ThreatTank – Episodio 1 – 2024 Predicciones de Ciberseguridad

Una introducción a la nueva serie de podcast de Edgio: ThreatTank

Tom Gorup: Bienvenido a ThreatTank, un podcast que cubre la información más reciente sobre amenazas, la respuesta a amenazas y los conocimientos sobre el panorama de amenazas en todo el mundo. Soy su anfitrión, Tom Gorup, Vicepresidente de Servicios de Seguridad en Edgio.

Y hoy me acompañan Richard Yew, director sénior de gestión de productos para Edgio Security Solutions, y Andrew Johnson, gerente sénior de marketing de productos también para Edgio Security Solutions. Bienvenidos Richard, y Andrew.

Richard Yew: Oye, gracias por tenerme aquí.

Andrew Johnson: Gracias Tom.

Tom Gorup: Esto es emocionante. Nuestro primer podcast de tanques de amenazas. Y tengo dos bateadores pesados como ustedes, y siento que tengo que abrirme con un rompehielos, una pequeña pregunta agradable.

Solía preguntar a entrevistados. Y cuando parece que me pongo nervioso, pero creo que esta es una buena introducción. Así que les preguntaré a los dos y solo responderé cuando lo obtengan. Si fueras un árbol, ¿cuál sería tu animal favorito? Si fueras un árbol, ¿cuál sería tu animal favorito?

Richard Yew: ¿Sabes cuando hablas de árboles, verdad? Empiezo a pensar en la bellota y luego, ya sabes, lo que inmediatamente me recuerda, ya sabes, ya sabes, hay este cerdo en España. Se llama cerdo ibérico. Es negro. Produce el mejor tocino o jamón, como lo llames, en el mundo, es el más caro. Es probablemente unos cientos de dólares por onza.

Así que, supongo que en este caso la elección para mí. Porque hace uso de cualquier cosa que caigo y, oh, muy bien.

Tom Gorup: Eso es interesante. Sí. No, eso es bueno. Eso es bueno. Primero, yo estaba como, ¿a dónde vas con esto?

Richard Yew: Ve a tomar mi bellota para ir.

Tom Gorup: Sí, sí, sí. No, el cerdo se está aprovechando de eso. Y luego por no hablar de vender por miles de dólares la libra. Es como un cerdo Wagyu.

Andrew Johnson: Eso es bastante bueno. Veamos. Así que, pensaba tal vez desde una perspectiva de seguridad en lo que no querría como animal, si yo mismo fuera un árbol, no lo sé, tal vez no querría hongos. No querría nada que… no querría un pájaro carpintero o algo que me va a picotear y hacer un agujero en mí.

Richard Yew: Oye, amigo, voy a detenerte aquí. Hey hongo no es animal, la última vez que lo revisé. ¿Qué es eso? Oh, tal vez lo sea. Después de ver Last of Us, el hongo se convierte en un animal.

Andrew Johnson: Así que eso es lo que yo no querría. Entonces, tendría que decir que quizás algunos pájaros o algo que simplemente se van después de que aterrizan sobre mí.

Tom Gorup: De nuevo, haciendo uso. Eso es bueno. Una de las respuestas que había obtenido al hacer esa pregunta fue que un tiburón. Y cuando les pregunté por qué son como, bueno, el tiburón nunca me molestaría. Está bien. Habla un poco de la personalidad allí, pero me gusta cómo ambos escogieron un animal que ya saben, es de utilidad para otros animales.

Eso es bastante genial. Sí. Habla mucho. Entonces, no estamos aquí hablando hoy de animales o árboles para el caso.

¿La IA superará la brecha de habilidades de ciberseguridad?

Tom Gorup: Vamos a profundizar en tres predicciones [de ciberseguridad] realmente en 2024. Hay un post en el blog de Edgio donde estamos hablando de nuevo, tres predicciones. Uno de ellos: La IA colma la brecha de habilidades de ciberseguridad, luego la cultura de seguridad y el aumento de los ataques. No lo vamos a hacer en ese orden, pero esas son las tres predicciones. Así que, saltando a la derecha en la IA. Quiero decir, ahora mismo la predicción aquí de nuevo, voy a reiterar que la IA está construyendo estará cerrando la brecha de habilidades de ciberseguridad en 2024. Veremos mucho de eso.

Ahora, al pensar en eso, pueden llegar, de acuerdo. Provocativo aquí y miren el mundo de la IA y vean que todo el mundo tiene, saben que creo que vi un tweet el otro día. AI tiene a todos viendo estrellas. Todo el mundo está emocionado y todos estos casos de uso diferentes. Podríamos, ya sabes, ver ese nuevo teléfono o pseudo-teléfono conejo, conejo R, o algo en ese sentido, como todas estas cosas locas que salen. Pero, ¿realmente creemos que la IA es donde está para cerrar la brecha de manera efectiva? ¿Realmente vemos que esto sucede en 2024 o tenemos otros cinco años de I+D detrás de la IA antes de que llegue al punto en el que está teniendo un impacto significativo para cerrar esa brecha?

