Mejor ciberseguridad significa encontrar las incógnitas desconocidas





En asociación con Cortex Xpanse de Palo Alto Networks

Durante los últimos meses, los servidores de Microsoft Exchange han sido como amigos en un frenesí de alimentación de tiburones . Los actores de amenazas han atacado fallas críticas de día cero en el software de correo electrónico: una campaña cibernética implacable que el gobierno de EE. UU. ha descrito como explotación nacional e internacional generalizada que podría afectar a cientos de miles de personas en todo el mundo. Obtener visibilidad de un problema como este requiere una comprensión completa de todos los activos conectados a la red de una empresa. Este tipo de seguimiento continuo del inventario no se adapta a la forma en que trabajan los humanos, pero las máquinas pueden manejarlo fácilmente.



Para los ejecutivos de negocios con múltiples prioridades posteriores a la pandemia, ahora es el momento de comenzar a priorizar la seguridad. Hoy en día es prácticamente imposible dirigir una empresa de casi cualquier tamaño en la que, si su TI falla, su empresa aún pueda funcionar, observa Matt Kraning, director de tecnología y cofundador de Cortex Xpanse, un proveedor de software de gestión de superficie de ataque adquirido recientemente. por Palo Alto Networks.

Podría preguntarse por qué las empresas simplemente no parchean sus sistemas y hacen que estos problemas desaparezcan. Si sólo fuera así de simple. A menos que las empresas hayan implementado una forma de encontrar y realizar un seguimiento de sus activos, esa pregunta supuestamente simple es un rasguño de cabeza.

Pero las empresas tienen dificultades para responder lo que parece una pregunta sencilla: a saber, ¿cuántos enrutadores, servidores o activos tienen? Si los ejecutivos de ciberseguridad no saben la respuesta, es imposible transmitir un nivel preciso de vulnerabilidad a la junta directiva. Y si la junta no comprende el riesgo, y se ve sorprendida por algo incluso peor que los ataques de Exchange Server y SolarWinds 2020, bueno, la historia casi se escribe sola.



Es por eso que Kraning cree que es tan importante crear un conjunto mínimo de estándares. Y, dice, las juntas directivas y los altos ejecutivos deben estar mínimamente familiarizados de alguna manera con el riesgo de ciberseguridad y el análisis de esas métricas. Porque sin ese nivel de comprensión, las juntas no están haciendo las preguntas correctas y los ejecutivos de seguridad cibernética no están teniendo las conversaciones correctas.

Kraning cree que la gestión de servicios de ataque es una mejor manera de proteger a las empresas con un proceso continuo de descubrimiento de activos, incluido el descubrimiento de todos los activos expuestos a la Internet pública, lo que él llama incógnitas desconocidas. Los nuevos activos pueden aparecer desde cualquier lugar en cualquier momento. En realidad, este es un problema solucionable en gran medida con una gran cantidad de tecnología que se está desarrollando, dice Kraning. Una vez que sabe que existe un problema, solucionarlo es bastante sencillo. Y eso es mejor no solo para las empresas, sino para todo el ecosistema corporativo.

Mostrar notas y enlaces:

Una agenda de liderazgo para el mañana , encuesta Global CEO Survey, PwC



Transcripción completa

Laurel Ruma : De MIT Technology Review, soy Laurel Ruma, y ​​esto es Business Lab, el programa que ayuda a los líderes empresariales a dar sentido a las nuevas tecnologías que salen del laboratorio y llegan al mercado.

Nuestro tema de hoy es la gestión de la superficie de ataque. ¿De dónde vendrá su próxima brecha de seguridad cibernética? Las empresas tienen cada vez más cosas conectadas a su Internet, incluidas redes en constante expansión e infraestructura obsoleta. Y a medida que los atacantes se vuelvan más creativos, los ejecutivos también tendrán que hacerlo.

Dos palabras para ti: incógnitas desconocidas.



Mi invitado es Matt Kraning, director de tecnología y cofundador de Expanse, que fue adquirida recientemente por Palo Alto Networks. Matt es un experto en optimización a gran escala, detección distribuida y algoritmos de aprendizaje automático que se ejecutan en sistemas masivamente paralelos. Antes de cofundar Expanse, Matt trabajó para DARPA, incluido un despliegue en Afganistán. Matt tiene un doctorado y una maestría de la Universidad de Stanford. Este episodio de Business Lab se produce en asociación con Palo Alto Networks. Bienvenido, Matt.

matt kraning : Muchas gracias. Muy feliz de estar aquí.

Laurel : Desde el principio, ha sido un experto en detección distribuida a gran escala y algoritmos de aprendizaje automático que se ejecutan en sistemas paralelos masivos. ¿Cómo te llevó esa experiencia a cofundar una empresa en el campo de la gestión de superficies de ataque?

