ThreatTank – Episodio 3 – Gestión de superficies de ataque

Introducción a ThreatTank – Episodio 3: Gestión de superficies de ataque

Tom Gorup: Bienvenido a Threat Tank, un podcast que cubre lo último en inteligencia contra amenazas, respuesta ante amenazas e información sobre el panorama de la seguridad en todo el mundo. Soy su anfitrión, Tom Gorup, Vicepresidente de Servicios de Seguridad en Edgio. Y hoy me acompañan Jeff Patzer y Chris Herrera. Bienvenidos, Jeff y Chris.

Jeff Patzer: Sí, gracias.

Chris Herrera: Gracias por tenernos.

Tom Gorup: Sí, hombre, esta va a ser una gran conversación. Vamos a profundizar en la gestión de superficies de ataque, el valor de ella, qué es, todo ese tipo de cosas geniales. Pero como estamos construyendo una tradición aquí en el podcast de ThreatTank, me gusta abrir con una pregunta rompehielos. Ahora, si esta es la primera vez que sintonizas, no les digo a los huéspedes estas preguntas. Por lo tanto, no tienen idea de lo que estoy a punto de preguntar. Y este en realidad me hizo reír en voz alta cuando inicialmente lo leí.

La pregunta es, Chris y Jeff, si estás listo para esto, si fueras una fruta, ¿qué fruta serías y cómo evitarías ser comido?

Chris Herrera: Oh Dios. Bueno, si lo estamos definiendo como ser comido por una persona promedio, entonces supongo que tal vez un durian. Mi entendimiento es que esos huelen bastante mal cuando los cortas y ni siquiera se ven tan apetitosos. Pero eso podría ser yo hablando por ignorancia, ya que nunca he visto una.

Tom Gorup: Entonces, serías un durian porque el que evitarías ser comido, te verías, lucirías mal y huelerías mal, lucirías mal y huelerías mal y presumiblemente sabrías mal.

Chris Herrera: Sí, sabe mal.

Tom Gorup: Muy bien, sí.

Jeff Patzer: Ni siquiera les gusta el durian en el metro en la mayoría de los lugares donde crecen cuando es durante la temporada porque huelen tan terrible. Pero se comen muy pesadamente, Chris, así que no estoy seguro de que puedas evitarlo. Son sabrosos. Es como, ¿cómo vas a evitarlo?

Tom Gorup: Sí, me imagino que es como jalapeños, todos como si estuvieran tan calientes, pero todavía hay un mercado para la gente que quiere comer como el pimiento más caliente. Entonces, ¿qué obtienes, Jeff?

Jeff Patzer: Solo voy a ir con la fig. Yo sería un higo y no trataría de evitar que me coman porque, ya saben, el objetivo de ser una fruta es realmente ser consumida.

Tom Gorup: La razón por la que quieres ser consumido es porque así es como se extienden y cultivan más árboles frutales esencialmente, ¿verdad?

Jeff Patzer: Así que tienes que ir en el interesante viaje a través de un sistema digestivo de cualquier tipo de animal y también los higos son absolutamente deliciosos y el truco es sí, conseguir donde realmente se pueden conseguir frescos porque la mayoría de los lugares que tiene que comprarlos como en la tienda y simplemente no son recogidos frescos. Pero si vives en un lugar donde los obtienes frescos, no hay fruta mejor.

Tom Gorup: Te puedo garantizar que estoy intrigado de que lo describieras como un viaje interesante a través de algo.

Jeff Patzer: Quiero decir, ¿cómo fue el autobús escolar mágico, cierto, donde se llega a unirse, sabes el viaje a través del sistema digestivo? Lo mismo. Estoy pensando que tal vez no todo el mundo obtiene esa referencia.

Chris Herrera: Una versión un poco menos PG de Rick y Morty cuando hacen un tipo de episodio muy similar.

Tom Gorup: Es bueno.

Jeff Patzer: Exactamente. Exactamente.

Tom Gorup: Así que, voy a jugar con esto mientras estaba pensando en ello, como estaba pensando tal vez en una fresa. Pero haría mis semillas como pequeñas BBS. Así que son tan duros que podrían gustarles, si les muerdes vas a romper un diente, así que nadie querría comerlo. Pero entonces, hasta tu punto, puede que no esté tan extendido y vastamente.

Chris Herrera: Interesante, tienes un problema con esa respuesta, que es que decidirán que no quieren comerte después de que ya hayan tomado un bocado.

Tom Gorup: Oh, porque apestas. Ellos no querrían comerte, creo.

Chris Herrera: Y me veo mal.

Tom Gorup: Eso es genial. Eso es bueno. Está bien. Comencemos. Esperemos que el rompehielos sea tan divertido para todos los demás como lo es para nosotros para discutir. Pero tenemos que ponernos en el tema, y éste es de nuevo Attack Surface Management. Chris, me preguntaba si podrías explicarnos como lo que es Attack Surface Management abreviado como ASM.

