¡En vivo desde RSAC! Probar, Verificar, Validar

00:02 Raghu Nandakuma: Bienvenido a El Segmento. Un podcast de liderazgo de confianza cero. Soy su anfitrión Raghu Nandakumara, Jefe de Soluciones Industriales en Illumio la Empresa de Segmentación Cero Confianza. El día de hoy me une Rob Ragan, Investigador Principal de Bishop Fox, líder en seguridad ofensiva y pruebas de penetración. En Bishop Fox, Rob se enfoca en soluciones pragmáticas para clientes y tecnología y supervisa la estrategia de la compañía para la automatización continua de la seguridad. Con más de una década de experiencia cibernética, Rob anteriormente ocupó varios puestos de ingeniería de software con Hewlett-Packard y SPI Dynamics. En este episodio de edición especial, Rob se unió a mí en vivo en RSAC para explorar diferentes tipos de amenazas, tendencias ofensivas de seguridad y cómo encontrar continuamente nuevas oportunidades para mejorar la resiliencia cibernética. ¿Cuál es la trayectoria profesional que has tenido para llevarte a donde estás? Así que cuéntanos un poco de tus antecedentes.

00:57 Rob Diagan: Realmente para mí empezó como una pasión personal y un hobby. Tuve la suerte a una edad temprana de encontrar algunas personas de ideas afines. En realidad fue a través de la revista 2600: Hacker Quarterly y tenía un amigo que tal vez no era una influencia tan buena en ese momento que me estaba mostrando sobre cómo desfacentar sitios web y me saltaré las partes sobre meterse en problemas con ellos pero realmente me abrió los ojos que incluso había esta comunidad y esta posibilidad de gente que miraba computadoras de esta manera. A partir de ahí, siempre pensé que sería ingeniero de software. Realmente pasé por el camino de ser consultor de TI y hacer de todo, desde soporte técnico hasta administrador de redes a sysadmin y... Pero en realidad comencé a tener la oportunidad de hacer algo de codificación cuando estaba probando algún software y haciendo depuración y tal vez ayudando con algunas correcciones de errores y a partir de ahí pasé a convertirme en un desarrollador de aplicaciones web. Y así fui desarrollador de aplicaciones web profesionalmente por cerca de siete años. Y luego obtuve mi primer rol en seguridad en realidad en el espacio de productos de seguridad, para una compañía llamada SPI Dynamics que estaba haciendo un producto llamado WebInspect que rastreaba y escaneaba aplicaciones web en busca de vulnerabilidades de manera automatizada.

02:05 Rob Diagan: Y yo estaba como, “Sí. Esto es realmente lo que quiero hacer”. Y yo estaba trabajando en ese motor, me puse a trabajar en análisis estático en esa empresa también. Pero en realidad mi primer trabajo allí fue escribir aplicaciones web vulnerables para asegurarme de que nuestros productos pudieran encontrarla. Así que llegué a estudiar en profundidad todas las formas equivocadas de construir una aplicación como, ¿cuáles son todas las diferentes formas en que puede implementar la inyección SQL solo para asegurarse de que nuestros productos estuvieran en el nivel de código y en el nivel de prueba de aplicaciones en vivo encontrando esos problemas? Pero también fue ahí donde probé por primera vez las pruebas de penetración. De hecho me pusieron con un grupo de personas donde llegamos a como que, durante dos semanas, ir tras una organización. Y de verdad fue hacer lo peor de ti. Y yo estaba como, “Espera. ¿Puedes hacerlo profesionalmente? ¿La gente te pagará por hacer esto todo el día todos los días?” Y eso realmente me abrió los ojos y yo estaba como, “Sí. Muy bien. Esto es... Yo quiero hacer el cambio. Esto es lo que quiero hacer. Esto es emocionante”.

02:52 Raghu Nandakuma: Eso es increíble. Entonces en su papel de Investigador Principal, me encanta el título por cierto. Si observa la naturaleza de las amenazas y usa un término cliché, “paisaje de amenazas”, ¿cómo ha cambiado eso en los últimos 10 a 15 años que ha sido una especie de participante ávido en esta área?

03:17 Rob Diagan: Si. Creo que nuestra comprensión de ello ha cambiado y evolucionado mucho. Sigo pensando fundamentalmente que hay algunas verdades consistentes así que... Me gusta pensar en las amenazas en los espacios como realmente como hackers de amenazas oportunistas a los que ni siquiera necesariamente les importa a qué organización se dirigen. Tal vez estén escaneando todo Internet en busca de lo que sea el último CVE, sea cual sea el último problema y viendo quién es vulnerable y recolectando recursos, recolectando activos, obteniendo un vector de acceso inicial y tal vez más tarde averiguando dónde están. Y creo que también hay amenazas motivadas que son... Tengo una meta para apuntar a una organización específica o... Y luego, en última instancia, amenazas persistentes que son: “No voy a rendirme hasta que obtenga lo que busco”. Creo que estamos viendo en los últimos 10-15 años esto acaba de evolucionar a... Muchas más de esas amenazas oportunistas son capaces de tener un impacto tan mayor de, “Bien. Tengo un caparazón en un sistema ahora me he dado cuenta en qué organización estoy. Este es un objetivo realmente maduro para el ransomware. Y creo que puedo vender eso... Incluso vender ese vector de acceso inicial a otro grupo que esté más motivado para ejecutar realmente esa herramienta de ransomware y automatizar el proceso de extorsionar a esa compañía”.