Mate : Bueno, diré algunas cosas. Administración de la superficie de ataque es como terminamos llamándolo, pero en realidad fue un viaje muy largo hasta eso y realmente no nos propusimos saber exactamente cómo se llamaría o qué estaríamos haciendo precisamente. Así que ni siquiera hay una categoría de Gartner, que es una cierta forma de validar la existencia de un segmento de mercado. Eso en realidad todavía está saliendo. Así que el campo de la gestión de la superficie de ataque lo inventamos nosotros mismos. Y mucha invención significa que hay mucho descubrimiento en eso.

A diferencia de muchas empresas de TI y seguridad empresarial en las que, en muchos casos, la mayoría de las empresas fundadas generalmente ingresan a un mercado existente (por lo general, realizan un avance incremental o evolutivo además de lo que ya se ha inventado), en realidad tomamos otro enfoque y dijo: 'Estamos realmente, con ojos nuevos, preguntando: '¿Qué no se está sirviendo en el mercado hoy en día?' va a ser una responsabilidad estratégica para las organizaciones, ¿ya no solo un activo estratégico?'

Desarrollamos muchas técnicas y tecnologías para analizar básicamente todo Internet como un conjunto de datos: para recopilar, continuamente, información sobre Internet, que es realmente de donde provienen nuestros antecedentes, tanto académicos como de nuestro trabajo en la defensa. y comunidades de inteligencia, en lugares como DARPA, y en varios lugares en las agencias de inteligencia estadounidenses. Y dijimos, en realidad, parece haber un montón de cosas rotas en Internet y, sorprendentemente, muchas de ellas están asociadas con compañías muy grandes e importantes. Fue abordar esa pregunta lo que realmente nos llevó a fundar Expanse y luego también a crear lo que sería el primero y es el producto líder en lo que ahora se conoce como administración de superficie de ataque, que es realmente comprender todos los activos que tiene, comprender los riesgos que podrían plantear y luego también solucionar los problemas.

Pero cuando fundamos Expanse en 2012, no sabíamos que sería una gestión de la superficie de ataque. Ni siquiera teníamos el nombre de gestión de superficie de ataque. En cambio, estaba muy centrado en el problema: 'Estamos viendo muchas cosas raras y peligrosas en Internet y muchas vulnerabilidades de seguridad'. Hagamos doble clic en eso mucho y veamos si hay una manera de construir un negocio en torno a eso.'

Laurel : Y cuánto ha cambiado Internet en estos nueve cortos años, ¿verdad? Cuando habla de ese conjunto de datos y trata de encontrar información sobre dónde están los mayores riesgos de seguridad, ¿qué tan difícil fue encontrarlo? ¿Miró a su alrededor y vio, 'Oh, mire, hay conjuntos de datos completos, podría rastrear fácilmente a estas empresas? Están goteando. O, 'Las cosas no son seguras'.

Mate : Me encanta la frase, 'Todo es obvio una vez que sabes la respuesta'. Inicialmente, creo que uno de los principales desafíos es que, para mostrar cuán grande es este problema, en realidad es necesario recopilar los datos. Y recopilar los datos no es fácil, especialmente de forma continua o regular, en realidad debe tener mucha experiencia en ingeniería de sistemas, mucha experiencia en sistemas distribuidos para recopilar datos sobre todo. Creo que lo que hizo que nuestro enfoque fuera único es que en realidad dijimos: '¿Qué pasa si reunimos datos en cada sistema en Internet?' Lo que en realidad está habilitado por muchas ventajas de costos habilitadas por cosas como la computación en la nube, pero también ventajas de software tanto en código abierto como cosas que escribiríamos nosotros mismos. Y luego, en lugar de comenzar con las cosas que sabes sobre una empresa y tratar de evaluar sus riesgos, dijimos: '¿Por qué no comenzamos con todo lo que hay en Internet y luego tratamos de reducirlo a lo que es interesante?'

Y surgieron muchos conocimientos muy buenos de los que nuevamente, casi por accidente, comenzamos a descubrir que en realidad encontraríamos muchos, muchos más problemas de seguridad de los que las organizaciones realmente conocían. Cuando hablo con organizaciones, no hablo con pequeñas empresas. Estoy hablando de los servicios militares. Estoy hablando de empresas Fortune 500, empresas Fortune 100, empresas Fortune 10. Incluso los más grandes, los más complejos, pero también los mejores clientes financieros, la mayoría de los clientes de élite tenían problemas de seguridad. Y lo que realmente nuestro descubrimiento y nuestro viaje en la creación de la categoría, en la creación de la gestión de la superficie de ataque como una idea fue que encontramos todas estas vulnerabilidades de seguridad y todos estos activos en lugares remotos en cualquier lugar de Internet, y ocurrirán por una multitud de razones.

Pero en realidad fue interesante porque, si bien los desafíos y los riesgos de seguridad eran muy reales, los síntomas reales que encontramos, que descubrimos, en realidad eran que las organizaciones no tenían un medio efectivo para rastrear todos los activos que tenían en línea y para evaluar simultáneamente la postura de seguridad de esos activos y corregir, remediar y mitigar simultáneamente los riesgos de aquellos que se oponen a la organización.