Chris Herrera: Voy a dar lo que espero y creo que es una definición bastante precisa. Pero como siempre cuando estás hablando frente a otros miembros de la seguridad, otros expertos, cualquier otra persona que esté en tu campo, siempre estás o deberías estar aterrorizado de que vas a decir algo mal o a la ligera.

Así que por favor corríjeme si me equivoco en algún momento aquí, pero ASM, Attack Surface Management es en pocas palabras, incorpora diferentes aspectos de identificación, priorización, monitoreo y análisis de activos digitales. Y por activos digitales que serían cosas como servidores web, direcciones IP, puntos de conexión API, aplicaciones, cualquier cosa que esté digitalmente dentro de una especie de entorno que podría estar expuesto a través de Internet o algo parecido. Y entonces ASM entra en juego.

La gestión de superficies de ataque, se puede pensar en esto, esas palabras individuales. Parte de eso es que estás manejando la superficie de ataque. Por lo tanto, lo que está disponible para ser visto o pinged o sondeado o cualquier cosa de Internet que se considere su superficie de ataque. ASM le permite determinar lo que está disponible, lo que está allí. Podrías encontrar cosas que ni siquiera sabías que estaban allí. Y luego va un paso más y puede decirle idealmente qué tipos de aplicaciones, qué servidores, qué versiones se están ejecutando detrás de allí. Luego, incluso un paso adicional donde puede vincularlos a diferentes vulnerabilidades como CVSS (Common Vulnerability Scoring System) y vulnerabilidades Zero-Day y cosas por el estilo y darle una idea mucho mejor de su superficie de ataque dentro de sus activos digitales. Así que hay mucho más que eso. Obviamente, eso es lo que vamos a discutir hoy, pero con suerte, ese es un buen punto de partida para lo que es la gestión de superficies de ataque.

Tom Gorup: Sí. Algo así como en la forma más básica de decir una herramienta que recorre Internet en busca de Internet. Bueno, Internet enfrenta activos tuyos y los agrega en algún tipo de herramienta.

Chris Herrera: Sí, exactamente.

Tom Gorup: La descripción más básica.

Chris Herrera: Sí. Entonces, estaba tratando de pensar en una metáfora de cómo visualizar esto. Y realmente lo mejor en lo que podría pensar sería un tipo de cosas muy tecnológicas en las que me imagino como Star Trek o Star Wars o algo parecido a esas líneas donde tienes el monitor de tu nave en una pantalla y tiene todos los componentes diferentes allí y está monitoreando cada elemento de tu nave que está en el espacio exterior que puede ser derribado por láseres o armas o cualquier cosa en esas líneas. Y además de decirte lo que hay allí, también te está diciendo el estado de ellos.

Te está diciendo cómo lo están haciendo. También puede darle alguna información adicional. Y ya sabes, a tu punto, puedes entonces, si quieres saber más sobre otros activos también, enviar una investigación, enviar algunos escaneos, obtener información sobre otra persona, y puede que no sea útil para otros. Pero para mí, esa fue una buena manera de obtener una imagen mental de al menos vincular ASM con ejemplos no del mundo real debido a Star Trek y Star Wars. Pero sabes algo a lo largo de esas líneas.

Tom Gorup: ¿Algo que falta en esa definición, Jeff?

Jeff Patzer: Sí, ya sabes, he venido de tal vez más como el fondo de desarrolladores, experiencia de ingeniería. También pienso en ello tanto como en los bloques de construcción como en el funcionamiento interno de la cosa que tienes. Así que, cuando piensan en cómo es mi superficie de ataque, las cosas de las que han construido también son vulnerabilidades de ataque, ¿verdad? Así que si están pensando en las cosas que están eligiendo agregar desde una perspectiva de biblioteca o algo así en el código que están usando para exponer, saben que no se trata solo de cómo Internet puede llegar a usted, es cómo una vez que algo tiene las cosas, puede hacer dentro de su sistema también, ¿verdad?

Para extender su analogía de Star Trek, monitorear el estado del motor, es tan importante como saber que sabe lo que su campo de protección láser está haciendo, ¿verdad? Así que vengo pensando como oye, si estás usando algunas bibliotecas externas, que si estás usando cualquier tipo de software en este punto, estás garantizado a usar algún tipo de biblioteca de código abierto para construir esas como piezas de software más grandes. Saber qué hay dentro de esas y posibles vulnerabilidades que podrían tener también es tan importante como las piezas externas con las que la gente interactuaría.

Tom Gorup: Mi siguiente pregunta es por qué dijo que es tan importante monitorear como por qué es valioso. ¿Cuál es el valor de ejecutar un ASM?

