ThreatTank – Episodio 2 – Tendencias de ataque trimestral

Introducción a ThreatTank – Episodio 2: Tendencias de ataque trimestral

Tom Gorup: Bienvenidos a ThreatTank, un podcast que cubre lo último en inteligencia de amenazas. Respuesta ante amenazas e información sobre el panorama de la seguridad en todo el mundo. Soy su anfitrión, Tom Gorup, Vicepresidente de Servicios de Seguridad de Edgio, y me acompañan Richard Yew, Director Senior de Gestión de Productos de Edgio Security Solutions, y Michael Grimshaw, Director de Ingeniería de Plataformas de Edgio.

Tom Gorup: Bienvenidos, Richard, Michael.

Richard Yew: Gracias por tenerme aquí de nuevo.

Tom Gorup: Esto podría convertirse en un tema recurrente, Richard. Así que, la última vez abrí con una pregunta para romper el hielo y sentí que teníamos que seguir adelante, pero encontrar una no es fácil, ¿verdad?

Porque creo que la última vez establecimos un listón sólido. Así que aquí está mi rompehielos. Y por lo que vale, tampoco he dado tiempo para pensar en ello. Así que me uniré a este. Pero aquí hay una pregunta. Te voy a preguntar primero, Michael. Te voy a poner en el acto. Si tuvieras que estar atrapado en un programa de televisión durante un mes, un mes completo, ¿qué programa elegirías y por qué?

Michael Grimshaw: Tengo que admitir que lo primero que me viene a la mente y ni siquiera estaba vivo en la primera carrera de esto probablemente sería la Isla de Gilligan porque la idea de pasar un mes entero en una isla tropical, incluso si tienes que usar al profesor para averiguar cómo obtener agua corriente o cualquier otra cosa por el estilo. Una bonita isla tropical durante un mes no suena demasiado mal.

Tom Gorup: Qué respuesta. Me encanta. No, no he visto la Isla de Gilligan en mucho tiempo, y ni siquiera voy a decir en voz alta, ha pasado mucho tiempo desde que la he visto. Esa es una buena respuesta. ¿Y a ti?

Richard Yew: Oh, wow, eso es difícil. Sabes, he estado pensando bien, quiero decir, dije que hay un Peppa Pig como si hubiera algún otro programa de televisión que tenga cerdos, sabes que voy a mantener el mismo tema de cerdos, pero supongo que voy a parar con eso.

Supongo que para mí, al igual que Juego de Tronos, como, quiero decir, estaría atrapado dentro de Juego de Tronos, pero tal vez obtendré el primer día o el último día, ¿quién sabe? Pero, sí, quiero decir, vamos con eso.

Tom Gorup: Eso es eso. Sí. Eso es valiente.

Richard Yew: Sí. Eso es muy valiente. Sí. Soy bastante audaz, hombre.

Richard Yew: Probablemente me pondré mi capa negra y me pararé en una pared y veré qué pasa.

Michael Grimshaw: Bueno, Tom, permítame darte también lo contrario. Cualquier Juego de Tronos y cualquier programa de películas con temática zombi estaría en mi lista para no ser parte de una lista.

Tom Gorup: Esa es una buena respuesta. Quieres sobrevivir, ¿verdad? Eso es justo.

Richard, hombre, audaz. Juego de Tronos. Así que estuve enfermo la semana pasada, desafortunadamente. Tuve COVID, que fue miserable. Pero sí me puse al día con algunas repeticiones de la vieja Casa. Así que creo que lo haría, elegiría House. Definitivamente quiero sentarme en un diagnóstico y probablemente decir que no es lupus. Solo necesito decirlo al menos una vez.

No es lupus. Nunca es lupus. Ese sería mi espectáculo durante un mes. Creo que sería un buen momento, al menos sé que mi tasa de supervivencia sería bastante alta en comparación con la elección de Richard allí.

Tom Gorup: Muy bien. Así que no estamos aquí para hablar de programas de televisión.

Estamos aquí para hablar de un nuevo informe de tendencias que Edgio está saliendo con, que estoy muy emocionado. Estoy tomando una instantánea de Q4 y mirando todo tipo de tendencias. Esta es la primera vez en mucho tiempo, en años, yo diría que es una especie de renacimiento de este informe.

Y estamos cubriendo todo tipo de puntos de datos de métodos de solicitud, tendencias a lo largo del tiempo, uh, tipos MIME, todo tipo de geolocalización, uh, y eso está bien, les traje a ambos aquí hoy para hablar porque creo que hay un montón de ideas interesantes al mirar los datos de esta manera, creo que a veces se pueden ver conjuntos de datos.

Estás como, bueno, ¿y qué? ¿Qué importa? ¿Por qué? ¿Por qué estoy mirando esto? ¿Cómo podemos ver esta información y extrapolar algo de valor de ella? Y entonces estoy muy emocionada de conseguir ambos de su trabajo. Insights. Así que para el tipo de categorías de alto nivel de temas que vinieron a la mente que estarían nuevamente interesados en sus perspectivas sobre uno fue la arquitectura de aplicaciones, ¿verdad?

Arquitectura de Aplicaciones – Lo que observas importa

Tom Gorup: Si estamos mirando esto, este informe, pensando en nuestra arquitectura, nuestras aplicaciones, cómo estamos aprovechando nuestras herramientas para estar configuradas correctamente en base a la arquitectura de nuestra aplicación y también quizás algo de cumplimiento. Aspectos de, uh, cómo podemos usar esta información para empezar a pensar de nuevo en nuestras aplicaciones de una manera diferente.

Así que para empezar, pienso en la arquitectura de aplicaciones. Así que es como obtener un marco de referencia aquí. Hay dos puntos de datos en este informe. Mira los métodos de solicitud en los tipos de mente, y hay más. Definitivamente podemos sentirnos libres de, ya saben, ustedes han visto informes tener acceso. Puedes tirar de lo que tengas allí.