Richard Yew: Bueno, ya sabes, ciertamente cerró la brecha para el atacante.

Tom Gorup: Sí, eso es un buen punto.

Richard Yew: Sí, quiero decir, hoy en día solo pienso en mi trabajo de día, Hey, quiero ejecutar un script que quiero, Hey solo escribirme un script que ejecute un bucle que me ayude a hacer una solicitud, hacer o obtener una solicitud o una solicitud de publicación a una URL en particular y hacerlo cien veces repetidas.

Es decir, obviamente no le dices a la IA que intente generar un ataque DDoS , pero funcionalmente logra lo mismo, ¿verdad? Simplemente bordea los términos y condiciones. Yo, creo que es, va a hacer equipos rojos… va a hacer que usted sepa; cualquier laico puede hacerlo. Como cualquiera puede decidir, ya sabes qué, solo me pondré mi sombrero negro, que tengo conmigo, y empezar a jugar con eso.

Obviamente, también hay muchos beneficios para las organizaciones, para el equipo azul, para un defensor también.

Andrew Johnson: Creo, quiero decir, obviamente va a ayudar al problema. ¿Va a cerrar en 2024? Eso es, por supuesto. Quiero decir, no lo sé. Por supuesto que no. Pero ya está empezando a ser, ya sabes, implementado en, ya sabes, en, software de seguridad.

Ya sabes, también tiene desafíos, quiero decir, en lugar de las personas preocupadas por los falsos positivos, uno tiene que preocuparse por las recomendaciones falsas que, ya sabes, el software respaldado por IA va a dar a los equipos. Así que, creo, ya saben, el nivel de experiencia seguirá siendo extremadamente importante.

Tom Gorup: Sí, es interesante cuando miro algunas estadísticas como ISC2. Dice que hay alrededor de cuatro millones de brechas en la fuerza laboral, cuatro millones de personas en la fuerza laboral. Eso es enorme. Eso es enorme. Y estamos, quiero decir, las universidades no están bombeando a los profesionales de seguridad lo suficientemente rápido como para llenar esa brecha, por no mencionar el crecimiento que va a suceder año tras año. Así que, saben, la IA cerrando esa brecha en 2024, saben, por un lado, lo escucho, Richard, como el valor que veo también, es a su punto, ¿puedo escribir guiones rápidamente?

El otro día le pedí a iGPT4 que me escribiera una página HTML y lo hizo, hizo un gran trabajo. Entonces empecé a pedirle que modificara y se moviera a continuación. Ya sabes, tengo una página web entera. Construido en unos 30 minutos. Y literalmente escribí código cero para lograr eso, pero también poder alimentarlo varios conjuntos de datos.

Y creo que una de las mayores preocupaciones que la gente tiene con la IA salvando la brecha es la privacidad, ya sabes, accidentalmente poniendo, ya sabes, lo que era, fue un ingeniero de Samsung que puso algunos esquemas en la IA, pero el desafío fue que todavía no he visto a nadie extraer eso. No quiero decir que no haya sucedido, pero hay una especie de dos caras de esa moneda.

Richard Yew: Creo que es muy importante a medida que empiezas a usar la IA para ambos, obviamente desde la perspectiva de un atacante y de un defensor, ¿verdad? Mejore su flujo de trabajo, ¿verdad? También es importante que protejas tu IA, pero quiero volver a eso. Hablar de cerrar las brechas.

Yo diría, quiero decir, ¿se pueden cerrar las brechas? No, no puede, como diré, ¿puede alguien estar 100% seguro? Voy a argumentar que no, simplemente no hay tal cosa para mí. IA, lo que hace es que agrega una capa adicional en nuestro concepto de defensa en profundidad que realmente ayuda. Son otros dos sets en las capas que realmente ayudan desde la perspectiva del defensor, ¿verdad? Cierra y reduce la mayor cantidad de probabilidad de que ocurra una violación y un ataque. Y creo que ocurren muchos problemas de seguridad, siempre decimos que los humanos son el eslabón más débil porque, ya saben, si siguen haciendo cosas mundanas una y otra y otra vez, nos volveremos complacientes, los accidentes suceden, etc. Aquí es cuando la IA puede entrar.