Chris Herrera: Mi primer pensamiento es que un montón de equipos de seguridad si estamos hablando específicamente de empresas o ya sabes, incluso individuos en casa, es fácil. Bueno, no necesariamente fácil. Es sencillo asegurar las cosas que sabes que tienes y con las que estás familiarizado. Pero exactamente al punto de Jeff, están construyendo estas herramientas, estos entornos a partir de un montón de piezas individuales. Y cada una de esas piezas individuales también está contribuyendo a la superficie de ataque, su superficie general. No puedo pensar en una palabra mejor para eso ahora. Trataré de pensar en ello al final de esto.

Cada una de esas piezas individuales, puede convertirse en el eslabón débil o, ya sabes, el miembro de marcha más lento del ejército. Y además de asegurarte de que todo esté enumerado como una herramienta de gestión de superficies de ataque, la tecnología de inventario también puede priorizarlos y decirte, oye, estos son los más importantes en términos de si estos caen, todo el sistema está cayendo o pueden priorizarlos en términos de, oye, estos son los más vulnerables en términos de la más anticuada del software o están abiertos a la vulnerabilidad de día cero más reciente.

E incluso puedes priorizarlos en términos de, oye, estos son los más simples para parchear si quieres conseguir algo de fruta baja o algo, ya sabes, simplemente mojarte los pies. En términos de no necesariamente despachar sino aumentar su postura de seguridad en general.

Jeff Patzer: Sí. Sabes, podría agregar a esto, como, para mí, el valor es que esencialmente se está volviendo imposible mantenerse al tanto de todo sin algún tipo de sistema de monitoreo, ¿verdad? Es que los sistemas son cada vez más complejos. La analogía en la que siempre estuve pensando para ASM es, ya sabes, en los viejos tiempos, ¿qué hicimos para proteger contra ejércitos invasores mientras construías un castillo? La única manera de atravesar la pared era un par de puertas, ¿verdad? Y así, en cierto modo, los puertos son como puertas para Internet. Tienes que ser capaz de, ya sabes, que es un poco simple, como el castillo es simple, ¿verdad? Como si tuviera paredes y tal vez un foso y tal vez un par de lugares donde puedes entrar y salir. Pero a medida que se construye en complejidad, siendo capaz de monitorearlos, necesita más que solo como un par de corredores que están diciendo generales. Como, este es el estado de esa puerta, ¿verdad?

Estás en el punto en el que, con el software, puedes federar el control en manos de los miembros del equipo, ¿verdad? Así que cualquiera puede construir una puerta en este punto. Cualquiera puede ampliar las capacidades. Y si vas a depender de la gente para que tenga que manejar todo eso, haz un seguimiento de esa complejidad, se va a romper con el tiempo. Así que, para mí, es como que el valor es que te permite crecer en complejidad pero mantener un poco de control, como poder permitir que la gente haga cosas, pero también monitorear las cosas que están sucediendo como las cosas que están exponiendo y hacer un seguimiento de eso. Porque de lo contrario, a medida que las cosas se vuelven más complejas, no hay forma de que los humanos puedan realizar un seguimiento de esos tipos de sistemas. Tampoco deberíamos serlo.

Tom Gorup: Sí, sí, 100%. Algunos de ustedes solían decir que la analogía del castillo es el perímetro. La defensa del castillo es una especie de muerta; no hay perímetro, ¿verdad? Estamos en varios entornos híbridos de múltiples nubes, algunos centros de datos, algunos en Azure, algunos en AWS, algunos en GCP y Digital Ocean; estamos por todas partes. ¿Sabemos todo lo que hay ahí fuera?

Cuando miro lo que pienso sobre la postura de seguridad, la pongo en 3 pilares: Visibilidad, exposiciones y amenazas. No puedo proteger lo que no puedo ver. Necesito entender dónde están mis vulnerabilidades y necesito entender cómo estoy siendo atacado. Lo que estoy escuchando es Attack Surface Management realmente nos da una gran cantidad de los dos primeros, especialmente la visibilidad y las cosas que no sabía que existían. Puertos abiertos, tecnología API que estoy usando en mi aplicación, pero también como para destacar qué vulnerabilidades existen dentro de mi entorno desde las que podría ser atacado. Por lo tanto, parece extremadamente poderoso. Pero, como, ¿qué equipos suelen ejecutar este tipo de herramientas? ¿Solo lo vemos en equipos de seguridad que deberían ejecutar un AMS?

Chris Herrera: Históricamente, creo que es acertado decir que los equipos de seguridad son responsables o han sido responsables de adquirir las herramientas ASM, ponerlas en marcha, usarlas consistentemente, interpretar los resultados, llevarlos a los diferentes equipos dentro de las organizaciones. En el caso de que tal vez estén descubriendo activos que no sabían que existían o nombres de host que no sabían que todavía estaban en funcionamiento o algo en esa línea.

