Manténgase a la vanguardia de las amenazas cibernéticas con los últimos conocimientos de nuestros expertos en seguridad.
Suscríbete ahora para recibir:
- Nuevos episodios de ThreatTank a medida que se lanzan
- Top ataques de tendencia por industria
- Conocimientos prácticos y estrategias de respuesta
- ¡Y, más!
Introducción a ThreatTank – Episodio 2: Tendencias de ataque trimestrales
Tom Gorup: Bienvenido a ThreatTank, un podcast que cubre la última información sobre amenazas. Respuesta a amenazas y conocimientos sobre el panorama de la seguridad en todo el mundo. Soy su anfitrión, Tom Gorup, Vicepresidente de Servicios de Seguridad de Edgio, y me acompañan hoy Richard Yew, Director Senior de Gestión de Productos de Edgio Security Solutions, y Michael Grimshaw, Director de Ingeniería de Plataformas de Edgio.
Tom Gorup: Bienvenido, Richard, Michael.
Richard Yew: Gracias por tenerme aquí de nuevo.
Tom Gorup: Esto podría convertirse en un tema recurrente, Richard. Así que, la última vez que abrí con una pregunta de rompehielos y sentí que teníamos que seguir adelante, pero encontrar una no es fácil, ¿verdad?
Porque creo que la última vez establecimos una barra sólida. Así que, aquí está mi rompehielos. Y por lo que vale, tampoco he dado tiempo para pensar en ello. Así que, me uniré a este. Pero aquí hay una pregunta. Te voy a preguntar primero, Michael. Te voy a poner en el acto. Si tuvieras que estar atrapado en un programa de televisión durante un mes, un mes completo, ¿qué programa elegirías y por qué?
Michael Grimshaw: Tengo que admitir que lo primero que me viene a la mente y ni siquiera estaba vivo en la primera carrera de esto probablemente sería la isla de Gilligan porque la idea de pasar un mes entero en una isla tropical, incluso si tienes que usar al profesor para averiguar cómo conseguir agua corriente o cualquier otra cosa por el estilo. Una bonita isla tropical durante un mes no suena demasiado mal.
Tom Gorup: Qué respuesta. Me encanta. No, no he visto la isla de Gilligan en mucho tiempo, y ni siquiera voy a decirlo en voz alta, ha pasado mucho tiempo desde que lo vi. Esa es una buena respuesta. ¿Y a ti?
Richard Yew: Oh, wow, eso es difícil. Ya sabes, he estado pensando bien, quiero decir que dije un Peppa Pig como si hubiera algún otro programa de televisión que tenga cerdos, sabes que voy a mantener el mismo tema de cerdo en marcha, pero supongo que voy a parar con eso.
Supongo que para mí, como manos abajo Juego de Tronos, como, quiero decir, me quedaría atrapado dentro de Juego de Tronos, pero tal vez voy a conseguir el primer día o el último día, ¿quién sabe? Pero, sí quiero decir, vamos con eso.
Tom Gorup: Eso es eso. Sí. Eso es valiente.
Richard Yew: Sí. Eso es muy valiente. Sí. Soy bastante audaz, hombre.
Richard Yew: Probablemente me pondré mi capa negra y me pararé en una pared y veré lo que pasa.
Michael Grimshaw: Bueno, Tom, déjame también darte lo inverso. Cualquier Juego de Tronos y cualquier programa de películas con temática zombi estaría en mi parte para no ser parte de una lista.
Tom Gorup: Esa es una buena respuesta. Quieres sobrevivir, ¿verdad? Eso es justo.
Richard, hombre, audaz. Juego de Tronos. Por lo tanto, estuve enferma la semana pasada, desafortunadamente. Tuve COVID, que era miserable. Pero sí me puse al día con algunos relanzamientos antiguos de la Casa. Así que creo que lo haría, elegiría House. Definitivamente quiero sentarme en algún diagnóstico y probablemente decir que no es lupus. Solo tengo que decirlo al menos una vez.
No es lupus. Nunca es lupus. Ese sería mi show por un mes. Creo que sería un buen momento, al menos sé que mi tasa de supervivencia sería bastante alta en comparación con la elección de Richard allí.
Tom Gorup: Muy bien. Así que no estamos aquí para hablar de programas de televisión.
Estamos aquí para hablar de un nuevo informe de tendencia que Edgio está saliendo con, que estoy súper emocionado. Estoy tomando una foto de Q4 y mirando todo tipo de tendencias. Esta es la primera vez en mucho tiempo, en años, diría que es una especie de renacimiento de este informe.
Y estamos cubriendo todo tipo de puntos de datos desde métodos de solicitud, tendencias a lo largo del tiempo, uh, tipos de MIME, todo tipo de geolocalización, uh, y eso está bien, los traje a ambos aquí hoy para hablar porque creo que hay muchas ideas interesantes al ver los datos de esta manera, creo que a veces se pueden ver los conjuntos de datos.
Usted es como, bueno, ¿y qué? ¿Qué importa? ¿Por qué? ¿Por qué estoy mirando esto? ¿Cómo podemos ver esta información y extrapolar algún valor de ella? Y entonces estoy muy emocionado de conseguir ambos de su trabajo. Conocimientos. Así que para un tipo de categorías de alto nivel de temas que se me vinieron a la mente que de nuevo estarían interesados en sus perspectivas sobre uno era la arquitectura de aplicaciones, ¿verdad?
Arquitectura de aplicaciones – Lo que observas importa
Tom Gorup: Si estamos viendo estos, este informe, pensando en nuestra, nuestra arquitectura, nuestras aplicaciones, cómo estamos aprovechando nuestras herramientas para estar correctamente configuradas en función de la arquitectura de nuestra aplicación y también tal vez algo de cumplimiento. Aspectos de, uh, cómo podemos usar esta información para empezar a pensar de nuevo, nuestras aplicaciones de una manera diferente.
