Manténgase a la vanguardia de las amenazas cibernéticas con los últimos conocimientos de nuestros expertos en seguridad.
Suscríbete ahora para recibir:
- Nuevos episodios de ThreatTank a medida que se lanzan
- Top Trending ataques de la industria
- Ideas y estrategias de respuesta accionables
- Y, ¡más!
Introducción a ThreatTank – Episodio 5: La interrupción global DE TI
Tom Gorup: Bienvenido a Threat Tank, un podcast que cubre lo último en inteligencia contra amenazas, respuesta ante amenazas e información sobre el panorama de la seguridad en todo el mundo. Soy su anfitrión, Tom Gorup, vicepresidente de servicios de seguridad en Edgio.
Y hoy, vamos a sumergirnos en el reciente corte de TI DE alto perfil, explorando lo que sucedió, cuál fue el impacto, y realmente lo que podemos aprender de él.
Junto a mí hoy están Richard Yew y Matt Fryer.
Bienvenidos, Richard, Matt.
Matt Fryer: Feliz de estar aquí. Gracias por tenerme.
Richard Yew: Gracias por tenerme aquí de nuevo.
Tom Gorup: Sí, de nuevo. Así que Matt, ya que eres nuevo en Threat Tank, ¿quién eres? Preséntate.
Matt Fryer: ¡Feliz! Matt Fryer, soy el arquitecto CISO en Fortinet.
Así que mi experiencia es un largo camino de ciberseguridad desde los contribuyentes individuales como gerentes de proyectos y programas que trabajan directamente en el centro de operaciones de seguridad en seguridad de aplicaciones hasta la gestión media hasta CISO, un ejecutivo para operaciones de seguridad en un par de organizaciones diferentes.
Por lo tanto, tengo una especie de antecedentes entre trabajar directamente con la empresa dentro de un gobierno corporativo, así como federal y asuntos gubernamentales civiles a nivel del DoD.
Tom Gorup: Tan impresionante. Eso suena como un montón de diversión en todo el lugar.
Matt Fryer: Es como un enfoque de escopeta para la seguridad. Solo haz todo.
Tom Gorup: Siento que hay mucha gente en seguridad, especialmente en la última década, ¿verdad? Es un montón de averiguar cosas en el camino.
Y Richard, ¿qué tal usted? Sé que has estado antes, pero sí.
Richard Yew: Me preguntaba si puedes decir que Richard no necesita presentación, pero aquí estoy.
Sí, Richard Yew, soy el vicepresidente de gestión de productos en Edgio.
Estoy a cargo de los desarrollos y la estrategia de mercado de crecimiento para nuestra cartera de seguridad, así como, ya sabes, las aplicaciones de computación de perímetro, así como una línea de negocio de rendimiento web.
Tom Gorup: Impresionante. Bueno, de nuevo, bienvenido a Threat Tank. Va a ser, creo que va a ser un episodio divertido.
Creo que tenemos mucho de qué hablar, sobre todo que tuvo esto, este evento sucediendo, ya saben, hace casi un mes. Así que obtenemos un poco más de información, un poco más de detalles en el back end.
Pero antes de empezar, me encantaría comenzar todo nuestro podcast con una pregunta. Y para todos los que escuchan, no tienen idea de qué es esta pregunta. Entonces, ¿están los dos listos? ¿Estás listo para esto?
Matt Fryer: Yo estaba listo como uno puede ser.
Tom Gorup: Sí. Realmente no importaba. Iba a estar listo para ir de nuevo.
Así que, muy bien, aquí hay una pregunta.
Ahora eres un superhéroe con el poder más mundano imaginable.
¿Qué es y cómo lo usas para salvar el día?
Matt Fryer: Superpoder mundano. Entonces, llegamos a definir nuestra superpotencia mundana. Sí, veamos.
¿Qué es una superpotencia buena y mundana? No lo sé.
Tom Gorup: Tal vez puedas. Cuando usted respira, usted toma, maximiza la ingesta de O2.
