A medida que evoluciona la ciberseguridad, también debería hacerlo su directorio

En asociación con Cortex Xpanse de Palo Alto Networks





Pero, ¿cuántos directores se pierden en los tecnicismos de la tecnología? El desafío para un director de seguridad de la información (CISO) es hablar con la junta directiva de una manera que pueda comprender y apoyar a la empresa.

Los titulares de violaciones de datos, los abogados, las demandas y los administradores de riesgos están perforando las cabezas de los directores de la junta y la alta gerencia: la seguridad cibernética es de alto riesgo. Tiene que estar en la lista de las principales prioridades de una empresa.



Niall Browne, vicepresidente sénior y director de seguridad de la información de Palo Alto Networks, dice que puede considerar la discusión de la junta directiva de CISO como un argumento de venta clásico: los CISO exitosos sabrán cómo cerrar el trato al igual que lo hacen los mejores vendedores. Eso es lo que hace a un vendedor realmente bueno: la persona que tiene el tono para cerrar, dice. Tienen la capacidad de cerrar el trato. Así que piden algo.

Durante mucho tiempo, dice Browne, los CISO han tenido dos grandes problemas con los directorios. Primero, no han podido hablar el mismo idioma para que la junta pudiera entender cuáles eran los problemas. El segundo problema: no había pedido. Puede ir frente a una junta y hacer su presentación, y los directores pueden parecer que están de acuerdo, asintiendo o sacudiendo la cabeza, y puede pensar para sí mismo, Trabajo hecho. Están actualizados. Pero eso no significa necesariamente que la postura de seguridad de la empresa sea mejor.

Por eso es importante que los CISO eleven la comprensión de la junta hasta el nivel en el que sepan qué se necesita y por qué. Especialmente cuando se trata de nuevos avances en ciberseguridad, como la gestión de la superficie de ataque, que es probablemente una de las áreas en las que menos se enfocan los CISO y, sin embargo, es la más importante, dice Browne. Por ejemplo, muchas veces el CISO y el equipo de seguridad no pueden ver la madera de los árboles porque están muy involucrados. Y para hacer eso, los CISO necesitan un conjunto de métricas para que cualquiera pueda leer un tablero y, en cuestión de minutos, comprender lo que el CISO está tratando de transmitir, dice Browne. Porque en su mayor parte, los datos están ahí, pero no hay contexto detrás de ellos.



Este episodio de Business Lab se produce en asociación con Palo Alto Networks.

Completo transcripción :

Laurel Ruma : De MIT Technology Review, soy Laurel Ruma, y ​​esto es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado.

Nuestro tema de hoy es la ciberseguridad y la responsabilidad corporativa. En los últimos años, la seguridad cibernética se ha convertido en una preocupación a nivel de directorio con reputación dañada, pérdida de ingresos y enormes cantidades de datos robados. A medida que crece la superficie de ataque, los directores de seguridad de la información tendrán una responsabilidad cada vez mayor para saber dónde esperar el próximo ataque y cómo explicar cómo sucedió.



Dos palabras para ti: visibilidad de afuera hacia adentro.

Mi invitado es Niall Browne, vicepresidente sénior y director de seguridad de la información de Palo Alto Networks. Niall tiene décadas de experiencia en la gestión de programas globales de seguridad, cumplimiento y gestión de riesgos para instituciones financieras, proveedores de la nube y empresas de servicios tecnológicos. Está en el consejo asesor de CISO de Google.

Este episodio de Business Lab se produce en asociación con Palo Alto Networks.



Bienvenido, Niall.

niall browne : Excelente. Gracias, Laurel, por recibirme.

Laurel : Entonces, como director de seguridad de la información, o CISO, usted es responsable de proteger tanto los productos de Palo Alto Networks como la propia empresa. Pero no está asegurando cualquier empresa antigua; está asegurando una empresa de seguridad que protege a otras empresas. ¿Cómo es eso diferente?

Niall : Sí, eso creo, lo hermoso de Palo Alto Networks es que somos la empresa de ciberseguridad más grande del mundo. Así que realmente podemos ver lo que muchas empresas nunca llegan a ver. Y si lo piensas bien, una de las cosas clave es que el conocimiento es poder. Entonces, cuanto más sepa acerca de sus adversarios, qué están haciendo, qué métodos están intentando en la red, cuáles son los controles que funcionan y cuáles son los controles que no funcionan, mejor podrá crear su propio interno. estrategia para ayudar a proteger contra esos ataques continuos. Y está en una posición mucho mejor para poder proporcionar esos datos a la junta para que puedan garantizar que se implemente la supervisión adecuada.

