La ciberseguridad puede proteger los datos. ¿Qué hay de los ascensores?





En asociación con Cortex Xpanse de Palo Alto Networks

Las capacidades avanzadas de ciberseguridad son esenciales para salvaguardar el software, los sistemas y los datos en una nueva era de nube, Internet de las cosas y otras tecnologías inteligentes. En la industria de bienes raíces, por ejemplo, las empresas están preocupadas por el potencial de ascensores secuestrados, así como por la gestión de edificios y los sistemas de calefacción y refrigeración comprometidos.



Según Greg Belanger, vicepresidente de tecnologías de seguridad de CBRE, la compañía de inversión y servicios inmobiliarios comerciales más grande del mundo, asegurar la empresa se ha vuelto más complejo: los equipos de seguridad deben estar familiarizados con los controles y el hardware de los nuevos dispositivos, así como con qué versión de firmware está instalado y qué vulnerabilidades están presentes. Por ejemplo, si un sistema de calefacción, ventilación y aire acondicionado (HVAC) está conectado a Internet, él pregunta: ¿El firmware que ejecuta el sistema HVAC es vulnerable a un ataque? ¿Podría encontrar una manera de atravesar esa red y entrar y atacar a los empleados de esa empresa?

Comprender las vulnerabilidades de la empresa es crucial para salvaguardar los activos físicos, pero invertir en las herramientas adecuadas también puede ser un desafío, dice Belanger. La inteligencia artificial y el aprendizaje automático necesitan grandes conjuntos de datos para ser efectivos en la entrega de información, explica. En la era de la nube primero y el Internet industrial de las cosas, el perímetro se está volviendo mucho más fluido. Al aplicar la inteligencia artificial y el aprendizaje automático a los conjuntos de datos, dice, comienzas a ver patrones de riesgo y comienzan a surgir comportamientos arriesgados.

Otra prioridad al proteger los activos físicos es traducir los conocimientos en métricas que los líderes de C-suite puedan entender, para ayudar a impulsar la toma de decisiones. Los directores ejecutivos y los miembros de las juntas directivas, que se están volviendo más expertos en seguridad, pueden beneficiarse de las puntuaciones agregadas para la gestión de la superficie de ataque. Todo el mundo quiere saber, especialmente después de un ataque como Colonial Pipeline, ¿podría pasarnos eso? ¿Qué tan seguros estamos? dice Belanger. Pero si su empresa puede asignar méritos a varias funciones o calificarlas, entonces es posible medir la mejora. Belanger continúa: Nuestra capacidad para ver la puntuación, reaccionar ante las amenazas y luego mantener esa puntuación mejorando es una métrica clave.



Es por eso que la gestión de la superficie de ataque es fundamental, continúa Belanger. De hecho, obtenemos visibilidad de CBRE como lo haría un atacante y, a menudo, estas herramientas están automatizadas. Así que estamos viendo mucho más de lo que cualquier hacker vería individualmente. Estamos viendo la totalidad de nuestro entorno.

Este episodio de Business Lab se produce en asociación con Palo Alto Networks.

Transcripción completa

Laurel Ruma: De MIT Technology Review, soy Laurel Ruma, y ​​esto es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado. Nuestro tema de hoy es asegurar los activos físicos. Obviamente, se ha prestado mucha atención a la parte cibernética de la ciberseguridad, pero las empresas también tienen activos físicos, incluida la infraestructura de petróleo y gas, las instalaciones de fabricación y los bienes raíces. Cuando agrega fusiones y adquisiciones, instancias de nube ilimitadas, sensores de IoT y dispositivos en todas partes, la superficie de ataque de una empresa puede ser amplia, vulnerable y en gran parte desconocida.

Dos palabras para usted: Ascensores secuestrados.



Mi invitado es Greg Belanger, vicepresidente de tecnologías de seguridad de CBRE. CBRE es la firma de inversión y servicios inmobiliarios comerciales más grande del mundo, con más de 100.000 empleados en todo el mundo.

Este episodio de Business Lab se produce en asociación con Palo Alto Networks.

Bienvenido, Greg.



Greg Belanger: Hola.

Laurel: Para empezar, se suele decir que toda empresa es una empresa de tecnología. Entonces, ¿cómo juega un papel la ciberseguridad dentro de los bienes raíces comerciales? La seguridad física es probablemente algo con lo que la mayoría de la gente está familiarizada, pero ¿qué pasa cuando se trata de sistemas, sensores y datos?