Richard Yew: No lo sé, hombre, quiero decir, solo poder crecer la barba como ustedes. Quiero decir, eso es superpoder, hombre.
Tom Gorup: Es bastante mundano, ¿verdad?
Matt Fryer: Como acelerar.
Richard Yew: ¿Qué haces con esto? Puedo cambiar el mundo, ¿sabes?
Matt Fryer: Sí, el crecimiento acelerado del folículo me permite verme bien y manipular a la gente para hacer lo bueno, hacer lo correcto y no las cosas malas, una flecha de información y desinformación. Puedes usar el buen aspecto para crear cosas buenas en todo el mundo.
Richard Yew: Impresionante.
Tom Gorup: Sí, eso es parte del Neandertal en mí. Ya sabes, solo el cabello crece.
Matt Fryer: Es el irlandés en mí.
Richard Yew: Ese es el Neandertal. El rojo viene de Neanderthal, así que escuché.
Matt Fryer: Es así que hay mucho rojo y más gris en él. Cuando obtienes ciberseguridad el tiempo suficiente, el color va, obtienes los grises.
Tom Gorup: Richard, el tuyo sería barba. ¿Creciste una barba? Ya sabes, me estoy imaginando ahora con una barba como la mía, como plantarla en ti eso.
Richard Yew: Mira, como la razón por la que mencioné la barba es porque estaba pensando en el cabello como mi superpoder más mundano es hacer que el cabello crezca de la misma manera y dejar de crecer a una cierta longitud para que pueda despertar, no tener que preocuparme por mi cabello, encender mis cámaras y hacer lo que tenga que hacer, no sé, ahorrar 30 minutos de cabello haciendo. Sí, voy a ser una vez.
Matt Fryer: Sí. Es poderoso. Tengo como 4 cálices. Usted sabe lo difícil que es lidiar con eso.
Tom Gorup: Ya sabes, eso es bastante mundano, pero aún así útil.
Richard Yew: Sí. Me gustaría despertarme todos los días con el mismo pelo.
Tom Gorup: Sí. Es como no tratar de averiguar lo que vas a usar. Como, si no tuviera que manejar mi cabello, sería genial. He intentado afeitarme. Lo afeité durante el COVID, pero mi esposa realmente es habitante. Así que la lucha es real.
Richard Yew: Poder ducharte con la ropa puesta y no mojarla. Correcto.
Matt Fryer: Eso es genial. Conseguir consuelo. Le dije a mi esposa que me iba a afeitar la barba. Tu barba me pinchará, pero yo iba a afeitarme la barba. Y su respuesta fue, nadie va a confiar en ti, así que tienes que mantener tu barba. No puedes confiar en mí sin barba.
Tom Gorup: Eso es justo.
Richard Yew: Estás lastimando mis sentimientos ahora.
Tom Gorup: Muy bien, muy bien, así que vamos a entrar. Entonces, ¿qué pasó?
CrowdStrike lanzó una actualización y causó algunos problemas y luego cuando doy un poco más de detalles en el fondo de lo que sucedió aquí?
Matt Fryer: Algunos problemas. Por lo tanto, lanzaron una actualización a su software y no funcionó bien con versiones específicas de Windows, correcto. Por lo tanto, no todas las versiones, definitivamente había personas ejecutando versiones que no se vieron afectadas, pero afectó a Windows y causó lo que se conoce notoriamente en la industria DE TI como la pantalla azul de la muerte y requirió una intervención manual para eliminar entradas de archivos específicos que estaba causando una muerte de pantalla azul para que pueda obtener el sistema operativo real para funcionar normalmente. Así que, en realidad, lanzó una actualización, y rompió Windows en el proceso es una especie de vista de 000 pies de lo que sucedió.