Pero primero, ¿qué? ¿Por qué es importante mirar? Este tipo de cosas como métodos de solicitud en los tipos de mente. Quiero decir, cuando miro por primera vez el informe, era como el nueve sobre el 98 por ciento de las solicitudes para obtener publicaciones. ¿Qué? Bienvenido a Internet, ¿verdad? Como, ¿por qué es importante mirar esos datos de esta manera? ¿Qué piensan ustedes?

Michael Grimshaw: No, yo diría que algunas de las cosas grandes que vienen a mi mente es lo que observas asuntos, lo que estás viendo asuntos. Así que allí, podemos hablar de arquitectura y construcción como nuevas aplicaciones nuevas y toda la arquitectura sobre eso por un lado.

Pero lo primero que obtendría, y es el poder de informes como este y datos e información como esta, obviamente inteligencia de amenazas. Soy un gran creyente en hacer su arquitectura alrededor de su cumplimiento, sus necesidades de seguridad, y realmente los requisitos no funcionales es, ya sabes, la lógica de negocio de su aplicación no es un pequeño grupo, pero ya han pasado los días en los que puede centrarse solo en la lógica de negocio y una cosa, tiene que estar mirando múltiples dimensiones, como cómo puede ajustar su observabilidad, cómo puede tomar enfoques de infraestructura y plataforma más avanzados como la repavimentación y rotación de credenciales.

Puedo hablar, podemos hablar durante días sobre eso, pero lo importante que se reduce es tener inteligencia procesable para saber lo que estás buscando. Así que desde una aplicación, de ustedes mencionaron herramientas, esa es una de las primeras cosas que llamaría, entender dónde estaban, ya saben, cuáles son los vectores. Lo que los actores estatales están aprovechando qué guion están haciendo los niños y todos los demás está aprovechando que necesita informarle de lo que está viendo lo que sabe, ya sea que esté haciendo, trimestralmente, sabes escaneos, con suerte que esté haciendo escaneos más que solo trimestralmente, obviamente. Dependiendo de su perfil de cumplimiento, debe hacerlo en un mínimo trimestral, pero esperamos que esté cambiando a un modelo adecuado de cambio de DevSecOps donde esté escaneando continuamente o donde esté monitoreando continuamente la seguridad de construcción y movilidad.

Así que lo primero que llamaría son estos datos. Esta información es importante de conocer. Lo que necesitas estar mirando más de cerca, lo que necesitas para ajustar tu pila de observabilidad para buscar tu pila de observabilidad de seguridad, y luego inversamente en cambio, ¿verdad? Es prestar atención a más cosas y a más vulnerabilidades potenciales que podrías introducir en tu código para asegurarte de que no lo hagas.

Tienes que tener un ojo en tu horizonte. Cada vez que tengamos una de estas conversaciones, se escucharán muchas analogías, pero es como si estuvieras corriendo si estás en un maratón o si estás haciendo running cross country o algo así, mantienes los ojos en el horizonte para que después tengas que cambiar tácticamente. De una manera u otra debido a un bache, conoces un río o algo así. No estás perdiendo de vista los horizontes hacia los que estás corriendo.

Richard Yew: Quiero decir, al revés, como si miráis esto, ¿verdad?

También es cuando se trata de arquitecturas de aplicaciones, ya saben, cuando miro los datos, como dijo Tom, la mayoría de las solicitudes se pueden imponer, pero ya saben, es Internet, ¿verdad? Pero creo que una de las cosas que se desglosan, es también cuando se miran los datos, como cuántas solicitudes, porque les dice las historias de como, ¿cuáles son las conversaciones del contenido que estamos recibiendo, verdad?

Obviamente. Si está ejecutando mucho espacio de aplicación, ya sabe, especialmente como, digamos que tiene un spa, ¿verdad? Como sus arquitecturas primarias, ¿verdad? Vas a ver un montón de posts. Verán muchos métodos diferentes, ¿verdad? Si tomas una gran cantidad de contenido generado por el usuario, es posible que veas un montón de publicaciones y pongas, ¿verdad? Así que, es un desglose muy bueno para ver. Y además, dado que se trata de datos de seguridad, significa que estos datos provienen de un firewall de aplicación web, ¿verdad? Realmente ve cuántas de las cargas útiles que inspeccionamos realmente salen mucho.

Así que en este caso, muchas veces tengo razón. Pero también ven una cantidad bastante significativa de esas cosas que vienen del post porque ahí es donde las cargas útiles, así que es muy, y realmente cuenta una historia sobre la superficie. Las áreas superficiales de tu ataque, y te dice que si solo miras las distribuciones de tu método de solicitud, correcto, cualquier cosa que reciba cualquier punto final como opuesto, correcto, vas a tener una superficie mucho más grande porque, ya sabes, el post es como, yo uso una analogía y la gente me dice que es tonto, está en la casa, como la solicitud del POST, es como tu basura y tus inodoros y, tú sabes, tu, tu público, ¿cualquiera, como solo manda una carga útil?

Tipos MIME

Tom Gorup: Me encanta lo que estás diciendo, sin embargo, es que cosas como el método Solo Solicitar comienzan a pintar un cuadro. Cuente una historia sobre su aplicación, cómo se está utilizando, cómo se está atacando, dónde podría ser vulnerable. Te da una buena perspectiva. Y conduce directamente al tipo de tipo MIME también.

Una cosa que pensé que era interesante, me encantaría que sus chicos pensaran sobre esto, es que lo que vimos es un, es una gran cantidad, el 76 por ciento de esos bloques. Una vez más, esta actividad WAF es, era la aplicación JSON tipo MIME. Así que mucha prevención alrededor. Tipo de solicitud JSON, y ¿qué nos dice eso sobre Internet en su conjunto, cómo se están desarrollando y arquitectando las aplicaciones?