Greg: CBRE ha estado en un viaje de transformación digital durante los últimos cinco años anticipándose al cambio de nuestro mercado. En el pasado, nadie pensaba en los bienes raíces comerciales como una empresa de software o tecnología, pero estamos cambiando eso. Estamos analizando lo que sucedió con otras industrias como Uber. Lo que Uber hizo con los taxis y Airbnb con los hoteles, queremos asegurarnos de que CBRE esté al frente de eso. Así que hemos decidido irrumpir y transformarnos en una empresa de tecnología. Somos una inmobiliaria comercial con la tecnología y los datos como diferenciadores. Con todo eso, hay mucha más innovación, aplicaciones, migración a la nube y tecnologías de construcción inteligente. El liderazgo de CBRE supo desde el principio que necesitábamos tener una capacidad de ciberseguridad avanzada para proteger a nuestros clientes en todo el mundo en la nueva era. Por lo tanto, garantizar la seguridad de nuestro software y salvaguardar nuestros datos son las principales prioridades de esta empresa año tras año.

Laurel: Eso es muy interesante porque tienes razón. La gente no necesariamente piensa en cómo una empresa de bienes raíces podría ser una empresa de tecnología. ¿Han sido cinco años difíciles? ¿Crees que a la gente le ha llevado un tiempo comprender la importancia y la urgencia de esta transformación digital?

Greg: Han sido cinco años fantásticos. Ha sido un cambio para ellos, sin duda, pero hubo muchos cambios introducidos por el lado suave de la casa. Así que cambiar de una empresa de bienes raíces comerciales a una empresa que aprovecha los bienes raíces comerciales y el software para administrar esos edificios, para aprovechar los datos que tenemos sobre las personas, también ha sido un gran cambio. No solo cambiaron la seguridad, sino que pasaron a prácticas como el desarrollo ágil de software, la tecnología móvil y cosas por el estilo. La seguridad fue solo otra capa que se agregó sobre el cambio ya existente. Por eso no teníamos un CIO. Teníamos un director de transformación digital a la cabeza.

Laurel: Esa es una configuración interesante, porque entonces la seguridad cibernética se integra completamente en lo que sea que hagas. No se considera un complemento independiente.

Greg: Absolutamente. De hecho, me contrataron para ser vicepresidente de devSecOps, que estaba integrando la seguridad en todas estas prácticas ágiles de desarrollo de software. La seguridad se centró en dónde estábamos hace cinco años: cuando esté listo para comenzar, lo evaluaremos y le diremos si va a pasar a producción o no. Ahora, trabajamos en estrecha colaboración con nuestros desarrolladores como socios, y estamos tratando de cambiar lo más a la izquierda posible. Entonces, ejecutar pruebas y darles ideas de diseño, modelado de amenazas, cosas así para tratar de asegurarse de que cualquier software que lancen esté listo para funcionar el primer día.

Laurel : Solo para que la gente entienda qué es devSecOps, devOps es una práctica de desarrollo continuo de software con un enfoque en las operaciones de TI, y luego agrega seguridad. Entonces, en realidad estás reuniendo a todos estos equipos para crear un mejor software para la empresa en general y también para protegerlo.

Greg: Absolutamente correcto. La clave para eso es que queríamos que la seguridad fuera lo más automatizada posible. Cuando piensa en devOps, se necesita mucho de ese proceso de creación e implementación de software y hacerlo continuamente. Queríamos asegurarnos de que la seguridad estuviera bajo esa misma luz. Mientras se preparaba para desarrollar software y migrar software, esa seguridad estuvo involucrada en pasos clave a lo largo del camino.

Laurel: Una vez tuve una conversación espeluznante con un ejecutivo sobre ascensores secuestrados. ¿Podría dar a nuestros oyentes algunos ejemplos de problemas específicos de seguridad cibernética que los edificios y los servicios inmobiliarios pueden encontrar que son diferentes a, por ejemplo, un Uber?