Richard Yew: Sí, estaba haciendo algunos deberes de último minuto y volví a leer todo el RCA ayer. Es gracioso. Es como un simple error como si esencialmente tuvieras un sensor, pero también hay un contenido de respuesta rápida RRC, que es esencialmente solo una configuración. Pero las configuraciones, como cuando esperan 21 entradas, pero la configuración solo tiene 20 entradas. Entonces, ¿adivina qué pasó? Intenta leer eso, y hay un poco de problemas de memoria que están causando un fallo en los controladores del kernel. Quiero decir, entrar en por qué está en el kernel en el 1er lugar.
Tom Gorup: Así que, cuando estaba leyendo el RCA, no pude evitar, pero dicen, imaginen algún tipo de GIF de ese parámetro y es como si estuviera ahí fuera en la naturaleza, simplemente nunca llegó, ya saben, es como si fuera este parámetro de pérdida, ya saben, 20 de 21. Solo un parámetro causa interrupciones globales DE TI, ya que todo el mundo lo describe. Eso, para mí, es espectacular. Así que, a tu punto, este es el agente CrowdStrike que se está ejecutando a nivel del kernel, pero vamos a explorar eso un poco. ¿Necesita ese nivel de acceso? ¿Como qué? ¿Por qué tiene acceso, supongo, al kernel?
Richard Yew: ¿Quieres traer a Microsoft a esto?
Tom Gorup: Sí. Quiero decir, tienes que hacerlo, ¿verdad? Cuando estás explorando este problema, como abstractamente, esto es lo que he estado pensando en las últimas semanas, ¿quién tiene la culpa, verdad? Empezamos a romper este problema. Hablamos de CrowdStrike, push out una actualización que tenía 20 parámetros en lugar de los 21 requeridos, el subproducto es el bloqueo de un agente. Bien, bueno, el software se bloquea. Sucede. ¿Debería una actualización de firma bloquear el software? Probablemente no. ¿Debería haber habido pruebas más rigurosas? Probablemente. Pero ahora estamos colapsando sistemas operativos encima de eso, ¿verdad? Así que ahora Microsoft está en la mezcla.
Matt Fryer: Entonces, cuando empiezas, cuando se hace esa pregunta directamente desde un nivel de estrategia desde un nivel de riesgo, ¿es como quién tiene la culpa? ¿Quién es quién? ¿Quién es realmente, cuando te limitas a ello por culpa de lo que sucedió y, y la respuesta fácil es culpar a CrowdStrike. Esa es la respuesta más fácil que todo el mundo va a hacer. Es como, oh, bueno, empujas la actualización, rompiste todo. Es la respuesta más fácil de dar. A menudo no es la respuesta correcta. Yo diría que desde una opinión profesional, desde la opinión de un estratega, es culpa de todos, ¿verdad? Así que, si soy CrowdStrike, ¿puedo enviar actualizaciones a finales de la semana a nivel mundial sin, ya saben, enfoque por fases, solo un gran impulso que probablemente no sea el mejor proceso del mundo? Como individuo que está manejando un entorno, no tomo ninguna consideración y en la disponibilidad de mi entorno, ¿verdad? ¿Debo ser totalmente dependiente de la cadena de suministro y crear problemas dentro de mi suministro que permitan que mi cadena de suministro genere interrupciones? No lo pienso como parte de mi programa de gestión de la cadena de suministro, pero no lo considero porque parte de eso me aterriza como CISO o como directores de seguridad para decir, oye, como si tuvieras que tener en cuenta que vas a tener SolarWinds o Microsoft o CrowdStrike o alguien que va a causar una interrupción en tu entorno. Usted tiene que tener un BCP o un método en su lugar para superar eso. Así que no puede ser, ups, lo siento, CrowdStrike lo rompió. Todo es culpa tuya. Esa no puede ser la respuesta. Y desde un punto de vista regulatorio, tenemos organismos reguladores que entran y dictan a las organizaciones, a las empresas cómo deben operar para crear un campo de juego equitativo, ¿verdad? Y podemos prepararnos para un poco de esto, pero cuando hay organismos reguladores que dictan reglas de juego equitativas para, ya saben, la empresa, están creando agujeros. Es inadvertido. No es malicioso de ninguna manera, pero estás creando agujeros por naturaleza. Entonces, cuando haces esa pregunta, ¿por qué tienes acceso al kernel? Creo que si haces un poco de excavación, descubrirás por qué, ¿verdad? La respuesta fácil es que no tenían opción. Había que dárselo porque era un dictado que regresaba de los organismos reguladores.