04:26 Raghu Nandakuma: Así que como que quiero... Tocaste esencialmente todo el tipo de, diría yo, la economía del malware de actores maliciosos ligeramente, así que volveremos a eso en solo un segundo. Pero hablas de motivación y veo esa evolución de la motivación a partir de, “Oh. Encontré esta manera de esencialmente interrumpir algo, irritar ligeramente a algunas personas, tal vez irritar a una organización y dejarla así”. Y luego, por supuesto, el ransomware es un excelente ejemplo de: “¿Cómo monetizo y exijo un rescate por poder restaurar el acceso a los datos a los sistemas y así sucesivamente?” Y sobre el último tipo de... Particularmente el último... Creo que es... El término se ha puesto de moda en los últimos 12 meses pero definitivamente ha sido el caso debido a acontecimientos políticos, etc., de realmente sobre disrupción a escala masiva. Y como resultado, obviamente hemos visto y escuchado que el término una especie de “ciberresiliencia” ahora se está convirtiendo realmente en algo que los clientes quieren y, por supuesto, los vendedores hablan de: “Bien. Te ayudamos a lograr una mejor resiliencia cibernética”. ¿También ha visto ese cambio en la motivación primaria de los ataques pasando de molestias a dinero y perturbaciones a gran escala?

05:32 Rob Diagan: Derecha. Y sí creo que se vuelve realmente específico de la organización de... Las empresas se están volviendo más maduras a la hora de poder ver en qué quieren enfocarse ya sea desde ese plan de continuidad del negocio o el plan de resiliencia de, “¿Es la disponibilidad algo en lo que quiero centrarme? Es decir, ¿cómo afecta eso a nuestro resultado final si tenemos apagones es propiedad que quiero proteger o es alguna otra cosa en la que quiero enfocarme?” Estoy viendo que estas organizaciones incluso a nivel ejecutivo quieren sentarse y tal vez hacer una mesa donde realmente están hablando a través del plan de respuesta a incidentes en estos diferentes escenarios que sienten que están afectando a sus pares, y es una cuestión de cuándo no si van a tener que lidiar con esto, adelantarse planificando realmente cómo van a tratar de recuperarse. Incluso en todos los niveles del equipo exec es como ¿cuál es el papel del equipo legal en esto? ¿Cuál es el equipo de RRHH en esto, qué es el equipo de relaciones públicas? ¿Tienen un plan preescrito y una respuesta de cómo nos vamos a recuperar cada vez que esto suceda para que no estemos apurados para hacerlo realmente bajo presión y cometiendo errores?

06:31 Raghu Nandakuma: Claro. Y volviendo a ver, las organizaciones y el panorama de amenazas y así sucesivamente y atando a todo el... De algún modo hablamos de ataques que su principal motivación es la disrupción a gran escala. Y conectado a eso, vemos particularmente de los últimos años que el foco está en la infraestructura crítica nacional y como una extensión de ese OT... Grandes redes OT/IoT y ese punto en el que TI y OT/IoT tipo de se reúnen. ¿Cómo está configurando eso realmente su práctica como Investigador de Amenazas y como proveedor de seguridad ofensivo?

07:10 Rob Diagan: Tenemos la suerte de llegar a trabajar con algunas de las empresas más grandes del mundo que están... Uno que es público y que es socio nuestro es John Deere. Y así, cada vez que esté viendo esa escala de una organización y cómo ven la OT como realmente parte de todos esos tractores, conviértase en las decenas de miles o cientos de miles de dispositivos que están interconectados que pasan por redes satelitales para conectarse de nuevo a la producción, telemática y centros de datos y cosas en ese sentido para que realmente estén obteniendo visibilidad en la cadena de suministro de alimentos global y si hubiera interrupción de esos dispositivos OT, eso podría afectar la capacidad de alimentar países enteros y afectan economías enteras. Lo que podemos hacer es ayudarlos a ver de manera integral cuáles son los estados iniciales de los diferentes actores de amenazas con los que quieren poder practicar sus capacidades de respuesta a incidentes y con eso quiero decir que podría ser ¿cómo se ve comprometer la unidad de visualización frontal en un dispositivo? ¿Cómo se ve si hay una carga de trabajo en un entorno de nube que está comprometida? ¿Y si es... El estado de partida es una computadora portátil en un entorno corporativo o el de un empleado? Y luego poder realmente tener un plan en un escenario de, cuáles son los controles que esperan para ayudarles a obtener visibilidad e incluso detectar que este tipo de ataque se está produciendo. ¿Cuáles son los controles que tienen desde una perspectiva de prevención?

