil ese día. Ryan, ha sido un placer tenerte. Siempre es un placer conversar con un profesional de seguridad tan maravilloso como tú. Así que muchas gracias por su tiempo.

0:39:14.0 Ryan Fried: Sí, gracias por la oportunidad. Ha sido genial.

0:39:16.6 Raghu Nandakuma: Y, sí, y si quieres saber más sobre cómo Illumio está ayudando a organizaciones como Brooks Running a reducir el riesgo y acabar con los ciberataques, puedes visitar nuestro sitio web illumio.com y ver ese caso de estudio de cliente y un montón de otros. Muchas gracias.

0:39:37.5 Raghu Nandakuma: Gracias por sintonizar el episodio de esta semana de The Segment. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter en @illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara, y volveremos pronto.

‍