Richard Yew: Sí, creo que todo se reduce a leyes anticompetitivas. Entonces, por ejemplo, parte de eso es que Windows tiene Windows Defender como si Defender es el único que tiene acceso al kernel para poder instalar controladores del kernel, entonces le da a Windows Depender una ventaja injusta, ¿verdad? Para las competiciones de libre mercado, ¿verdad? Otros proveedores de seguridad deberían tener acceso a ella. Sin embargo, aunque como voy a ir desde una perspectiva técnica desde mis sombreros técnicos aquí.
Tom Gorup: Y también es negro. Eso es bueno. Sí, el blanco en su mano izquierda…
Richard Yew: ¡Pero tengo uno blanco!
Entonces, lo que pasa es que según las opiniones de los expertos, correcto. Muchas de estas características de seguridad requieren acceso a nivel de kernel para realizar realmente sus funciones. Y podrías argumentar que es eso, hey, ¿por qué es simplemente más del lado de Microsoft? En realidad, para dar un paso atrás, ya sabes, solo para los propósitos de fondo de todos, ¿verdad? Saben, en computación, por lo general, hay dos fases dos, como dos espacios en el trayecto. Hay un espacio del kernel donde el hardware está interactuando con el software y luego hay un espacio de usuario. Aquí es donde sabes, tu Windows carga tus programas, puedes instalar tus juegos en tu software, tus palabras de Microsoft y lo que sea y pueden usar ese es el espacio de usuario. Entonces siempre hay un debate, ¿verdad? Oye, deberías instalar los servicios de seguridad en tu espacio del kernel porque tiene el acceso de nivel más alto o más como el acceso de nivel más bajo, ¿verdad?
Tom Gorup: En este caso, pantalla cero, ¿verdad?
Richard Yew: Sí, puedes ver lo que sea si hay un malware que está girando nuevos procesos y amenazas o si tienes un malware que está escribiendo, ya sabes, un archivo malicioso en el disco, eres capaz de interceptar y detener eso a ese nivel. Esta es la razón por la que, sin embargo, también está la estafa que es peligrosa, ¿verdad? Por lo tanto, como se muestra en este caso, el accidente en el controlador resultó en un fallo de arranque, lo que significa que el usuario final nunca va a ser capaz de alcanzar el espacio de usuario en primer lugar.
Matt Fryer: Has sacrificado la disponibilidad por el bien de una estrategia singular de mitigación de control. Así que fue, bueno, necesito acceso al kernel porque obtendré este nivel profundo de inspección contra los ataques maliciosos, ¿verdad? Ese es el proceso de pensamiento de (Microsoft) Defender, no todos los demás, ¿verdad? Necesito monitorear el kernel porque si algo malo sucede en el kernel, necesito verlo para poder mitigarlo. Y tengo ganas de dar un paso atrás y decir, bueno, ¿es ese el enfoque correcto? O es el aislamiento y la cuarentena un mejor enfoque para crear un campo de juego equitativo con disponibilidad y seguridad. Entonces, es como, ¿necesitas acceso al kernel porque vas a romper cosas si haces algo malo, ¿verdad?
Prefiero que solo lo monitorees y luego lo aísle y lo ponga en cuarentena si hay un problema porque entonces no estoy rompiendo cosas malas.
¿Tiene sentido eso?
Tom Gorup: Sí, creo que hay algunas direcciones diferentes que podríamos, ya sabes, tomar para tomar esta conversación también de esa manera. Como, ya sabes, uno es este controlador en particular que fue firmado por Microsoft, fue escrito de una manera que efectivamente se extendió a aprovechar otras DLL en cierto sentido. No creo que en realidad fueran archivos de sistema, pero eran equivalentes donde los controladores ahora ejecutan archivos fuera de su tipo de parámetros en cierto sentido, ¿verdad? Que es lo que causó el accidente. ¿Es así como lo estoy entendiendo?