Así que para empezar, creo que la arquitectura de aplicaciones. Así que como obtener un marco de referencia aquí. Hay dos puntos de datos en este informe. Mira los métodos de solicitud en los tipos de mente, y hay más. Definitivamente podemos sentirnos libres de, ustedes saben, ustedes han visto informes tener acceso. Puedes tirar de lo que tengas allí.
Pero primero, ¿qué? ¿Por qué es importante mirar? Este tipo de cosas como los métodos de solicitud en los tipos mentales. Quiero decir, cuando miro por primera vez el informe, era como nueve más del 98 por ciento de las solicitudes para obtener publicaciones. ¿Qué? Bienvenido a Internet, ¿verdad? Por ejemplo, ¿por qué es importante mirar esos datos de esta manera? ¿Qué piensan ustedes?
Michael Grimshaw: No, yo llamaría, ya sabes, algunas de las grandes cosas que vienen a mi mente es lo que observas las cosas, lo que estás mirando las cosas. Así que allí, podemos hablar de arquitectura y construcción como nuevas aplicaciones de campo verde y toda la arquitectura sobre eso por un lado.
Pero lo primero que obtendría, y es el poder de informes como este y datos e información como esta, obviamente inteligencia de amenazas. Soy un gran creyente en hacer su arquitectura en torno a su cumplimiento, sus necesidades de seguridad, y realmente los requisitos no funcionales es, ya sabes, la lógica de negocio de su aplicación no es un pequeño grupo, pero ya han quedado atrás los días en los que solo puedes centrarte en la lógica empresarial y una cosa, tienes que estar mirando múltiples dimensiones, como cómo puedes ajustar tu observabilidad, cómo puedes tomar enfoques de infraestructura y plataforma más avanzados como la repavimentación y la rotación de credenciales.
Puedo hablar, podemos hablar durante días sobre eso, pero lo importante es tener inteligencia procesable para saber lo que estás buscando. Así que desde una aplicación, de las herramientas que mencionaste, esa es una de las primeras cosas que llamaría, entender dónde estabas, ya sabes, cuáles son los vectores. Lo que los actores estatales están aprovechando lo que los niños de guion y todos los que están en medio es aprovechar lo que necesita para informarte de lo que estás viendo en lo que sabes, ya sea que estés haciendo, trimestralmente, sabes escaneos, con suerte estés haciendo escaneos más que trimestralmente obviamente. Dependiendo de su perfil de cumplimiento, debe hacerlo en un mínimo trimestral, pero esperamos que se esté moviendo a un modelo más de DevSecOps Shift Right donde esté escaneando continuamente o donde esté monitoreando continuamente la seguridad de la construcción y la movilidad.
Así que lo primero que llamaría es estos datos. Esta información es importante de conocer. Lo que necesitas estar mirando más de cerca, lo que necesitas para ajustar tu pila de observabilidad para buscar tu pila de observabilidad de seguridad, y luego inversamente en el turno, ¿verdad? Es prestar atención a más cosas y más vulnerabilidades potenciales que podría introducir en su código para asegurarse de que no lo hace.
Tienes que tener un ojo en tu horizonte. Cada vez que tenemos una de estas conversaciones, vas a escuchar un montón de analogías, pero es como si estuvieras corriendo si estás en un maratón o si estás haciendo carreras de cross country o algo así, mantienes los ojos en el horizonte para que después tengas que cambiar tácticamente. De una manera u otra debido a un bache, conoces un río o algo así. No estás perdiendo de vista los horizontes hacia los que estás corriendo.
Richard Yew: Quiero decir, al revés, como si miraras esto, ¿verdad?
También es cuando se trata de arquitecturas de aplicaciones, ya sabes, cuando miro los datos, como dijo Tom, la mayoría de las solicitudes se pueden imponer, pero sabes, es Internet, ¿verdad? Pero creo que una de las cosas que se descomponen, es también cuando miras datos, como cuántas solicitudes, porque te cuenta las historias de Like, ¿cuáles son las conversaciones del contenido que estamos recibiendo, ¿verdad?
Obviamente. Si usted está ejecutando un montón de espacio de aplicación, ya sabes, especialmente como, digamos que tiene un spa, ¿verdad? Como arquitecturas primarias, ¿verdad? Vas a ver un montón de publicaciones. Vas a ver muchos métodos diferentes, ¿verdad? Si tomas mucho contenido generado por los usuarios, es posible que veas muchas publicaciones y las pongas, ¿verdad? Así que es un buen desglose para ver. Y además, dado que se trata de datos de seguridad, significa que estos datos provienen de un firewall de aplicaciones web, ¿verdad? Realmente ve cuántas de las cargas útiles que inspeccionamos realmente viajan mucho.
Así que en este caso, muchas veces tengo razón. Pero también ven una cantidad bastante significativa de esas cosas que vienen de la publicación porque ahí es donde las cargas útiles, así que es muy, y realmente cuenta una historia sobre la superficie. Las áreas superficiales de tu ataque, y te dice que si solo miras las distribuciones de tu método de solicitud, bien, cualquier cosa que reciba cualquier punto final como opuesto, derecha, vas a tener una superficie mucho más grande porque, ya sabes, el post es como, yo uso una analogía y la gente me dice que es tonto, está en la casa, como la petición de correo, es como tu basura y tus baños y, ya sabes, tu, tu público, uh, cualquiera, como solo enviarte una carga útil, ¿sabes lo que estoy diciendo?
Tipos MIME
Tom Gorup: Me encanta lo que estás diciendo, sin embargo, es que cosas como el método de solicitud comienzan a pintar un cuadro. Cuente una historia sobre su aplicación, cómo se está utilizando, cómo se está atacando, dónde podría ser vulnerable. Te da una buena perspectiva. Y conduce directamente al tipo de tipo MIME también.
Una cosa que pensé que era interesante, me encantaría tener los pensamientos de sus chicos sobre esto, es lo que vimos esto dar la vuelta es un, es una gran cantidad, el 76 por ciento de esos bloques. Una vez más, esta actividad WAF es, fue la aplicación JSON tipo MIME. Así que mucha prevención alrededor. Tipo de solicitud JSON, y qué nos dice eso sobre Internet en su conjunto, cómo se están desarrollando y diseñando las aplicaciones?