Probablemente escuches esta cita de esta persona muy famosa que fabrica coches y cohetes y se presta a sí misma, pero es cierto, y también es cierto en seguridad, como cuando solo tienes que hacer muchas cosas repetitivas, incluso análisis de registros, ya sabes, la gente tiene un lapso de atención y es comprensible. Todos somos humanos de todos modos, ¿verdad? Entonces, aquí es donde creo que la IA será muy útil para cerrar la brecha. Pero, ya saben, eso es siempre que la IA esté haciendo el trabajo que querían, al igual que un robot en una fábrica no está, ya saben, de repente agarrando a los trabajadores y los lanza encima de los coches y, ya saben, y rompiéndolos. ¿Verdad?

Tom Gorup: Todavía no. Eso es interesante. Entonces, cuando pienso en el flujo de trabajo, el flujo de trabajo del analista, ya saben, entra una alerta y hay un montón de preguntas en torno a esa alerta en particular. Correcto. ¿Es esto normal? ¿Es común? ¿Qué debería estar buscando, para este tipo de ataque a este tipo particular de sistema?

Hey, es una máquina Windows o es un servidor Apache. ¿Hay ciertas cosas que debería estar buscando para determinar si este ataque fue exitoso o no? Creo que la oportunidad que tenemos, potencialmente, es también bajar la barrera de entrada, ¿verdad? Así que cuando hablamos de cerrar la brecha, no significa necesariamente que la IA tal vez esté llenando la brecha, pero tal vez la IA nos está permitiendo ampliar nuestro alcance para quienes estamos contratando para ese tipo de roles y el futuro que me entusiasma es uno en el que estamos contratando menos por la experiencia técnica en un producto o tecnología en particular, sino más bien contratando por curiosidad y habilidades de comunicación. Por lo tanto, alguien que puede hacer la pregunta correcta de la manera correcta para obtener las respuestas que está buscando, no solo de los datos, sino incluso de la IA para el caso.

Andrew Johnson: Creo que la última parte que mencionó es realmente buena en términos de pensar de manera diferente solo para poder incluso acercarse a llenar este vacío en los profesionales de la seguridad. Ya sabes, contratar por creatividad, tal vez tomar personas con otras habilidades técnicas, como de la mesa de ayuda o tal vez analistas de inteligencia de negocios o personas se sientan muy cómodas trabajando con datos.

Pero también, algunas de las cosas que dijiste antes, Tom, donde sabes, si hay un incidente y la IA tal vez puede recomendar, ya sabes, al menos mirar en algunas áreas. Como pienso en mi vida y mucho de mi trabajo es como la regla de 80/20. Así que, ya saben, si no tengo que rastrear todas estas consideraciones, o si tengo las consideraciones más fáciles allí para mí, ahorra mucho tiempo. Así que supongo que vamos a ver eso en muchas soluciones y sistemas en el futuro.

Richard Yew: Sí, ya saben, quiero hacer doble clic en la brecha de 4 millones de empleos en seguridad que este es un punto muy importante. ¿Saben, si solo observan el ingreso promedio y lo extrapolan, ya saben, se obtienen unos 200 mil millones de dólares, lo suficientemente gracioso según un informe de una de estas compañías de seguridad, ¿verdad?

Esos 200 mil millones, de hecho, son específicamente 213 mil millones exactamente el tamaño de los mercados de ciberseguridad y, saben, es comprensible que las corporaciones que conocen, como cuando hablamos de proveedores de seguridad, proveedores de servicios o incluso organizaciones, estén tratando de llenar estos vacíos.

E imagínese lo barato que puede ejecutar IA hoy en día para lograr cierta funcionalidad que potencialmente hay muchos ahorros para eso.

Tom Gorup: Yo, sí, al cien por cien. También veo una oportunidad que usted había mencionado también, Andrew, es como, creo que usted lo hizo también. Richard es capaz de aplicar realmente sus controles dentro de la propia IA.

Por lo tanto, si tienes un proceso estándar internamente para un ataque de fuerza bruta o ataque de ransomware, poder entrenar una IA. Lo que todo el mundo va a responder a esas preguntas particulares. Puede tener una respuesta coherente en toda su organización. Es uno de los mayores retos que sé que tienen los CISOs es que escriben todas estas pautas, toda esta documentación y nadie la lee.

Sabes, pasas por el cumplimiento al final del año, y todo el mundo está obligado a leerlo, pero ¿alguien realmente se sienta y lo lee? Ahora, imagina si tuvieras una IA a la que podrías hacerle esas preguntas. Así que en lugar de y todavía tienes la documentación, pero la IA está entrenada en esa documentación.

Y cuando surgen las circunstancias, una persona, ya sea un analista de seguridad o el CFO puede hacer preguntas a la IA. Oye, ¿cuál es el siguiente paso en este incidente? ¿Qué hacemos a continuación? Y la IA puede ser tu sherpa de esa manera.