Greg: Absolutamente. Ascensores secuestrados, sistemas de gestión de edificios, sistemas HVAC son una preocupación. Se escucha mucho sobre estas cosas en las noticias, algo que experimentamos personalmente. Estamos buscando desarrollar aplicaciones móviles que pueda integrar en su teléfono y luego usar cosas como Bluetooth Low Energy para abrir las puertas de nuestros edificios. Entonces, cuando piensa en la seguridad física, ahora hay un punto de contacto con la tecnología de la información y la Internet industrial de las cosas. De hecho, desarrollamos una aplicación que permitirá a un empleado entrar y usar su teléfono para desbloquear una puerta y acceder a su lugar de trabajo.

Si alguna vez ha trabajado en un lugar que es tan grande que tienen que darle un mapa para ir de un lugar a otro en una oficina, desarrollamos lo que llamamos tecnologías de waypoint para permitir que los usuarios con esta aplicación móvil naveguen entre donde están. sentado y dónde estaba la sala de conferencias y darles retroalimentación en el camino. Todo eso se hace a través de Bluetooth e integraciones en dispositivos móviles. Nosotros, como profesionales de la seguridad, tenemos que salvaguardar eso.

Tuvimos que mirar este dispositivo móvil, que estaba conectado a un sensor, y ese sensor estaba conectado a una puerta de enlace, y esa puerta de enlace estaba conectada a Internet, pero ¿cómo funcionó todo eso? ¿Cómo entraron los datos? ¿Cómo salió? Asegurarse de que esos dispositivos estén en redes separadas y segmentadas. Esas son todas preocupaciones críticas para nosotros. También realizamos pruebas de penetración contra estas aplicaciones y dispositivos para asegurarnos de que fueran seguros.

Estamos analizando todos los riesgos de estas nuevas tecnologías como parte de nuestro moderno conjunto de habilidades y estamos analizando a los desarrolladores de software. Están creando estas tecnologías y los equipos de infraestructura las están respaldando, mientras tratamos de proteger la empresa.

Laurel: Un poco más sobre las pruebas de penetración o las pruebas de penetración: ¿fue entonces cuando realmente estaba tratando de ver qué tan seguro es su red y su entorno?

greg : Así es. Estamos pagando a la gente para que intente entrar. La piratería no es un delito. Estamos tratando de pagar a los piratas informáticos éticos para que ingresen a nuestros sistemas y nos digan dónde los malos, los verdaderos malos, podrían encontrar formas de explotar nuestros sistemas.

Laurel: Así que realmente estamos hablando de algo que va más allá de un edificio inteligente. Cuando observamos las brechas de seguridad cibernética recientes, por ejemplo, el corte de tratamiento de agua en Florida, vemos que el área de superficie de un edificio o una empresa es en realidad bastante amplia, y tal vez muestra lugares que no son los más obvios para las personas. o pruebas de penetración o piratas informáticos poco éticos para piratear un edificio o una empresa.

greg : Así es. Es un campo relativamente nuevo. Hay una serie de grandes empresas que están analizando esta tecnología operativa (o OT) para probar y realizar pruebas de penetración para encontrar las vulnerabilidades que existen. Es una disciplina diferente. Debe estar familiarizado con algunos de los controles o parte del hardware que rige estos entornos, qué tipo de firmware se emplea en esos dispositivos y qué tipo de vulnerabilidades están realmente presentes en ese firmware.

Es ligeramente diferente de la prueba de penetración de TI o cosas que normalmente entendemos como controladores y bibliotecas que también podrían tener vulnerabilidades integradas. Luego agregue a eso, ahora hay puntos de contacto. Entonces, si tiene un sistema HVAC que está conectado a Internet, ¿el firmware que ejecuta el sistema HVAC es vulnerable a un ataque? ¿Podría encontrar una manera de atravesar esa red y entrar y atacar a los empleados de esa empresa? Esas son algunas preocupaciones clave para nosotros.

Laurel: Tener las herramientas adecuadas para defender una empresa también es un desafío a medida que la seguridad continúa evolucionando para enfrentar varias contra amenazas. Parte de eso puede estar más automatizado, como la inteligencia artificial, pero lo crucial es comprender la vulnerabilidad de su empresa, ¿verdad? Entonces, la posible superficie de ataque de toda su empresa, ¿correcto?