Y creo que esa fue una de las cosas muy interesantes que mirando hacia atrás, ahora podemos decir: 'Obviamente, quieres hacer todas estas actividades'. Pero debido a que en realidad estábamos haciendo algo nuevo que nunca se había hecho antes, era una nueva categoría, tuvimos que descubrir todo eso comenzando desde el punto de que realmente, 'Parece que hay muchas cosas rotas en Internet'. No sabemos exactamente por qué, pero vamos a investigar.

Laurel : Esa es una buena manera de pensar en ello, comenzando con un lugar diferente y luego trabajando hacia atrás. Matt, según una encuesta reciente de PwC a más de 5000 directores ejecutivos de todo el mundo, el 47 % está extremadamente preocupado por la ciberseguridad. Ahora, el 47 % no me parece un número grande, ¿no debería estar más cerca del 100 %?

Mate : Diría que todos los directores ejecutivos con los que he hablado están preocupados al respecto en algún nivel. Y creo que mucho depende de dónde estén. En general, lo que hemos notado es un aumento muy grande, especialmente en los últimos cinco años, en la atención de los directores ejecutivos y las juntas directivas a los problemas de seguridad cibernética. Donde creo que hemos visto un retraso, aunque creo que hay algunas excepciones en esta área, es que muchas herramientas y presentaciones, especialmente para audiencias ejecutivas, para los riesgos de seguridad cibernética no transmiten de manera efectiva todo lo que esas personas necesidad de tomar decisiones efectivas. Y creo que esto es un desafío por una variedad de razones, especialmente porque muchos directores ejecutivos y directorios no necesariamente tienen la formación técnica completa para hacerlo. Pero creo que también ha sido un fracaso hasta la fecha en la industria poder proporcionar esas herramientas. Y creo que vamos a ver más y más cambios allí.

Lo comparo realmente con el estado de las finanzas antes de Sarbanes-Oxley que básicamente comenzó a requerir que los directores ejecutivos recibieran capacitación, y también las juntas, para comenzar a comprender ciertas métricas financieras, para tener ciertos controles en su lugar. Creo que en el alto nivel, vamos a tener que ver que algo así se implemente en los próximos años de alguna manera para decir que hay un conjunto mínimo de estándares y que las juntas y los altos ejecutivos deben estar mínimamente familiarizados de alguna manera. sobre el riesgo de ciberseguridad y el análisis de esas métricas. En este momento, he visto a muchas personas decir: 'Estoy preocupado por esto, pero tampoco sé a dónde ir después' o 'Estoy versado'. Tenemos un informe. Contratamos a una empresa. Tuvieron esta presentación que tenía un montón de diapositivas de PowerPoint con muchos gráficos que tendrían luces de árboles de Navidad que hicieron que mi cerebro se derritiera. Y realmente no podía entender los conceptos.'

Creo que la gente lo entiende, pero todavía estamos en los primeros días de, ¿cómo se tienen controles efectivos sobre esto? Y luego, ¿cómo es que realmente tienes programas que son robustos a su alrededor? Nuevamente, debemos avanzar en esa dirección porque cada vez más directorios necesitan ver esto como un aspecto fundamental de su empresa, especialmente porque casi todas las empresas de hoy, no importa en qué industria se encuentre, de qué tamaño, su empresa en realidad se ejecuta en TI. Es casi imposible en estos días administrar una empresa de casi cualquier tamaño en la que, si su TI se cae, su empresa aún puede funcionar. Y como resultado de la comprensión de la seguridad cibernética en esos niveles, con la superficie de ataque siendo ahora parte de eso, es muy importante que las organizaciones puedan comprender, porque de lo contrario pondrá a su organización en una gran cantidad de riesgo al no ser capaz de evaluar adecuadamente cosas como esa.

Laurel : Sí. Y eso vuelve al viejo adagio, cada empresa es una empresa de tecnología. Pero tal vez este sea un ejemplo más específico de cómo es. ¿Podría describir brevemente qué es la gestión de la superficie de ataque, tal vez para esa audiencia ejecutiva?

Mate : La forma en que describimos la administración de la superficie de ataque es efectivamente un proceso de tres pasos en el que todos los pasos se realizan continuamente en forma de ciclo, pero es un proceso y un procedimiento mediante el cual usted, o realmente un proveedor, en este caso Expanse o Palo Alto Networks, descubre continuamente todos los activos que tiene una organización. En nuestro caso, desde la superficie de ataque externa, todos los activos que tiene en Internet público. Y ese es un proceso continuo porque en un momento dado, y puedo hablar de esto más adelante, pero en un momento dado, pueden aparecer nuevos activos desde cualquier lugar en Internet. Por lo tanto, debe tener un proceso de descubrimiento continuo que diga: 'En un momento dado, es posible que no sepa todo sobre mis activos, por lo que debería tener mecanismos para recopilar información sobre cualquier lugar donde puedan estar y tratar de asociarlos a mi organización'.