08:43 Rob Diagan: Y vamos a entrar y ayudarlos a visualizar realmente ¿cuáles son todos los componentes que están relacionados? Incluso si esto no está desarrollado, estamos ayudando a las organizaciones a traza la arquitectura y el diseño de estos componentes para que puedan verse holísticamente desde una perspectiva roja de trabajo en equipo y responder a la pregunta, ¿dónde están nuestros límites de confianza previstos? ¿Dónde están las áreas en las que sentimos que vamos a querer desencadenar una respuesta ante incidentes? Y luego ayudarlos realmente a visualizar en un gráfico de ataque lo que vemos desde la perspectiva de un atacante. ¿Cuáles son los TTP del marco MITRE ATT&CK que estamos utilizando para pivote cada vez que ejecutamos ataques en estos entornos, y dónde están sus oportunidades de mejora? Los estamos ayudando a visualizar en este gráfico como llegamos a este sistema con este acceso. Pivotamos a otro sistema, nos encontramos con un control aquí o no encontramos un control que esperábamos, y esto tal vez se convierta en una oportunidad de mejora. O donde nos encontramos con un control, aquí es donde tuvimos que tomar otro camino, y los estamos ayudando a entender realmente dónde hay detecciones parciales, dónde hay prevenciones parciales, pero tal vez hubo una falta de visibilidad aquí o hubo una configuración errónea que podrían mejorar.

09:35 Rob Diagan: Y creo que muchos equipos están ansiando ver eso desde la perspectiva de un atacante. E incluso estamos entrando en los detalles de que hicimos nuestro propio marco de implantes de malware que tiene una capacidad de registro en diario. Y entonces en realidad estamos grabando cada vez que estamos en un sistema esta es la fecha y la marca de tiempo en la que ejecutamos este comando exacto para que el equipo azul luego pueda ir a estudiar si... ¿somos capaces de correlacionar en nuestro Splunk o en nuestros otros registros que vimos esa actividad, o es esto algo que no hay un uso legítimo para eso, así que queremos poder activar eso como un nuevo evento que ocurre en nuestra respuesta a incidentes?

10:09 Raghu Nandakuma: Como que quiero preguntar con una pregunta muy básica para pagar por lo que acabas de decir. A menudo, cuando hablamos de TI, la amenaza de TI, OT, IoT, a menudo es como bien, el enfoque está en ese límite de TI y OT. Donde ocurre esa interconexión y supongo que la representación simplista del riesgo es el compromiso de TI conduce al compromiso de la red OT, conduce, digamos, a una parada de fabricación o a que una organización de salud no sea capaz de brindar servicios al paciente. Pero estoy seguro de que la amenaza o riesgo real es significativamente más complejo que eso e incluso es esencialmente un compromiso de la red OT en sí misma sin ninguna interacción con TI. Esa es una amenaza real. Entonces, ¿qué ve como una mejor representación de cuáles son las amenazas reales?

11:00 Rob Diagan: Si. Estamos viendo que las organizaciones quieren realmente profundizar en... En algunos casos estamos bajando a probar el firmware en esos dispositivos y realmente tratando de entender cuáles son los componentes de terceros que la organización tal vez no tuvo un papel en la construcción, pero que ahora tiene la responsabilidad compartida y la seguridad de su uso de esos componentes. Estamos viendo que a menudo es donde anteriormente no estaban haciendo pruebas y análisis, pero ha salido a la luz especialmente con el enfoque en el riesgo de la cadena de suministro y especialmente con el enfoque en que ese podría ser nuestro punto más débil y anteriormente no lo estábamos probando y tratando de descubrir vulnerabilidades con él. Pero ese podría ser el eslabón más débil para comprometer ese dispositivo. Y las amenazas son... Entonces los atacantes están estudiando estos componentes de uso común en estos dispositivos. Tal vez sea un conjunto de chips que tiene problemas inherentes que van a estar ahí fuera en la naturaleza durante años y que en realidad no se pueden solucionar. Entonces lo están mirando desde, si tengo un exploit para ello, esto va a afectar a todos esos dispositivos que pueda encontrar y ver en internet. Y las organizaciones necesitan saber la respuesta a esa pregunta de si están poniendo en marcha otras mitigaciones o planear para eso si es algo que va a vivir ahí por docenas de años.

12:02 Raghu Nandakuma: Y en realidad tocaste algo que... Sé que estábamos fuera de línea. Estábamos teniendo una conversación sobre cómo como equipos de seguridad ofensivos y vendedores que sí tienen la oportunidad de esencialmente recoger tecnologías nuevas o diría, muy antiguas y simplemente sumergirse profundamente en ellas. Y creo que el espacio OT es un gran ejemplo de donde hay una gama tan diversa de tecnologías. Cada fabricante hace lo suyo en gran medida. Entonces, tener que profundizar en ellos debe ser una parte realmente desafiante pero también fascinante del papel.