Richard Yew: Fue gracioso. Como sí, lo siento. Esta es mi última broma antes de seguir adelante.

Pero, ya sabes, te garantizo que nadie piratearía el HTML y eliminaría el componente que bloquea los botones para que puedas hacer clic en Siguiente, Siguiente, Siguiente en tu entrenador de cumplimiento.

Tom Gorup: Exactamente. Bueno, tren de cumplimiento. Eso es todo otro… Hablaremos de la cultura aquí en un minuto y cómo se ajusta. Así que, la última vez que eché de menos. Este punto, Richard, de lo que hablaste antes eran los atacantes que aprovechaban GPT que aprovechaban la IA. Tienes lobo GPT, wormGPT, fraudGPT, todos estos tipos de LLM enfocados en “hey, ¿cómo puedo hacer que sea más fácil ser un malo?”

La forma en que lo veo es que si no lo usas como defensor, ¿cómo puedes tener una oportunidad contra una ofensa, un ofensor, un atacante que está aprovechando la capacidad? Richard, siento que tendrás una buena analogía de guerra. Es como un avión de combate F15 frente a como, no sé, como un Warthog o algo así, ya sabes, como no puedes, esos dos no pueden tener una pelea de perros. Eso no va a terminar bien con el Warthog, ¿sabes a qué me refiero?

Entonces, ¿alguna otra idea sobre eso? Porque creo, quiero decir, que podríamos pasar todo el día en IA realmente, pero en última instancia. Lo veo como si los defensores no lo estuvieran usando hoy en día, si las empresas no están tratando de encontrar formas de construir eficiencias, para cerrar las brechas de habilidades, o incluso para asumir cargas de trabajo mundanas hoy en día, usted no va a ser eficaz contra los atacantes que están aprovechando esta capacidad sin limitaciones, sin miedo a comprometer los datos.

Como si no estuvieran preocupados por nada de esto. A veces supongo ser un buen tipo. ¿Sabes, tiene sus desventajas, verdad? Ya estás muleteado de esa manera. Hey, siempre decimos, tenemos que conseguir, tenemos que estar en lo correcto todo el tiempo, pero el atacante solo necesita estar en lo correcto una vez.

Tom Gorup: Es cierto. Y no tienen límites. Correcto.

Andrew Johnson: Y están en el borde del sangrado. Como, no puedo creer estos wormGPTs y otras cosas. Estos salieron en 2021, creo que podrías empezar a comprar estos servicios. Quiero decir, ya sabes, muchas otras personas. Bueno, solo hablaré de mí mismo. Realmente no usé IA generativa hasta este año pasado, cuando estalló. Pero sí, los adversarios son los primeros adoptantes.

Tom Gorup: Y también abre oportunidades cuando vemos un cambio en la economía. La gente está buscando nuevas formas de ganar dinero. ¿Sabes, cuántas llamadas de spam, cuántas estafas, mensajes de texto estás viendo?

Y están mejorando un poco. Y GPT es probablemente pensar que cualquier cosa buena creada para el bien puede ser usada para el mal también.

¿Seguiremos viendo un aumento en los ataques de Ransomware, DDoS y Zero-Day?

Tom Gorup: Entonces, la siguiente predicción aquí es un aumento en los ataques, y es una especie de brocha amplia y ataques, pero nos centraremos en, digamos, tres: Ataques de ransomware, ataques de servicio de denegación distribuido y ataques de día cero.

Nos fijamos en 2023, especialmente en el último trimestre, el cuidado de la salud acaba de ser golpeado con ataques de ransomware una y otra vez. Vimos un número de días cero, pero la verdadera pregunta es, ¿seguirá creciendo? ¿Cómo es ese crecimiento? ¿Está siendo bombeado por los medios de comunicación? No es necesariamente un problema tan grande como parece. Es decir, esa es la clase de pregunta provocativa.

Richard Yew: Puede que tenga una opinión controvertida al respecto. ¿Saben, cuando miramos, supongo que tal vez solo soy pedante, ya saben, cuando miramos esos ataques, ¿verdad? Siento que hay lo que los medios informaron que no es, y hay lo que realmente vemos, incluso con eso, por ejemplo, hablamos del aumento del ataque DDoS, ¿verdad?

Hay matices detrás de eso, ya sabes, los ataques DDoS siempre están sucediendo, pero ¿de qué tipo, verdad? Ya sabes, vamos de allá en 2016. 2015 La gran interrupción de Internet porque un proveedor de DNS se vio afectado. Quiero decir, eso fue Mirai botnet. Eso fue principalmente Layer3, Layer4, ya sabes, millones de paquetes por segundo de ataque, obviamente el ancho de banda es enorme, ¿verdad?