Pero no sé necesariamente si eso significa que así es como necesita avanzar. Es interesante cómo la tecnología aumenta en complejidad, pero también en términos de lo que puede hacer por nosotros, de alguna manera difumina las líneas entre los diferentes equipos. Es por eso que históricamente, ya sabes, tenemos los términos como dev SECOPS o DevOps o cosas por el estilo, esas terminologías y la forma en que nos referimos a las personas que están construyendo aplicaciones. Como ejemplo concreto, eso ha cambiado con el tiempo en los últimos 5-10 años. Y creo que eso puede ser una señal de cómo la seguridad se está filtrando en la vida de todos.

Ahora, ya no es necesariamente solo un equipo de seguridad. Lo sé en mi experiencia, obviamente ni siquiera sabré lo que hago, pero la seguridad no es una cosa que hago todos los días. Pero estoy interactuando con otros miembros de otros equipos que nominalmente no tienen nada que ver con la seguridad, pero saben mucho simplemente porque tienen que hacerlo para hacer su trabajo.

Jeff Patzer: Bueno, sí, realmente me gusta la forma en que lo pones, Chris. Me gusta mucho la forma en que lo pones en el sentido de que todo el mundo está interactuando con la seguridad de una forma u otra, ya sea que si estás abriendo un correo electrónico en este punto, estás interactuando con el problema de seguridad. Como, ¿estás siendo phished? ¿Estás siendo, ya sabes, revisado para las cosas? Técnicamente, ese es un tipo de superficie que alguien podría atacarte a través.

Así que, creo que cuando uno pregunta qué equipos lo usan, siento que históricamente les gusta y los desarrolladores tienen razón, como si estuvieran usando eso por razones muy específicas. Pero en general está creciendo, ¿verdad? Y como decía, ya sabes, en este punto, digamos que quieres construir un formulario que sea de admisión para que tengas parejas que están registrando algo o lo que sea, ¿verdad? Puedo construir automatizaciones que tomen esa información y puedo enviarla a cualquiera dentro de la organización o fuera de la organización.

Como dije, existe la capacidad de los miembros del equipo de comenzar a hacer cosas que quizás no sean históricamente como construir un servidor web que haga cosas específicas basadas en la web, pero que todavía sean parte de la recopilación de datos para esa organización. Realmente se convierte a medida que caminamos hacia adelante todo el mundo como si estás en línea en algún sentido de qué otra manera sea como sea que estés, estás expuesto, correcto. Estás interactuando de una forma u otra, sí.

Chris Herrera: Y creo, Tom a su pregunta de hace solo un minuto sobre los equipos que tal vez son típicamente o se espera que sean responsables de estas herramientas. Creo que tiene sentido que la seguridad haya tenido esa responsabilidad en el pasado y ahora también. Pero teniendo en cuenta que los ASM pueden hacer más que proporcionar información de seguridad, también se puede utilizar como dijimos antes de una herramienta de inventario, puedo ver por qué eso sería muy útil para los equipos que no son de seguridad. Trabajando en seguridad, a menudo trabajo con diferentes equipos y diferentes clientes y haciendo mi análisis de registros y demás.

Les presento, hey, aquí hay algunos dominios que han estado viendo algunos ataques y siempre es interesante para mí cuando me encuentro con un caso en el que la respuesta de ellos es oh wow, pensé que apagaríamos ese dominio hace 12 meses y resulta que todavía está activado. Todavía está muy abierto a Internet. Todavía está viendo muchos ataques. Por lo tanto, el aspecto de inventario de la misma puede ser utilizado regularmente por personas que no son de seguridad y, de hecho, tal vez debería depender de lo fácil que es de usar.

Tom Gorup: Sí, me encanta eso y, Jeff, hablar de la superficie de ataque es mucho más grande que simplemente permanecer en puerto abierto atando eso a dominios. Tenemos, ya sabes, adquisiciones de subdominios. Dejas un dominio que fue conectado a algún tercero, y tres años después, está siendo secuestrado y ahora sirve malware que luego pone tu dominio en la lista negra correcta. Ese es el problema de todos. Ese es un problema de negocios en su conjunto. Pero yendo más allá y mirando usted sabe que los correos electrónicos que vienen en ese es un factor intacto.

Aunque hay herramientas para la gestión de superficies de ataque, la superficie de ataque en sí es una conversación más amplia que involucra todos los aspectos del negocio y no puede limitarse a lo que el equipo de seguridad está monitoreando, ¿verdad? Tiene que estar involucrado, la ingeniería tiene que estar involucrada, y el marketing tiene que estar involucrado. Todos estos equipos necesitan tener una conversación entre sí para proteger eficazmente el negocio.