12:31 Rob Diagan: Es. Se vuelve divertido. A menudo tenemos la oportunidad de... Voy a dar un ejemplo donde trabajamos con una compañía eléctrica. Y tenían preocupación por el riesgo de sus subestaciones que estaban por toda una región de Estados Unidos. Y los dispositivos que están en esas subestaciones son de los años 90. Los protocolos que utilizaron fueron diseñados sin seguridad en mente, todo lo contrario de Zero Trust. Son de plena confianza. Están de confianza cualquier cosa que hable de esto, no hay autenticación, autorización, ni siquiera hay concepto de una identidad. Y pudimos entrar y ayudar en un entorno de laboratorio a estudiar cómo funcionan estos, estudiar ese protocolo que no se ha actualizado en décadas y, de hecho, mostrar cómo podríamos enviarle comandos para activar y apagar los interruptores de realmente encender y apagar la energía hasta el punto en que esté en corto y completamente roto y apagado, lo que poder afectar eso en nuestra red sería una falla catastrófica completa de la red eléctrica.

13:31 Rob Diagán: Y.. pero estamos entrando y ayudando a nuestros clientes a entender realmente eso, demostrar ese riesgo para que puedan planificar sus mitigaciones en torno a él y luego puedan obtener el enfoque de sus equipos y su aceptación ejecutiva, de hecho sé que necesito hacer algo al respecto. Y tener esa prueba y tener esa evidencia de que esto es posible ayuda a influir en el presupuesto y los recursos para, “Necesitamos poner otros controles mitigantes en torno a esto, necesitamos asegurarnos de que este dispositivo no se pueda hablar remotamente desde otras cosas en nuestra red”, y realmente diría segmentarlo y poner en la lista blanca lo que le está hablando.

13:58 Raghu Nandakuma: Entonces mencionaste esa palabra Zero Trust, así que vamos a llegar a eso en un segundo. Este es un podcast de Zero Trust después de todo. Pero quería hacerlo justo antes de dejar todo el tipo de espacio de seguridad OT/IoT y pasar a otras cosas, obviamente ha habido un gran desarrollo en lo que los proveedores de seguridad están haciendo para asegurar mejor OT e IoT. Y hay una plétora de vendedores que de alguna manera se enfocan en algún aspecto de eso. En su opinión, ¿cuál es la necesidad clave sobre todo para asegurar mejor OT e IoT?

14:30 Rob Diagan: Creo que ayudar con la usabilidad de hacer que sea más fácil aplicar la seguridad en algunos de estos dispositivos que no tienen seguridad incorporada o que no fueron diseñados con seguridad en absoluto. Si hay un problema que resolver, está haciendo que sea más fácil aplicarlo. Si no es fácil, entonces no va a ser fácil.

14:48 Raghu Nandakuma: Si. Absolutamente. Bien. Muy bien. Cambiemos un poco de marcha. Mencionaste el término Confianza Cero. No lo hice. Bien. Entonces, ¿qué significa Zero Trust para usted como profesional de seguridad?

15:00 Rob Diagan: Si. Desde mi perspectiva, es esa capacidad de autenticar y autorizar esta acción. Es donde cada acción que está sucediendo en el ambiente y en los sistemas, es que podemos, con confianza, entender quién está haciendo esto, cómo lo están haciendo y está autorizado.

15:16 Raghu Nandakuma: Bien. Entonces ahora como en tu rol como seguridad ofensiva y lo que hace Bishop Fox, ¿qué tipo de conversaciones estás teniendo que sean directas sobre Zero Trust? ¿Sale en compromisos, y nos habla un poco sobre cómo sucede eso? ¿Cuáles son los puntos de discusión que está teniendo y cuáles suelen ser los resultados?

15:36 Rob Diagán: Si. Surja en conversaciones cuando diría que los clientes sienten que han hecho una inversión en el área. Y honestamente, casi siempre seguimos viendo como un entorno híbrido. Si alguien dice: “Bueno, hemos implementado un entorno de confianza cero”, todavía suele haber algunas cosas híbridas que no siguen esos principios. Y surge mucho cuando nuestros clientes quieren empujar los límites de su equipo o quieren ver y entender sus puntos ciegos en su entorno en base a los controles y la inversión que han realizado en la implementación de ese tipo de marco. Tendremos tal vez un CISO que diga: “He implementado la lista blanca de aplicaciones. ¿Qué harías para eludir eso en mi entorno?” Y así estamos construyendo escenarios en los que vamos a decir: “Bien. Si nos pusieras en el sistema de un empleado o en una computadora portátil, vamos a asumir una violación de eso con algún malware que se haya instalado”. En realidad pasando por y emulando lo que harían los atacantes reales, como la inyección DLL en una aplicación que tiene permiso para acceder a otra parte del entorno.