Richard Yew: Quiero decir, empezaré con eso. Como básicamente te dice de dónde vienen tus chatarra, ¿verdad? En cierto sentido, JSON tiene sentido porque, como, la mayoría del punto final de la API, uh. UH, como RESTful, incluso ni siquiera RESTful, como GraphQL, lo que sea, ¿verdad? Contiene como cargas útiles JSON. UM, correcto. Así que esto es el par para el curso, en mi opinión, no debería ser nada sorprendente para muchas organizaciones, ¿verdad?
Obviamente también ves como cargas útiles que provienen del tipo de contenido HTML, uh, ves un montón como desde XML, ¿verdad? Entonces, definitivamente quieres una cosa cuando se trata de diseñar y mecanismos de seguridad, ¿verdad? Usted no quiere solo mirar JSON, pero solo quiere, porque he visto ciertos productos de seguridad, solo pueden analizar, digamos XML.
Que no tienen la capacidad de analizar JSON. Es como, si no puedes analizar JSON, no puedes mirar las cargas útiles. Así que quieres asegurarte de tener la capacidad de JSON. Tienes que asegurarte de que tu analizador esté al día. Quiero decir, ¿adivinen qué? Debido a que la mayor parte de ella pasó por alto a, a un WAV es como explotar el analizador.
Así que están enviando cargas útiles ya sea a través de un formato de codificación especial o como ellos, lo enviarían en un formato como. Incluso a veces solo cambia. Este es un JSON, pero cambió el formato a multi-parte, lo que sea. Y la web dejó de analizarlo porque solo miraba las cabeceras. Oh, esto no es JSON. Así que no lo estoy analizando.
Así que así es como se consigue que la carga útil se deslice a través. Así que definitivamente es algo que usted quiere ser capaz de hacer, tomar notas de Like, WOW, JSON, es el más popular. También quieres mirar cuáles son algunos de los más oscuros. Esos y artículos que quiero señalar, pero lo guardaré para más adelante.
Michael Grimshaw: Creo que Richard hizo un gran punto es que solo una X y ningún analizador no lo cubre en la era moderna del desarrollo web. No me sorprende que las cargas útiles de la aplicación JSON y JSON representen un porcentaje tan grande porque en el desarrollo web moderno, JSON está en el mundo, ya sabes, y ni siquiera es solo desarrollo web.
Uno mira, por ejemplo, alguien debería nublar. UH, ya sea que estén hablando, sobre CloudFormation y AWS y otros, ya saben, déjenme usarlo porque AWS es grande por ahí. No fue hace mucho tiempo, cuatro o cinco, tal vez un poco más hace años. No recuerdo la fecha exacta, pero CloudFormation era completamente XML y luego se trasladó a JSON-based y eso se hizo cargo totalmente.
Así que es infraestructura de desarrollo web, JSON. Sí, tienes que ser capaz de analizar tanto en JSON como en XML, pero el punto de Richard también es aún más esotérico y lo atípico es que tienes que ser capaz de analizar todos los datos.
Richard Yew: Sí. Hablando de valores atípicos cuando miro los datos, sí, siempre miro los puntos de datos más pequeños, como el 1 por ciento o el 0,5 por ciento o algo que se destacó justo en el informe es que tenemos 0,14. Así que el 0,14 por ciento de igual cantidad de datos. Otra información no descaracterizada, ¿verdad? Pero puede sonar extraño, pero cuando se habla de miles de millones de millones de puntos de datos al mes, es decir, el 0,14 por ciento de los mil millones, es bastante. Y algunos de esos tipos de contenido resultan ser como imágenes. JavaScript y otros, como usted pensaría históricamente que, oh, esos son contenido estático, ya sabes, como esos son altamente cacheables. ¿Por qué pondrías WAV delante de tus JPEG?
Ya sabes, ¿por qué tienes muchas imágenes, verdad? ¿Qué haces eso? Bueno, déjame decirte eso, ¿verdad? Hay algo llamado movimiento lateral en seguridad, ¿verdad? Es como si esos JPEG. Al igual que, a menos que los esté poniendo en el almacenamiento, como en el borde, la derecha, el almacenamiento neto, y donde es solo el 100 por ciento de servicio, cualquiera de esas solicitudes se remonta a sus niveles web, ya sabes, como en sus entornos, si incluso solo el 0,1 por ciento de esas solicitudes se remonta a sus orígenes, significa que el atacante puede enviar cargas útiles, ya sea en forma de encabezados, cookies, cadenas de consultas, argumentos, etc. etcétera, desde la solicitud a un archivo JPEG y enviar esas cosas a su backend. Así que si estás usando el mismo backend para tu, digamos, tu HTML y tu JPEG, como JPEG, ¿verdad?
Es posible que sean susceptibles a los movimientos laterales porque dicen: Oye, ya sabes, esto es solo dominio de imagen. Como, tal vez no necesitas proteger eso. Mucha gente piensa, ¿por qué pondría un WAF? Malgaste mi dinero, ya sabes, me gusta poner las protecciones en una cosa mayormente estática. Y de nuevo, esto es algo a notar.
Siempre quieres encontrar defectos porque como defensor, como alguien que es equipo azul, sí, tienes que tener razón todo el tiempo. El atacante solo tiene que ser correcto una vez, ¿verdad? Ya sabes, quién sabe, como las primeras cargas útiles en la primera solicitud JSON que pasa a ser reenviada a los orígenes creados por la puerta trasera. Podría suceder.
Tom Gorup: Sí. El 100 por ciento y lo que me encanta de dónde vas con esto, también, es que primero hablaba de pintar una imagen o contar una historia sobre tu aplicación. Así que obtener una buena comprensión de la arquitectura de su aplicación. Y entonces, ¿dónde estás aplicando tus controles?
