La evolución de la ciberseguridad: Chris Wysopal de Veracode

Desde la llegada de Internet y después de innumerables y masivas infracciones, la comunidad global sigue luchando con la seguridad cibernética y la trata como una ocurrencia tardía.





27 de junio de 2019

A medida que Internet se afianzó, los hackeos, las filtraciones de datos y otras amenazas cibernéticas se convirtieron en rutina. Las organizaciones y los gobiernos han contraatacado a través del desarrollo constante de tecnologías y estrategias de ciberseguridad. Pero el éxito en proporcionar una verdadera ciberseguridad ha sido difícil de alcanzar. ¿Podemos aprender de algunos de los errores cometidos en el camino?

Chris Wysopal, CTO y cofundador de Veracode, ha estado involucrado en defensa cibernética desde el principio. De hecho, como investigador de vulnerabilidades en el grupo de expertos sobre hackers L0pht, ha trabajado durante décadas para exigir tecnologías seguras a empresas tecnológicas influyentes.



En este episodio, Wysopal comparte su trabajo en los primeros años de la ciberseguridad, relatando historias como cuando testificó frente al Senado de 1998 sobre seguridad informática. En ese momento, abogó por la adopción de regulaciones en grandes empresas como Microsoft, con el fin de hacer cumplir la responsabilidad y el desarrollo de un código reflexivo y más seguro que proteja la privacidad del consumidor. Estas preocupaciones iniciales solo han aumentado, ya que todavía hay poca protección contra el código y el firmware que permite las infracciones. ¿A dónde vamos desde aquí? Wysopal comparte algo de sabiduría y algunas advertencias.

Business Lab está organizado por Elizabeth Bramson-Boudreau, directora ejecutiva y editora de MIT Technology Review. El programa es producido por Katherine Gorman, con la ayuda editorial de Emily Townsend. Música de Merlean, de Epidemic Sound.

De MIT Technology Review. Soy Elizabeth Bramson-Boudreau. Y esto es Business Lab: el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y se introducen en el mercado. Hoy nos vamos a centrar en la historia y la evolución de la ciberseguridad y cómo esos primeros enfoques repercuten en la actualidad. En otras palabras, ¿la respuesta a las primeras amenazas cibernéticas ha determinado cómo vemos la seguridad hoy en día?



Elizabeth Bramson-Boudreau : ¿Y hay alguna lección sobre las formas en que practicamos nuestra seguridad digital ahora? Esta es la segunda de nuestra serie sobre ciberseguridad en la que exploramos todo, desde lo último en ataques de piratería hasta lo que las organizaciones pueden hacer para proteger mejor a su gente y sus datos. Nuestro invitado de hoy es Chris Wysopal, CTO y cofundador de Veracode. Ha estado activo desde el principio en la batalla en curso por la seguridad digital. Estoy aquí con Chris Wysopal, cofundador y director de tecnología de Veracode, una empresa de ciberseguridad en Internet. Chris tiene, antes de Veracode, una larga trayectoria en ciberseguridad y creo que vamos a empezar por ahí. ¿Puedes contarnos, Chris, sobre tu historia de seguridad cibernética?

cris Wysopal : Sí definitivamente. Empecé en la seguridad cibernética probablemente como a finales de los 80 en los sistemas de tablones de anuncios antes de Internet y tenía este tipo de atractivo clandestino como los medios alternativos, como el mundo de las revistas en las que te comunicabas uno a uno con esta alternativa. espacio. Algunos de los archivos en estos sistemas hablaban de piratear el sistema telefónico y era el tipo de información que no podía obtener en ningún otro lugar. Yo era un estudiante universitario en ese momento. Fue un poco intrigante y creo que me puso en un viaje de tratar de explorar información sobre computadoras y redes que hice durante los años 90.

Elizabeth : Entonces, ¿cómo has visto evolucionar el paisaje? Has tenido una carrera bastante larga en esto y realmente has visto cambiar el paisaje, creo que durante esos 20, 30 años. Qué han visto ¿Cómo caracterizarías los cambios que has observado?



cris : Sí, así que a principios de los 90 era ingeniero de software. De hecho, trabajé en Lotus aquí mismo en Cambridge y nos conectamos a Internet. y yo tipo de comenzamos a pensar en qué pasaría si tuviéramos nuestro software ejecutándose en Internet para que las personas a través de Internet pudieran conectarse a nuestro software. Y eso me abrió la mente a la idea de que, wow, eso suena como que habrá todos estos problemas de seguridad.