Richard Yew: Quiero decir, voy a empezar con eso. Como que básicamente te dice de dónde vienen tus basura, ¿verdad? En cierto sentido, JSON tiene sentido porque, al igual que, la mayoría del endpoint API, eh. Uh, como tranquilo, incluso ni siquiera tranquilo, como GraphQL, lo llamas, ¿verdad? Contiene como JSON payloads. UM, correcto. Así que esto es par para el curso, en mi opinión, no debería ser nada que sea sorprendente para muchas organizaciones, ¿verdad?

Obviamente también ves como cargas útiles que vienen de tipo de contenido HTML, uh, ves un montón como de XML, ¿verdad? Entonces, definitivamente quieres una cosa cuando se trata de diseñar y mecanismos de seguridad, ¿verdad? No quieren mirar solo a JSON, pero solo quieren, porque he visto ciertos productos de seguridad , solo pueden analizar, por ejemplo, XML.

Que no tienen la capacidad de analizar JSON. Es como, si no puedes analizar JSON, no puedes mirar las cargas útiles. Así que quieres asegurarte de tener la capacidad de JSON. Tienes que asegurarte de que tu analizador esté al día. Quiero decir, ¿adivinen qué? Porque la mayor parte de ella se omitió, a un WAV es explotar el analizador.

Así que están enviando cargas útiles a través de un formato de codificación especial o, como ellos, lo enviarían en un formato como. Incluso a veces solo cambian. Este es un JSON, pero cambió el formato a multi-parte, lo que sea. Y la web dejó de analizarlo porque solo miraba cabeceras. Oh, esto no es JSON. Así que no lo estoy analizando.

Así que así es como consigues que la carga útil se deslice. Así que definitivamente es algo que quieres ser capaz, tomar notas como, wow, JSON, es el más popular. También quieres ver cuáles son algunos de los más oscuros. Esos y artículos que quiero señalar, pero los guardaré para más adelante.

Michael Grimshaw: Creo que Richard hizo un gran punto es que solo una X y ningún analizador no lo cubre en la era moderna del desarrollo web. No me parece sorprendente que las cargas útiles de la aplicación JSON y JSON representen un porcentaje tan grande porque en el desarrollo web moderno, JSON está en el mundo, ya sabes, y no es ni siquiera solo desarrollo web.

Observamos, por ejemplo, que alguien debería nublar. Uh, ya sea que estés hablando, sobre CloudFormation y AWS y otros, ya sabes, déjame usarlo porque AWS es uno de los grandes que hay. No fue hace tanto tiempo, cuatro o cinco, tal vez hace un poco más de años. No recuerdo la fecha exacta, pero CloudFormation era completamente XML y luego se trasladó a JSON-basado y eso asumió totalmente el control.

Así que es la infraestructura de desarrollo web, JSON. Sí, tienes que ser capaz de analizar tanto en JSON como en XML, pero el punto de Richard también es aún más esotérico y lo atípico es que tienes que ser capaz de analizar todos los datos.

Richard Yew: Sí. Hablando de valores atípicos cuando miro los datos, sí, siempre miro los puntos de datos más pequeños, como el 1 por ciento o el 0,5 por ciento o algo que se destacó directamente del informe es que tenemos 0,14. Así que el 0,14 por ciento de la cantidad de datos de seguimiento similar. Otra información no caracterizada, ¿verdad? Pero puede sonar extraño, pero cuando se habla de miles de millones de puntos de datos al mes, quiero decir, 0,14 por ciento de los mil millones, es bastante. Y algunos de esos tipos de contenido resultan ser como imágenes. JavaScript y otros, como tú, históricamente pensarías que, oh, esos son contenidos estáticos, ya sabes, como que son altamente cacheables. ¿Por qué pondrías WAV delante de tus JPEG?

Ya sabes, como por qué tienes muchas imágenes, ¿verdad? ¿Qué haces eso? Bueno, déjame decirte eso, ¿verdad? Hay esta cosa llamada movimiento lateral en la seguridad, ¿verdad? Es como si esos JPEG. Por ejemplo, a menos que las pongas en el almacenamiento, como en el borde, la derecha, el almacenamiento en la red, y donde es solo el 100 por ciento de servir, cualquiera de esas solicitudes vuelve a sus niveles web, ya sabes, como en sus entornos, si incluso solo el 0,1 por ciento de esas solicitudes se remonta a sus orígenes, significa que el atacante puede enviar cargas útiles, ya sea en forma de encabezados, cookies, cadenas de consulta, argumentos, etcétera, desde la solicitud a un archivo JPEG y enviar esas cosas a su backend. Así que si estás usando el mismo backend para tu, digamos, tu, ya sabes, tu HTML y tu JPEG, como JPEG, ¿verdad?

Podrías ser susceptible a los movimientos laterales porque están diciendo, oye, ya sabes, esto es solo dominio de la imagen. Tal vez no necesites proteger eso. Mucha gente dice, ¿por qué pondría un WAF? Desperdiciar mi dinero, ya sabes, como poner las protecciones en una cosa en su mayoría estática. Y de nuevo, esto es algo a notar.

Siempre quieres encontrar defectos porque como defensor, como alguien que es equipo azul, sí, tienes que tener razón todo el tiempo. El atacante solo necesita tener razón una vez, ¿verdad? Ya sabes, quién sabe, como las primeras cargas útiles en la primera solicitud JSON que pasa a ser reenviada a los orígenes creados en la puerta trasera. Podría suceder.

Tom Gorup: Sí. 100 por ciento y lo que me encanta de dónde vas con esto, también, es que habló primero sobre pintar una imagen o contar una historia sobre tu aplicación. Así que obtener una buena comprensión de la arquitectura de su aplicación. Y entonces, ¿dónde estás aplicando tus controles?