Greg: Absolutamente. La inteligencia artificial y el aprendizaje automático necesitan grandes conjuntos de datos para ser efectivos en la entrega de información. En la era del Internet industrial de las cosas (IIoT) y la nube primero, este perímetro sobre el que intenta obtener información se está volviendo mucho más fluido. Tradicionalmente, el perímetro estaba bien definido. Se reforzó contra ataques, pero ahora con instancias en la nube, los dispositivos IIoT pueden aparecer en su red y podrían estar expuestos a Internet sin previo aviso. Incluso en la era de las defensas tradicionales de los días del perímetro, ver a su empresa como lo haría un atacante desde afuera hacia adentro era una tarea difícil.

Ahora, contamos con herramientas más modernas que no solo muestran estos sistemas en tiempo real, sino que también lo alertan sobre las vulnerabilidades que podrían afectar sus puntajes. Vemos cosas como TI en la sombra, dispositivos IoT mal configurados, sistemas en la nube, además de mucha más visibilidad de lo que sucede en nuestras oficinas en todo el mundo. Al aplicar el aprendizaje automático de IA a ese conjunto de datos, comienza a ver patrones de riesgo y comienzan a surgir comportamientos riesgosos.

Laurel: Cuando considera la perspectiva de afuera hacia adentro, ¿cómo lo ve? ¿Como un extraño que observa su empresa y las posibles áreas para explotar?

Greg: El concepto de algunas de estas herramientas de administración de superficie de ataque es que nos brindan la misma visibilidad que cualquiera en Internet tendría para nuestra empresa. Es difícil ver nuestra empresa en su totalidad. Cuando piensa en una empresa del tamaño de CBRE, ¿dónde están todos sus activos digitales? ¿Sabe a ciencia cierta que alguien no ha creado un sitio web en un proveedor de alojamiento en la nube, por ejemplo, en Sudáfrica y luego ha utilizado su logotipo y su nombre, y los ha utilizado para algún tipo de propósito de marketing inocuo, pero eso aún podría tener un impacto en su marca? Ese tipo de cosas no siempre surgen a través de herramientas normales que tenemos escaneando nuestro entorno conocido.

Entonces, al analizar la gestión de la superficie de ataque, salimos e identificamos todos estos activos que pueden estar relacionados con CBRE. Luego, la otra tarea para nosotros es entrar y observar estos activos y correlacionarlos con la identidad, el espacio IP de CBRE. Por lo tanto, en realidad obtenemos visibilidad de CBRE como lo haría un atacante y, a menudo, estas herramientas están automatizadas. Así que estamos viendo mucho más de lo que cualquier hacker vería individualmente. Estamos viendo la totalidad de nuestro entorno.

Laurel : Así es como mides tu superficie de ataque.

Greg: Exactamente.

Laurel: Intentas encontrar todo lo que puedas. Algunas organizaciones usan este inventario como una métrica, por ejemplo, ¿qué tan rápido se tarda realmente en medir todos sus activos para hacer un inventario completo de activos y luego compararlo con lo que ven los atacantes? Como mencionó, un atacante solo puede ver una cosa, pero los atacantes a menudo trabajan en equipo, como vimos recientemente con el exploit Colonial Pipeline. Entonces, ¿cómo ayuda esto a las empresas?

Greg: es un viaje Debe tener en cuenta que cuando comienza con la gestión de la superficie de ataque, su plataforma de elección identificará una gran cantidad de activos que pueden o no estar asociados con su empresa. Entonces, lo primero que observará es qué porcentaje de activos hemos identificado positivamente como nuestros activos. La primera métrica es, ¿cuántas has descubierto? ¿Cuántos hemos identificado? ¿Qué queda por hacer? A partir de ahí, pasamos personalmente a analizar nuestros próximos cinco grandes temas. Entonces, cosas como: ¿nuestra herramienta de administración de superficie de ataque reveló certificados vencidos, cuentas en la nube de las que quizás no hayamos tenido conocimiento? ¿Detectamos algún malware saliendo de uno de nuestros puntos de presencia?

Te daré un ejemplo: tuvimos una instancia en la que detectaron malware que salía de una de nuestras oficinas en Europa, por lo que inmediatamente nos pusimos en acción. Intentamos identificar qué activo era. Por nuestra vida, no pudimos identificar qué activo era ese. Miramos la etiqueta de propiedad. Era una computadora portátil, pero no la teníamos en nuestra red. No estaba asociado a un usuario. Por eso nos dimos cuenta de que nuestra red de invitados salía del mismo punto de presencia de esa oficina, y eso era algo. Afortunadamente, no fue un incidente de malware real, pero alguien que era un invitado en nuestra red tenía algo que era un activo afectado.