Elizabeth : En esa etapa. ¿Qué te hizo ver que el acceso a Internet conduciría invariablemente en ambos sentidos, en ambas direcciones?

cris: Así que comencé a trabajar en un software que estaba conectado a Internet y comenzó a convertirse en un problema difícil hacerlo seguro para que las personas no pudieran tener acceso a los datos que estaban detrás de su software. En realidad, es difícil crear un software seguro. . Era casi como si no supiéramos cómo. Eso realmente me abrió los ojos de que a medida que más y más cosas se conectaran a Internet, se volvería realmente problemático.



Elizabeth: Entonces, ¿cuál es el mayor problema que ves ahora? Entonces, dado que sabes que estuviste allí desde el principio, viste surgir muchas cosas. Tu propia historia es que pasaste un tiempo como hacker. ¿Qué ve hoy que lo mantiene despierto por la noche que cree que son las cosas más importantes que no solo conocen las personas que escuchan este podcast, sino que quizás nuestros legisladores y nuestros y nuestros líderes deberían estar pensando?

cris : Sabes, lo que me asusta es que las personas construyen sistemas, software, IoT y realmente no piensan en la seguridad desde el principio, o no piensan en eso en absoluto, como si no les importara, o piénselo al final y hacen lo mínimo y terminan poniendo un producto que inherentemente va a ser violado. Es inherente a los problemas que se van a encontrar en él. Y creo que continuamente estamos lanzando una corriente de tecnología que está fundamentalmente rota desde el punto de vista de la seguridad. Y lo estamos limpiando constantemente.

Elizabeth: Entonces, ¿estás hablando de software? ¿Estás hablando de dispositivos habilitados para IoT? ¿Estás hablando de todas estas cosas? ¿Y por qué las personas que crean estas cosas no se preocupan por su seguridad?

cris: Si. Esto fue algo de lo que hablamos cuando testifiqué ante el Senado en 1998, que fue la primera computadora audiencia sobre la seguridad informática del gobierno y algunas de las cosas de las que hablamos fue que los proveedores no saben qué hacer. A los vendedores no les importa porque sus clientes no lo piden. Los vendedores no son responsables. Están licenciando el software. Si algo sale mal, se han deslindado de cualquier responsabilidad. Teníamos un mercado en el que las personas podían sacar cosas sin problemas derivados de su incapacidad para asegurar. Uno de los jugadores más importantes en ese momento era Microsoft. Y Microsoft estaba enviando todo este software y tenía muchas vulnerabilidades. y cualquiera corriendo cualquier empresa que ejecutara el software estaba obteniendo estaban siendo asaltados y eso era solo una especie de status quo, como la línea del partido de Microsoft era 'sabes, no, construimos software seguro' y nuestra línea del partido era 'no, no lo haces'. Le mostraremos las vulnerabilidades del software. Y hubo un período de tiempo en el que había que crear conciencia y casi avergonzar a estas empresas para que construyeran mejores cosas que venderían.

Elizabeth: Entonces, ¿piensas que en ese momento Microsoft realmente entendió que estaban creando productos que no eran seguros o crees que cuando decían que nuestros productos eran lo suficientemente buenos estaban siendo falsos?

cris : No creo que entendieran lo que estaban construyendo. Creo que sabes que la línea corporativa de relaciones públicas es que construimos software seguro. Esa es nuestra posición. Entonces, pudieron construir características de seguridad similares como autenticación y criptografía. En realidad, lo hicieron bastante mal, pero no entendían las vulnerabilidades. No entendían que los atacantes podían aprovechar los errores en el código para acceder a los datos detrás de la aplicación y ejecutar sus propios comandos en el software. Y ahí fue donde entraron los piratas informáticos y les mostraron a los vendedores lo que era posible si uno era el malo. Y ahí es cuando dices que sabes que eres un hacker. Así es como veo mi papel y el papel que teníamos en L0pht, el grupo de hackers del que formaba parte, publicitaba que los proveedores no sabían lo que estaban haciendo y que tenían que empezar a construir software de manera diferente.