Porque a su punto en el que usted piensa que es quizás el menos vulnerable podría ser que esa vía de enfoque cuando estamos mirando, um, y otra vez, esto está dentro del informe también. Pero cuando nos fijamos en las categorías de ataques mitigados, el 45 por ciento eran reglas de control de acceso, lo que significa prevenir tal vez solicitudes de POST.

Si tu app no acepta publicaciones, como limitar tu panorama de amenazas, limita los lugares donde los atacantes pueden atacar y presionar a tu aplicación aplicando reglas de control de acceso. Si no aceptas la aplicación, Jason, bloquea. Correcto. Prevenirlo. No hay razón para permitir que eso suceda en el primer lugar.

Y luego traes un buen punto de gustos, mirando el tipo de los valores atípicos, las porciones más pequeñas de la aplicación. Me encanta ese proceso de pensamiento allí. Así que en esas líneas, sigamos tirando de ese hilo un poco. Así que el 45% son reglas de control de acceso donde bloqueamos el 37%. Uh, somos conjuntos de reglas administradas.

Así que esa es toda su inteligencia de amenazas y su scripting cruzado de sitios esos tipos de impuestos. Y luego el 19 por ciento eran reglas personalizadas viendo esto y pensando en una defensa de capa. Eso es algo así como lo que pensé aquí era que a medida que llegan las solicitudes, están pasando por estos filtros que necesitan estar contemplando, ¿verdad?

Un enfoque de defensa por capas

Tom Gorup: Cuando implementa WAF o controles de seguridad dentro de su aplicación, debe comprender su arquitectura y ajustar sus herramientas de seguridad para que coincida con eso. Para, de nuevo, limitar su panorama de amenazas, pero luego también necesita capas, ¿verdad?

Michael Grimshaw: Necesitas capas. Y una de las cosas que sí quiero, y vamos, y quiero hablar con capas, pero creo que esto es de lo que estamos hablando aquí es que realmente arroja una luz sobre la importancia del bucle de retroalimentación entre su desarrollo, sus desarrolladores de características, su SDLC, sus arquitectos y su equipo de seguridad, porque si su equipo de seguridad o su WAF o su SOC o lo que sea ciego volando, ya sabes, no saben, de acuerdo, ¿deberíamos aceptar cargas útiles de JSON aquí?

¿No publicamos? ¿Qué, qué hacemos? ¿Es esa, esa comunicación, ese bucle de retroalimentación? Puede ahorrar dinero en la medida en que FTE pierda tiempo, ahorrar dinero en herramientas, solo un circuito de retroalimentación estrecho entre sus desarrolladores, sus arquitectos y el suyo, y su equipo de seguridad hace toda la diferencia en el mundo.

Richard Yew: Cuando se trata de las capas, siempre digo, no, voy a traer a la meta palabra de moda, ya sabes, como la defensa en profundidad. Saben, como, realmente creo que necesitamos, tenemos que tener una mentalidad que, realmente tiene orden para sus términos. Pero tal vez estoy equivocado.

Tal vez hay un filtro de agua de una sola capa, ya sabes, están usando carbones de coco de lujo, lo que sea, como, lo que sea. Correcto. Pero generalmente, en general, cuando miramos los valores, ¿verdad? No se puede suponer que una sola capa sea una bala mágica. Como, por ejemplo, el hecho de que tengas administración de bots no significa que quieras esperar que la administración de bots capte todo, desde aplicaciones, como DDoS, hasta adquisiciones de cuentas.

Cada mecanismo trabaja en conjunto. Y la forma en que tratan de ponerlo, como saben, como. Está bien. Lo más eficiente posible. Así que estamos tomando como un 45% de exceso de reglas. Me gusta llamarlo ACL. Quiero decir, esto es solo, es ACL, ¿verdad? Es que ACL generalmente se ejecuta en nuestra primera capa. Y hay una razón detrás de eso porque es barato de ejecutar.

Es solo un montón de IPs, país, lo que sea. Uh, ASN, firmas JA3, ¿verdad? Los corres detrás porque es una firma estática que cualquier cosa que los viola. Inmediatamente se aleja el futuro como si estuviéramos en segundos sub milisegundos, ya sabes, ¿verdad? Son nuestras capas enteras, el plural corre en sub-milisegundos.

Pero ya sabes, como quieres ser capaz de deshacerse de la mayor parte de su basura, ¿verdad? Y solía tener un amigo trabajando en la industria es como si me dijera, cierto, esto es lo que llamamos una reducción del pajar. Quieres que quieras tomar un montón de solicitudes similares que vienen, ¿verdad? Y tratas de encontrar el ataque.

Es algo así como, bueno, estás tratando de encontrar esa única solicitud HTTP que lleva esa carga útil mala y que resulta en una violación. Así que estás buscando una necesidad de un pajar. Así que ser capaz de cortar rápidamente el pajar, eliminar la mayor cantidad de basura posible de las capas frontales para que las capas más sofisticadas puedan procesar.

Por datos adicionales, lo que sería muy útil de nuevo, se remonta al hecho de que no solo estamos ejecutando defensa perimetral, ¿verdad? Es solo porque cruzas, rompes el muro. No significa que hay, deberías tener torres de vigilancia, ¿verdad? De hecho, todo el concepto de defensa en profundidad es una estrategia militar que vino de los romanos a medida que expandieron sus territorios hasta el punto de convertirse en un imperio.

No es factible solo estar muros alrededor y asegurarse de que usted solo confía en los otros perímetros para derrotar el ataque. Por eso. Hemos estratificado la defensa.

Michael Grimshaw: Absolutamente. Y creo que podríamos haber mencionado esto, lo cubrimos en una discusión anterior, Richard. Me gusta el ejemplo de inmunología aquí es que si tu salud depende de un ambiente estéril, eres un hombre muerto.

Ya sabes, no se trata de evitar, no se trata de tener un entorno cerrado y todo dentro de su estéril. Se trata de construir inmunidad. Y la única manera de conseguirlo así es como estás libre de patógenos es desarrollar inmunidad a ellos y un enfoque defensivo por capas es necesario para eso.