Esos son los tipos de información que comenzamos a obtener de la gestión de la superficie de ataque en los últimos tres años. Ahora, buscamos avanzar más y considerar la agregación de todas estas cosas en un puntaje agregado, muy parecido a un puntaje de crédito.

Laurel : Eso es increíble, podría entrar en acción rápidamente cuando notara que algo no estaba del todo bien en una red global como esa. Esto parece urgente, ¿verdad? Entonces, ¿cómo expresa realmente a sus compañeros y proveedores y a todos los socios en toda la cadena y el ecosistema, lo importante que es reconocer la gestión de la superficie de ataque? Además, para usted mismo, ¿se considera un pionero o tal vez un líder de desfile en el que está liderando el camino para que muchas otras empresas entiendan que este tipo de tecnología y forma de pensar sobre la seguridad está aquí, como si fuera un verdadero ¿cosa?

Greg: Por mucho que me gustaría ser llamado visionario, ciertamente no soy un visionario, pero estos son conceptos que se conocen desde hace un tiempo. Recién ahora están comenzando a tener una adopción a gran escala. Cuando comencé a hablar sobre la gestión de la superficie de ataque, no se entendía fácilmente.

Una vez que explique qué es lo que está haciendo y qué le proporcionarán realmente las herramientas de administración de la superficie de ataque, ese momento de iluminación ocurrió muy rápidamente. Nuestro CISO vio de inmediato el valor de esta herramienta y dijo de inmediato que debemos asegurarnos absolutamente de identificar todos nuestros activos. ¿Qué más podemos extraer de estos sistemas? Fue grandioso. Vimos TI en la sombra. Vimos cuentas en la nube que no sabíamos que existían. Vimos dispositivos mal configurados o certificados que estaban a punto de caducar. Entonces, el valor de eso se vuelve evidente de inmediato, pero es algo que requiere un poco de explicación.

Laurel: Entonces, cuando habló sobre el puntaje agregado para la administración de la superficie de ataque, eso suena como algo que es un poco más comprensible para una junta directiva y varios directores ejecutivos y otros ejecutivos. Por lo tanto, puede decir que estamos mejorando o que no lo estamos haciendo tan bien este año o trimestre cuando observamos los puntajes en conjunto uno por uno. ¿Cree que este conteo, o forma de llevar un cuadro de mando a la seguridad, ayudará a esa discusión con los directores ejecutivos, ejecutivos y juntas en general?

greg : Absolutamente. Durante mucho tiempo ha sido una dificultad. Todo el mundo quiere saber, especialmente después de un ataque como Colonial Pipeline, ¿podría pasarnos eso? ¿Qué tan seguros estamos? ¿Cuál es nuestro puntaje, o hay alguna métrica que me pueda dar para decirme si estoy seguro o no, o si nuestro programa es efectivo? A menudo, les daremos una variedad de métricas. Aquí están todas las vulnerabilidades que tenemos. Estas son las instancias de malware que hemos detectado y limpiado. Aquí están todos los incidentes de seguridad que vemos todos los días. Pero eso no necesariamente se traduce en, ¿estamos a salvo? ¿Estamos mejorando? ¿Hay áreas en las que podemos centrarnos? Entonces, cuando analizamos dar una métrica, ciertamente ayuda a aclarar esa imagen. Si puede explicar cómo se derivó esa métrica, cómo fue una serie de factores como certificados, vulnerabilidades o configuración, y ¿qué pasa con el agregado de su aplicación que escanea las pruebas de seguridad de su aplicación?

Si observa cómo hemos reducido todas nuestras vulnerabilidades de alto riesgo desde una perspectiva de seguridad de la aplicación, eso es un factor importante. Así que dar con esa fórmula es ciertamente difícil. Es algo que es un desafío, y la gente como yo en seguridad prospera en ese tipo de desafíos. Pero ciertamente ahí es donde veo a los directores ejecutivos y las juntas directivas que definitivamente se están volviendo más conocedores de la seguridad, ahí es donde los veo queriendo que vaya esa métrica. Quieren ver una partitura que les dé una sensación de tranquilidad de que lo estamos haciendo mejor, y esto no es algo estático. No es algo que siempre vaya a mejorar porque surgen nuevas vulnerabilidades, nuevos ataques todo el tiempo y ese puntaje cambiará. Pero nuestra capacidad para ver el puntaje, reaccionar ante las amenazas y luego mantener ese puntaje mejorando es una métrica clave para nosotros.