Porque hasta el punto en que usted piensa que es quizás el menos vulnerable podría ser esa vía de enfoque cuando estamos mirando, um, y otra vez, esto está dentro del informe también. Pero cuando analizamos las categorías de ataques mitigados, el 45 por ciento eran en realidad reglas de control de acceso, lo que significa la prevención de tal vez solicitudes POST.
Si tu app no acepta publicaciones, como limitar el panorama de amenazas, limita dónde los atacantes pueden empujar tu aplicación aplicando reglas de control de acceso. Si no aceptas la aplicación, Jason, bloquéala. Correcto. Prevenirlo. No hay razón para permitir que eso suceda en el primer lugar.
Y luego traes un buen punto de like, mirando el tipo de valores atípicos, las porciones más pequeñas de la aplicación. Me encanta ese proceso de pensamiento allí. Así que en esas líneas, continuemos tirando de ese hilo un poco. Así que el 45% son reglas de control de acceso donde bloqueamos el 37%. UH, somos conjuntos de reglas administradas.
Así que esa es toda tu inteligencia de amenazas y tu scripting cross-site de esos tipos de impuestos. Y luego el 19 por ciento eran reglas personalizadas viendo esto y pensando en como defensa de capas. Eso es lo que pensé aquí fue que a medida que llegan las solicitudes, están pasando por estos filtros que necesitas estar contemplando, ¿verdad?
Un enfoque de defensa en capas
Tom Gorup: Cuando implementa WAF o controles de seguridad dentro de su aplicación, debe comprender su arquitectura y ajustar sus herramientas de seguridad para que coincida con eso. Para, de nuevo, limitar su paisaje de amenazas, pero luego también necesita capas, ¿verdad?
Michael Grimshaw: Necesitas capas. Y una de las cosas que quiero, y vamos, y quiero hablar con capas, pero creo que esto es de lo que estamos hablando aquí es que realmente brilla una luz sobre la importancia del bucle de retroalimentación entre su desarrollo, sus desarrolladores de características, su SDLC, sus arquitectos, y su equipo de seguridad, porque si su equipo de seguridad o su WAF o su SOC o lo que sea está volando ciego, ya saben, no saben, está bien, ¿deberíamos aceptar cargas útiles JSON aquí?
¿No publicamos? ¿Qué, qué hacemos? ¿Es esa, esa comunicación, ese bucle de retroalimentación? Puede ahorrar dinero en cuanto a tiempo perdido por FTE, ahorrar dinero en herramientas, solo un estrecho bucle de retroalimentación entre sus desarrolladores, sus arquitectos y sus, y su equipo de seguridad hace toda la diferencia en el mundo.
Richard Yew: Cuando se trata de las capas, siempre digo, no, voy a hablar de meta palabra de moda, ya sabes, como defensa en profundidad. Saben, como, realmente creo que necesitamos, tenemos que tener una mentalidad que, realmente tiene orden para sus términos. Pero tal vez estoy equivocado.
Tal vez hay un filtro de agua de una sola capa, ya sabes, están usando sofisticados como carbonos de coco, lo que sea, como, lo que sea. Correcto. Pero por lo general, cuando miramos los valores, ¿verdad? No se puede suponer que una sola capa sea una bala mágica. Como, por ejemplo, el hecho de que tenga administración de bots no significa que desee esperar que la administración de bots atrape todo, desde la aplicación, ya sabe, como DDoS hasta las adquisiciones de cuentas.
Cada mecanismo funciona en conjunto. Y la forma en que tratan de decirlo, como, como saben, como. Está bien. Lo más eficiente posible. Así que estamos tomando como 45% reglas de exceso. Me gusta llamarlo ACL. Quiero decir, esto es solo, es ACL, ¿verdad? Es que ACL normalmente se ejecuta en nuestra primera capa. Y hay una razón detrás de eso porque es barato de correr.
Es solo un montón de IPs, país, lo que sea. UH, ASN, firmas JA3, ¿verdad? Los ejecutas detrás porque es una firma estática que cualquier cosa que viole esos. Inmediatamente se aleja el futuro como si fuéramos segundos sub milisegundos, ya sabes, ¿verdad? Son nuestras capas enteras, ejecuciones plurales en sub-milisegundos.
Pero ya sabes, como quieres ser capaz de deshacerse de la mayor parte de su basura, ¿verdad? Y yo solía tener un amigo que trabaja en la industria es como me diría, bueno, esto es lo que llamamos un encogimiento del pajar. Quieres que quieras tomar un montón de peticiones similares que entran, ¿verdad? Y tratas de encontrar el ataque.
Es como, bueno, estás tratando de encontrar esa única solicitud HTTP que lleva esa mala carga útil y que resulta en una violación. Así que estás buscando una necesidad de un pajar. Así que ser capaz de encadenar rápidamente el pajar, eliminar la mayor cantidad de esos basura como sea posible de las capas frontales para que las capas más sofisticadas puedan procesar.
Por datos adicionales, lo que sería muy útil de nuevo, se remonta al hecho de que no solo estamos ejecutando defensa perimetral, ¿verdad? Es solo porque cruzas, rompes la pared. No significa que hay, deberías tener torres de vigilancia, ¿verdad? De hecho, todo el concepto de defensa en profundidad es una estrategia militar que vino de los romanos a medida que expandieron sus territorios hasta el punto de convertirse en un imperio.
No es factible solo estar muros alrededor y asegurarse de que solo depende de los otros perímetros para derrotar el ataque. Por eso. Hemos estratificado la defensa.
Michael Grimshaw: Absolutamente. Y creo que podríamos haber mencionado esto, lo cubrimos en una discusión anterior, Richard. Me gusta el ejemplo de inmunología aquí es que si su salud depende de un ambiente estéril, usted es un hombre muerto.
Ya saben, no se trata de evitar, no se trata de tener un ambiente amurallado y todo dentro de su estéril. Se trata de construir inmunidad. Y la única manera de conseguir eso es cómo estás libre de patógenos es desarrollar inmunidad a ellos y un enfoque defensivo en capas es necesario para eso.