Elizabeth : Esto es genial. Pongamos esto en contexto un poco para las personas que están escuchando esto. Así que usted testificó frente al Congreso en 1998 y en ese momento, ¿puede pintarme un poco la imagen sobre cuáles fueron las razones por las que estaba haciendo y en sus objetivos? lo que estaba tratando de lograr en ese momento. Y luego volveré y les pediré que lo vinculen con el lugar donde estamos ahora donde hemos visto a personas más recientemente frente al Congreso. Mark Zuckerberg muy notablemente. Y lo que eres, sabes qué conexiones y qué experiencias estás teniendo cuando ves que sucede ese tipo de cosas, lo sabes todos estos años después.

Sabes, testificamos en 1998, pero en los pocos años que siguieron, comenzamos a hacer lo que llamamos investigación de vulnerabilidades. Tomaríamos un producto popular como Internet Explorer, lo configuraríamos en un laboratorio y lo aplicaríamos ingeniería inversa. Trataríamos de averiguar dónde estaban los problemas y encontraríamos formas de comprometerlo. Quiero decir, ahora pensamos en ello como si supieras algo que todos saben acerca de ti, haz clic en un enlace y tu computadora está ejecutando el software de otra persona. bajo el control de otra persona. Creo que todos conocen el riesgo ahora que, a veces, si hace clic en un enlace y es malicioso, podría llevar a otra persona que conoce a controlar su computadora. Ese es exactamente el tipo de vulnerabilidades que investigamos en el '96, '97 e intentamos que la gente les prestara atención. Y comenzamos a hacer esto con solo el objetivo de investigar y explorar. Pero después de un tiempo nos dimos cuenta de que los consumidores no saben que esto es un problema. Los vendedores no lo saben, pero los consumidores tampoco lo saben. Entonces, comenzamos a asumir un papel de defensa del consumidor en el que intentaríamos publicitar que el software inseguro hará que su computadora se vea comprometida.

Y recibimos algo de prensa para eso y eso nos puso en el radar del Senado cuando estaban comenzando a abordar este problema. En el '98 fue el primer informe de la Oficina de Responsabilidad Gubernamental que analizó la seguridad de todas las diferentes agencias federales y que se hizo por primera vez. Entonces, el Senador Thompson del Comité de Asuntos Gubernamentales, quien era el presidente en ese momento, quería tener una audiencia para hablar sobre los resultados y lo mal que lo hizo el gobierno, probablemente porque estaban ejecutando una gran cantidad de software de Microsoft en ese momento, pero muchos de otras cosas de proveedores también. No sé quién les puso el gusanillo, pero querían tener más que el punto de vista del gobierno, querían tener un punto de vista externo sobre esto. Y terminamos siendo interceptados, como saben, una especie de testimonio de expertos como este es una especie de visión externa que tienen los piratas informáticos, esa excelente visión externa de los problemas que no están motivados por el gobierno normal o comercial.

Elizabeth: Y, así, puente entre esa experiencia y más recientemente como Mark Zuckerberg. ¿Estás sorprendido de cómo En primer lugar, ¿te parece diferente todos estos años después de lo que viste cuando estaba allí hablando de Facebook? ¿O parece sorprendentemente familiar? ¿Sabes cuáles son las comparaciones son las diferencias que quieres compartir con nosotros?

cris: Facebook ha tenido muchos problemas diferentes, algunos de ellos de su propia creación, como la forma en que manejan la privacidad y su modelo de negocio. Algunos de los problemas se deben a que sabe que es un desafío proteger un software tan grande y complejo y han tenido infracciones, ¿verdad? Es tanto seguridad como privacidad, cuando piensas en ello. La diferencia hoy es que los riesgos son mucho más altos porque hay mucha más dependencia de sistemas como Facebook. Solo piense en la cantidad de información personal que hay en Facebook que podría usarse contra personas que claramente serían la gente no querría ser expuesta. Y sabes que hasta cierto punto se está utilizando en contra de todo nuestro sistema de democracia. ¿Correcto? Y contra la sociedad y no sólo contra los individuos. Entonces, lo que está en juego parece mucho más alto ahora que en el '98 cuando solo estábamos tratando de crear conciencia, diciendo que vemos que este es un problema que va a empeorar. Y luego miro hacia atrás y digo que, fundamentalmente, muchas cosas no han cambiado. Fundamentalmente, todavía no hay responsabilidad por el software. Sabes que si Facebook es violado, es como, bueno, sabes que es difícil crear software seguro y parece que todos los que crean software obtienen un pase cuando son violados. Así que eso fundamentalmente no ha cambiado. Pero creo que lo que ha cambiado es el impacto que tienen estas infracciones en la sociedad. Simplemente impregna toda nuestra vida.