16:32 Rob Diagan: Y luego estamos asumiendo ese rol y esa identidad de esa aplicación y ahora estamos en la lista blanca pero le hemos inyectado malware que puede ayudarnos a realizar cualquiera que sea nuestro objetivo o ayudarnos con más acciones maliciosas. Y luego a partir de ahí, es lo que otros controles están en marcha para detectar o mitigar el riesgo. Pero realmente quieren que los llevemos a través de esos escenarios para que puedan practicar y ver si tienen otros desencadenantes u otros eventos que los van a ayudar en su capacidad de respuesta a incidentes.

16:57 Raghu Nandakuma: Entonces, ¿qué aspecto tiene entonces la recomendación? Porque es como... Porque se siente como un atacante, tienes una especie de capacidad para probar todo tipo de cosas. Y como cliente hay un conjunto finito de cosas en las que se enfocan y dicen: “El resto, acepto el riesgo”. Entonces, ¿cómo guía a sus clientes para que digan que esto es importante?

17:20 Rob Diagan: Mucho de eso se vuelve muy específico a donde se encuentran en su nivel de madurez. Y si un cliente ya tiene lista blanca de aplicaciones, es más maduro que la mayoría. Les está ayudando entonces a entender qué otros controles tienen y dónde está la oportunidad de atrapar al atacante, porque ya han aumentado la cantidad de tiempo y esfuerzo y recursos que el atacante tuvo que gastar para lograrlo. Si tuvieran que encontrar una aplicación que esté en la lista blanca, busque una manera de inyectar en ella y luego asumir la identidad de esa aplicación y ese usuario que la está ejecutando. Es lo que otras cosas podrían haber hecho en el entorno o qué otros pasos y comandos que ejecuta el atacante para que puedan desencadenar un evento y contener y erradicar la amenaza. Por lo tanto, a menudo estamos ejecutando esos escenarios de manera continua para ayudarlos a seguir practicando, ayudarlos a identificar nuevas oportunidades. Y no es entonces simplemente confiar en ese único control. Se ve holísticamente. Es como qué más tenemos disponible para nosotros que sea un indicador de compromiso en el que podríamos desencadenar ese evento.

18:19 Rob Diagán: Y en realidad estamos ayudando a nuestros clientes en muchos casos a empujar eso aún más para tener una mejor comprensión de cuáles son sus indicadores de exposición y cuáles son sus indicadores de vulnerabilidad para que podamos... Tal vez eso incluso esté comenzando con probar ese dispositivo OT en el que confían que es crítico para su entorno o tal vez eso es probar algunas de las aplicaciones que están usando para entender, ¿tiene siquiera esa vulnerabilidad o esa debilidad que puede abordar y corregir para que un atacante no pueda aprovecharlo como parte de una mayor cadena de ataque?

18:46 Raghu Nandakuma: Porque creo que en lo que estás diciendo realmente que la educación para los clientes de toda su organización de seguridad es algo tan importante porque se siente como que el conjunto de habilidades que ahora se requiere para ser un profesional en el ciberespacio es muy diferente a lo que era incluso hace cinco años donde ahora hay un énfasis real en: “¿Entiendes la naturaleza de la amenaza? ¿Y entiende cómo va a progresar un atacante?” Creo que hubo una especie de plática justo antes de hoy de uno de mis colegas que es realmente sobre “pensar como un hacker para construir una mejor resiliencia”. Entonces, ¿cómo ve que se está produciendo ese aumento en el conjunto de habilidades en su base de clientes?

19:27 Rob Diagán: Si. Estoy viendo a mucha gente que está dispuesta a adoptar pruebas más proactivas y pruebas continuas y siempre está reevaluando cuál era el escenario o cuál era el objetivo de la prueba y adaptándola y mejorando a cualquier resultado que estén tratando de lograr. Estoy viendo mucha más gente que es... Los ingenieros de seguridad ahora están en equipos azules que también entonces quieren participar en esos ejercicios de equipo rojo y en esas pruebas y estar involucrados y realmente entender cómo pueden aprender a aplicar esas técnicas mientras construyen y en sus modelos de amenazas. Y veo que la gente que está haciendo eso de manera más regular está madurando más rápidamente. Y si no están factorizando esas pruebas a lo que han implementado, entonces puede haber largos periodos y largas brechas de donde hay una susceptibilidad que sigue siendo desconocida.

20:14 Raghu Nandakuma: Entendido. Entonces, moviéndose un poco, ¿qué está viendo como áreas clave que necesitan un tipo significativo de inversión, que ahora están apareciendo en los últimos, digamos, 12 meses?

20:26 Rob Diagan: Si. Todavía veo a mucha gente que viene a nosotros en busca de ayuda para comprender su superficie de ataque. Entender... Y donde vamos a ver que esto va a ser no solo superficie de ataque externa, va a ser, superficie de ataque de aplicaciones autenticada. Va a ser superficie de ataque de redes internas y privadas. Los entornos en la nube, la superficie de ataque de VPC y todos los sistemas interrelacionados, incluso a través de su cadena de suministro y los proveedores que tienen en su entorno. Todavía hay un... Esto es en lo que veo gente tratando de enfocarse porque especialmente en la empresa donde tan pronto como tienen una adquisición, se siente como un revés.