Al mismo tiempo, tan pronto como se descubre un activo, debe tener los medios para evaluarlo en una variedad de características diferentes. En muchos casos, si descubro un nuevo activo, ¿es este activo realmente nuevo? Y si no es así, entonces emparejar, normalizar, deduplicar eso con otras cosas. Si se trata de un activo nuevo, en la mayoría de los casos no se administrará. Entonces, ¿cómo empiezo realmente una serie de actividades para decir: 'Este es un activo que existe con el mío, pero generalmente existe fuera de un conjunto previsto de controles de seguridad'. Entonces, ¿cómo empiezo un proceso para evaluar qué controles deben implementarse y luego ponerlos bajo administración?' Y la tercera parte de la evaluación también es comprender cuál es el riesgo que esto representa de inmediato para mi organización para ayudarme a priorizar actividades.

El paso final es lo que llamamos mitigación. Una vez que ha evaluado todo lo que ha descubierto, ¿qué hace realmente al respecto? Qué acciones toma y cómo lo hace de manera altamente automatizada y efectiva. Y para nosotros, hay dos pasos principales que implica la mitigación. Mencioné la priorización, pero es una, poner los sistemas bajo administración. En muchos casos, lo que eso también significa es que para la mayoría de los sistemas asociados con nuestros grandes clientes, en realidad significa sacarlos de Internet directamente, por lo que los colocamos detrás de una VPN u otro tipo de dispositivo corporativo, o hacemos asegúrese de que luego se conozcan y se actualicen porque, en muchos casos, el síntoma real de los problemas de seguridad que encontramos es el hecho de que un activo no se administró durante mucho tiempo y puede contener seguridad. vulnerabilidades que luego se descubrieron simplemente porque tendría parches de seguridad que existen para problemas de seguridad conocidos que no se habían aplicado.

En ciertos casos, como los ataques de día cero, en realidad es mucho más importante saber dónde están todos los activos para poder parchearlos lo antes posible. Pero para la gran mayoría de los activos que descubrimos para nuestros clientes y ayudamos a administrar su superficie de ataque, el verdadero problema es que los activos simplemente no se conocen. Y para los ejecutivos, la verdadera clave es que los procesos y herramientas existentes que utilizan muchas empresas pueden ser muy buenos desde este aspecto de la seguridad, pero asumen que las redes son efectivamente mucho más estáticas.

Laurel : Entonces, ¿cuáles son las ramificaciones de una empresa que no conoce su superficie de ataque real?

Mate : El más grande y obvio es un mayor riesgo de incumplimiento. Creo que fue un adagio durante gran parte de la década de 2000, ayudado en gran parte por los proveedores, que todo comenzó con el phishing por correo electrónico. Y hay proveedores de seguridad de correo electrónico muy, muy grandes que aún envían este mensaje de que cada incidente de seguridad es efectivamente un correo electrónico de phishing y que los humanos son el eslabón más débil cuando hacen clic en las cosas y, por lo tanto, compran más seguridad de correo electrónico.

No creo que esté mal. Creo que en realidad es correcto que la seguridad es una gran cosa, puedes comprarla. Pero también es mucho más fácil de mitigar, especialmente ahora con muchas buenas herramientas, como que realmente tiene visibilidad completa de todos los correos electrónicos que se envían a los empleados porque tienen que pasar por un servidor de correo central. En realidad, se trata de ser capaz de detectar cosas malas, pero no de necesitar descubrir que, por ejemplo, se enviaron correos electrónicos de los que no tenías visibilidad.

Creo que, por el contrario, lo que hemos visto, especialmente más recientemente durante la última década e incluso en los últimos cinco años, son algunas de las peores infracciones absolutas, las que causan daños de cientos a miles de millones de dólares, no están llegando. del phishing En realidad, provienen de activos generalmente desconocidos y no monitoreados y que, en muchos casos, estaban en Internet públicos. Así que creo que algunos de los ejemplos más grandes de esto son en realidad cosas como el ataque WannaCry, que causó daños estimados en más de $ 10 mil millones en todo el mundo, cerró empresas enteras, volviendo a poner en funcionamiento la mayor parte del sistema de atención médica del Reino Unido. y papel para días reales.

Y las ramificaciones reales son que tiene todas estas vías adicionales para ingresar porque hay muchos más activos en línea que las organizaciones no rastrean, y así es como ingresan los atacantes porque resulta que hay muchos formas eficientes y automatizadas para que los atacantes comprendan, investiguen y exploten estas superficies de ataque. Y las ramificaciones son bastante audaces. Ves la mayor parte de la atención médica de un país del primer mundo reducida a lápiz y papel durante días. Muy, muy serio porque no es solo piratear el correo electrónico de alguien, en realidad es piratear la infraestructura crítica de la red misma.

Laurel : Hablando de infraestructura crítica, otro ataque reciente es la planta de tratamiento de agua en Florida, donde un atacante pudo cambiar de forma remota la composición química del agua para agregarle lejía, lo que podría haber envenenado a toda una comunidad. Entonces, ¿la infraestructura es un problema enorme para las empresas muy grandes, como las plantas de tratamiento de agua o las empresas de petróleo y gas, etc.?