Jeff Patzer: Una pregunta rápida para ti, Tom, sobre esto y también para Chris. Chris, estás hablando de, oye, estoy mirando los registros como si estuviera revisando los registros. Me refiero a mucha gente, no están mirando líneas de registro, ¿verdad? Al igual que les demuestres eso y son como ahora esa es la matriz, yo no hago esas cosas. ¿Cuáles son tus pensamientos sobre los tipos de visualizaciones de datos que se pueden utilizar para comunicar mejor la superficie de ataque a las personas que conoces, que tal vez no provienen de un fondo de ingeniería? No provienen de un fondo INFORMÁTICO donde, ya sabes, se levantan y miran líneas de registro todos los días donde puedes darles algo que es como explicar la matriz debajo, correcto. ¿Qué piensas, cuáles son los pensamientos de tu chico sobre las formas que pueden, ya sabes, hacer eso efectivamente?

Chris Herrera: Oh hombre, esa es una pregunta muy buena e interesante. Mi primer pensamiento es que nunca fui muy bueno en la visualización de datos, pero lo sé cuando lo veo, y conozco una buena visualización de datos cuando lo veo. En mi cabeza estoy viendo este tipo de idea efímera de que quiero ser capaz de ver visualmente cómo se ve cuando tengo todo desde una perspectiva de aplicación web. Quiero ver qué dominios tengo disponibles en Internet. Quiero que se agrupen en consecuencia, lo que sea que eso signifique. Quiero entonces poder entrar allí y ver qué versiones de qué software están ejecutando. En un mundo ideal, haga clic en encender y desactivar y pueda ver qué vulnerabilidades podrían ser aplicables a esos diferentes puntos finales. Pero sobre todo, quiero una vista visual para ver a un alto nivel lo que está sucediendo exactamente y luego ser capaz de profundizar desde allí.

Tom Gorup: Sí. Me gustaría dar doble toque en eso y decir que un gráfico de nodos es súper potente y veo que en varias facetas diferentes como en un ángulo es como un proceso de respuesta a incidentes para poder mostrar la progresión de un atacante. Log4j fue un gran ejemplo de esto. Log4j Desde una perspectiva de respuesta a incidentes, un punto de vista MDR es actividad post-compromiso porque es un ataque de día cero; no tienes firmas para ello, ¿verdad? Cuando log4j salió, nadie tenía una firma para un exploit log4j porque, bueno, nadie lo sabía. Pero lo que aprendimos fue comando saliente y tráfico de control.

Si pudieras empezar a recoger una gran cantidad de activos llegando a servidores de comando y control únicos, significarás que recogerás más rápidamente los activos comprometidos, pero entonces ¿a qué se conectaron? Y ahí es donde, al igual que la visualización de nodos, creo que ayuda a crear esas conexiones que de otro modo no podrías hacer a través de registros por sí solos. Siempre me imagino que es como el sonar de Batman, ¿verdad? Como dar estas vistas en las esquinas y lugares y ver conexiones donde de otro modo no las habrías visto a través de gráficos de nodos. Puedo nerd hacia fuera en los gráficos de nodos todo el día.

Chris Herrera: Quiero decir, ¿quién no puede?

Jeff Patzer: Sí, si alguna vez quieres ver lo que serían unos tipos muy opinados de DataViz, Chris Edward Tufte es el tipo. Él tiene como si los trabajos seminales en esto fuera lo que debería ser. Él es muy opinado, pero tiene algunas cosas buenas.

Tom Gorup: Me encanta. Voy a comprobar eso. Todo esto me suena genial. Despliego esta herramienta, la llamamos Gestión de superficies de ataque, y de repente tengo un inventario de todos los activos abiertos a Internet, números de puerto, API, servicios de aplicaciones, todo. Sé cómo van a ser vulnerables y cómo pueden ser atacados. Y todo está presentado en un gráfico bastante nulo, ¿verdad? Entonces, ¿qué podría salir mal? ¿Qué desafíos tendrían las empresas en este momento?

Chris Herrera: Bueno, nada. Ya has terminado en ese punto.

Tom Gorup: Sí. Correcto. Cuelgue.

Chris Herrera: No, creo que es muy similar a algunos de los temas de los que habíamos hablado antes, donde muchos de estos equipos, todos trabajan juntos, a pesar de que cada equipo individual está haciendo un tipo de trabajo tan diferente y obviamente hay muchos expertos locales en diferentes áreas. Pero el tipo de salida de estos ASM que estamos discutiendo hoy y otra vez como hablamos antes, el tipo de salida es muy útil para muchos equipos diferentes. Supongo que este tipo de cosas se remonta a, ya sabes, cualquier equipo que trabaje juntos necesita ser capaz de compartir información y colaborar.