21:04 Raghu Nandakuma: Si.

21:04 Rob Diagan: Un equipo de seguridad que está tratando de controlar lo que han tenido para su entorno principal, pero que ahora han adquirido esta compañía y está tratando de darle sentido a lo que tienen que proteger. Creo que vamos a seguir viendo inversión en conseguir una mejor definición de, como esos cambios están sucediendo y están sucediendo a diario, lo que... Obtener visibilidad sobre ellos, y luego poder probarlos proactivamente para detectar indicadores de vulnerabilidad y poder luego decidir cuál de ellos importa primero. Y veo que mucha gente pide ayuda con la prioridad de remediación. “Tengo tantas cosas que podría arreglar, ayúdame a decidir qué arreglar primero”. Y sigo pensando que la mejor manera de hacerlo es probarlo a fondo y demostrar realmente el impacto de explotarlo. Y si no puedes hacer eso, si no puedes demostrar eso... Creo que hay un problema aquí, esto podría ser vulnerable, pero en realidad ¿cómo se ve? ¿Es posible explotarlo o bien factores atenuantes y si se explota, cuál es el impacto real? ¿Qué datos crees que te sacan de ahí? Tener esa pregunta respondida ayuda a decidir en qué se convierte esa prioridad luego en arreglarla.

22:11 Raghu Nandakuma: La pregunta es, ¿cómo se inyecta entonces también en eso, cuál es la probabilidad de que se vaya a explotar? Porque como seguridad ofensiva.. claramente tienes... esencialmente, te han pedido que vayas y hagas algo. Entonces, ¿cómo se asigna la probabilidad, porque ese es casi el factor clave en ¿elijo X o elijo Y cuando solo tengo que elegir uno de los dos?

22:33 Rob Diagán: Si. De hecho, hemos evolucionado nuestras calificaciones de gravedad en nuestros informes para, yo diría, ser un poco más selectivos sobre lo que estamos asignando crítico, lo que probablemente sea contrario a lo que tal vez estén haciendo muchos otros proveedores. Están manejando como, “No. Todo es crítico. Todo es rojo”. Estamos viendo que nuestros clientes realmente quieren que le echemos un vistazo más de cerca a eso y escudriñemos mucho más si merece ese nivel de atención. Y lo estamos haciendo mucho basándonos en, volviendo a esos, “¿Es esto algo que un atacante oportunista podría explotar sin autenticar que no tiene necesidades, sin factor de acceso inicial o sin forma de asumir el rol de un empleado? O es esto algo que va a ser más una amenaza interna no intencional o intencional que está más motivada, que ya tiene credenciales y que fue capaz de encontrar esta vulnerabilidad en comparación con esta es una cadena compleja de varios pasos que hemos descubierto, pero podría haber una oportunidad para evitar eso si solo soluciona este problema”. Y entonces tomamos una lente en la que realmente estamos enfocados en lo que creemos que es la remediación o solución más efectiva o si hay controles mitigantes que se pueden poner en marcha. Estamos factorizando eso en la forma en que estamos haciendo una recomendación sobre la prioridad para arreglarlo.

23:42 Fecha de la siguiente fecha: Lo tengo. Y ese es un muy buen punto para que me dé cuenta. Y los últimos 12 meses, si ha habido temas consistentes dentro de lo reportado en la prensa de seguridad. Uno de los temas ha sido el ROI. ¿Cómo hacen sus apuestas las organizaciones cuando tienen limitaciones presupuestarias? Y ahora, más que nunca se les pide que justifiquen el ROI de las inversiones en seguridad. Y yo estaba hablando con un invitado hace unas semanas cuya posición al respecto era que los equipos de seguridad no deberían... El ROI no debería ser algo que deba exigir de sus inversiones en seguridad. El valor está en términos de cuál es el riesgo que reducen. ¿Cuál es su opinión, cuando piensa en el valor, son solo los beneficios de seguridad o también es todo el TCO de la solución?

24:32 Rob Diagan: Me alegra que hayas dicho costo total de propiedad. Creo que muchas veces, las inversiones en seguridad se hacen a partir de la compra de un producto o solución en particular y no está claro cuál va a ser el costo total de propiedad. Y no está claro hasta que tal vez esté profundamente en las fases de implementación y profundamente en su uso, cuánto trabajo está generando esto para el equipo y cuánto trabajo está poniendo en ellas. Y eso, en última instancia, podría llevar a que las cosas se perdan. He visto casos donde... Entramos después de que hubiera ocurrido un incidente para ayudar a probar una aplicación y ellos estaban tratando de entender la causa raíz de cómo se cargó un shell web a través de esta aplicación PHP. Y en realidad había... Durante 13 meses, antes de eso, hubo un hallazgo crítico rojo en la herramienta de análisis estático que están usando de que esto es vulnerable, pero había sido cerrado y seleccionado por un desarrollador que dijo: “No creo que sea explotable”. Pero fue... Tal vez ese desarrollador no tenía la experiencia para entender cómo explotar ese problema. Y a lo mejor no deberían haber sido ellos los que tomaban esa decisión.