Mate : Absolutamente. En ese caso, según tengo entendido, el vector de ataque en realidad era un servidor de acceso remoto que alguien en esa planta dejó abierto, estaba en Internet y permitió que alguien entrara. De lo que se tratan nuestros servicios tecnológicos es de que nosotros volver a encontrar formas que sean efectivamente herramientas de conveniencia de TI pero que los atacantes puedan subvertir porque las herramientas de conveniencia de TI no están reforzadas en la misma medida que otras cosas que están destinadas a estar en Internet y se dejan fuera como un cosa normal. Tenemos esta línea que nos gusta ver Internet en la mayoría de las formas como lo que la mayoría de nosotros experimentamos a través de nuestros navegadores web o en nuestro teléfono. Es una experiencia del consumidor de configuración realmente agradable y todas las páginas web que vemos se ven muy bien y agradables y vamos allí.

Y es una buena analogía con el mundo físico, supongo, poco después de que todos estemos vacunados contra covid-19, volveremos a comprar afuera. Puedes ir a un Starbucks y la tienda es realmente agradable, tienes esta gran experiencia, obtienes tu café con leche, sales, pero luego, si miras debajo de todo el brillo en las calles, en realidad tienes una infraestructura mucho más antigua. Tienes cosas como que no hay tuberías de alcantarillado y otras cosas que son grasientas y agrietadas. Y esa es la infraestructura que soporta el mundo más hermoso en la parte superior.

Mucho de lo que vemos como parte de la superficie de ataque es una analogía de TI de que la mayoría de las personas ven Internet simplemente como '¿Qué hay en su navegador web? ¿Qué hay en el teléfono, estos agradables sitios web para consumidores? Pero hay toda una infraestructura de TI de back-end que admite eso. Y es algo chirriante y no siempre está bien configurado. Sin algo como ASM, tiene problemas de que realmente no conoce el estado de su red porque es muy grande, distribuida y compleja. Y como en el caso de Florida, que por cierto era una organización más pequeña, va al corazón de ¿cómo sabes que algo no está pasando? Bajo ninguna política de seguridad informática, no se debe permitir tener un servicio de acceso remoto en Internet. Pero es muy difícil incluso para las organizaciones más pequeñas obtener esa visibilidad continua de, ¿cómo me veo realmente desde el exterior? ¿Qué aspecto tengo para un atacante con herramientas heredadas?

Laurel : Y ese es un buen ejemplo de un ataque que no es un ataque de phishing. No tiene nada que ver con el correo electrónico. Si bien estamos en la discusión de los ataques, el más memorable este año nuevamente, SolarWinds y Exchange, ¿cómo habría cambiado la implementación de ASM esos resultados para las organizaciones? ¿O qué hay de aquellas organizaciones afortunadas que realmente entendieron sus opciones de administración de superficie de ataque y pudieron encontrar esto y frustrar el ataque?

Mate : Hablaré con ambos porque varios de nuestros clientes tenían ambos tipos de sistemas y los ayudamos a responder. Creo que los trucos de Microsoft Exchange, y para sus oyentes, un poco de información: en realidad, se anunció un conjunto de días cero para los conjuntos de versiones de los servicios de correo electrónico de Microsoft Exchange a principios de febrero y marzo de este año. Muy, muy peligroso porque, en efecto, estos son los servidores de correo de una organización y si siguió esta cadena XY, lo que básicamente le permitió hacer fue enviar un mensaje a un servidor de correo para otorgarle acceso administrativo sin restricciones a todo el correo. servidor. Y en realidad hubo cientos de miles de estos que detectamos en línea. Y efectivamente, si lo piensa bien, que un atacante pueda descargar todo o la mayor parte del servidor de correo corporativo y con toda esta información confidencial que está almacenada allí, es un ataque muy serio.

Entonces, lo que notamos en realidad fueron dos cosas, que, para las grandes organizaciones, eran muy conscientes de esto y estaban parcheando muy, muy rápidamente. Pero había una cantidad de clientes a los que pudimos ayudar cuando eran tan grandes que en realidad ni siquiera tenían un conjunto central de servidores de correo. Por lo tanto, sin Expanse, no habrían podido encontrar ni siquiera todos sus servidores de correo y parchearlos a tiempo porque están tan distribuidos que en realidad necesitaban un inventario incluso de sus servidores de correo. Y es muy difícil agregar eso de una manera central a menos que esté utilizando una herramienta ASM como Expanse. Porque, en cambio, en muchos casos, generalmente usa Microsoft Outlook y Microsoft Excel. Vas a enviar correos electrónicos a diferentes unidades de negocio. Se le preguntará a los líderes de TI en esas diferentes unidades de negocios. Si están parcheados, enviarán correos electrónicos y hojas de cálculo. Es un proceso muy, muy manual.