Es ancho de banda, alto volumen de ancho de banda. Pero hoy en día estamos viendo lo que creo que empezó a principios, a finales del año pasado, creo, no puedo creer que ya estemos en 2024. Estamos hablando de 2022 correcto. Y estamos hablando del aumento del Sudán anónimo, QNET, el aumento de los ataques de aplicaciones.

Estamos hablando de las aplicaciones Layer7, HTTP Flood, ¿verdad? Pasando de un récord de 20 solicitudes más, millones de solicitudes por segundo a Me gusta ahora, ¿qué estamos viendo como 300 millones de solicitudes por segundo de Google? Y eso es con varias hazañas. Por lo tanto, también creo que este ataque es cíclico.

Es como, nunca se van. Ya sabes, como, en un momento dado, el ataque DDoS, el ransomware era muy alto, porque, ya sabes, obviamente los precios de Bitcoin estaban aumentando. Ya saben, como, ahora, en este caso, es más debido a la inestabilidad geopolítica. Ya saben, en los últimos dos años, y vemos un aumento de los ataques DDoS patrocinados por el estado, o incluso Ataques DDoS hacktivistas, Ya saben, así que creo que es más bien, cada año estamos viendo qué ataques están de moda, pero el próximo año podría ser otra cosa en la moda. Y luego, el año más tarde, volvemos a, nos reiniciamos a 2022 y algo más en 2022 está de moda de nuevo.

Andrew Johnson: Sí. No sé si es, especialmente con el impuesto sobre la atención médica. Quiero decir, creo que es en parte exageración, pero también, por desgracia, creo que es justo. Esto es más triste y peor hoy de lo que ha sido. Y yo, ya saben, creo que donde los hackers en el pasado pueden, ya saben, al menos se ha informado, tienen cierta ética, ya saben como esos parecen estar por la ventana ahora con atacar clínicas de cirujanos plásticos y amenazando con publicar fotos de pacientes a menos que se paguen rescates o lo que es de cuclillas como de pacientes.

Creo que recientemente hubo un compromiso de un sistema de salud y la red hospitalaria, básicamente, tenían que enviar pacientes, cambiar su ruta de pacientes, lo cual es bonito, bastante desordenado, de verdad.

Richard Yew: Entonces, no quieres mostrarte a los atacantes, ¿verdad?

No tienen que seguir reglas y están constantemente empujando un límite. Entonces, por lo general lo que miramos son tres cosas, ¿verdad? Estás atacando a la gente con dinero, ya sabes, estás atacando el dinero, como las instituciones financieras. Ahora han ampliado la frontera durante años, yendo a la educación, están atacando escuelas, ¿verdad?

Ya saben, hay informes de que las universidades cerraron hace un par de años. Podemos proporcionar detalles; usted sabe citar para eso. Pero las escuelas cerraron porque todo el sistema literalmente acabó de estar bloqueado. ¿Verdad? Y, ahora, ya saben, y observamos el límite siendo empujado, como en realidad hacia finales de 2025 o temprano, en realidad, lo siento, finales de 2022 y principios de 2023.

Sí. Estoy pensando en un año por delante ya. Y estamos hablando de que los hospitales son atacados y, de nuevo, comenzó en zonas de guerra, correcto. Pero establece prioridad y ahora los hospitales son rutinariamente hackeados. A veces es vida o muerte, ya sabes, como Tom, mencionaste en tu blog, ya sabes, es como si estuviéramos hablando de sus situaciones en las que la ambulancia tiene que ser redirigida a otra sala de emergencias más lejana debido a problemas.

Andrew Johnson: Es, sí, quiero decir, simplemente no creo que se pueda esperar nada mejor, especialmente cuando hay personas que se ven obligadas a hacer estos ataques, no solo, ya sabes, algún adolescente en algún país al azar haciendo esto, sino, probablemente patrocinado por el estado que realmente, ellos, realmente necesitan ese dinero para continuar sus operaciones.

Richard Yew: Entonces, es como imaginar que viene como el, entonces la pregunta es como cuando se trata de como los ataques emergentes, ¿verdad? ¿Qué es, qué otros límites van a ser empujados este año?

Tom Gorup: Esa es una buena pregunta. Porque estoy de acuerdo. Quiero decir, golpear Q4 y ver ambulancias siendo desviadas, servicios de emergencia siendo desviados a otros hospitales. Así es poner la vida en riesgo. No hay limitación a qué dirección pueden ir a continuación. De hecho, ya sabes, a menudo trabajé en varios casos con el FBI hace varios años.