Elizabeth: ¿Cree que los legisladores, los reguladores y la creación de nuevas leyes para implementar una mejor ciberseguridad es la respuesta? Y si es así, ¿hay medidas particulares que le interese ver implementadas?

cris: Sí, me gusta mirar analogías en otros negocios. otras industrias que el gobierno ha regulado, cosas como la comida está regulada con etiquetas de ingredientes y limpieza y cosas así. La seguridad está regulada en muchos lugares: automóviles, aviones, todo tipo de transporte, el lugar de trabajo e incluso productos de consumo. Me gusta mirar esas analogías y decir, ¿sabes? ¿Cómo conseguimos eso? ¿Cómo obtenemos el beneficio sin sofocar esas industrias? Quiero decir, obviamente, la seguridad en los automóviles ha sido una gran historia de éxito. ¿Correcto? Como si fuéramos mucho más seguros conduciendo ahora. Y sabes que no la industria del automóvil parece estar bien. Entonces, ¿cómo podemos tener una regulación que pueda mejorar la seguridad, que es bastante cercana a la seguridad, especialmente cuando empezamos a hablar de IoT y dispositivos controlados por computadoras? ¿Cómo podemos, cómo podemos hacerlo de tal manera que no sofoquemos esas industrias? Tenemos que andar con mucho cuidado, pero creo que mirando algunas de las cosas que han funcionado como saben para los alimentos, cosas como las etiquetas de ingredientes han funcionado. Entonces, solo transparencia sobre lo que hay allí y dejar que el consumidor decida. Obviamente, si algo resulta que causa cáncer, lo eliminamos del mercado.

Pero otras cosas son básicamente que sabes que está basado en el riesgo, basado en que conoces tu salud. Entonces, podemos pensar en la transparencia de lo que entró en el software si se procesó en una instalación que enloqueció, ¿sabe? Así que qué es lo. ¿Cómo se crea? ¿Y cuáles son los ingredientes, como qué piezas de código abierto hay, qué criptografía usa? Creo que las etiquetas de ingredientes y la transparencia son una buena manera de comenzar con eso. Pero la otra cosa que creo que debe suceder es cuando hay brechas que son grandes, trátelas como si fueran un accidente de transporte y trate de llegar a la causa raíz de lo que sucede. Parece que siempre hacemos eso con el transporte y muchas veces, cuando se trata de una infracción, decimos, bueno, así es como se comprometieron muchos registros. Vamos a comprar informes crediticios o monitoreo crediticio a todos sus conocidos y vamos a tratar de que no vuelva a suceder. Pero sabes que en realidad no sabemos qué pasó. Creo que el 10 por ciento de las veces sabes que sale la noticia y, por lo general, eso se debe a que el grupo atacante está haciendo reclamos.

Elizabeth: Correcto. Quiero decir que es tan interesante lo que estás diciendo porque este tipo de análisis post mortem sobre lo que sucedió, sabes que ciertamente puedes ver los accidentes de avión y exponen cada pieza sobre eso en un almacén y echan un vistazo absolutamente todo y realmente tratan de averiguar exactamente lo que les dice la caja negra, etc. Y hay un par de diferentes Quiero decir, y luego hablas de cosas como un accidente de seguridad alimentaria, sabes que tienes una situación en la que la lechuga romana se estropea, olvídalo, nunca encontrarás lechuga romana hasta que sepas que la crisis ha pasado. Y creo que hay un beneficio real de ese tipo de enfoque.