Por lo tanto, poder identificar eso y realmente ayudarlos en muy poco tiempo, como un día, encontrar y poder reparar cada servidor que tenían en su propiedad, lo que creemos que realmente cambió el resultado, porque pudieron han sido vulnerables durante semanas en ciertos casos. También para SolarWinds, creo que los detalles son un poco diferentes porque no todos los activos de SolarWinds están necesariamente expuestos a Internet. Y también en muchos casos, habían estado allí durante meses. Como parte de Palo Alto más amplio, teníamos otros productos que podían detener a SolarWinds: el ataque de SolarWinds en particular, nuestro marco de trabajo de punto final llamado XDR. Pero incluso allí para SolarWinds, una vez que se conoció el ataque, los clientes todavía tienen el problema de que ni siquiera sabían dónde estaban todos sus servidores SolarWinds, lo que nuevamente se remonta a este problema de inventario y la elección de capacidades, como Expanse y otros capacidades que ahora tenemos como parte de Palo Alto, pudimos ayudar a los clientes a comprender muy rápidamente dónde tenían una exposición a SolarWinds para que pudieran mitigar eso muy rápidamente. Así que hubo efectivamente un proceso de dos pasos. En Palo Alto, pudimos evitar el ataque a nuestros clientes incluso sin saber que se había violado la cadena de suministro. Y luego, una vez que fue más público, también pudimos ayudar a todos a identificar todos los servidores que tenían y asegurarnos de que estuvieran actualizados y no infectados con el troyano de la cadena de suministro.

Laurel : Eso es realmente interesante porque algunas empresas pueden estar pensando, 'Oh, bueno, no tenemos plantas de agua ni infraestructura obsoleta de qué preocuparnos'. Pero, ¿sabe realmente dónde se almacena todo su correo y en cuántos servidores diferentes puede estar y en diferentes instancias de la nube o donde sea? Y cuando solo tiene una cuestión de horas para hacer este parche crítico, ¿qué tan rápido puede hacerlo?

Mate : Exactamente. Y muchas de las preguntas que les hice a nuestros clientes son simplemente: '¿Cómo puede estar seguro de que, efectivamente, sus sistemas están actualizados?' Responder incluso preguntas aparentemente básicas con TI existente, si no tiene Expanse o ASM, es sorprendentemente difícil. Daré otro ejemplo divertido. Siempre les pregunto a los directores de seguridad de la información: '¿Cuántos enrutadores tiene su organización?' Parece una pregunta bastante básica, parece que sabrían, al menos en una muy buena aproximación, que el equipo de TI probablemente debería saber exactamente cuántos enrutadores tienen. Son equipos de red muy importantes, especialmente a nivel empresarial, son más caros. Así que no es solo como ese punto de acceso Wi-Fi doméstico al que estamos acostumbrados. Estas cosas pueden costar decenas, en algunos casos, cientos de miles de dólares para manejar cargas de trabajo de nivel empresarial.

Y lo que encontramos es que cuando haces esa pregunta, en realidad no suele haber un lugar central donde se rastree todo eso. En cambio, será rastreado por los equipos locales de desarrollo y TI de diferentes maneras. Será rastreado en múltiples hojas de cálculo. Puede haber ciertos sistemas locales de administración de TI que lo sepan, pero al final, si dices, '¿Cuántos enrutadores tienes ahora?' El proceso que usarían para responder eso no es ingresar a un sistema o iniciar sesión, en realidad es iniciar una cadena de correo electrónico. De hecho, ese es uno de los principales problemas que intenta resolver la gestión de la superficie de ataque: ¿cómo se tiene un inventario preciso y actualizado de todo para poder crear una variedad de procesos además de eso, incluida la seguridad? ? Pero si no tiene un inventario actualizado o cree que lo tiene, pero no lo tiene, entonces cuando comience a tirar de ese hilo, muchos procesos comerciales, muchos procesos de TI, muchos de procesos de seguridad que desea que se apliquen en toda su empresa, de repente se da cuenta: 'Espera, esto en realidad solo se está implementando parcialmente porque si no tengo un inventario completo, ¿cómo puedo saber realmente qué es repasando todos mis activos en lugar de solo los activos que conozco?' Y de eso hablamos cuando decimos incógnitas desconocidas. Como mencionaste en la parte superior, es: 'Conozco hasta cierto punto mis sistemas, pero ¿los conozco todos?' Ese delta puede ser todo para las organizaciones porque la mayor parte de su riesgo está en las partes de su red que ni siquiera sabían investigar.

Laurel : ¿Qué otras decisiones basadas en datos se pueden tomar a partir de este tipo de enfoque en saber realmente dónde están todos sus activos? ¿De qué otra manera puede ayudar esto al negocio?

Mate : Dos áreas en las que esto realmente ayuda a las organizaciones es el gobierno de la nube y las fusiones y adquisiciones. En particular, se trata de empresas muy expansivas. Entonces, para muchos de nuestros clientes, en realidad podrían tener cientos de cuentas de nube diferentes en los proveedores de nube pública, por lo que AWS, Azure, Oracle, Google, Alibaba en muchos casos, y no tenían forma de racionalizar esto porque realmente tendría un montón de diferentes equipos de desarrollo y no podrían conseguir algo. Y así, cuando dicen que se están mudando a la nube, un estribillo típico de nuestros clientes será como, 'Sí, lo estamos. Tenemos acuerdos con Amazon y estamos cubriendo nuestras apuestas un poco. También estamos explorando Azure, por lo que no estamos encerrados únicamente en una nube”. Lo que encontramos es que el cliente promedio de Expanse está en 11 proveedores de infraestructura diferentes.