Así que ciertamente para nosotros, con ese nivel de conocimiento de lo que vemos en nuestras redes, eso realmente nos da la oportunidad de innovar continuamente. Entonces, tomando nuestros productos y construyendo continuamente sobre ellos, para que podamos cumplir con los requisitos del cliente y luego con los requisitos de la industria. Así que creo que esa es probablemente la primera parte. La segunda parte es que realmente estamos juntos en este barco. Entonces, parte de mi trabajo es hablar continuamente con personas de la industria y compañeros CISO, CTO, CIO y CEO para hablar sobre la estrategia de seguridad cibernética. E invariablemente, encontrará que los mismos problemas que ellos tienen son exactamente los mismos problemas que tenemos nosotros. Entonces, para nosotros, es realmente la oportunidad de compartir, cómo nos aseguramos de poder innovar continuamente, marcar una diferencia en la industria y colaborar realmente de manera continua con los líderes de la industria. ¿Especialmente centrándonos en cómo protegemos nuestro negocio y proporcionamos las mejores prácticas sobre cómo las empresas podemos estar más seguras?

Laurel : Entonces, algunas personas pueden sorprenderse de que la colaboración y este tipo de intercambio abierto de conocimientos sea tan frecuente, pero no debería ser así, ¿verdad? Porque, ¿de qué otra manera van a defenderse todos colectivamente contra los atacantes desconocidos?

Niall : Gran pregunta. Y si lo miras del otro lado de la cerca, los hackers están compartiendo continuamente. Aunque están compartiendo para obtener ganancias financieras. En otras palabras, robarán datos y los revenderán y revenderán y revenderán y revenderán. Los piratas informáticos comparten continuamente esos datos, incluidos los kits de herramientas de bricolaje. Y en el lado de la seguridad de la casa, históricamente siempre ha existido esa sospecha heredada. En otras palabras, soy la única persona que tiene este problema de manera única. Y si comparto este problema, pensarán que no estoy haciendo un buen trabajo o que la empresa no está haciendo un buen trabajo, o que soy la única persona que tiene este problema específico. Y lo que sucedió con el tiempo es que los CISO no compartían muchos datos, lo que significa que los piratas informáticos compartían datos de derecha a izquierda y al centro. Pero en el lado del CISO de la casa, en el lado de la protección, había muy poca colaboración, lo que significaba que ahora tenía limitadas mejores prácticas compartidas de la industria.

Cada CISO estaba en su propio silo, en su propio pilar, haciendo lo suyo propio y único, y todos estaban aprendiendo de sus propios errores. Así que era realmente un modelo uno a uno. Cometes un error y luego cometes otro error, y luego cometes otro error. Sin embargo, si pudiera hablar con su compañero, imagínese en negocios o finanzas, está hablando continuamente con el CTO y el CFO para decir: Ah, por cierto, ¿cómo manejó tal o cual problema? Así que ahora veo que la industria comienza a cambiar. Los CISO ahora están comenzando a cambiar y compartir. Están continuamente hablando de estrategia. ¿Están continuamente hablando de cómo protegen su medio ambiente? Están hablando de, ¿cuáles son algunos de los buenos modelos de negocios que funcionan?

Y si miras al MIT, hay modelos industriales, técnicos y comerciales que realmente funcionan en otras industrias. Pero luego, si miras en la propia comunidad de CISO, es como, ¿cuáles son esas mejores prácticas de la industria? Y ahora solo están comenzando a formularse, burbujear a partir de ahí. Y lo que estoy viendo, ciertamente en los últimos, diría tres o cuatro años, hay un tremendo crecimiento en los CISO en relación con el aprendizaje de las mejores prácticas de la industria y realmente mejorando su conjunto de habilidades. Así que simplemente no son ese geek técnico en la esquina. Realmente necesitan ser capaces de hablar sobre tecnología comercial, ser capaces de hablar términos comerciales y realmente ser capaces de ser vistos como ese compañero cercano al CTO, al CIO, al CEO en relación con la resolución de problemas comerciales.

Porque si lo piensa desde la perspectiva de la ciberseguridad, al final del día, es solo un problema comercial. Y si se trata de un problema comercial, debe aplicar soluciones comerciales estratégicas para resolver esos problemas. En lugar de hablar sobre la versión de antivirus que tiene, realmente necesita mejorar la conversación, de modo que, cuando hable con la junta, cuando hable con el mismo ejecutivo de nivel C, no estén tirando su ojos en el aire. Ellos entienden que estás hablando el mismo idioma de negocios que ellos. Lo que significa, de nuevo, que si es un socio comercial de confianza, entonces puede marcar una gran diferencia en la empresa, en lugar de ser visto como el líder de TI junior en la organización al que alguien solo acude si nos piratean. o si una copia de seguridad falla, o si una Mac está rota.