Pero creo que los desafíos y me interesa su punto de vista es que esos son hay algo intrínsecamente más fácil de entender para las personas acerca de lo que se usó para hacer esa ensalada y prepararla para la ensalada prelavada o cuáles son las diferentes piezas en el avión que interactúan entre sí? Y de alguna manera, cuando se trata de vulnerabilidades de software y conoce una gran brecha de seguridad de la red, tal vez sea la falta de conocimiento y una visión real de cuáles son todos los ingredientes. Pero para unas pocas personas preciosas, creo que los ingredientes que se presentan allí pueden dar sentido.

cris: Pero tienes expertos que se superponen a estas cosas básicas, como nutricionistas, médicos y luego pueden dar consejos basados ​​​​en esos conceptos básicos. Y yo diría que cualquier tipo de accidente aéreo es una falla muy complicada que se produjo en eso, como si miras el más reciente con Etiopía y Lion Air, es una cadena bastante complicada de software, capacitación, tal vez algo. mal diseño que eso que entrar en él. Nunca es una cosa simple como que un sensor falló, lo que causó que algún software fallara y luego hubo una falla de entrenamiento. Suele ser como dos o tres cosas combinadas. Y creo que en realidad es bastante similar a lo que vemos en el mundo cibernético.

Elizabeth: Quiero decir, creo que tal vez estoy pensando más en los legisladores. Quiero decir que no puedo evitar repetir en mi mente muchas veces las preguntas a Mark Zuckerberg sobre Bueno, ¿cómo se gana dinero? Y como realmente traicionar una ignorancia en el Congreso sobre la forma en que ese negocio y probablemente muchos otros además de funcionar en Internet moderno, lo que me lleva a encontrar un poco difícil imaginar que podamos llegar a una autoridad reguladora. lo que sea que eso signifique, eso podría tener una capacidad real para separar las cosas. espero que Quiero decir, también creo que es algo interesante y convincente a lo que dirigirse, pero también me pregunto cuál es su punto de vista, particularmente desde que se comprometió con Microsoft en su día, en torno al poder de estas compañías masivas de Internet y la forma en que lo harán. responder a algunos tipos de ruidos similares de los legisladores. Creo que las aerolíneas están en una situación diferente y las empresas de alimentos están en una situación diferente. ¿Cómo crees que Facebook o Instagram o Twitter o Google o quien sea respondería o ha respondido hasta ahora a este tipo de ideas?

cris: Muchas de esas empresas, como, solo toman Microsoft, respondieron en 2000... Creo que en realidad fue en 2002, Bill Gates salió y dijo: vamos a detener el desarrollo y todos van a recibir capacitación y ahora lo llama computación confiable. Y se pusieron en camino para crear software seguro y luego, probablemente 10 años después de eso, en realidad hacen un muy buen trabajo. ¿Correcto? Y creo que en parte era para proteger su marca, tenían que hacer esto. Observo mucho de esto y sus empresas hacen esto para proteger su marca. Me gusta si desea ver los proveedores de la nube como Amazon y AWS. son muy fuertes en seguridad porque necesitan tener una marca sólida en torno a la seguridad o nadie va a usar su servicio. Si hay alineación entre la marca de la empresa y lo que ofrecen de forma segura, creo que puede funcionar. Pero creo que el problema con Facebook es que no creo que la alineación sea necesaria, necesariamente correcta, debido a la forma en que las personas entregan su información. La alineación no siempre está ahí. Y si consideramos que usted sabe barato, conoce a los fabricantes de IoT que tienen nombres de los que nunca hemos oído hablar en China, no hay alineación de marca en absoluto y no les importa en absoluto. Ahí es donde creo que el problema es más grande, no es quizás con los jugadores más grandes, pero es como los próximos mil jugadores que siempre tienen una vulnerabilidad en algún lugar para que la red de todos sea siempre comprometida. Ya sabes, si miras cualquier tipo de sistema, cuanto más lejos te alejas de los mejores jugadores y la marca que es el problema, como WordPress, en realidad es bastante bueno. Pero podría poner un complemento de algún reproductor desconocido en su sitio de blog de WordPress y ese es ahora el compromiso. Ahí es donde creo que debe centrarse la regulación o la transparencia, en levantar la base hacia arriba, no en fortalecer a los mejores jugadores.