Laurel: ¿Cree que las juntas directivas y los equipos ejecutivos se están volviendo más expertos en seguridad? Quiero decir, es imposible, cierto, no ver los titulares casi todas las semanas ahora de una brecha u otra, pero ¿eso se está filtrando?

Greg: Sí. Personalmente sé, para nosotros, siempre recibimos una lista anual de prioridades que sale de nuestro CEO y nuestra junta. Desde que estoy en mi empresa en CBRE ahora, ha sido nuestra prioridad número uno o número dos cada año. Entonces es una prioridad máxima, porque ven los titulares.

Como le dirá cualquier profesional de la seguridad, cada vez que algo surge de una vulnerabilidad, un día cero, un ataque como Colonial Pipeline, a todos nos hacen la misma pregunta. ¿Podría pasar eso aquí? ¿Estamos en riesgo? Así que ese tipo de cosas son absolutamente urgentes en la mente de nuestra junta. Lo que es interesante para mí es que las juntas directivas ahora quieren traer miembros que sean más expertos en seguridad, y están haciendo preguntas difíciles. ¿Qué estás haciendo con estas vulnerabilidades? ¿Qué tan rápido puedes parchear? ¿Cuál es su tiempo entre la vulnerabilidad y la aplicación de parches?

Estas son cosas que hablan directamente de nuestro lenguaje profesional de seguridad. Ciertamente, son muy relevantes para nosotros, pero ciertamente son más directos y más comprometidos, y le dan a la junta una sensación de comodidad de que alguien de su lado habla el idioma de la seguridad.

Laurel : Quiero decir, eso es lo que quieres ver, ¿verdad? Obviamente, las prioridades de la junta son amplias y una de ellas es obtener ganancias, pero la otra es no perder ganancias, y un ataque de seguridad cibernética podría dañar eso. Por lo tanto, debe asegurarse de hablar el idioma en toda la empresa.

greg : Absolutamente.

Laurel : habló un poco sobre cómo la administración de la superficie de ataque en realidad le brinda esta información para saber que la computadora en sí tiene malware, pero aún no ha afectado a la red. Entonces, ¿hay otras ideas que haya visto del software de administración de superficie de ataque que simplemente lo sorprendieron o le hicieron darse cuenta de lo importante que era tener esta capacidad?

greg : Sí. Al igual que muchas grandes empresas, realizamos una prueba de penetración anual. Es decir, contratamos a alguien externo a nuestra empresa para que nos ataque como lo haría un tipo malo. Esto nos da una idea de hasta dónde pueden llegar. La diferencia con los ataques reales y estas empresas que contratamos es que les damos un tiempo fijo. Les decimos: 'Tienen seis semanas para irrumpir y llegar lo más lejos que puedan a nuestro entorno', y les damos los términos del compromiso. Se le permite hacer estas cosas, pero no se le permite hacer estas otras cosas.

En los años en los que hemos empleado la gestión de la superficie de ataque, ha sido genial ver estos ataques. Vuelven y te dan una lectura semana tras semana, esto es lo que estamos viendo, estas son las cosas que hemos explotado. Podemos ver muchas de las mismas cosas que ellos pueden ver.

Por ejemplo, este año señalaron un sitio web alojado en Sudáfrica. Dijeron que está ejecutando este marco y parece estar en este proveedor de alojamiento. Parece que no hay vulnerabilidades, pero lo estamos atacando y viendo si podemos irrumpir en él. ¿Esa es tu IP? Sí, así es. Somos conscientes de ello a través de nuestra herramienta de gestión de superficie de ataque. Somos conscientes de la aplicación. No necesariamente podemos asegurarlo porque no lo defendimos. Es parte de Shadow IT.

Pero debido a que hemos sacado a la luz eso, ahora podemos tratar de averiguar exactamente quién estaba ejecutando ese sitio web, qué deben hacer para protegerlo, si necesitan o no traerlo a nuestro redil y alojarlo con nuestro proveedores de alojamiento de TI corporativos estándar, ese tipo de cosas.