Es como tú. Sí, necesitas los mejores firewalls de red. Ya sabes, necesitas un perímetro fuerte. ¿Pero adivinen qué? Eso va a ser violado. Quiero decir, en el mundo de los actores estatales y donde está el mundo entero, es potencialmente una amenaza. Efectivamente, solo necesita planear que su perímetro va a ser violado.

Así que una vez que hacen eso, ¿cuál es la siguiente capa? Y la siguiente capa después de eso, y la siguiente capa después de eso. Y entonces, ¿cómo están monitoreando eso y tomando huellas dactilares esos tipos de infracciones para que sepan lo que van después? Sí, es imperativo

Arquitectura distribuida

Tom Gorup: Eso es interesante, y por alguna razón, se está pensando en cómo juega una arquitectura distribuida en eso. Porque puedo ver dos extremos del espectro aquí. Podrías mirarlo y mirar el riesgo, estás agregando expansión, pero entonces también podrías. Uh, míralo y, uh, aportando más valor. Distribuir las cargas de trabajo en, uh, varias regiones o ubicaciones, lo que permite una mayor disponibilidad.

Entonces, ¿dónde ven eso jugando?

Michael Grimshaw: Absolutamente. Vivimos en el mundo de la arquitectura distribuida. Cuando tienes una huella global, bueno. Ya sabes, más de 300 puntos de presencia en todo el mundo. Estamos en una era de cómputo paralelo distribuida masivamente, y no somos solo nosotros. Quiero decir, um, esto se remonta a más de 20 años, pero esta es la esencia del desarrollo web. Infraestructura web. Tienes que asumir que estás distribuido. Que estás corriendo masivamente en paralelo y donde, lo que mueve la aguja aquí desde una seguridad, desde un soporte, y desde un puesto de costos es lo primero que diría que es evitar los copos de nieve es, y esto también se relaciona con el cumplimiento, lo que llegaremos aquí en un poco es que si estás corriendo masivamente paralelo, distribuido masivamente, necesitas que tu infraestructura sea lo más similar posible con tantas varianzas en esa arquitectura distribuida. UM, um, uno, porque cuando estás hablando con tus auditores, puedes afirmar, puedes atestiguar.

Michael Grimshaw: Sí, solo tenemos que mirar realmente a uno de ellos porque este es un cortador de galletas en cada uno, ya sabes, tenemos que mirar, ya sabes, y sus auditores lo probarán. No solo van a tomar un ejemplo y correr con eso. Puede echar un vistazo a cualquiera de nuestros puntos globales de presencia y son básicamente exactamente el mismo cortador de galletas uno tras otro que ayuda a la seguridad.

Así que tienen básicamente el mismo modelo al que van, mientras trabajan en sus capas y despliegan sus capas una, pero también mientras están rastreando, escaneando y observando. Esa sería una de las grandes cosas de las que hablaría en cuanto a arquitectura distribuida y la razón por la que estaba mencionando que con cumplimiento es porque si estás en un sistema distribuido masivamente, tus auditores no van a querer probar y auditar cada uno si pueden validar y verificar y puedes afirmar que son correctos. La misma arquitectura, son competidores entre sí.

Tom Gorup: Eso tiene que ser más fácil decirlo que hacerlo, ¿verdad? Especialmente al hablar de una arquitectura distribuida en nuestro escenario, ¿verdad? No estamos hablando de implementar un montón de instancias EC2 que provienen de una imagen dorada sentada en algún lugar.

Estamos hablando de hardware. Correcto. En cierto sentido. ¿Y cómo operacionalizas algo así?

Michael Grimshaw: Es un punto excelente, excelente. Y donde eso viene a uno allí, es un enfoque multicapa a eso también. No solo la seguridad en eso proviene de usted, de su adquisición y de su equipo de gestión del ciclo de vida, necesita estar alineado en eso porque un buen ejemplo, la razón por la que me dejan obtener Kubernetes es un gran ejemplo.

Está distribuido en paralelo, no distribuido globalmente, pero no va a ejecutar un clúster de Kubernetes en todo el mundo. Pero Kubernetes obtiene un gran ejemplo de esto es que te encuentras con problemas en Kubernetes. Si tienes un montón de servidores que tienen controladores diferentes o diferentes, ya sabes, tarjetas nick diferentes o hardware diferente, básicamente no puedes ejecutar Kubernetes.

Por eso, como he dicho, trabajar con su gestión del ciclo de vida y su equipo de adquisiciones para comercializar su infraestructura. Esa es la punta de la lanza en la punta de la lanza en eso. Usted desea conseguir su hardware lo más similar posible entre sí. Ahora, permítanme señalar que un gran riesgo que hemos experimentado recientemente durante COVID es el problema que encontramos con la logística y el impacto masivo en el espacio de distribución global ha llegado a donde usted, incluso si estaba ejecutando hardware de corte de galletas antes de COVID con los retrasos en el envío con los choques en el envío y el transporte y la logística.

Michael Grimshaw: De conseguir incluso ser capaz de obtener el mismo tipo de chipsets o cualquier otra cosa por el estilo y no es solo usted, es la gente que compra hardware de sus proveedores, etc. Es una especie de gran curva en eso, así que trae la segunda capa donde tienes que adaptarte y que es cuando llegas a la imagen y el software real que estás ejecutando en él, en primer lugar, como tu hipervisor o tu sistema operativo o tu hipervisor?

Esa es la siguiente capa a donde, incluso si no es completamente uniforme debajo, sin embargo, quieres llegar lo más cerca posible. La siguiente capa es hacerlo tanto cortador de galletas y uniforme en su imagen y en su capa de hipervisor OS. Y a partir de ahí, un enfoque similar con las aplicaciones.

Usted quiere conseguir esto lo más estandarizado posible de la seguridad para los costos por un montón de razones.