Laurel : Me gusta mucho esa analogía... el crecimiento de la posición en sí. Como dijiste, en realidad eleva este rol a la mesa de la junta porque es un problema comercial con una posible solución comercial. Pero, ¿cómo pueden las juntas tomar mejores decisiones a cambio? Luego, también tendrá que traer algunos datos e información y algo para ayudar a la junta junto con todas las demás decisiones que deben tomar en toda la empresa.

Niall : Y esa es la clave, es que la mayoría de las personas, cuando lo miran, son ventas clásicas. Puede tener al mejor vendedor en el negocio, pero a menos que tenga el cierre, y el cierre es la pregunta. Aquí hay un gran producto, y quiero vender este producto, es decir, este auto por, digamos, $50,000. Y luego, al final del argumento de venta, ¿comprará el automóvil? Y eso es lo que hace a un vendedor realmente bueno, la persona que tiene la oportunidad de cerrar. Tienen la capacidad de cerrar el trato. Así que piden algo. Así que creo que durante mucho tiempo, los CISO tuvieron dos grandes problemas con la junta. Una es que no pudieron informar los datos correctos a la junta y hablar el mismo idioma en el que la junta podría entender cuáles eran los problemas.

Y luego dos, no había pregunta. Y eso es muy importante porque si vas a un tablero y haces una presentación y todos asienten y sacuden la cabeza y lo entienden, seguro que los has actualizado, pero la postura de seguridad no es mejor. Y si miras una junta clásica, cualquier junta en sí misma, están ahí en un nivel muy, muy alto, obviamente, para servir a la empresa. Entonces, cualquiera de los miembros de la junta o cualquiera de las juntas con las que he trabajado en el pasado, han estado extremadamente dispuestos a ayudar al negocio en sí. Entonces siempre están mirando, Bueno, presentaste X, pero ahora, ¿cómo puedo ayudar? Así que creo que los CISO deben convertirlo en algo más para ser ese vendedor con el cierre. Lo más importante, ¿cuál es mi pregunta?

Y una reunión clásica de la junta, creo que va bien, es sentarse, trabajar con la junta, mostrar un conjunto básico de métricas. Ahora, no desea mostrar métricas en números que no tienen ningún significado para el tablero. Si miras el tablero, el tablero tiene una amplia gama de conjuntos de habilidades. Algunos miembros de la junta pueden ser expertos en cumplimiento, algunos pueden ser líderes empresariales, algunos pueden ser líderes financieros. Así que realmente se trata de cuando te comunicas con la junta, dos conjuntos de cosas. Uno está creando un conjunto de comunicaciones o métricas, y realmente delineando el caso de negocios para que cualquiera pueda leer un tablero y en minutos entiendan lo que está tratando de transmitir. Eso es crítico.

Y luego una segunda parte es que no es una presentación. Cada reunión de la junta debe terminar con tiempo al final para preguntas y respuestas y para preguntar. Y yo diría que una buena reunión de la junta es en la que ni siquiera pasas por la cubierta. Comparte el mazo con anticipación, lo han leído, pudieron comprender su postura de ciberseguridad con solo mirar su mazo. Y luego la reunión de la junta ni siquiera se refiere a la baraja. Es un conjunto simple de preguntas, comentarios de ida y vuelta y luego preguntar. Y la pregunta podría ser: Escuche, ¿podemos enfocarnos más en un área determinada o más recursos? O pueden tener una pregunta para usted también. Entonces, nuevamente, creo que el modelo realmente lo es, comunicar un conjunto básico de datos y luego convertirlo en una conversación con una pregunta colaborativa de ambos lados en lugar de crear un paquete de 30 diapositivas que nadie entiende que lo presentas y luego te quedas sin de la reunión de la junta desde allí. Ese modelo simplemente no funciona, como sabemos.

Laurel : Sí. No para cualquiera, ¿verdad? Entonces, ¿qué métricas específicas informa realmente a la junta y por qué esas métricas son importantes para su junta o cualquier otra junta?

Niall : El problema con cualquier industria, incluida la ciberseguridad, es que a veces hay demasiados datos. Entonces, si observa los estándares de la industria como ISO 27001, es posible que tenga cientos y algo de controles. Si observa FedRAMP, tiene 300 y tantos controles. Si miras COSO o COBIT. Así que no querrás ir al tablero con, Por cierto, aquí hay 2000 controles. Y así es como cumplimos con estos 2000 controles. Porque en su mayor parte, los datos están ahí, pero no hay contexto detrás de ellos. Así que se preguntan si AV está en el 95 % de los puntos finales, ¿es eso bueno? Escaneamos una vez cada, digamos 12 horas, ¿está bien? Entonces son lo que yo llamo métricas sin sentido. No tienen ningún beneficio para la mayoría de las personas de InfoSec, sin importar los líderes a nivel de directorio. Entonces, desde nuestro punto de vista, lo dividimos en conjuntos básicos simples de pilares que podemos medir a lo largo del tiempo.