25:28 Rob cuenta: Pero el equipo tal vez no tenía la seguridad, la experiencia o el tiempo para ayudar a responder esa pregunta. Y entonces habían invertido en un producto, consiguieron el reporte que decía que algo era vulnerable, accidentalmente lo ignoraron y luego aún tenían una brecha. Pero creo que no era entender cuál sería ese costo total de propiedad para tener la experiencia, para ayudar realmente a responder esas preguntas. Y ahí es donde se busca tal vez una solución al problema, y a veces puede ser una combinación de servicios y productos, o servicios administrados que ayuden a lograr el resultado completo real del problema en el que está trabajando, en lugar de tener que tener a la gente de su equipo parte de eso.

26:05 Raghu Nandakuma: Y esa es una perspectiva realmente interesante porque es... Y en realidad es como la primera vez que escucho esa perspectiva porque se trata de, si realmente no entiendes el problema que estás tratando de resolver, entonces tu capacidad para asignar o decir: “Este es mi TCO ideal”. De hecho, estás adivinando lo que debería ser, ¿verdad? Porque se hace con información incompleta. Y luego dijiste, y una parte de eso es entender que probablemente necesites complementar los conjuntos de herramientas con servicios y tal vez ofertas de terceros que complementen eso. Entonces, dentro de eso y para proporcionar un mejor TCO de sus inversiones, ¿qué papel cree que es un tipo de ofertas de seguridad ofensivas, ya sea gente como usted o estas suites de pruebas automatizadas que ahora están en todas partes, qué papel juegan?

26:58 Rob Diagan: Creo que todavía estamos muy en una fase donde la automatización no está ahí para hacer el trabajo por completo y eso va para la mayoría de las cosas. No sólo en seguridad, sino que estamos trabajando en ello. Va a ser algo de lo que sigamos empujando los límites durante muchos años por venir. Creo que traer y tener un plan para su experiencia que va a utilizar esa automatización, ya sea que esté comprando un producto que esté ayudando con las pruebas automatizadas, todavía va a haber salida de eso, sobre eso alguien va a tener que tomar una decisión. Y creo que hay una oportunidad para decidir si es alguien que está en casa en tu equipo o es alguien con quien vas a asociarte y confiar que es un tercero.

27:31 Rob Diagan: He visto que mucha gente necesita esa ayuda para escalar, especialmente si las personas de su equipo usan tantos sombreros que tal vez no tienen tiempo para concentrarse en la producción de una herramienta en particular o sienten que tal vez sí tenían personas en su equipo que ya no están allí. Y es como un plan... Supongo, planificar esa resiliencia y el modelo de organización de seguridad. Si tuviéramos una persona que estaba manejando estas tres herramientas que compramos y se van, ¿qué pasa? ¿Eso se convierte en estanterías o tenemos un plan para quién va a ser su backup para mantenerlos usando? Veo que ahí es a menudo donde nuestros clientes vienen a nosotros y nos dicen: “Necesitamos ayuda. Mira, necesitamos un probador o alguien con experiencia que nos ayude realmente a llegar al resultado y no solo tener una herramienta”.

28:11 Raghu Nombre: Muy bien. Y nuevamente, solo quiero resumir que para los espectadores y los oyentes, es para poder entender realmente como vas a obtener ROI o cómo vas a calcular el TCO, primero necesitas determinar si tienes las habilidades disponibles para obtener el valor total de las inversiones existentes o nuevas inversiones. De lo contrario, nunca vas a ser capaz de darte cuenta de su beneficio. Tienes esos retos de poder justificar por qué no sacaste valor de algo. Sé que solo nos quedan unos minutos. Tiempo de la bola de cristal, ¿verdad? Miras a tu bola de cristal del futuro, ¿verdad? ¿Qué es lo que te emociona? ¿De qué tienes miedo? ¿Del panorama cibernético?

28:50 Rob Diagan: Personalmente, estoy realmente emocionado y he estado sumergéndome profundamente en el espacio modelo de lenguaje grande. Hay mucho, creo, de ambos bombo en torno a esto, pero hay mucho optimismo y cierta preocupación en torno al riesgo. Y yo personalmente, sin embargo, en algunos de los prototipos que he estado construyendo con él, en realidad soy muy optimista en lo fácil que será lograr ciertas cosas que antes eran realmente desafiantes. Yo sí creo que vamos a estar en esta fase donde... De hecho leí un libro no hace mucho sobre esto que recomendaría si alguien está interesado en esto llamado, “The Missing Middle”. Y se trata de donde el humano y la máquina se unen y en qué es buena la máquina y en qué es el bien humano. Y esencialmente esboza un marco sobre cómo trabajar juntos y poder hacer más. Y creo que vamos a estar en esta fase sin embargo, por aún el futuro previsible, que estamos averiagando eso y estamos... Y qué sale mal en la implementación de eso, pero en realidad estoy... Yo diría que estoy más del lado optimista de que esto va a abrir muchas puertas.