Es como tú. Sí, necesitas los mejores firewalls de red. Usted sabe, usted necesita un perímetro fuerte. ¿Pero adivinen qué? Eso va a ser violado. Quiero decir, en el mundo de los actores estatales y donde está el mundo entero, es potencialmente una amenaza. Efectivamente, usted necesita simplemente planear que su perímetro va a ser violado.
Así que una vez que hacen eso, ¿cuál es la siguiente capa? Y la siguiente capa después de eso, y la siguiente capa después de eso. Y luego, ¿cómo están monitoreando eso y tomando las huellas dactilares de esos tipos de infracciones para que sepan a qué van después? Sí, es imperativo
Arquitectura distribuida
Tom Gorup: Eso es interesante, y por alguna razón, está pensando en cómo juega una arquitectura distribuida en eso? Porque puedo ver una especie de dos extremos del espectro aquí. Puedes mirarlo y mirar el riesgo, estás agregando expansión, pero entonces también podrías. UH, míralo y, uh, aportando más valor. Distribución de las cargas de trabajo entre, uh, varias regiones o ubicaciones, lo que permite una mayor disponibilidad.
Entonces, ¿dónde ven eso jugando?
Michael Grimshaw: Absolutamente. Vivimos en el mundo de la arquitectura distribuida. Cuando tienes una huella global, bueno. Ya sabes, más de 300 puntos de presencia en todo el mundo. Estamos en una era de cómputo paralelo masivamente distribuida, y no somos solo nosotros. Quiero decir, um, esto se remonta a más de 20 años, pero esta es la esencia del desarrollo web. Infraestructura web. Tienes que asumir que estás distribuido. Que usted está corriendo masivamente en paralelo y donde, lo que mueve la aguja aquí de una seguridad, de un soporte, y desde una base de costos es lo primero que llamaría a la atención es evitar evitar los copos de nieve es, y esto también se relaciona con el cumplimiento, lo que vamos a llegar aquí en un poco es que si se está ejecutando masivamente paralelo, masivamente distribuido, necesita que su infraestructura sea lo más similar posible con tantas variaciones en esa arquitectura distribuida y distribuida. UM, um, uno, porque cuando estás hablando con tus auditores, puedes afirmar, puedes atestiguar.
Michael Grimshaw: Sí, solo tenemos que mirar uno de esos porque este es un cortador de galletas en todos, ya sabes, tenemos que mirar, ya sabes, y sus auditores lo probarán. No solo tomarán un ejemplo y correrán con eso. Puedes echar un vistazo a cualquiera de nuestros puntos globales de presencia y son básicamente exactamente el mismo cortador de galletas uno tras otro que ayuda a la seguridad.
Así que tienen básicamente el mismo modelo que están utilizando, ya que están trabajando en sus capas y desplegando sus capas una, pero también mientras están rastreando, escaneando y observando. Esa sería una de las grandes cosas de las que hablaría en cuanto a arquitectura distribuida y la razón por la que mencionaba que con cumplimiento es porque si estás en un sistema masivamente distribuido, sus auditores no querrán realizar pruebas y auditorías cada uno si pueden validar y verificar y usted puede afirmar que son correctos. Exactamente la misma arquitectura, son competidores unos de otros.
Tom Gorup: Eso tiene que ser más fácil decirlo que hacerlo, ¿verdad? Especialmente al hablar de una arquitectura distribuida en nuestro escenario, ¿verdad? No estamos hablando de desplegar un montón de instancias EC2 que vienen de una imagen dorada, ya sabes, en algún lugar.
Estamos hablando de hardware. Correcto. En cierto sentido. ¿Y cómo operacionalizar algo así?
Michael Grimshaw: Ese es un punto excelente, excelente. Y cuando eso viene a uno allí, es un enfoque de múltiples capas para eso también. No solo la seguridad en eso viene de usted, su equipo de compras y su equipo de gestión del ciclo de vida, necesita estar alineado en eso porque un buen ejemplo, la razón por la que me permiten obtener Kubernetes es un gran ejemplo.
Es distribuido en paralelo, no distribuido globalmente, pero no se va a ejecutar un clúster de Kubernetes en todo el mundo. Pero Kubernetes tiene un gran ejemplo de esto es que te encuentras con problemas en Kubernetes. Si tienes un montón de servidores que tienen diferentes controladores o diferentes, ya sabes, diferentes tarjetas de nick o hardware diferente, básicamente no puedes ejecutar Kubernetes.
Es por eso que, como dije, trabajar con la gestión del ciclo de vida y su equipo de compras para mercantilizar su infraestructura. Esa es la punta de la lanza en la punta de la lanza en eso. Quieres obtener tu hardware lo más similar posible entre sí. Ahora, permítanme decir que un gran riesgo que hemos experimentado recientemente durante COVID es el problema que encontramos con la logística y el impacto masivo en el espacio de distribución global ha llegado a donde usted, incluso si estaba ejecutando hardware cortador de galletas mercantilizado antes de COVID con los retrasos en el envío con los choques al envío y transporte y logística.
Michael Grimshaw: De conseguir incluso ser capaz de conseguir el mismo tipo de chipsets o cualquier otra cosa por el estilo y no es solo usted, son las personas que usted compra hardware de sus proveedores, etc. Es una especie de gran curva en eso para que aparezca la segunda capa donde tienes que adaptarte y que está activada cuando llegas a la imagen y el software real que estás ejecutando en él, en primer lugar, como tu hipervisor o tu sistema operativo o tu hipervisor?
Esa es la siguiente capa a donde, incluso si no es completamente uniforme debajo, sin embargo, quieres llegar lo más cerca posible. La siguiente capa es para hacerlo tanto cortador de galletas y uniforme en su imagen y en su capa de hipervisor del sistema operativo. Y luego, a partir de ahí, un enfoque similar con las aplicaciones.
Usted quiere conseguir esto tan estandarizado como sea posible la seguridad para los costos por un montón de razones.