Y, en general, no desea tener un conjunto de pilares de 25 pilares, porque son demasiados porque no puede medir uno contra 25. Entonces, internamente, generalmente nos conformamos con unas cinco áreas centrales principales en las que nos enfocamos. encendido y medimos contra esos cada vez. Así que uno es, asegurar nuestros productos. La mayoría de las organizaciones ahora están muy, muy centradas en el producto. Entonces, los productos en la mayoría de las empresas se están volviendo críticos, críticos, críticos. Entonces, una cosa que medimos es ¿cómo estamos midiendo? ¿Cómo estamos protegiendo nuestros productos? Y nos calificamos en una escala de cero hasta cinco siendo la máxima madurez.

Ahora, si tiene productos realmente buenos, pero están ubicados en una infraestructura que no es segura, tiene un problema. Entonces, el segundo es asegurar nuestra infraestructura. Y el tercero es detección y respuesta. Entonces, si tiene productos realmente seguros en una infraestructura realmente segura, pero nadie los está mirando y nadie está midiendo o monitoreando el entorno en busca de ataques, entonces tiene un problema. Entonces, para nosotros, su respuesta de detección es la tercera, que es fundamental.

El cuarto entonces es la gente. Y el componente de la gente, es absolutamente... No puedo enfatizar esto lo suficiente porque si no tienes personas que entiendan la seguridad cibernética, entonces tienes un problema central. La gran mayoría de las veces, son las personas las que hacen algo accidentalmente en una empresa, es decir, pueden hacer clic en un enlace de phishing que compromete su red. Entonces, una cosa, lo que llamamos es street smart. Entonces, uno de los cuatro pilares es, ¿podemos hacer que la gente sea inteligente en la calle? En otras palabras, ciberseguridad inteligente, calle inteligente. Entonces, si están caminando por la calle y ven que un extraño parece sospechoso, usa tu instinto. Lo mismo con la ciberseguridad. ¿Cuáles son las cosas simples que deben hacer o pensar en el día a día que pueden proteger a una empresa?

Y luego el quinto es realmente la gobernabilidad. ¿Cómo gobernamos y cómo nos gestionamos a nosotros mismos? ¿Y cómo medimos nuestro éxito? Entonces, si lo miras allí, son cinco pilares simples. Es simplemente producto, infraestructura, respuesta de detección, personas y gobierno. Y medimos de cero a cinco para cada uno de ellos. Entonces, es muy fácil para la junta y para otros miembros ver, ¿cómo estamos en tendencia en esas áreas a lo largo del tiempo? Te permite ir alto, en otras palabras, la vista de mil pies. Y luego, si hay una cuestión de infraestructura, puede ver la medición, el pilar de la infraestructura, y luego puede comenzar a saltar a otras métricas más adelante si lo desea. Pero en realidad, esa es la forma en que articulamos eso, cómo construimos nuestro programa de seguridad. Y eso es algo que creo que resuena muy fuertemente en la junta, porque ahora pueden medirnos en función de entidades conocidas versus métricas sin sentido que en su mayor parte no les dicen nada.

Laurel : Ahora, ¿y si cambiamos eso? ¿Qué tipo de responsabilidad tiene la junta para ser inteligente y tener algún tipo de comprensión fundamental de la ciberseguridad? ¿O asumes eso como tu propia responsabilidad personal de pasar tiempo con cada miembro para asegurarte de que entiendan los fundamentos?

Niall : Correcto. Entonces, para nosotros, se trata en gran medida de tomar un cierto nivel de conocimiento y luego construir sobre ese conocimiento para que al menos todos tengan el mismo nivel de conocimiento. Entonces, un ejemplo es, nuevamente, podría tener a alguien que presida ese comité de auditoría, que sea muy, muy técnico o muy, muy orientado al cumplimiento. Y él o ella puede saber todo acerca de las juntas... auditorías y todos los marcos. Y eso es genial. Y luego, por otro lado, es posible que tenga a alguien que se base más en las finanzas o en la auditoría. Y luego la pregunta es, ¿cómo trabajas para mejorar el conjunto de habilidades de todos?

Y hay numerosas formas diferentes de hacerlo. Son dos cosas. Uno es sentarse con ellos uno a uno y luego brindar un nivel superior de conversación sobre, esto es lo que estamos haciendo. Este es todo nuestro programa de seguridad. Así es como funciona. Así se veía el 2020. Así es como se ve el 2021... así que hacer que todos estén al mismo nivel y construir esa relación es muy, muy importante.