Esta es una herramienta que no solo puede hacer que eso sea significativamente más eficiente, sino que también puede, ya sabes, elevar el agua para todos al aumentar el conocimiento de todos sobre lo que está sucediendo bajo el capó detrás de escena y delinear un camino a seguir para asegurarse de que su postura de seguridad no empeore e idealmente mejorará significativamente.

Jeff Patzer: Sí, quiero decir una cosa en la que pienso es ¿cómo dividir las piezas discretas de trabajo que tienen que suceder para esto? Es difícil porque para mí cuando dices, OK, necesito ir a la seguridad de la dirección, cosas de postura como algunas de esas pueden ser fáciles. Algo de eso podría ser más difícil como ir a actualizar su versión de WordPress. No sé, tal vez eso sea fácil, tal vez no lo sea. Pero al igual que actualizar paquetes de código, especialmente entre una versión principal, como si fuera un montón de trabajo mirar esas cosas y decir, ya sabes al hacer esto, ¿voy a romper algo que ya está en producción, verdad? Como desde la perspectiva de un desarrollador, como si suena lo suficientemente simple, sí, simplemente vaya a actualizar esta versión menor, no tan malas cosas de la versión principal. Puede ser muy difícil hacerlo de manera efectiva. Así que, no lo sé.

Para mí es casi como la postura de seguridad. El trabajo que viene es casi como refactorizar el trabajo o lidiar con el código antiguo que usted necesita ir a cuidar, ¿verdad? Es casi como una tarea en algunos sentidos o no es el aspecto creativo de como construir. Es volver atrás y mirar lo que hiciste y como apuntalar las cosas y reparar y hacer cosas así. Y por lo tanto, creo que cualquier herramienta que tengas debería ayudar a romper ese trabajo discreto para permitirte federarlo a los propietarios, asignar personas que puedan hacerse cargo de él. Porque al final del día, si tienes, como dije, un sistema complejo, vas a tener muchas cosas diferentes que tienen que suceder. Y ser capaz de asegurarse de que puede administrar eso y luego auditarlo y hacer un seguimiento como sus proyectos en eso, como el proceso real de hacer el trabajo se vuelve tan importante como saber que tiene que hacerlo, creo.

Tom Gorup: Sí, sí. Lo primero que viene a la mente son resultados medibles. Es lo que a menudo escucho de los clientes. Hay dos preguntas que escucho de los clientes todo el tiempo: ¿Cómo puede usted hacerme más seguro de una manera medible? ¿Cómo puedes medir esto me hizo mejor, me hizo más fuerte? Y entonces, ¿cuál es la siguiente cosa más importante en la que necesito trabajar? Priorización efectiva.

Bien, así que ya saben, pensar eso porque creo que a su punto tienen es como mucho de ese trabajo puede ser oscuro también. ¿Cómo puedo resolver este problema? ¿Es un cambio de código? ¿Es un cambio de configuración? Tal vez no pueda resolverlo en absoluto. Tal vez tengamos que aceptar este riesgo. ¿Cómo es ese proceso? Así que sí, ese es un buen consejo.

Jeff Patzer: Y creo que algo bueno que me has hecho pensar es el ruido, como la relación ruido-señal. Por lo tanto, es como asegurarse de que la herramienta te está diciendo que te está ayudando a averiguar qué es lo más importante. Y si es sobre-indexar en demasiadas cosas eso no es tan grande de un problema. Eso es más como una cosa de tipo advertencia. Como, oye, esto podría ser algo que debería preocuparse, como ayudar a distinguir esa relación ruido-señal. Es igual de importante porque saber en qué enfocarse es, es lo que necesitas para empezar, ¿verdad?

Chris Herrera: Correcto. Si obtienes 1000 notificaciones que son todas de baja prioridad, entonces puede hacer que pienses que estás en un lugar mucho peor de lo que realmente estás.

Tom Gorup: Siento que esa es tu zona de huelga, ¿verdad Chris? Priorización activa con los clientes. Cualquier escenario viene a la mente donde es como, hombre, deberían haber trabajado en esto, o ya sabes, o tal vez hiciste una mala recomendación. Me encantaría escuchar eso.

Chris Herrera: Eso es bueno. No, nunca he hecho una mala recomendación. Así que, su primera pregunta, pasando por el análisis, es un poco de fondo para mí cuando hablo de trabajar con mis clientes, estoy ayudándoles a proteger sus aplicaciones web. Y muchas veces cuando estoy presentando mi reseña, mis recomendaciones y cualquier ajuste que creo que deberían hacer a sus productos de seguridad, muchas veces es porque sus aplicaciones no fueron escritas con la seguridad en mente desde el principio. Pero no solo eso, tampoco fueron escritos de una manera que sea fácil de hacer cambios desde su lado.