Por lo tanto, ha sido invaluable desde el punto de vista de verlo como una prueba de penetración, podemos ver muchas de las mismas cosas que nuestros evaluadores de penetración están viendo a través de nuestra gestión de superficie de ataque. Así que ha sido reconfortante saber que tenemos ojos y vista en las mismas cosas que tendría un atacante.

Laurel : Cuando habla de eso, ¿cómo ayuda realmente a su equipo de seguridad a tener más éxito en repeler ataques? ¿Cómo ayuda ASM o la gestión de superficie de ataque con eso?

greg : Visibilidad es el nombre del juego desde una perspectiva de seguridad. Queríamos poder ver todo en nuestro entorno. Luego das un paso más allá y dices, está bien, ahora que podemos ver todo, ¿qué tipo de comportamiento vemos de estos activos? Ese fue el siguiente paso, trabajar con nuestro socio en la gestión de la superficie de ataque, para comenzar a ver el comportamiento de estos activos, ya sea que indiquen o no que tal vez haya un compromiso o que haya algún tipo de vulnerabilidad. Es muy parecido a las pruebas de emisiones. Entonces, cuando piensa en su automóvil y lo lleva a la prueba de emisiones, conectan un dispositivo a su tubo de escape y ven lo que sale de su automóvil y lo califican como aprobado o reprobado.

La gestión de la superficie de ataque es muy similar a eso. Desde el punto de vista del comportamiento, podemos observar todos estos puntos de presencia, todas estas direcciones IP de Internet y ver lo que sale de ellas. Eso nos da algunas ideas sobre su comportamiento. Ahora vamos un paso más allá, y de hecho lo estamos integrando todo en tiempo real con nuestra tarjeta SIM, nuestro sistema de gestión de incidentes y eventos de seguridad. Nuestro centro de operaciones de seguridad monitorea eso las 24 horas del día, los 7 días de la semana, de modo que cuando vemos algo que alcanza el nivel de un incidente de seguridad, podemos responder en tiempo real.

Laurel: Que es exactamente lo que quiere hacer, hacer que la maquinaria haga gran parte del trabajo pesado y luego traer a los humanos para que realmente averigüen lo que está sucediendo y asegure a toda la empresa.

Greg: Absolutamente, sí.

Laurel: ¿Cómo afecta la adopción casi omnipresente de los servicios en la nube la forma en que piensa acerca de la seguridad y la gestión de la superficie de ataque? Ya sea que se trate de instancias giratorias o de un ascensor, sigue siendo una superficie, ¿verdad?

Greg: Así es, y es una preocupación clave. Cuando piensa en la naturaleza elástica de la mayoría de los proveedores de servicios en la nube, una gran cantidad de infraestructura podría levantarse en minutos, y puede o no estar al tanto de esa infraestructura, cómo está conectada, qué vulnerabilidades tiene incorporadas. La gestión de la superficie de ataque nos da la misma visibilidad que tendría un atacante. Entonces, a medida que las cosas se aceleran, si están mal configuradas, por ejemplo, y están filtrando datos de alguna manera, incluso metadatos, hey, estoy aquí, soy un servidor web. Aquí está mi versión. Aquí está mi número, que le da al atacante una gran cantidad de información que no necesariamente queremos que vea. ¿Qué tipo de vulnerabilidades existen para ese servidor web y versión en particular, y qué cosas podría exponer? Esa exposición en sí misma también les da a los atacantes un punto de apoyo. Pueden comenzar a escanear ese activo en particular y buscar formas de fuerza bruta o llamar a la puerta para que realmente puedan encontrar una manera de ingresar a nuestro entorno.

Entonces, desde nuestra perspectiva, la administración de la superficie de ataque nos brinda esa visibilidad si estamos observando todos nuestros entornos de nube y podemos decirles qué usamos y de qué somos conscientes, luego pueden monitorear esos cambios en nuestra postura. que salen, y mira si tenemos o no activos que no necesariamente quisimos exponer en Internet, y qué le estamos diciendo al mundo a través de la exposición de esos activos. Así que ciertamente ha sido un cambio de juego para nosotros cuando pensamos en cómo funciona nuestro entorno de nube. Nos ayudó a asegurarnos de que nuestro entorno de nube, a excepción de puntos de presencia muy específicos, esté contenido en gran medida dentro de esa red de nube privada.