Y vemos continuamente que los miembros de nuestra junta se acercarán a nosotros o nos comunicaremos con ellos para compartir datos, o tendrán una idea en la que no hemos pensado y diremos: 'Bueno, eso es una muy buena idea Incorporémoslo a nuestro programa. Así que creo que eso es muy útil. Y luego la segunda parte es que se trata de contar una historia. Así que una historia y una narrativa. Entonces, si abre un libro y comienza en el lado de la seguridad y comienza en el capítulo final, bueno, eso no es muy convincente. Es como, ¿quién es Jane? ¿Quién es Judy? ¿Quién es Tim? ¿Quién es Tony? No tiene ningún sentido en absoluto.

Y a menudo, eso es lo que sucede en los informes de seguridad cibernética, es que la junta está mirando... y aquí está él o ella que se presenta como CISO y presenta un conjunto de datos y métricas que no entienden y, por lo tanto, no pueden hacer nada con eso. Así que dedicamos mucho tiempo, nuestra primera junta, comenzando con un conjunto básico de principios y luego cada junta después de eso, cada tres meses más o menos, entramos en más detalles gradualmente, a medida que crecemos y construimos esa plataforma de seguridad cibernética, también logran comprender mejor y mejorar su comprensión. Y luego, desde su lado, con ese nivel de comprensión, pueden saltar fácilmente y decir: 'Oh, por cierto, aquí hay un área en la que creo que deberías concentrarte'.

Y en nuestra junta, tenemos algunas firmas de capital de riesgo, obviamente, que son altamente técnicas y tendrán un sesgo en el que querrán que nos concentremos. Quiero decir: 'Claro, incorporémoslo como parte de nuestro programa'. Así que creo que vería esto como una comunicación de la junta como una comunicación de ida y vuelta. No debería ocurrir una vez por trimestre. No debería suceder todos los días, pero ciertamente debería suceder durante todo el trimestre en el que un miembro de la junta tenga una idea y luego pueda incorporarla como parte de sus mejores prácticas.

Ahora, al mismo tiempo, desea que el personal de esa empresa pueda ejecutar operativamente su equipo de seguridad. Pero ciertamente, las ideas que algunos miembros de la junta pueden proporcionar, en algunos casos, son tremendas porque han estado en esa industria durante muchos años diferentes. Y como parte de ese modelo, normalmente habrían visto lo que otras personas nunca antes habían visto. Además, creo que lo que es más beneficioso a partir de ahí, en ciberseguridad, ciberseguridad, nuevamente, es un problema comercial y es un proceso comercial. Entonces, la mayoría de estos miembros de la junta son excepcionales para resolver prácticas comerciales. Tal vez no la ciberseguridad, pero pueden tomar un problema de ciberseguridad y pueden relacionarlo con otras mejores prácticas comerciales y luego aprovecharlo en ciberseguridad.

Y, francamente, creo que ese es el mejor valor que puede ofrecer una placa. Muchas veces, el CISO y el equipo de seguridad no pueden ver la madera de los árboles porque están muy involucrados. Para los miembros de la junta, es un gran tipo de prisma mediante el cual pueden mirarlo desde afuera hacia adentro y pueden brindar información basada en, 'Bueno, espere un segundo, la forma en que está resolviendo este problema se basa en la seguridad cibernética al haciendo un modelo de consultoría, que no funciona o que no escala. En su lugar, debe hacer un modelo de uno a muchos, es decir, solucionar el problema una vez y luego se comparte entre todos sus constituyentes, al igual que hace la nube, el software como servicio. Entonces, esa perspectiva comercial, creo que es algo con lo que realmente disfruto trabajar con una junta, compartir algunas ideas y luego colaborar de un lado a otro. Porque, de nuevo, creo que su visión para los negocios es insuperable. Y si simplemente puede posicionar la seguridad cibernética como un problema comercial, entonces realmente puede construir un aumento muy fuerte de un entorno colaborativo muy rápidamente.

Laurel : Entonces, hablando de su propio ascenso de nivel o mejora de habilidades, ¿cuándo reconoció por primera vez que la gestión de la superficie de ataque era una nueva disciplina separada con la que necesitaba familiarizarse realmente, educar a su junta directiva y luego ayudar al personal y planificarla?

Niall : Buena pregunta. Creo que si observo ASM, o la gestión de la superficie de ataque, esa es probablemente una de las áreas en las que menos se enfocan los CISO y, sin embargo, es la más importante. Y la razón de esto es que, si miras a cualquier pirata informático, si un pirata informático quiere comprometer tu entorno, lo primero que hará es conocer primero tu entorno. Entonces, un ejemplo es, si tiene un ladrón, una vez que ingresa a una urbanización, él o ella a menudo deambulará por la urbanización, eche un vistazo, cuáles son las casas que tienen los contenedores afuera, cuáles tienen la planta baja ventanas que están abiertas, cuáles no tienen luces en el frente de la casa, cuál tiene el perro ladrando?