Y uno, en particular, siempre sobresalió para mí fue un caso de extorsión sexual donde este tipo se estaba aprovechando… bueno, durante cuatro años, esta chica y ella tenían 18 años cuando finalmente dijo que había terminado. Así que desde que ella tenía 14 años de edad, simplemente muestra que mucha gente se está cayendo y roto de esa manera y no mostrará ningún límite.

VI recientemente que había otro rescate virtual. No sé si han visto esto todavía donde escribían un mensaje de texto a un individuo, típicamente un adolescente y lo convencieron, probablemente a través de alguna manera nefasta de ir a esconderse en algún lugar, como en un bosque o esconderse, y luego les enviaban un mensaje de texto a sus padres diciendo que han sido secuestrados y que necesitan enviar dinero a algún lugar.

Así que, quiero decir, es simplemente salvaje, la dirección que algunas personas van a ir. Así que esa es una pregunta interesante es como, ¿hacia dónde se movieron los puntos de mira de estos atacantes? Tal vez, ya sabes, a menudo sigue el dinero sin embargo. ¿Verdad? Entonces, ¿dónde está el dinero?

Andrew JOHNSON: Absolutamente. Sí. Eso es una locura.

Richard Yew: Y están los otros ataques que mencionaste, ya sabes, el ascenso de los días cero. Sí. Eso es realmente notable. Saben, como si miráramos una estadística, correcto. Ya sabes, siempre realizo un seguimiento año tras año, como CVE Growth. Yo, no tenemos predicciones de 2024 todavía, pero ya saben, 2023. Con más de 23.000 CVE, es decir, más del 10% de crecimiento y antes de eso teníamos más del 25% de crecimiento en CVE, ya sabes, esto habla de los problemas exponenciales de lidiar con ellos como el CVE está creciendo exponencialmente. Me pregunto si alguna de las organizaciones de seguridad en la audiencia aquí que en realidad tienen un crecimiento de dos dígitos en el número de personas y el presupuesto de seguridad, estoy seguro de que todo el mundo tiene como un 10% más de presupuestos y cuentas de personal como cada trimestre. Pero eso es lo que hemos estado observando.

Y. Es interesante. Ya saben, la carrera armamentista y se remonta a, se relaciona de nuevo con el primer tema, ¿verdad? AI, es importante, pero también debido a un aumento de cero días, no son solo CVE, sino también críticos cero días que solíamos pensar como, ya sabes, como tenemos Logs4j, Springs4Shell, Confluencia, ya sabes, todas estas cosas solían ser como, OK. Vemos un par de los mayores, críticos altos, puntuación de gravedad nueve y más, como una vez, dos veces al año. Ahora es varias veces por trimestre.

Tom Gorup: Bueno, sí. Y un gran desafío allí, creo que muchos negocios se encuentran es la respuesta a esos días cero, ¿verdad? La existencia de cero días. Siempre han estado allí. Cuando miramos algunos de los históricos, como. BashBug. Creo que estuvo allí como 20 años antes de que fuera descubierto. Así que a veces miro el auge de CVE. Estoy como, bien, estamos haciendo un mejor trabajo informando sobre vulnerabilidades. Estoy seguro de que hay muchas, si no más vulnerabilidades que simplemente no tienen una etiqueta para ellos todavía, ¿verdad? Todavía no han sido descubiertos. Obviamente, esa es la conversación de día cero, pero el aumento de CVE con el tiempo muestra que estamos haciendo un mejor trabajo informando sobre esto, pero no estamos haciendo un muy buen trabajo de todavía, como, ¿cómo respondemos efectivamente al proceso de gestión de parches de emergencia?

¿Realmente puedes lanzar un parche tan rápido? ¿O necesita alguna habilitación? Además de eso, me gusta el parcheo virtual. Siempre veo eso como una oportunidad de fruta baja para tapar este agujero mientras vamos y arreglamos el problema de la raíz en lugar de tratar de parchar todo, lo que puede ser caro.

Es arriesgado, ¿verdad? Quiero decir, Log4j, ¿cuántos parches se implementaron antes de que realmente funcionara? Creo que eran tres. Creo que la tercera por fin ya sabéis, cerró un agujero en dos semanas, creo a mediados de diciembre.

Tom Gorup: Sí, eso es miserable.

Andrew Johnson: Mucha disrupción.

Tom Gorup: Sí, eso es miserable. Pero en el ascenso de los días cero también, creo que mencionaste la IA, creo que vamos a jugar una gran parte de eso.

No creo que lo hayamos visto todavía. Quiero decir, estamos viendo que la IA se usa para defensiva, como hacerlo antes de revisar el código. Puedes hacer cosas como copilot asegurarte de que no haya vulnerabilidades en ese check in. Hay otras como qué herramientas de tipo SAST y DAST que están habilitando que están empezando a usar IA.