Richard Yew: Ya sabes, te diré como cuando se trata de aplicaciones. Bien, ya saben, en disputa, sé que probablemente es contrario a la creencia popular, y esto podría ser un poco contradictorio porque estamos pensando en una arquitectura bien distribuida.
Así que estamos tomando de servidores blandos centralizados, entornos en la nube, y estamos distribuidos por todo el mundo. ¿Qué pasa si te digo que tener una arquitectura distribuida en realidad hace que tu superficie de ataque sea más pequeña? Suena un poco raro. Suena como, pero, pero piénsalo de esta manera, ¿verdad?
Al haber distribuido, y es por eso que creo que es muy importante cuando estás diseñando aplicaciones, especialmente estamos hablando de sitio web, ¿verdad? No, el diseño y lo que encuentro un error común, y esto es la seguridad límite. Así que si me desvío un poco del tema es que encuentro que hay un error en el que he visto a personas, clientes, organizaciones, diseñarán las aplicaciones basadas en una arquitectura centralizada y luego intentarán ejecutarlas en la plataforma distribuida como A, CDN, entonces tienes que crear mucha optimización, como, Oh, lo que necesita ser enviado, ya sabes, después del hecho a la lógica, pero ya sabes, lo moderno, se llama un diseño moderno, ¿verdad?
Se trata de diseñar aplicaciones con arquitecturas distribuidas en mente. Sería como, por ejemplo, estás acostumbrado a procesar muchas lógicas en una ubicación centralizada. Solo tienes que usar CDN para almacenar en caché tu JPEG y tus archivos estáticos, etc. Pero, ¿qué tal si usted envía algunas de las lógicas?
Como, digamos que solo tomas un ejemplo muy simple, como tus redirecciones, ¿verdad? Al igual que su infraestructura centralizada original va a hacer redirecciones para un cliente. ¿Qué pasa si tienes decenas de miles de redirecciones vinculadas? Correcto. UM, ¿qué tal si cambias esas lógicas al límite?
¿Qué tal si cambias esas cosas? Y al hacer eso, correcto, cuando digo superficie de ataque, correcto, lo están, al cambiar esa lógica al borde, correcto, están reduciendo las cargas, están reduciendo la probabilidad de fallo en una centralizada, como, como las arquitecturas, al descargar algo de eso, ya saben, la seguridad exterior es lo que CIA, ¿verdad?
Richard Yew: Estamos hablando de la parte de disponibilidad de eso. Es muy importante. Así que diría moviendo muchos de ellos, incluidos los mecanismos de seguridad. Así que si eres capaz de filtrar de nuevo, encoge el pajar del ataque en el borde exterior de los perímetros, correcto, eres susceptible, menos vulnerabilidad en tu hardware centralizado, ya sabes, una nube o similar, esperemos que ya no.
Richard Yew: Ustedes, 2024, saben, pero hardware, pero básicamente llamamos infraestructura Origins y eso es muy importante. Solo puedo decirlo como que hay muchas más cosas que puedes hacer porque obviamente estamos al borde de lo que estamos implementando muchas tecnologías y te diré, hombre, como hacer conteo distribuido.
En como 1 milisegundo y teniendo todos los servidores, como, como las cosas en todo, correcto, que los datos, es un dolor, ya sabes, cuando estás tratando de sincronizar el número de solicitudes por segundo en todas tus infraestructuras, eh, dentro de un pop, ¿verdad? UM, pero yo, creo que es algo de lo que quieres hacer uso.
Richard Yew: Entonces, entonces, en lugar de tener solo un cerebro central, como, uh, lógicas en tu, en tu arquitectura centralizada. Empezó tal vez dividiéndolo al igual que los humanos, ya sabes, los cerebros humanos son arquitecturas técnicamente distribuidas. Tienes tu cerebro y tienes tu cerebro lagarto. ¿Y adivinen qué? Porque, porque cuando tocas algo caliente, no vas a tener tiempo para reaccionar.
Richard Yew: Si esas cosas tienen que pasar por un cerebro central. Tienes que quemarte antes de retirarte, ¿verdad? Es por eso que, así que, empezar a pensar en lo que es un nuevo diseño de arquitectura. Tal vez en lugar de hacer aprendizaje automático y entrenamiento y todo en lo centralizado, usted hace inferencias en el borde y luego hace un entrenamiento en lugares centralizados.
Una vez más, vuelve a gustar. En cierto sentido, en realidad estás reduciendo un poco la vulnerabilidad y haciendo que todo tu sistema sea más robusto desde una perspectiva de seguridad.
Michael Grimshaw: Sí. Sí, y esto dice perfectamente lo que estábamos hablando de estratificación es porque al alejarnos de un enfoque centralizado, um, um, o de lo que estábamos hablando con inmunología también, alejándonos de un enfoque centralizado, um, um.
Tú, si, cuando te atacan y te empeoran, la cantidad de datos o, o, o la exposición que tienes es tremendamente limitada, así que no es un booleano completo, um, ¿estoy protegido o no? Cuando todo está centralizado. Muy bien. Si están dentro y tienen acceso a los datos, tendrán acceso a los datos, los distribuirán.
Está bien. Tal vez, tal vez una región o un subconjunto o un subsistema. UM, um, un atacante puede aprovechar un día cero o lo que sea y entrar, pero no tienen todo su sistema. Y también es una cosa de resiliencia porque no estás perdiendo toda tu corteza cerebral de un solo golpe.
Richard Yew: Por cierto, el bot de Lindsay solo me revisó los hechos y, eh, supongo que usé una mala analogía. UH, humano es, supongo, supongo que nosotros, no tenemos cerebros y en otros lugares, pero debería tener, debería haber dicho que es un pulpo. Un pulpo tiene como cerebros y todos los brazos. Sí. Eso es, esa es una verdadera arquitectura distribuida.
Geolocalización – ¿Dónde estamos bloqueando la mayoría de los ataques?