Así que deambulas. Simplemente todo lo que estás haciendo es un reconocimiento. Un paseo rápido por 20 casas en una urbanización. Tú eliges a los dos. Ahora tienes dos objetivos. Luego regresas más tarde en la noche o regresas mañana por la noche y luego rompes con esos dos. Hecho. Y nuevamente, está viendo la forma en que lo hacen las diferentes industrias. Es fascinante porque si observa una industria, es decir, la seguridad física y luego aplica la ciberseguridad o la aplica a la junta, a menudo hay una gran cantidad de similitudes. Y lo mismo con la ciberseguridad es que, si una empresa quiere comprometer su entorno, generalmente sucederá de dos maneras. Una es que, por lo general, realizan un análisis de la red y analizan su empresa y descubren que su seguridad es débil. Y luego giran la cabeza hacia atrás y dicen: 'Oh, interesante, una puerta trasera está abierta. Voy a centrarme en esta empresa.

O si no dos, lo mismo también, están haciendo un reconocimiento pero ya saben quién eres. Y en este caso, quieren aprender tanto como sea posible para poder comprometerlo en lo profundo de su red. Entonces, antes de piratear el entorno, el componente de reconocimiento es la parte más crítica. De lo contrario, eres un toro en una tienda de porcelana. Te estás precipitando, estás derribando sensores, a la derecha, a la izquierda y al centro. No deberías entrar por la puerta principal, deberías entrar por la puerta trasera. Así que el componente de reconocimiento es crítico, crítico, crítico.

Ahora, si le pregunta a la mayoría de los CISO cuándo fue la última vez que reconocieron su propia empresa, la gran mayoría dirá: 'No tengo ni idea'. Entonces pueden decir: 'Bueno, usamos un escáner de seguridad'. Pero si observa un escáner de seguridad, lo que hace es ir al escáner de seguridad, ha ingresado un conjunto de direcciones IP conocidas que conoce y escanea contra esas direcciones IP. Pero si nos fijamos en eso, esa es la punta del iceberg, porque ¿cómo es el nuevo modelo de la industria? es fluido Atrás quedaron los días en que la ciberseguridad levantaría un cortafuegos y no permitiría el tráfico a través del cortafuegos.

Ahora todo es extremadamente dinámico. Todo está orientado a Internet. Así que ahora tiene Kubernetes, tiene personas activando decenas de miles de contenedores con sus propias direcciones IP externas. Todos son accesibles desde Internet. Tienes a Dev haciéndolo, Stage haciéndolo. Tienes todos los diferentes entornos por venir. Y ahora su superficie de ataque cambia cada minuto de cada día. Algo de eso lo es, porque es genuino. Está permitiendo una dirección IP que está disponible porque hay una razón comercial legítima, pero a menudo lo que sucederá es que las personas harán girar el entorno y de repente estará expuesto a Internet.

¿El equipo de seguridad lo sabe? Likley no, y el CISO no tiene idea al respecto. Por lo tanto, la capacidad, mediante la cual llega a conocer, puede reconocer su entorno o el ASM, o la gestión de la superficie de ataque, es absolutamente crítica. Porque si no lo sabes, no puedes protegerlo. Y luego el problema es que podría activar una dirección IP en GCP o AWS o Alibaba. Podría ser en las instalaciones, ahora todos trabajan desde casa. Entonces mi computadora portátil podría estar expuesta desde Internet. Y si lo observa, lo que siempre sucede en prácticamente todos los ataques, bueno, en su mayor parte desde el alojamiento, comienza en el exterior y se abre camino hacia adentro. Por lo tanto, realmente necesita conocer su superficie de ataque. Necesitas escanearlo todos los días. Debe poder atribuir cuáles son las direcciones IP y los dispositivos que están expuestos.

Un ejemplo simple es que, si observa la última cantidad de infracciones que ocurrieron, es algo simple. La mayoría de las veces, es un clúster que se expuso desde Internet, o alguien permitió como un shell de administración de transporte como SSH o RDP desde Internet, o alguien obtuvo un clúster de Kubernetes y lo expuso desde Internet. En cada uno de estos casos, son solo humanos que cometen errores accidentales. Pero a menudo, esas direcciones IP pueden estar expuestas a Internet durante minutos, días, años, y la seguridad nunca se entera ni se protege contra ellas. Pero al mismo tiempo, el hacker sabe porque está haciendo su trabajo, está haciendo el reconocimiento continuamente. Y ahí es donde veo que este problema que ha existido durante años, ¿cómo sé qué está expuesto a Internet? ahora se está definiendo. Es la gestión de la superficie de ataque. ¿Cuál es mi vista de afuera hacia adentro?