29:48 Rob Diagan: Lo hemos estado usando para identificar realmente la propiedad de los activos como parte de esa pregunta de superficie de ataque. Y es algo donde la entrada en el... Muchas veces para esas preguntas es completamente desconocido o podría ser completamente diferente. Es cualquier cosa que esté en internet para escribir como una aplicación tradicional para ayudar o API para responder a esa pregunta es realmente desafiante porque no sabes cuál va a ser la entrada. Pero tener algo que te ayude a analizar y leer la entrada y luego reunir evidencia al respecto y luego ayudarte a responder preguntas al respecto para tal vez la siguiente etapa en tus flujos de trabajo y tus procesos es para mí realmente emocionante. He visto como un gran avance ahí.

30:20 Fecha de la siguiente fecha: Creo que solo volviendo a lo que dijiste del libro, ¿verdad? Creo que eso es lo que esa reunión en el medio es realmente donde deberíamos estar enfocándonos porque creo que demasiado pronto como viene la discusión sobre IA, y ahora con el LLM, de nuevo, vuelve a eso, ¿verdad? En qué momento la IA será mayor que la inteligencia humana y luego ese tipo de cosas de máquinas tomando el control, yada, ya el tipo habitual como el escenario de Terminator 2. Pero pienso absolutamente, creo que al final se trata de converger, ¿verdad? Es en lo que los humanos son óptimos para hacer, y eso es en lo que deberíamos centrar nuestros talentosos esfuerzos y en qué son óptimas las máquinas y la IA de las máquinas, ¿verdad? Porque en última instancia ese es todo el punto de la revolución industrial no era reemplazar a los humanos, sino...

31:06 Rob Diagán: Para optimizarlo.

31:07 Raghu Nandakuma: Para optimizar. Y de esto es realmente de lo que se trata.

31:09 Rob Ragan: Derecha. Y creo que todavía tenemos que estar viéndolo como una herramienta y como una técnica para aplicar. Y creo que cualquiera que se apresura a implementar esto en producción sin ese humano en el bucle o esa manera de golpear como cero para platicar con un operador, eso está pidiendo muchos problemas. Pero creo que es como... Será emocionante ver las formas específicas de la aplicación en que usamos esta tecnología.

31:31 Raghu Nandakuma: Así que solo esté en los LLM, ¿qué tan preocupado está por el envenenamiento por insumos?

31:36 Rob Diagan: Oh. Creo que es un problema muy real. Y por eso me refiero a cualquiera que esté saltando a usar esto en cualquier aplicación de producción o cualquier caso de uso en vivo sin probarlo por formas en que los casos de abuso, está pidiendo muchos problemas y van a tener incidentes y la pronta inyección sigue siendo muy fácil de hacer. O sea, ayer estuve platicando con el CISO que ya lo ha puesto en su perfil de LinkedIn que si hay algún bots de marketing que estén paralizando ahí, su página, tiene una pronta inyección para que haga otra cosa. Y creo que vamos a ver tal vez esas luces... Realmente no hay mucho impacto en eso si la campaña de marketing de alguien no funcionó bien. Pero creo que va a ser interesante ver de qué otra manera se está usando.

32:13 Raghu Nandakuma: Hace unos meses tuve una conversación con ChatGPT sobre Zero Trust y solo estaba agradecida de que todavía sabía solo un toque más de lo que sabía, pero estoy seguro que no está demasiado lejos. ¿Alguna idea final, Rob?

32:24 Rob Diagan: Muchas gracias por tenerme. Creo que esta siempre ha sido una gran conversación contigo, Raghu y, sí espero ver como más de cómo evoluciona este espacio.

32:30 Raghu Nandakuma: Fantástico. Rob, muchas gracias por acompañarnos hoy. Siempre es un placer hablar contigo y sumergirte en tus conocimientos en este espacio. Para cualquiera que esté viendo, escuchando, si le interesa la seguridad ofensiva y engancharse con los expertos en este espacio, vaya y compruebe www.bishopfox.com. Rob, muchas gracias de nuevo. Gracias a todos por acompañarnos hoy. Disfruta de RSA.

32:53 Raghu Número de datos: Gracias por sintonizar el episodio de esta semana del Segmento. Para obtener aún más información y recursos de Zero Trust, consulte nuestro sitio web en illumio.com. También puedes conectarte con nosotros en LinkedIn y Twitter en @illumio. Y si te gustó la conversación de hoy, puedes encontrar nuestros otros episodios donde sea que consigas tus podcasts. Soy tu anfitrión, Raghu Nandakumara y volveremos pronto.

‍