No estoy hablando de SaaS, estoy hablando de lugares en los que realmente obtienes, como alquilar un servidor, poner datos en ti mismo. Es asombroso y astronómico y podríamos decir: 'Bueno, sí, estás en Azure. También estás en AWS. ¿Sabías que también estás en DigitalOcean? También estás en Linode. Tu director general en Europa probablemente te haya puesto en hosting de OVH o Orange. Tienes algo más en el centro de datos de Malasia. No estoy exactamente seguro de qué es eso. Y eso es típico. Un cliente para nosotros estaba en realidad en más de cien proveedores diferentes porque son una multinacional muy grande. Creo que ahí es cuando vemos que los planes de gobierno de la nube de las personas versus la realidad de la nube son dramáticamente diferentes. Y ayudarlos con eso les permitirá moverse de forma segura y rápida a la nube.

El segundo son las fusiones y adquisiciones. Creo que esto es algo que está sucediendo cada vez más. Como muchas industrias se están consolidando, hay mucha actividad de fusiones y adquisiciones más recientemente. Pero cuando lo piensa, una fusión y adquisición es uno de los eventos de cambio de TI más grandes que puede tener una organización, especialmente si se trata de una gran adquisición. Así que sé un poco sobre esto, ya que recientemente pasamos por este proceso con Palo Alto Networks nosotros mismos en el otro lado de la mesa, pero la cantidad de cosas que tiene que integrar es bastante grande. Y en el caso de Expanse, estamos integrados con una empresa de seguridad líder en el mundo y también somos relativamente pequeños. Así que los dolores de cabeza de la integración han sido casi inexistentes, y ha sido un gran proceso.

Pero para las organizaciones más grandes en las que es posible, una organización con 50 000 personas está adquiriendo una organización con 10 000 personas, la cantidad de pasos diferentes que tiene que seguir, la cantidad de TI que tiene que transferir, la cantidad de legado que tiene que entender es gigantesco. Y en muchos sentidos, en muchos casos solo se implementan parcialmente porque, como adquirente, es posible que ni siquiera sepa dónde están todos los activos que está adquiriendo. Como ejemplo, para una aerolínea, hubo una serie de fusiones y en realidad podemos encontrar activos de la aerolínea fusionada que ya no existe, pero que aún estaban en Internet más de una década después de la fusión.

Lo que te da una idea de cuánto tiempo tardan algunas de estas cosas. Ese es el otro lado de la forma en que realmente ayudamos a nuestros clientes, en realidad es comprender: 'Cuando realmente adquieres un activo, ¿cómo completas ese proceso? ¿Como lo mides? ¿Cómo lo monitoreas y cómo lo haces a escala de Internet en lugar de con muchos consultores, hojas de cálculo de Excel, hojas de papel y correos electrónicos?'

Laurel : Así que de nuestra conversación de hoy, siento que esta es la advertencia, si no sabes lo que no sabes, realmente deberías averiguarlo, si no lo has escuchado antes. Pero hay destellos de esperanza en esto, ¿verdad? Porque si el activo existe, al menos puede encontrarlo, rastrearlo y evaluar lo que va a hacer con él, mediar cualquier cambio que necesite hacer o evaluarlo para que vuelva a cumplir con la ciberseguridad por completo. ¿Qué le da esperanza sobre lo que es posible después de ver los primeros tres meses de este año y lo que sucedió con los ataques, los problemas continuos que vamos a tener? Pero hay oportunidad allí, ¿verdad? Hay esperanza. ¿Qué está viendo que lo hace optimista sobre la seguridad cibernética y lo que esperamos en los próximos cinco años?

Mate : Sí, en realidad soy bastante optimista, ni siquiera a largo plazo, pero creo que incluso a mediano plazo, incluso dentro de tres o cuatro años. A corto plazo, definitivamente habrá mares agitados por delante, pero esto es lo que me hace sentir más optimista. Uno, creo que este es en realidad un problema solucionable en gran parte con mucha tecnología que se está desarrollando. Y por eso, está claro que una vez que sabe que existe un problema, solucionarlo es bastante sencillo. Hay muchos pasos mecánicos para mejorar en eso. Hay muchas automatizaciones que se pueden poner en eso. Y hay un montón de cosas que vienen a soportar. Pero en muchos casos, la parte difícil real es ver lo que realmente necesita solucionar y conocer todo el conjunto de problemas y luego poder priorizarlos de manera efectiva y luego comenzar a trabajar en ellos.