Entonces, por primera vez en la historia, la seguridad cibernética está comenzando a... sabían que había un problema durante mucho tiempo, pero no pudieron articular cuál era el problema, sin importar cuál era la solución. Y ahora estoy viendo el tipo de cambio que, ciertamente en el último año o dos, la gente decía: 'Esto no es un problema por lo que puedo mirarlo y decir, sí, es un problema'. Ahora, tienes que pasar de la idolatría de este problema a, 'Oye, tenemos que arreglar esto'. Porque así es como se están metiendo los hackers. Y ahora veo gente que dice: 'Empecemos a arreglar esto'. Y creo que en el futuro, la gestión de la superficie de ataque será uno de los componentes más críticos de cualquier CISO y su organización. Si no, entonces serán propiedad. Se verán comprometidos y tendrá un impacto devastador en su negocio.

Laurel : Entonces, hablando de eso y de cómo la junta directiva entiende la gestión de la superficie de ataque, la mayoría de los empleados de TI tomarán el camino de, como usted dijo, la facilidad y la conveniencia. Están activando Kubernetes y servidores e instancias en la nube y lo que sea, porque solo necesitan hacer el trabajo. ¿Por qué, cuando tienes una empresa global, es un problema, o debería decir, una oportunidad de resolver cuando pasas por otras necesidades comerciales, como una fusión y adquisición, donde puedes tener dos empresas que se unen y piensas sabes dónde están todos los servidores, pero de hecho, una empresa crece y cambia todos los días. Y ese puede no ser el último conteo, el último conteo confiable. ¿Por qué es una preocupación para los CISO y la junta?

Niall : Así que pienso en esto de dos maneras. Una es conocer la superficie de ataque de su propia empresa. Y luego, dos, para cualquiera de sus adquisiciones, antes de adquirirlas, también necesita saber cuál es su superficie de ataque. Entonces, si le pregunta al 99% de los CISO, 'Hábleme de mi superficie de ataque'. No tendrán los datos para hacer eso. Entonces, déle un ejemplo, en Palo Alto Networks, usamos Xpanse. Y la forma en que funciona es que hay cuatro fases principales en las que pienso en la gestión de la superficie de ataque. Y esto se aplica siempre que esté adquiriendo una empresa o se haya integrado en los últimos 10 años dentro de su organización.

Y la primera parte es, es descubrimiento continuo. Por lo tanto, debe tener la capacidad, y es por eso que usamos Xpanse, de escanear continuamente las 24 horas del día, los 7 días de la semana, los 365 días del año, cada dirección IP en Internet para averiguar qué direcciones IP y qué puertos están abiertos. Entonces, antes que nada, debe conocer todas las direcciones IP y los puertos en Internet. El problema ahí, está bien, pero realmente no te va a dar mucho. Entonces, ¿cuál es la diferencia entre la dirección IP de Palo Alto Networks y la dirección IP de Acme, especialmente cuando cambia cada minuto? Porque todo es dinámico, todo cambia continuamente en internet.

Así que la segunda parte realmente para nosotros es la atribución. Entonces todo está escaneado. Hacemos atribución. Entonces, comenzamos a buscar cada dirección IP, cada servicio, cada usuario en Internet para buscar a esos usuarios, ¿son usuarios de Palo Alto Networks o dispositivos o redes de Palo Alto Networks? Muy crítico porque podemos ver en cualquier momento, si alguien conecta una computadora portátil, en Londres, podemos obtener la atribución de que ese es uno de nuestros dispositivos y redes. Y si esa red y dispositivo abren RDP, un shell remoto de Internet, entonces eso es un problema. O si alguien pone en marcha una red que no tenemos idea de lo que es, y tiene (información de identificación personal) PII o datos de atención médica, eso sería devastador para nosotros para nuestro negocio. Así que pasamos mucho tiempo usando las herramientas, como Xpanse, para el componente de atribución allí.

Tercer componente que observamos, ahora conoce las direcciones IP y los servicios y sabe cuáles son Palo Alto Networks. A continuación, después de eso, hay diferentes niveles de riesgo. Si alguien abre algo de Internet que es un servidor web y se comunica usando encriptación usando SSL y está bien parchado, entonces, en su mayor parte, el riesgo en ese caso es probablemente uno de cada 10. Pero entonces, si tiene obtuve otra dirección IP que se activó y está permitiendo que una herramienta de ingeniería interna que se expuso accidentalmente a Internet tenga acceso a sus entornos de nube y no esté parcheada. Y muchas veces no lo es. Porque cuando observa las herramientas que se exponen accidentalmente, no se administran porque si se administraran en primer lugar, no estarían expuestas a Internet.