Elizabeth: Quiero pasar ahora a saber lo que está pasando hoy y algunas de las innovaciones que están ha sido desarrollado para una mayor seguridad. Ahora vivimos en un mundo con autenticación de dos factores en torno a nuestras contraseñas. ¿Cuánto tiempo cree que será el estándar en particular y hacia qué otros factores, como la biometría y cosas más allá, cree que nos moveremos, si es que hay alguno?

cris: Así que creo que el factor doble es una de las mayores innovaciones, especialmente cuando sabes dónde puedes usar tu dispositivo móvil como segundo factor, porque sabes que es casi tan fácil de usar como una contraseña y que es casi fácil de configurar como contraseña. Creo que vamos a ver dos factores durar mucho tiempo. Biometría, sabes que está bien si conoces un dispositivo de hardware, algo que sabes es la cerradura de tu puerta o tu teléfono. Comienza a volverse más problemático cuando esos datos biométricos tienen que compartirse ampliamente en muchos sistemas y mantenerlos seguros. Por ejemplo, si piensa en la biometría de su teléfono, esa huella digital nunca deja el chip seguro en su teléfono, ¿verdad? Esa es una de las cosas que hace que realmente funcione. Cuando la gente empieza a hablar de biometría, conoces el cajero automático o conoces otros lugares que están en una red amplia. Entonces empiezo a preocuparme de que realmente no ayude. Y luego existe un riesgo real porque ahora su huella dactilar es sabes que puedes cambiar tu contraseña pero no puedes cambiar tu pulgar o al menos no fácilmente. No estoy tan seguro acerca de la biometría.

Elizabeth: ¿Y qué hay de los problemas de ciberseguridad en las aplicaciones de aprendizaje automático? Hablamos mucho sobre el aprendizaje automático y muchas de las personas que escuchan este podcast utilizan soluciones de aprendizaje automático para analizar grandes conjuntos de datos. ¿Cuáles son algunas de las preocupaciones que deberían tener en cuenta?

cris: El aprendizaje automático definitivamente se puede utilizar para resolver algunos problemas de ciberseguridad. Creo que entra en un territorio desafiante cuando intentas separar el comportamiento normal del comportamiento malicioso porque son muy parecidos. Me refiero a que hay casos extremos en los que sabes que siempre inicias sesión desde Massachusetts y luego, de repente, inicias sesión desde China por primera vez y en realidad somos buenos en ese tipo de cosas. Esa es una especie de detección antifraude que usan las compañías de tarjetas de crédito. Y ese tipo de anomalías extremas, está bien. Pero se vuelve más difícil cuando tratas de entender si sabes que el comportamiento de un usuario en una red es realmente el tipo de comportamiento malicioso en comparación con el comportamiento humano normal. Tal vez alguien esté accediendo a una hoja de cálculo por primera vez porque le acaban de decir que haga algo. ¿Quieres bloquear esa actividad? ¿Quieres que alguien haga un seguimiento físico de esa actividad? Eso podría conducir a muchos falsos positivos. Entonces, cuando se trata del comportamiento humano que es simplemente proteger su PC o su red, creo que es un desafío y aún no hemos llegado allí.

Elizabeth: Y para las personas que son ejecutivos que dirigen empresas que necesitan pensar en su seguridad, ¿qué tan preocupados deberían estar? Y a menudo me pregunto, ¿sabe si se trata de un caso de ataque terrorista que estadísticamente es bastante improbable? ¿O se parece más a la amenaza de un accidente de tráfico de camino al trabajo? ¿Dónde debo enfocar mis preocupaciones? Y saben, la cantidad de empresas a las que les encantaría decirme que es terriblemente peligroso en términos de riesgos de seguridad cibernética que enfrento aquí en Technology Review es probablemente infinita. ¿Y cómo filtro la señal del ruido?