Y creo que, en particular, las cosas que he visto están dentro de la industria, creo que hay muchas tecnologías en los pocos años que van a cumplir con la exageración del marketing que ha existido durante años. Hablo mucho con socios de la industria. Utilizamos cantidades sustanciales de datos. Con mi experiencia en la que tengo un doctorado de Stanford en investigación de operaciones y aprendizaje automático, en realidad usamos algo de aprendizaje automático real en nuestros productos. También usamos muchas heurísticas. Bromeo diciendo que a veces tenemos clasificadores de aprendizaje automático para resolver un problema. Otras veces tenemos consultas SQL que solucionan el problema.

Tenemos algunas consultas SQL muy bien escritas. Estoy muy orgulloso de ellos. Pero creo que la industria en sí, especialmente en material de marketing, pensaría que todo en ciberseguridad es esta IA automatizada, todo habilitado para ML. En la mayoría de los casos, pero no en todos, pero en muchos de la industria, y esto es especialmente cierto en las nuevas empresas, es solo una línea para lanzar. Y lo que las empresas realmente llaman IA son solo reglas de software estándar y realmente no sucede nada especial.

O hay un viejo chiste que dice: 'Oh, tengo esta gran cosa de IA'. ¿Qué es? Bueno, tenemos un montón de analistas que son ex oficiales de inteligencia, generalmente en Maryland o fuera de Tel Aviv y son los que hacen todo. Pero tenemos un sistema que enruta eficientemente el trabajo hacia ellos y esa es nuestra IA.' Y dicen, 'Espera, eso es gente'. Creo que lo que he visto es que, la automatización en sentido amplio es algo real. Pero la automatización en realidad significa sobre el terreno, es tomar algo que antes tomaba horas y días y 10 personas. Y luego, con el software en este momento, es más, ¿cómo se reduce eso a 15 minutos y dos o tres personas?

Creo que veremos ganancias aún mayores o incluso comenzaremos a sacar a los humanos del circuito por completo en ciertos procesos comerciales. Y creo que lo que estamos viendo y esto es mucho en lo que estamos trabajando y en lo que estoy trabajando ahora es que en los próximos meses y años, la capacidad real de aprendizaje automático a gran escala se implementará en producción. Creo que hay algunos que están por ahí poco a poco. Hay muchas más reglas de las que nadie quiere hablar, pero ahora estamos viendo que hay suficiente recopilación de datos, hay suficiente normalización de datos en eso, especialmente en las empresas más grandes, y que las empresas están más dispuestas a compartir información con los proveedores si mejora de manera demostrable el servicio de seguridad que están recibiendo, que en realidad vamos a poder implementar capacidades cada vez más sofisticadas en ese sentido y hacer que el producto coincida con la realidad. Creo que eso es lo que había sido, al menos, el espíritu de la época de marketing de la industria en general.

He visto muchos de ellos, son muy, muy reales y están llegando mucho. Y están llegando a escala industrial para los defensores. Y creo que eso es lo que más me emociona porque, a pesar de que existe el viejo adagio de que los atacantes deben tener razón una vez, los defensores deben tener razón todo el tiempo, cada vez es más escalable que los defensores tengan razón. la mayor parte del tiempo y establecer redes de monitoreo muy amplias para que, si los atacantes se equivocan una vez, los defensores puedan eliminarlos por completo en ese ataque. Y eso afecta asimétricamente el costo y también creo que ayudará a inclinar el campo hacia la defensa.

Mate : Creo que cuando tenía soluciones parciales de IA y soluciones de ML y automatización parcial, ayudaba mucho más a los atacantes porque podían unir con cinta adhesiva algunas partes diferentes, escalar ciertas cosas mucho y luego simplemente ver qué les devolvía en un gran manera. Creo que los defensores podrán tener capacidades similares que sean efectivas porque en realidad cubren todo lo que sucede en una empresa. Y eso nos permitirá cambiar el rumbo.

Laurel :Matt, muchas gracias por acompañarnos hoy en lo que ha sido una conversación fantástica en el Laboratorio de Negocios.

Era Matt Kraning, director de tecnología y cofundador de Expanse, con quien hablé desde Cambridge, Massachusetts, la sede del MIT y MIT Technology Review, con vista al río Charles.

Eso es todo por este episodio de Business Lab. Soy su anfitrión, Laurel Ruma. Soy el director de Insights, la división de publicaciones personalizadas de MIT Technology Review. Fuimos fundados en 1899 en el Instituto Tecnológico de Massachusetts. Y también puede encontrarnos impresos, en la web y en eventos cada año en todo el mundo.

Para obtener más información sobre nosotros y la feria, visite nuestro sitio web en technologyreview.com.

Este programa está disponible dondequiera que obtenga sus podcasts. Si disfrutó de este episodio, esperamos que se tome un momento para calificarnos y comentarnos. Business Lab es una producción de MIT Technology Review. Este episodio fue producido por Collective Next. Gracias por su atención.

Este episodio de podcast fue producido por Insights, el brazo de contenido personalizado de MIT Technology Review. No fue producido por el equipo editorial de MIT Technology Review.

esconder