Es por eso que desde nuestra perspectiva, desde la perspectiva de mi equipo de seguridad, podemos hacer parches virtuales dentro de la aplicación haciendo reglas de seguridad personalizadas, cualquier cosa en esa línea. Creo que ese tipo de respuestas a la pregunta con respecto a hacer revisiones de seguridad y cómo eso puede iluminar cómo los clientes pueden hacerlo mejor. Y saben, con respecto a mis malas recomendaciones, nunca, nunca he identificado erróneamente un falso positivo.

Jeff Patzer: Nunca lo hice. Nunca sucedió.

Chris Herrera: Creo que al principio de mi carrera podría haber sido un poco demasiado entusiasta en términos de recomendar o tal vez poner en listas negras ciertas direcciones IP. A medida que te sientes más cómodo con él, es una especie de última línea de defensa en este punto. Pero sí, esa es probablemente la peor decisión jamás tomada, pequeños errores como ese.

Tom Gorup: Creo que estás hablando de que el poder de una ASM es poder ver los riesgos que tu negocio, tu ataque supera y los riesgos que tu negocio está asumiendo y encontrar maneras de mitigar esos riesgos con las herramientas que tienes disponibles. A veces el parche no es algo que puedas lograr hoy. Trabajé en un incidente que no conozco. Tal vez hace una década haya una investigación forense en uno de sus activos más críticos infectado con Conficker.

No sé si recuerdan a Conficker y esa máquina todavía podría estar comprometida hoy en día porque su respuesta a ella fue que esta máquina nos está haciendo demasiado dinero por minuto. Estaba haciendo algún proceso que les estaba haciendo demasiado dinero. Su decisión fue abrirlo solo para quitarlo de la red, dejar que siga funcionando, pero permaneció infectado. De hecho, creo que pusieron un registro en él como no se conectan a la red y así es como lo resolvieron. Porque desde el punto de vista empresarial, no valía la pena derribar esa máquina y arriesgar los ingresos asociados con ella. Preferirían simplemente kee el procesamiento en un estado comprometido.

Estoy seguro de que hay un montón de máquinas Windows XP por ahí todavía en producción hasta cierto punto, correcto. De la misma manera en que como si estuviéramos teniendo la herramienta correcta en su lugar aunque el WAF es genial, el parcheo virtual creo que es un ejemplo impresionante donde no podemos parchear esto ahora mismo. ¿Qué hacemos en el ínterin? ¿Cómo resolvemos eso? Y aprovechando su experiencia, creo que es una gran recomendación, una especie de pregunta matizada.

Estaba pensando que con un ASM habría una diferencia entre on-prem y la nube? ¿Cambiarían los resultados, cambiaría el valor de la herramienta? ¿Qué esperaría de diferente entre esas dos soluciones?

Chris Herrera: Oh, guau. Inmediatamente estoy pensando, así que podría haber tantos cambios. Al final del día, están haciendo lo mismo en cuanto al objetivo, que es identificar el inventario, averiguar dónde están las vulnerabilidades, etcétera. Pero on-premise versus basado en la nube, eso es algo así; quiero decir, es similar a muchos productos de seguridad y las evoluciones que todos han tomado en la última década más o menos.

A su punto, con respecto a los WAFs, al menos los que solían ser completamente in-premise solamente. Son máquinas muy caras de varios cientos de mil dólares que se limitaban a saber tanta potencia de procesamiento como esa máquina puede manejar y ahora la mayoría de ellas están basadas en la nube y los usuarios no tienen que preocuparse por la cantidad de tráfico que pueden inspeccionar o cualquier cosa en esa línea. Entonces, con una ASM basada en la nube versus on-premise, eso tendría muchas de las mismas similitudes con respecto a las capacidades técnicas y las capacidades de computación.

Pero no solo eso. Tendría la dicotomía de quién es responsable de hacer los cambios para la arquitectura subyacente. Usted compra la pieza de hardware, y luego usted tiene que asegurarse de que todas esas cosas están funcionando. Mientras que si se trata de una solución basada en la nube, puede caer en el ámbito de quienquiera que compre o utilice y pague los derechos para usar el servicio. Además, tendrían diferentes capacidades, muy similares de nuevo a los productos de seguridad on-premise versus basados en la nube.

Por lo tanto, un ASM basado en la nube presumiblemente tendría significativamente más capacidades en términos de escaneo proactivo fuera de su propia red y escaneo a través de Internet en todo el mundo. Mientras que en mi opinión, al menos, una solución en las instalaciones podría limitarse a su propio entorno. Lo que podría tener sentido si eso es todo lo que te importa. Pero si quieres ver qué más hay por ahí o qué está disponible para los atacantes desde su perspectiva contra tu entorno, eso también sería una consideración.