cris: Sí. Por lo tanto, es un desafío porque sabes que no sabes qué nivel de riesgo deberías tolerar como empresa, como diferentes empresas tienen diferentes niveles de riesgo, como obviamente algo que es un banco tiene un nivel de riesgo diferente que un medio empresa. ¿Correcto? Una empresa de medios puede sobrevivir, ya sabes, que su sitio web sea destruido, pero un banco no necesariamente puede sobrevivir perdiendo miles de millones de dólares. ¿Correcto? Hay una tolerancia al riesgo diferente para cada tipo de negocio. Pero estamos viendo algunos, y eso es como cuando se trata más de un ataque dirigido. Algo que me preocupa es el ataque aleatorio indiscriminado como el que vimos con el virus NotPetya que derribó a Merck y creo que hay un par de compañías de transporte global y Maersk, creo que fue una de ellas. Y por una suma de cientos de millones de dólares como si no pudieran operar sus negocios globales durante semanas, ¿sabes? Así que eso es algo de lo que todas las empresas tienen que preocuparse. me gustaría si tuviera que centrarme en mi ciberseguridad me centraría en ese tipo de eventos eventos generalizados: primero y luego me concentraría después de eso, ¿hay objetivos directamente hacia mi negocio? ¿Y sabes cómo puedo lidiar con eso? Creo que puedes separarlo en dos y será un poco diferente para cada negocio.

Elizabeth: Sí. ¿Y qué pasa con las personas que están entrando en el campo de la ciberseguridad ahora que están saben que han venido, han sido piratas informáticos o simplemente están realmente interesados ​​en hacer que la web y los negocios funcionen, ¿sabe que operar en la web es más seguro? ¿Qué les dices? Porque las cosas han cambiado mucho. Ya sabes, los piratas informáticos y la piratería se han vuelto mucho más sofisticados. Sin duda, es una herramienta de los estados nacionales. ¿Cómo les aconsejas que piensen dónde quieren desarrollar sus carreras?

cris : En realidad estuve en este evento en VMI en Virginia. Fue un evento de capturar la bandera donde 13 equipos universitarios diferentes se unieron para hacer estos ciberataques de bandera. Y hablé con ellos y saben lo que me gusta decir es empezar con lo básico. Realmente necesita comprender que sabe cómo funcionan las redes TCP/IP y cómo funciona Internet. Tienes que entender cómo funcionan los sistemas operativos como Unix y Windows. Necesita saber algo sobre codificación y necesita esta base básica amplia. Creo que solo para empezar y luego tienes que decidir en qué te quieres especializar, ¿verdad? ¿Vas a estar en defensa o vas a estar en el equipo rojo? ¿Va a hacer respuesta a incidentes y análisis forense? Como lo que terminé haciendo es, ya sabes, trabajar con personas que desarrollan software para ayudarlos a desarrollar software mejor. Creo que todos necesitan esa base porque hay tantas capas diferentes en las que puedes atacar los sistemas. Puedes atacar en la red, puedes atacar en el sistema operativo y supongo que otra área completa está en la capa humana. ¿Cómo engañas a la gente para que haga cosas? Creo que necesitas comprender los conceptos básicos de todas esas capas y luego concentrarte en dónde tienes una aptitud. Obviamente, algunas personas simplemente gravitan naturalmente hacia la ofensiva o la defensiva. Terminé, ya sabes, comenzando en la ofensiva y luego pasando a la defensa porque me gusta más. Probaría algunas cosas y luego profundizaría y me concentraría en un área.

Elizabeth: Estupendo. Bueno, esta es una conversación muy interesante y realmente aprecio que se tome el tiempo.

cris: Bueno, gracias por tenerme aquí.

Elizabeth: Eso es todo por este episodio de Business Lab. Soy su anfitriona Elizabeth Bramson-Boudreau. Soy el CEO y editor de MIT Technology Review. Fuimos fundados en 1899 en el Instituto Tecnológico de Massachusetts. Puede encontrarnos impresos, en la web, en docenas de eventos en vivo cada año. Y ahora en forma de audio. Para obtener más información sobre nosotros, visite nuestro sitio web y TechnologyReview.com. El programa está disponible dondequiera que obtenga sus podcasts. Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos en Apple Podcasts.

Business Lab es una producción de MIT Technology Review. Este episodio fue producido por Collective Next con la ayuda de Emily Townsend y con la ayuda editorial de Mindy Blodgett. Un agradecimiento especial a nuestro invitado Chris Wysopal. Gracias por escuchar y volveremos pronto con nuestro próximo episodio.

esconder