Laurel : Ha sido un año bastante difícil para muchas personas y muchas industrias, pero las repercusiones de la pandemia en toda la industria de bienes raíces comerciales se extenderán durante años, si no décadas. ¿En qué estás pensando diferente con la seguridad debido a la pandemia?

Greg: Ciertamente, lo primero que me vino a la mente el año pasado con todo el mundo trabajando desde casa, y creo que esto será cierto durante varios años, es ¿cómo protegemos a las personas que ahora trabajan desde casa? ¿Cómo protegemos a los empleados que están en una red doméstica con sus familias? Sus familias pueden no tener las mismas herramientas de seguridad que nosotros tenemos y nuestros activos pueden estar expuestos. Por eso, analizamos cosas como VPN siempre activa, que protegerá a nuestros empleados de lo que suceda en su red doméstica en particular. Eso ciertamente ha sido útil. También estamos buscando nuevas tecnologías como Secure Access Service Edge, para que podamos intentar acercar todas nuestras herramientas y tecnologías a las personas que estarían trabajando desde casa o desde cualquier lugar.

Finalmente, creo que se ha puesto un gran énfasis en la seguridad como un todo. Hay mucha más conciencia de las cosas que sucedieron en el último año que realmente han llevado a casa la necesidad de un buen programa de seguridad cibernética. Así que ha tenido el efecto de hacer que una situación ya mala para encontrar profesionales de seguridad realmente buenos y confiables sea aún más grave. Es muy difícil de encontrar y sus circunstancias ahora son diferentes. Muchos profesionales de la seguridad trabajan desde casa y quieren esa mayor flexibilidad para continuar trabajando desde casa, tener un horario flexible o trabajar desde una oficina diferente. Entonces, encontrar personas realmente buenas es ciertamente más difícil después de la pandemia.

Laurel : Ese es, creo, un problema no solo para la gente de seguridad, sino en general, ya que las personas cambian la forma en que viven y quieren trabajar. Algo interesante que dijiste fue solo la idea de proteger la red doméstica, lo que significa que la responsabilidad de una empresa está comenzando a extenderse más allá de las áreas normalmente bien definidas de la empresa. Porque la realidad es que si la casa no está segura, entonces la red no está segura y luego su empleado no está seguro.

greg : Eso es absolutamente correcto. Cuando lo piensas, tenemos cierto conocimiento de quiénes son las personas más atacadas. Conocemos a algunas de las personas que son atacadas con mayor frecuencia porque son ejecutivos de algún tipo, o han trabajado dentro de un ejecutivo, o están en una posición, digamos, en legal o finanzas donde un atacante podría aprovechar esas posiciones para cometer algún fraude.

Pensar en cómo protegemos a esas personas cuando trabajan desde casa es una preocupación clave para nosotros. Esta VPN siempre activa ha sido un desafío implementarla en todas partes, pero lo hemos hecho en poco tiempo. Ahora tenemos la misma seguridad para todos nuestros empleados, estén o no en casa, estén o no en la oficina o en una cafetería. Creo que eso ciertamente ha mitigado un poco el riesgo.

Laurel : Greg, muchas gracias por acompañarnos hoy en lo que ha sido una conversación fantástica en el Laboratorio de Negocios.

Greg: Gracias. Realmente lo aprecio.

Era Greg Belanger, vicepresidente de tecnologías de seguridad de CBRE, con quien hablé desde Cambridge, Massachusetts, la sede del MIT y MIT Technology Review, con vista al río Charles. Eso es todo por este episodio de Business Lab. Soy su anfitriona Laurel Ruma. Soy el director de Insights, la división de publicaciones personalizadas de MIT Technology Review. Fuimos fundados en 1899 en el Instituto de Tecnología de Massachusetts y puede encontrarnos impresos, en la web y en eventos cada año en todo el mundo.

Para obtener más información sobre nosotros y la feria, visite nuestro sitio web en technologyreview.com. El programa está disponible dondequiera que obtenga sus podcasts. Si disfrutaste este episodio, esperamos que te tomes un momento para calificarnos y comentarnos. Business Lab es una producción de MIT Technology Review. Este episodio fue producido por Collective Next. Gracias por su atención.

Este episodio de podcast fue producido por Insights, el brazo de contenido personalizado de MIT Technology Review. No fue producido por el equipo editorial de MIT Technology Review.

esconder