Richard Yew: Ya sabes, te diré como cuando se trata de aplicaciones. Bien, saben, discutido, sé que probablemente es contrario a la creencia popular, y esto podría ser un poco contraintuitivo porque estamos pensando en una arquitectura bien distribuida.

Así que estamos tomando de servidores centralizados, entornos en la nube, y estamos distribuidos por todo el mundo. ¿Qué pasa si te digo que tener una arquitectura distribuida hace que tu superficie de ataque sea más pequeña? Suena un poco raro. Suena algo así, pero, pero piénsalo de esta manera, ¿verdad?

Por haber distribuido, y por eso creo que es muy importante cuando estás diseñando aplicaciones, especialmente estamos hablando de sitio web, ¿verdad? No lo haces, diseña y lo que encuentro un error común, y esto es la seguridad límite. Así que si me desvío un poco del tema es que encuentro que hay un error en el que he visto personas, clientes, organizaciones, diseñarán las aplicaciones basadas en una arquitectura centralizada y luego intentarán ejecutarlas en la plataforma distribuida como A, CDN, entonces tienes que crear mucha optimización aún así como, Oh, lo que necesita ser enviado, ya sabes, después del hecho a la lógica, pero sabes, lo moderno, se llama un diseño moderno, ¿verdad?

Se trata de diseñar aplicaciones con arquitecturas distribuidas en mente. Sería como, por ejemplo, estás acostumbrado a procesar muchas lógicas en una ubicación centralizada. Solo tienes que usar CDN para almacenar en caché tu JPEG y tus archivos estáticos, etc. Pero, ¿qué tal usted envía algunas de las lógicas?

Digamos que solo tomamos un ejemplo muy simple, como sus redirecciones, ¿verdad? Al igual que su infraestructura centralizada original va a hacer redirecciones para un cliente. ¿Qué pasa si tienes decenas de miles de redirecciones vinculadas? Correcto. UM, ¿qué tal si cambias esas lógicas al borde?

¿Qué tal si cambias esas cosas? Y al hacer eso, correcto, cuando digo superficie de ataque, correcto, estás, al cambiar esa lógica al borde, correcto, estás reduciendo las cargas, estás reduciendo la probabilidad de fallo en un centralizado, como arquitecturas, al haber descargado algo de eso, ya sabes, la seguridad exterior es lo que la CIA, ¿verdad?

Richard Yew: Estamos hablando de la parte de disponibilidad de eso. Es muy importante. Así que diría que moviendo muchos de ellos, incluidos los mecanismos de seguridad. Así que si eres capaz de filtrar de nuevo, reducir el pajar del ataque en el borde exterior de los perímetros, es cierto, eres susceptible, menos vulnerabilidad en tu centralizado, ya sabes, una nube o hardware similar, espero que ya no.

Richard Yew: Uds. 2024, saben, pero hardware, pero básicamente llamamos la infraestructura Origins y eso es muy importante. Puedo decirlo como que hay tantas cosas más que puedes hacer porque obviamente estamos al borde de lo que estamos implementando muchas tecnologías y te diré, hombre, como hacer conteo distribuido.

En como 1 milisegundo y teniendo todos los servidores, como, como las cosas a través, cierto, que los datos, es un dolor, ya sabes, cuando estás tratando de sincronizar el número de solicitudes por segundos en todas tus infraestructuras, uh, dentro de un pop, ¿verdad? UM, pero yo, creo que es algo de lo que quieres hacer uso.

Richard Yew: Así que, en lugar de tener solo un cerebro central, como, eh, lógica en tu arquitectura centralizada. Tal vez empezó a dividirlo al igual que los humanos, ya sabes, los cerebros humanos son arquitecturas técnicamente distribuidas. Tienes tu cerebro y tienes tu cerebro lagarto. ¿Y adivinen qué? Porque, porque cuando tocas algo caliente, no vas a tener tiempo para reaccionar.

Richard Yew: Si esas cosas tienen que pasar por un cerebro central. Tienes que quemarte antes de retroceder, ¿verdad? Es por eso que así como, empezar a pensar en lo que es un nuevo diseño de arquitectura. Tal vez en lugar de hacer aprendizaje automático y entrenamiento y todo en el centralizado, usted hace inferencias en el borde y luego hace un entrenamiento en ubicaciones centralizadas.

Una vez más, vuelve a gustar. En cierto sentido, en realidad estás reduciendo un poco la vulnerabilidad y haciendo que todo tu sistema sea más robusto desde una perspectiva de seguridad.

Michael Grimshaw: Sí. Sí, y esto dice perfectamente lo que estábamos hablando de estratificación es porque al alejarnos de un enfoque centralizado, um, um, o de lo que estábamos hablando también con inmunología, alejándonos de un enfoque centralizado, um, um, um.

Tú, si, cuando te atacan y te empeñan, um, la cantidad de datos o, o, o la exposición que tienes es tremendamente limitada, así que no es un booleano completo, um, ¿estoy protegido o no estoy? Cuando todo está centralizado. Está bien. Si están dentro y tienen acceso a los datos, tendrán acceso a los datos, los harán distribuidos.

Está bien. Tal vez, tal vez una región o un subconjunto o un subsistema. UM, um, un atacante puede aprovechar un día cero o lo que sea y entrar, pero no tienen todo su sistema. Y también es algo de resiliencia porque no estás perdiendo toda tu corteza cerebral de un solo golpe.

Richard Yew: Por cierto, como el bot Lindsay solo me verificó los hechos y, eh, supongo que usé una mala analogía. Uh, humano es, supongo, supongo que nosotros, no tenemos cerebros y en otros lugares, pero debería tener, debería haber dicho que es un pulpo. Un pulpo tiene como cerebros y todos los brazos. Sí. Es decir, esa es una verdadera arquitectura distribuida.

Geolocalización – ¿Dónde estamos bloqueando la mayoría de los ataques?