Esperaría ver a los atacantes aprovechando la IA para hacer descubrimiento de vulnerabilidades. Especialmente en proyectos de código abierto también. Quiero decir, eso es fácil.

Richard Yew: Pero quiero decir, en última instancia, cuando miras el flujo de trabajo, ¿verdad? Desde una perspectiva de defensa, cuando haces tu prueba de caja negra o de caja blanca, lo que sabes, hoy en día, somos bastante rápidos como tareas de seguridad de aplicaciones dinámicas, ¿verdad?

Realmente está buscando vulnerabilidad y diciéndote que la parches. Y, obviamente, si el atacante tiene acceso a su repositorio, pueden hacer lo mismo. Quiero decir, ni siquiera necesitan que tengas acceso a tu repo. Si están haciendo esa prueba, solo golpean su software en ejecución y la vulnerabilidad más fina.

Bueno, ¿adivina qué? Lo que vemos como un escaneo desde una perspectiva de equipo azul, es un reconocimiento desde la perspectiva de un atacante, si solo miramos el marco de ataque de MITRE, ya saben, como este es esencialmente un reconocimiento que nos permite lanzar el ataque. Así que siempre piensas en todas las herramientas y procesos que utilizas.

Piensa en cómo el atacante podría usarlo contra ti, es muy importante reconocer que, ya sabes, siempre decimos que sabes, es bueno ponerse un sombrero negro de nuevo y pensar como un atacante. Creo que eso ayudará mucho en la implementación de un flujo de trabajo seguro, especialmente en seguridad, ICD ya sabes, DevSecOps, ya sabes, flujo de trabajo de hoy en día.

Cambiando la cultura de seguridad

Tom Gorup: Así que esto ha sido, esto es genial. Y estamos con el tiempo. Así que nuestro último tema aquí fue más sobre la cultura. Así que me encantaría que cada uno de ustedes los tomara para saber, unos segundos, un minuto, lo que sea que les gustaría dar su perspectiva sobre probablemente lo que necesita cambiar. Así que menos de una predicción, pero mirando a las empresas de hoy, los problemas a los que se enfrentan. Todo lo que hablamos de las restricciones de recursos, los atacantes que se vuelven más efectivos, las vulnerabilidades de día cero que se descubren. Entonces, ¿qué son las empresas… qué necesitan mirar? ¿Qué hacen los CISOs… cómo necesitan cambiar su mentalidad hacia 2024 y más allá? ¿Qué tiene que cambiar para que dejemos de ejecutar estos simulacros de incendio cada semana?

Andrew Johnson: Bueno, una cosa que acabo de leer recientemente es una estadística de Gartner que creo que dice que alrededor del 25% de los líderes de ciberseguridad van a perseguir roles completamente diferentes dentro de dos años. el 50% va a cambiar de trabajo. Principalmente atribuible al estrés en su trabajo.

Y nosotros, saben, sabemos que el CISO es un trabajo muy difícil, pero muchos trabajos de seguridad también lo son. Así que quiero decir. Creo que tiene que haber, bueno, ya saben, más planificación en términos de rotación de personas, llevar a los desarrolladores a la seguridad que no tienen el fondo de seguridad es más una responsabilidad compartida.

Muchas organizaciones y personas de seguridad están gestionando toneladas de soluciones, ¿verdad? Así que, cuando hay una emergencia, es posible que vayas a una persona cada vez que la quemes. Entonces, es más en términos de proceso y en una cultura de, ya sabes, que todos son parte de la seguridad. Creo que podría ayudar.

Richard Yew: Me encanta eso. Creo, bueno, si estamos mirando desde, desde la perspectiva de un líder de seguridad, ¿verdad? Ya sabes, tienes que manejarte, tienes que manejarte lateralmente con tus compañeros. Así que ves, entonces, y entonces tienes que, como, manejar hacia abajo. ¿Verdad? Pero creo que es muy importante establecer culturas.

Si lo estamos mirando desde una perspectiva lateral y superior, ¿verdad? El establecimiento de expectativas es muy importante, es muy, ya sabes, siempre, siempre escuchamos bromas de que, ya sabes, cada vez que ocurre una violación, los CISOs son despedidos. Es por eso que CISO tiene un giro tan grande en la industria. Estoy seguro de que ya no está sucediendo así, ¿verdad?