Tom Gorup: Sí, eso es justo. Eso es bueno. Así que, permaneciendo a lo largo de las líneas de la arquitectura distribuida, tal vez tirando de conformidad un poco aquí. Una de las estadísticas que pensé que era. Esto fue bastante interesante para mí, al menos para ver en el papel, estaba mirando la geolocalización. Entonces, ¿dónde estamos bloqueando los ataques de los cinco primeros países?
Muy bien. Tengo estos cinco países principales: Nosotros, Francia, Alemania, Rusia y Chechenia. Lo que pensé que era muy interesante aquí es por lo que vale la pena saber que hay un montón de APT que se quedan sin China. No están en la lista. No está en la lista, lo que me pareció interesante cuando pensamos en la geolocalización.
Creo que mucha gente recurre a la geofencing. Oye, déjenme encerrar en países de los que sé que es probable que sean atacados, pero el 26%. El número uno que odiaba allí era de los Estados Unidos. Como, ¿qué les dice eso chicos? También creo que estoy pensando en esto desde el punto de vista del cumplimiento. ¿Cómo es lo que es la geofencing en, ya sabes, 2023, 2024, ahí es donde estamos ahora.
Richard Yew: Quiero decir, mi opinión, correcto, sé que tenemos, como, cada cliente, ya sabes, cuando nos subimos a bordo, hablamos de control de exportación, y tenemos que, como, hacer, me gusta, esos controles con, como, geofencing, me siento como algunas de esas cosas, algunos de esos requisitos para ser revisitados ya que sé que puede no ser algo que todo el mundo quiera escuchar, especialmente si usted corre GRC, pido disculpas de antemano si te estoy dando un dolor de cabeza, pero creo que estamos en un día y una edad en la que es como si todo el mundo tuviera una VPN y todo, ¿verdad? Y tan fácil de hacer girar VM en todas partes. Como, recuerdo cuando estábamos mirando Black Hat el año pasado, estábamos buscando distribuciones de como el ISP para el ataque anónimo DDoS Sudán, ¿verdad?
Richard Yew: Es como, están utilizando un proveedor de hosting. En todas partes. Sabemos de dónde vienen, como si vinieran de este país específico, Europa del Este, ya saben, como que ahí es donde está la organización, ¿verdad? Pero, entonces el ataque viene de cualquier lugar, como hoy en día. Así que es como, ¿verdad, entonces bloqueas a un hacker chino por Joe cercando China? ¿Eso funciona incluso hoy en día? ¿Verdad?
Michael Grimshaw: No, pero tienes toda la razón. Y, China es bien conocida históricamente por usar ese muy, muy enfoque VPN y, y realmente ofuscando el origen de donde está el ataque, um, obviamente con Rusia, utilizan que hay mucho de un cultivo local, ya saben, casi el estado, casi alentando a actores individuales en Rusia a tomar parte de él.
La estructura de mando y control de China es un poco menos de, digamos que la mafia o, o, um, um, orientado que se ve en Rusia o, o, o, o Cheshire y cosas por el estilo estaban descentralizadas. Exactamente. UM, buena llamada. UM, pero sí, y, y Richard, absolutamente creo que tienes razón. Tenemos que volver a examinar esto, pero va a haber clientes y va a haber segmentos de mercado.
Y verticales que sí tienen requisitos regulatorios. Entonces, y uno de los grandes con los que no te metes es la Oficina de Control de Activos Extranjeros, OFAT. Y ahí es donde la geofencing y con, como especialmente cualquiera de los servicios financieros, la industria bancaria, um, asegurándose de que, ya saben, asegurarse de que sus servicios bancarios o financieros no estén disponibles para Corea del Norte, por ejemplo, o Irán y otros lugares en las listas de la lista.
La geofencing sigue siendo importante, especialmente en lo que respecta a los requisitos reglamentarios. Tenemos que volver a examinarlos. Y, y necesitamos, um, de hecho, esto, esto ocurrió recientemente en Ucrania donde, um, um, uh, se dijo que, que el fuerte ruso, mientras que, [00:39:00] Starlink utiliza la geolocalización. Para evitar que se utilice en Rusia, Rusia opera soldados rusos y los operadores son, están utilizando, uh, procedentes de otros países en, en, uh, territorio ucraniano ocupado.
La lista es larga sobre el doble uso. Materiales de doble uso, cosas como esas que podrían utilizarse tanto para fines civiles como militares y cómo a menudo se obtienen de terceros países y esto es lo mismo aquí, pero todavía hay líneas regulatorias absolutamente duras. Algunos clientes tienen que lidiar con o geofencing mucho.
Richard Yew: Tienes razón. Es, es solo una carrera de armamentos. Creo que el punto es que, mientras hablamos de arquitectura distribuida, hablamos de cómo es importante que nuestros clientes usen eso para protegernos. Pero como Mike y yo dijimos, ambos atacantes están usando arquitecturas distribuidas.
Richard Yew: Quiero decir, son, bueno, quiero decir, es un poco gracioso, ese fue el punto completo de DDoS. ¿Verdad? Quiero decir, de ahí es de donde viene la D.
Tom Gorup: Sí, esto es bueno. Ya saben, estoy decepcionado de que nos estemos quedando sin tiempo porque creo que podemos pasar al menos otros 20 minutos solo en este tema.
Reflexiones y recomendaciones finales
Tom Gorup: Pero ya que estamos corriendo un tiempo, me encantaría escuchar algo así como, ya sabes, pensar en este informe, pensar en algunos de los puntos de datos de los que hablamos aquí. Desde la arquitectura de aplicaciones hasta, ya sabes, el cumplimiento, la geofencing, todo el gambito. Me encanta escuchar tus pensamientos y recomendaciones a la audiencia.
Como, ¿qué deberíamos estar viendo? ¿Cómo pueden protegerse mejor?