Tom Gorup: Sí, eso es justo. Eso es bueno. Por lo tanto, mantenerse en las líneas de la arquitectura distribuida, tal vez tirando en el cumplimiento un poco aquí. Una de las estadísticas que pensé era. Esto fue bastante interesante para mí, al menos para ver en papel, estaba mirando la geolocalización. Entonces, ¿dónde estamos bloqueando los ataques de los cinco principales países?

Está bien. Tengo este top cinco países que éramos nosotros, Francia, Alemania, Rusia y Chechenia. Lo que pensé que era súper interesante aquí es por lo que vale la pena saber que hay un montón de APTs que se quedan fuera de China. No están en la lista. No está en la lista, lo cual me pareció interesante cuando pensamos en geolocalización.

Creo que mucha gente recurre al geofencing. Oye, déjame encerrarme en países de los que sé que probablemente serán atacados, pero 26%. El odiador número uno era de los Estados Unidos. ¿Qué les dice eso, chicos? También creo que estoy pensando en esto desde el punto de vista del cumplimiento. ¿Cómo es el geofencing en, ya saben, 2023, 2024, ahí es donde estamos ahora?

Richard Yew: Quiero decir, mi opinión, correcto, sé que tenemos, como, cada cliente, ya sabes, cuando nos subimos a bordo, hablamos de control de exportaciones, y tenemos que, como, hacer, gustar, esos controles con, como, geofencing, siento que algunas de esas cosas, algunos de esos requisitos para ser revisado ya que sé que puede que no sea algo que todo el mundo quiera escuchar, especialmente si ejecutas GRC, me disculpo de antemano si te estoy dando un dolor de cabeza, pero creo que estamos en un día y edad donde es como si es como si todo tiene sus manos? Y tan fácil de girar VM en todas partes. Recuerdo que cuando estábamos viendo Black Hat el año pasado, estábamos buscando distribuciones de como el ISP para el ataque anónimo de DDoS en Sudán, ¿verdad?

Richard Yew: Hay como, están usando un proveedor de hosting. En todas partes. Sabemos de dónde vienen, al igual que vienen de este país específico, Europa del Este, ya saben, como es ahí donde está la organización, ¿verdad? Pero, entonces el ataque viene de cualquier lugar, como hoy en día. Así que es como, ¿verdad, entonces bloqueas a un hacker chino por Joe Fencing China? ¿Eso funciona incluso hoy en día? ¿Verdad?

Michael Grimshaw: No, pero tienes toda la razón. Y, China es bien conocida históricamente por usar las VPN muy, muy acertadas y, y realmente ofuscando el origen de donde está el ataque, um, obviamente con Rusia, usan que hay mucho de una cosecha local, ya sabes, casi el estado, casi animando a actores individuales en Rusia a tomar parte de él.

La estructura de mando y control de China es un poco menos de lo que digamos mab o, um, um, orientado que se ve en Rusia o, o, o, Cheshire y cosas así fueron descentralizadas. Exactamente. UM, buena llamada. UM, pero sí, y Richard, creo absolutamente que tienes razón. Necesitamos volver a examinar esto, pero va a haber clientes y va a haber segmentos de mercado.

Y verticales que sí tienen requisitos regulatorios. Entonces, y uno de los grandes con los que no se mete es la Oficina de Control de Activos Extranjeros, OFAT. Y ahí es donde geofencing y con, como cualquiera de los servicios financieros, la industria bancaria, um, asegurándose de que sus servicios bancarios o sus servicios financieros no estén disponibles para Corea del Norte, por ejemplo, o Irán y otros lugares en las listas de la lista.

El geofencing sigue siendo importante, especialmente para los requisitos reglamentarios. Tenemos que volver a examinarlos. Y necesitamos, um, de hecho, esto, recientemente surgió en Ucrania donde, um, um, uh, se dijo que el fuerte ruso, mientras que, mientras que [00:39:00] Starlink utiliza la geolocalización. Para evitar que se utilice en Rusia, Rusia opera soldados y operadores rusos son, lo están utilizando, uh, procedente de otros países en, uh, territorio ucraniano ocupado.

La lista es larga sobre el uso dual. Materiales de doble uso, cosas así que podrían utilizarse tanto para fines civiles como militares y cómo se obtienen a menudo de terceros países y esto es lo mismo aquí, pero todavía hay líneas regulatorias absolutamente duras. Algunos clientes tienen que lidiar con o geofencing mucho.

Richard Yew: Tienes razón. Es, es solo una carrera de armamentos. Creo que el punto es que, mientras hablamos de arquitectura distribuida, hablamos de lo importante que es que nuestros clientes usen eso para protegernos. Pero como dijimos Mike y yo, ambos atacantes están usando arquitecturas distribuidas.

Richard Yew: Quiero decir, son, bueno, quiero decir, es un poco gracioso, ese fue el punto de DDoS. ¿Verdad? Quiero decir, de ahí es de donde viene la D.

Tom Gorup: Sí, esto es bueno. Me decepciona que nos estemos quedando sin tiempo porque creo que podemos dedicar probablemente al menos otros 20 minutos a este tema solo.

Reflexiones y recomendaciones finales

Tom Gorup: Pero ya que estamos corriendo un tiempo, me encantaría oír pensar en este informe, pensar en algunos de los puntos de datos de los que hablamos aquí. Desde la arquitectura de aplicaciones hasta, ya sabes, el cumplimiento, la geofencing, todo el gambito. Me encanta escuchar sus pensamientos y recomendaciones a la audiencia.

¿Qué deberíamos estar mirando? ¿Cómo pueden protegerse mejor a sí mismos?