Pero, realmente habla de las expectativas. Tenemos que establecer la expectativa como gerente de producto, ya sabes, establecer la expectativa de una parte interesada es una de las partes más importantes de mi trabajo, ¿verdad? Pero establecer expectativas con la junta directiva, con sus compañeros que hay, y sé, sé que es una sorpresa, ¿verdad? No hay tal cosa como 100% de seguridad. Una vez escuché esto de este tipo llamado Dr. Eric Cole, es un podcast, ¿verdad? Él está diciendo como, ya sabes, ¿cómo hacer que tu teléfono sea 100% seguro? Él lo lanzó a un pozo de fuego, ¿verdad? Porque 100% de seguridad significa 0% de funcionalidad.

Como persona de seguridad, no puedes ser dogmático. Seguridad, su primer trabajo es impulsar el negocio. La seguridad es como tener un freno fuerte en un supercoche, ¿verdad? Permite que un negocio frene duro. ¿Por qué lo haces, qué necesitas para frenar duro? Porque quieres ir rápido. Ese es el punto, así que empieza a pensar en cómo impacta el peg en el negocio.

Cómo es porque así solo porque si, si quieres ser 100% de seguridad, quieres tener 100% de garantía de que vas a bloquear todo en el ataque. Bueno, solo tienes que ir a la lista negra cero, cero, cero, cero slash cero. Y eres bueno. Solo llámalo un día. Tienes un 100% de KPI conseguido, pero ese no es el punto, ¿verdad?

Tienes que acelerar el negocio, tienes que construir eso en una cultura. Y, ya sabes, si te ves como bajando la perspectiva, ¿verdad? Una vez más, la seguridad comienza desde el principio. La seguridad empieza, de nuevo, de otra analogía que he usado antes. Si me has oído en algún otro podcast es que la seguridad es como hacer pastel.

No es una guinda del pastel. No es una idea tardía. Ya sabes, tiene que ir desde el primer paso de la planificación de un software, especialmente si eres una tienda SaaS, si eres como, ya sabes, basado en la web, ya sabes, haces la mayor parte de tu negocio en línea, ¿verdad? Hay que pensar en la seguridad como la harina en el pastel.

Como allí desde el primer día, cuando haces el pastel, y de hecho, si estás haciendo un buen trabajo, no deberías notar la harina cuando te dan un pastel… quién notó la harina cuando te comes el pastel. ¿Verdad? Y así es como debería ser la seguridad. Por lo tanto, no debería ser un tipo de cumplimiento dogmático de arriba hacia abajo, ya sabes, como impulsado inicialmente, tiene que ser iniciado, ya sabes, y estar arraigado, ya sabes, tal vez a través de colaboraciones más estrechas, equipos de seguridad integrados o equipos de desarrollo, asegúrese de que la seguridad se haga desde el primer día, porque lo que sea que puedas prevenir es cosas que tu equipo de operaciones conoce, no necesitan gastar tanto tiempo.

Tom Gorup: Sí, hay eficiencias con eso. Y me encanta la pequeña cita allí. 100% seguro es 0% funcionalidad. Esa es una buena estadística. Y estoy completamente de acuerdo. La cultura es importante. ¿Cómo construyes esto en la base de tu organización? Así que eso se convierte en parte de la conversación y no en “Oh, tenemos que involucrar al equipo de seguridad”.

Deberíamos tener esa conversación desde el día cero, pero necesitas hacerlo interesante. Lo único que tengo, lo tengo, miren ese entrenamiento de cumplimiento, es aburrido. No es relevante. No es oportuno. Tenemos que cambiar eso para que la seguridad sea interesante. Recuerdo lo que, hace 10 años, tratando de hablar con la gente sobre seguridad y sus ojos se resplandecerán.

Entonces de repente comenzó a aparecer en los titulares y todo el mundo se puso muy interesado en él. Y creo que se puede volver en la otra dirección. Si empezamos a aburrir a la gente de nuevo con entrenamientos monótonos, y similares, hagámoslo oportuno, hagámoslo relevante. Y de nuevo, construyamos eso en el núcleo, la base de nuestro negocio donde está la seguridad. Ni un pensamiento posterior. Es parte del pastel, pero yo tampoco soy panadero.

Richard Yew: Así que todo el mundo tiene que empezar a ponerse su sombrero negro. Ya sabes, cuando navegas por un sitio web, ver lo que podría salir mal, ponerse su sombrero negro. Oye, ¿hay una forma para ti? ¿Es eso algo que pongo en la forma? ¿Dónde está el punto final API?

Oye, ¿qué pasó si spam eso? Ya sabes, como empezar a pensar, empieza a poner una mentalidad hacker usando tu sombrero negro y, ya sabes, hazlo como una cultura en tu empresa.

Tom Gorup: Sí, me encanta. Me encanta. Así que estamos mucho más allá. Pero yo diría que esto fue genial. Primer episodio de ThreatTank. Así que aprecio que ambos estén en ello.