Entonces, para nosotros, realmente, el modelo es ¿cuál es el nivel de riesgo de cada dirección IP y cada servicio? Y luego podemos concentrarnos en los que son ocho o nueve de cada 10. Diariamente o cada hora, podemos arreglarlos. Pero a menudo, de nuevo, se trata de que, si están expuestos a Internet, están expuestos, no están parcheados, no están administrados. Están expuestos accidentalmente.

Y luego, el último en el que nos enfocamos, el problema ahora es que aquí hay un problema con la escala. No estás hablando de tres direcciones IP o cuatro direcciones IP. Podría estar hablando de 40 000 direcciones IP, 400 000 direcciones IP. Y luego, de repente, mañana, son 500.000. Luego baja a 350.009 direcciones IP. Por lo tanto, debido a la escala del problema, y ​​debido a que con el tiempo más y más cosas estarán orientadas a Internet, la única forma de resolver esto es a través de la automatización. No hay duda alguna de que el problema de que se genera una alerta, y alguien del centro de operaciones de seguridad (SOC) salta, mira esa dirección IP, mira el servicio, simplemente no funciona.

Entonces, lo que debe suceder es que todo debe automatizarse. Todo, desde la perspectiva del escaneo hasta los componentes de atribución, ¿cuál es el riesgo de esa dirección IP? Así que ahora, en lugar de tener 500 000 direcciones IP, y ahora se está enfocando en tres direcciones IP que de repente aparecieron allí, una es como un servidor SSA. Uno podría ser como un servidor telnet, otro podría ser una herramienta de ingeniería. Y luego, desde la capa de automatización, desea incorporar la automatización en el servicio mediante el cual ese servicio se remedie automáticamente, ya sea que esté parcheado o desconectado.

Y si miras toda la cadena, es al revés de lo que está haciendo el hacker. El hacker está haciendo el reconocimiento, y luego están irrumpiendo en ese servidor para comprometer su entorno. Estás comenzando en la misma posición que ellos, donde deberías estar. Deberías comenzar con tu superficie de ataque, tu reconocimiento. Y después de eso, entonces estás viendo tu riesgo. Estás mirando el parcheo, estás mirando desconectarlo. Estás viendo la automatización. Así que creo firmemente que, si nos fijamos, con el impulso hacia la nube, las personas que trabajan desde casa, este concepto de perímetro desapareció hace 10 años. Hace 10 años que no está. Pero la seguridad cibernética ha estado esperando y diciendo: 'Bueno, todavía hay un perímetro'. no hay

Así que ahora ven todos los dispositivos que están en Internet. Ese es su propio perímetro. El dispositivo, la red, lo que sea. Y realmente, creo que uno de los factores impulsores, sin duda, si todo está en Internet, si todo está en línea, si todo se comunica constantemente, si todo cambia dinámicamente, debe tener un programa de seguridad cibernética que tenga la capacidad de saber , dime cada dispositivo que está en la red, en Internet, ¿cuál es su nivel de riesgo? Y luego, para aquellos que alcanzan un cierto nivel de riesgo, desconectarlo y aplicar controles. Y, por cierto, tienes que hacerlo las 24 horas del día, los 7 días de la semana, los 365 días del año, sin humanos involucrados. Tienes que hacer eso debido a la escala del problema. Si tiene una persona involucrada como parte de ese proceso, entonces va a fallar. Vas a fallar. Por lo tanto, aprovechamos herramientas como Xpanse para encontrar y luego solucionar esos problemas.

Laurel : Sí. La tecnología es escalable, pero los humanos no lo son. ¿Correcto?

Niall : Exactamente.

Laurel : Bueno, Niall, aprecio esta conversación de hoy. Ha sido absolutamente fascinante y nos ha dado mucho en qué pensar. Así que gracias por acompañarnos hoy en el Business Lab.

Niall : Muchas gracias por la invitación. Realmente disfruté la conversación.

Laurel : Era Niall Browne, director de seguridad de la información de Palo Alto Networks, con quien hablé desde Cambridge, Massachusetts, la sede del MIT y MIT Technology Review, con vista al río Charles.

Eso es todo por este episodio de Business Lab. Soy su anfitrión, Laurel Ruma. Soy el director de Insights, la división de publicaciones personalizadas de MIT Technology Review. Fuimos fundados en 1899 en el Instituto Tecnológico de Massachusetts. Y puede encontrarnos impresos, en la web y en docenas de eventos cada año en todo el mundo.

Para obtener más información sobre nosotros y la feria, visite nuestro sitio web en technologyreview.com.

El programa está disponible dondequiera que obtenga sus podcasts.

Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos.

Business Lab es una producción de MIT Technology Review.

Este episodio fue producido por Collective Next.

Gracias por su atención.

Este episodio de podcast fue producido por Insights, el brazo de contenido personalizado de MIT Technology Review. No fue producido por el equipo editorial de MIT Technology Review.

esconder