Michael Grimshaw: Sí, me encanta este informe. Ya saben, quiero traerlo de vuelta y hablar sobre el informe. Hemos hablado de muchas cosas, pero una de las cosas que, y tal vez esto es porque estoy pasando. Lo que una auditoría PCI en este momento es una de las cosas que me encanta de este informe es en dos cosas que se me vienen a la mente, um, alrededor de dónde este informe y estos enfoques ayudan con su seguridad y especialmente en realidad su nivel de cumplimiento está en PCI. Uno de los requisitos de PCI es establecer un proceso para identificar vulnerabilidades de seguridad de vulnerabilidades seguras utilizando fuentes externas de buena reputación para obtener información y asignar una clasificación de riesgos. Ahora, esto, este informe no da exactamente un CVEs, pero esto es parte de nuevo para estratificar su enfoque de auditoría es que, ya saben, me encanta tomar un informe como este con detalles de tal vez vulnerabilidades del sistema operativo o cambio dejado como base de datos de vulnerabilidad en ese fondo.
Michael Grimshaw: Y ser capaz de armar una imagen completa para nuestros auditores por un lado, y luego otro requisito PCI es asegurarse de que usted está y yo solo estamos enfocados en PCI. ISO calcetín a un montón de otros regímenes. Pero la otra cosa es que es importante que sus empleados estén capacitados y actualizados en el panorama de la seguridad y cómo prevenirlo.
Y sí, haces entrenamiento anualmente. Ya sabes, necesitas hacer entrenamiento cuando alguien es contratado. Está bien. Cada año después de eso, pero informes como este, esto es absolutamente algo que obtendría a través de cada uno de mis empleados y en toda la empresa solo para aumentar la conciencia de seguridad, ayuda con su cumplimiento, ayuda con su seguridad. Soy un gran fan.
Tom Gorup: Ese es un gran consejo. Me encanta eso. ¿Y a ti, Richard?
Richard Yew: Definitivamente diré que, ya sabes, a veces tener la visibilidad es muy importante. Y yo diría que para hacer las cosas más fáciles, ¿verdad? Sería bueno tener este tipo de visibilidad en todas las aplicaciones, al menos de lo que estamos hablando de aplicaciones públicas, porque no vamos a ver todos sus puntos finales en la administración, como sus computadoras portátiles y Mac, pero al menos podemos ver como lo que está saliendo y entrando porque soy un firme creyente de que necesitas tener un solo panel de visión para básicamente todo, como Internet que está entrando y saliendo de aquí.
Como estamos hablando de cada solicitud HTTP, cada solicitud externa, dentro y fuera de la red necesita ser catalogada y ser genial. Por ejemplo, si todos se recogen y se pueden reportar bajo una visión consolidada como lo que hablamos aquí, creo que también va a ayudar a facilitar su cumplimiento, especialmente cuando se trata de proporcionar evidencia, etcétera
Así que. Está bien. Una vez más, la visibilidad es importante, ¿verdad? Ya saben, si miran las tres, bueno, en realidad cinco fases de un marco de seguridad como un NIST, ¿verdad? Quiero decir, que hay que decir que en el extremo izquierdo, solo hay un texto como prevenciones y luego hay que responder, ¿verdad? Pero, ya sabes, al tener la capacidad de tener visibilidad, la detección es muy importante.
No puedes mitigar lo que puedes ver.
Tom Gorup: Sí, sí. Siempre comparo la postura de seguridad, la visibilidad, las exposiciones y las amenazas. No puedo proteger lo que no puedo ver. Necesito entender dónde están mis debilidades, y necesito entender cómo estoy siendo atacado. Son los tres que realmente se unen para definir tu postura de seguridad.
Y se puso un poco interesante también sobre como compartir esto con otras personas en el negocio. Una de las inmersiones profundas que hacemos en el informe, así como indagar en el recorrido de directorios, que en realidad fue prácticamente el tipo número uno de ataque que vemos todavía muy prominente en Internet hoy en día.
Ahora estamos protegiendo contra ello, pero no significa que las aplicaciones no sean vulnerables a él. Y asegurarse de que sus ingenieros o desarrolladores entiendan cómo se puede usar este ataque contra usted es una excelente manera de asegurarse de que está construyendo código seguro desde cero. Y lo que me encanta de lo que hablamos hoy es pensar en la arquitectura de aplicaciones, no solo en su arquitectura de aplicaciones, sino también en su negocio y cómo funciona.
Entonces, al usar eso para informar a sus herramientas de seguridad, ¿verdad? Así que tiene su arquitectura de aplicación de qué tipos de solicitudes espero ver? ¿Qué tipos de tipos de MIME, pero también dónde es mi negocio capaz de operar y aplicarlos y poner todos ellos como parte de los controles en sus herramientas de seguridad?
Así que creo que eso es lo que me emociona del informe no es solo mirar los datos, pero también tomarme el tiempo para pensar, como, ¿cómo puedo usar esta información para pensar en el mundo de manera un poco diferente y tal vez usarlo para informar a mis herramientas de seguridad para poner más controles, restricciones, evitar que mi negocio sea explotado. Al final del día, eso es lo que estamos aquí para hacer es proteger el negocio, permitirle darle la libertad de maniobra para ganar dinero para los electores y aportar valor a nuestros clientes. Tan buenas cosas. Así que eso es todo lo que tenemos para hoy. Gracias a todos por unirse en ThreatTank.
Si desea mantenerse al día con la última inteligencia de amenazas de Edgio, salte a edg.io. Eso es edg dot io y suscríbete, ya sabes, obtendrás más Intel a medida que salga. Michael, Richard amó la conversación. Siento que de nuevo, podríamos haber pasado al menos otros 45 minutos. Esto fue genial.
Tom Gorup: Realmente aprecio tanto tu tiempo.
Richard Yew: Sí. Sí. Gracias por tenernos aquí. Gracias por el gran compromiso y las discusiones.
Michael Grimshaw: Gracias por la gran información, Tom. Sí. Apreciarlo. Y siempre divertido charlando contigo, Richard. Excepcional.
Richard Yew: Del mismo modo, hombre. Nos vemos chicos.
Tom Gorup: Hasta la próxima vez.