Jeff Patzer: Añadiría a eso, Chris. Creo que a veces la gente piensa que en prem es, usted posee hardware, usted ejecuta su propio hardware. Creo que ha sido así durante mucho tiempo. Pero también puede haber esta idea de un PREM donde se está ejecutando su propio software, que es dueño de eso. Así que, tomemos como un paquete de código abierto de algún tipo, correcto, en el que han decidido que saben, en lugar de construir algo desde cero por su cuenta, van a tomar una cosa de código abierto existente, lo van a ejecutar dentro de su propia red de nube de algún tipo, pero están administrando que se ejecute, correcto.

La intención general es que, en lugar de saber que usted compra un servicio de terceros por el que usted paga, y ellos administran, en realidad es dueño de la administración de él, incluso si todavía se ejecuta en un escalador en la nube. Para mí, el resultado sigue siendo el mismo, como si todavía tienes que hacer las mismas cosas que estabas haciendo, ya sea que estés usando una cosa de terceros o si estás ejecutando tu propio paquete de código abierto de cualquier pieza de software que pueda ser. Creo que en este punto para tratar de distinguirlo, no es un gran uso del tiempo porque al final del día, todos están expuestos de una forma u otra y puede ir de súper simple a muy complejo y cualquier cosa que capte eso es importante.

Tom Gorup: Sí, es interesante. La única diferencia, y era algo sobresaliente en mi mente, era la naturaleza distribuida de la nube y la capacidad de escanear desde diferentes lugares del mundo. ¿Cómo se ve mi red de China? ¿Cómo se ve de Rusia? ¿Cómo se ve de Letonia, en comparación con tal vez donde están mis clientes? ¿Cómo se ve desde su punto de vista? Tal vez ser capaz de cortar el mundo de esa manera y manejarlo de manera diferente podría ser interesante. Pero al mismo tiempo, ya sabes, con el creciente uso de redes ORB, y cajas de relés operacionales, y ya sabes, el geofencing está efectivamente muerto. No debería importar. Deberíamos estar cerrándolo sin importar de dónde venga.

Esto ha sido genial. Jeff, permítanme abrir cualquier pensamiento final sobre una gestión de superficie de ataque. Pensamientos finales.

Jeff Patzer: Al final del día veo la ASM como otra herramienta para darte una idea de las cosas que estás construyendo, cosas de las que necesitas ser consciente. He dicho esto antes, lo diré de nuevo, lo diré ahora mismo. Ninguna herramienta es un sustituto del pensamiento crítico. Al final del día, necesitas mirar lo que te está diciendo y tienes que entender eso para poder hacer algo que tenga sentido con ello. Puedes comprar todas las herramientas del mundo, pero si no te vas a sentar ahí y pensar en qué es lo que estoy tratando de lograr, al final del día, eso no te va a servir de nada.

Chris Herrera: Sí. Mis pensamientos finales serán que algunas personas podrían pensar en ello como un poco de un retiro, pero la IA obviamente no va a ninguna parte pronto, y en todo caso, solo va a tener más de un punto de apoyo donde quiera que vayas. Al punto de Jeff donde mencionó que no hay sustituto para el pensamiento crítico, uso IA específicamente el chat, ChatGPT casi todos los días para mi trabajo y obviamente no puede hacer mi trabajo por mí, pero definitivamente me lleva en la dirección correcta. La razón por la que estoy mencionando esto es por ASM, en términos de recomendaciones, en términos de pasos hacia adelante, pero también en términos del gran volumen de datos que se pueden presentar en la salida de una herramienta como esa. Creo que va a ser casi imperativo que la IA, tome algún tipo de papel, ya sea enorme, si es pequeña en términos de presentar eso a los seres humanos y hacerla humanamente identificable.

Tom Gorup: Sí, eso me encanta. Me encanta ese proceso de pensamiento, especialmente cuando estamos combinando varios conjuntos de datos. Una vez más, vuelvo a la postura de seguridad, la visibilidad, las exposiciones y las amenazas. Attack Surface Management nos aporta mucha visibilidad, muchas exposiciones, vinculándolo con tus amenazas, estas se convierten en entradas para ayudarte a tomar decisiones y ajustar tu postura de seguridad como un todo. Pero para el punto de Jeff, el pensamiento crítico es un requisito. No puedes simplemente configurarlo y olvidarlo. Como cualquier herramienta. Y a tu punto, la IA no siempre está a punto, como si no pudieras hacer tu trabajo por ti, pero puede ayudarte a guiarte.

Creo que esta es una conversación increíble, muy divertida, y probablemente podría pasar otros 30-40 minutos hablando de Attack Surface Management y desenterrando todos los agujeros de conejo. Pero tenemos que parar. Así que eso es todo lo que tenemos para hoy. Gracias por unirse a nosotros en ThreatTank.

Para estar al día con la última información sobre amenazas de Edgio, puede suscribirse en línea en edg.io. Jeff y Chris, gracias por venir de nuevo. Esto fue increíble. Aprecio tu tiempo.