Michael Grimshaw: Sí, me encanta este informe. Ya sabes, quiero traerlo de vuelta y hablar sobre el informe. Hemos hablado de muchas cosas, pero una de las cosas, y tal vez esto es porque estoy pasando. Lo que una auditoría PCI en este momento es una de las cosas que me encanta de este informe está en dos cosas que me vienen a la mente, um, alrededor de donde este informe y estos enfoques ayudan con su seguridad y especialmente su estatura de cumplimiento está en PCI. Uno de los requisitos de PCI es establecer un proceso para identificar vulnerabilidades de seguridad de vulnerabilidades seguras utilizando fuentes externas de buena reputación para obtener información y asignar una clasificación de riesgo. Ahora, este informe no da exactamente un CVE, pero esto es parte de nuevo de la estratificación de su enfoque de auditoría es que me gustaría, saben, me encanta tomar un informe como este con detalles de tal vez vulnerabilidades del sistema operativo o desplazamiento a la izquierda como la base de datos de vulnerabilidades en ese fondo.

Michael Grimshaw: Y ser capaz de armar una imagen completa para nuestros auditores por un lado, y luego otro requisito PCI es asegurarse de que usted está y yo solo estoy centrado en PCI. ISO calcetín a un montón de otros regímenes. Pero la otra cosa es que es importante tener a sus empleados capacitados y actualizados sobre el panorama de la seguridad y cómo prevenirlo.

Y sí, haces entrenamiento sobre una base anual. Usted sabe, usted necesita hacer entrenamiento cuando alguien es contratado. Está bien. Cada año después de eso, pero informes como este, esto es absolutamente algo que obtendría a través de cada uno de mis empleados y en toda la empresa solo para aumentar la conciencia de seguridad, ayuda con su cumplimiento, ayuda con su seguridad. Soy un gran fan.

Tom Gorup: Ese es un gran consejo. Me encanta eso. ¿Y a ti, Richard?

Richard Yew: Diré definitivamente como, ya sabes, a veces tener la visibilidad es muy importante. Y yo diría que para hacer las cosas más fáciles, ¿verdad? Sería bueno tener este tipo de visibilidad a través de todas las aplicaciones, al menos lo que estamos hablando de aplicaciones de cara al público, porque no vamos a ver todos sus puntos finales en la administración, como sus computadoras portátiles y Mac, pero al menos podemos ver como lo que está entrando y saliendo porque soy un firme creyente de que necesita tener un solo panel de visión para básicamente todo lo que está entrando y saliendo de Internet.

Al igual que estamos hablando de todas las solicitudes HTTP, cada solicitud externa, dentro y fuera de la red debe ser catalogada y ser genial. Como, si todos ellos son recopilados y pueden ser reportados bajo una visión consolidada como lo que hablamos aquí, creo que también va a ayudar a facilitar su cumplimiento, especialmente cuando se trata de proporcionar evidencia, etcétera.

So. Está bien. Una vez más, la visibilidad es importante, ¿verdad? ¿Saben, si miran las tres, bueno, en realidad cinco fases de como un marco de seguridad NIST, ¿verdad? Quiero decir, que en el extremo izquierdo, solo hay un texto como prevenciones y luego tienes que responder, ¿verdad? Pero, ya sabes, al tener la capacidad de tener visibilidad, la detección es muy importante.

No puedes mitigar lo que puedes ver.

Tom Gorup: Sí, sí. Siempre equiparo la postura de seguridad, la visibilidad, las exposiciones y las amenazas. No puedo proteger lo que no puedo ver. Necesito entender dónde están mis debilidades, y necesito entender cómo estoy siendo atacado. Son los tres que realmente se unen para definir tu postura de seguridad.

Y se puso un poco interesante también como compartir esto con otras personas en el negocio. Una de las inmersiones profundas que hacemos en el informe, así como profundizar en el recorrido de directorios, que en realidad fue más o menos el tipo de ataque número uno que vemos todavía muy prominente en Internet hoy en día.

Ahora estamos protegiendo contra ella, pero eso no significa que las aplicaciones no sean vulnerables a ella. Y asegurarse de que sus ingenieros o desarrolladores entiendan cómo se puede usar este ataque contra usted es una excelente manera de asegurarse de que está construyendo código seguro desde cero. Y lo que me encanta de lo que hablamos hoy es pensar en la arquitectura de aplicaciones, no solo en su arquitectura de aplicaciones, sino también en su negocio y cómo funciona.

Así que al usar eso para informar sus herramientas de seguridad, ¿verdad? Así que tiene su arquitectura de aplicación de qué tipos de solicitudes espero ver? ¿Qué tipos de tipos de MIME, pero también dónde puede operar mi negocio y aplicarlos y ponerlos todos como parte de los controles en sus herramientas de seguridad?

Así que creo que eso es lo que me emociona del informe no es solo mirar los datos, sino también tomarme el tiempo para pensar, como, cómo puedo usar esta información para pensar en el mundo de manera un poco diferente y tal vez usar eso para informarme herramientas de seguridad para poner más controles, restricciones, evitar que mi negocio sea explotado. Saben, al final del día, eso es lo que estamos aquí para hacer es proteger el negocio, permitirle darle la libertad de maniobra para ganar dinero para f constituyentes y aportar valor a nuestros clientes. Tan buenas cosas. Así que eso es todo lo que tenemos para hoy. Gracias a todos por unirse a ThreatTank.

Si quieres estar al día con la última inteligencia de amenazas de Edgio, salta a edg.io. Eso es edg dot io y suscribirse, ya sabes, obtendrás más información a medida que salga. Michael, Richard amó la conversación. Siento que de nuevo, podríamos haber pasado al menos otros 45 minutos. Esto fue genial.

Tom Gorup: Aprecio mucho su tiempo.

Richard Yew: Sí. Sí. Gracias por tenernos aquí. Gracias por el gran compromiso y las discusiones.

Michael Grimshaw: Gracias por la gran información, Tom. Sí. Lo agradezco. Y siempre divertido charlando contigo, Richard. Excepcional.

Richard Yew: Del mismo modo, hombre. Nos vemos chicos.

Tom Gorup: Hasta la próxima vez.