Richard Yew: Sí, algo así. Honestamente está ahí, siempre hay un debate y, como se puede ver en CrowdStrike RCA, ¿verdad? Ellos aludieron muy bien al hecho de que la versión posterior de Windows proporciona más funcionalidad para ejecutar servicios de seguridad en el espacio de usuario. Y seguiremos trabajando diligentemente con Microsoft para asegurarnos de que podamos portar más de esta funcionalidad de seguridad. Entonces, reconocen que ejecutar estas cosas en el espacio del kernel probablemente no es bueno, pero tienen que hacerlo debido al entorno que se les proporcionó, ¿verdad? Para que funcionen eficazmente, tienen que hacerlo. Sin embargo, si de nuevo, aquí es donde volvemos a gustar de quién es culpa y sabes qué es esto? ¿Es esto culpa de CrowdStrikes para Like están exigiendo que solo se ejecute esto en el espacio del kernel? No lo sabemos, ¿verdad? Pero parece que definitivamente hay un deseo de portar todos ellos al espacio de usuario? Ser capaz de proporcionar el mismo nivel de inspecciones y visibilidad lo que sea que un malware se esté escribiendo en esto, por ejemplo, los procesos a un nivel superior exce. Así que, al igual que las industrias de aerolíneas o cualquier código de seguridad está escrito en sangre. Siento que en este caso, cada mejora del proceso, cualquier mejora de la portabilidad de las características de seguridad de un nivel de kernel a un espacio de usuario, está escrita con interrupciones, ¿verdad?
Tom Gorup: Sí, es un modelo menos privilegiado. ¿Cuánto necesita realmente? ¿Qué se puede hacer? ¿Qué tiene que estar a nivel del kernel? Pero cuando pienso en esto también, me pregunto, ya sabes, la forma en que lo describiste antes, Matt, fue casi sentida como una cosa de cultura de seguridad, ¿verdad? Necesitamos más visibilidad, más acceso. Tenemos que ser capaces de ver todas las cosas, todo el tiempo. Y saben, ¿nos hicimos esto a nosotros mismos desde un punto de vista de cultura de seguridad? Tenemos que conseguir agentes en todo, como añadir más software.
Matt Fryer: Cuando te metes en operaciones de seguridad en la mayor parte con las que hablas como los estrategas hace 10 años, querían los registros de todo. ¿Quieres decir los registros de todo? Hay como este un modelo de enviarme todo lo posible hasta que se dieron cuenta rápidamente de que no hay manera de hacer todo eso. ¿Sabes lo que quiero decir? Estás tomando todas estas cosas. Entonces, hay esta cultura con inseguridad. Es como, solo dame acceso a todo para que pueda hacer mi trabajo. Y nunca se dio un paso atrás. Y la referencia del Parque Jurásico, correcto, es que quieres acceso. ¿Debería tener razón? ¿Deberías tener ese acceso? ¿Deberías estar haciendo esto? No es que puedas, ¿deberías estar en lo cierto? Y nunca, como cultura de seguridad, estamos empezando a darnos cuenta de eso y estamos empezando a dar ese paso atrás y ir, OK, ¿necesitamos ese acceso? ¿Existe otra estrategia en la que no necesitamos eso? Podemos hacerlo de una manera diferente, ¿verdad? Porque de otra manera, estaremos un poco más seguros, crearemos un mejor programa de disponibilidad o ya sabes, tendrá un mejor tiempo de respuesta si tenemos un problema, ¿verdad? Hay un montón de análisis diferentes que entran en eso. Pero lo hemos hecho a nosotros mismos hasta el punto de que si necesitamos acceso a todo y estamos pisando nuestros propios dedos en el proceso de eso, ¿verdad? Dame acceso a todas estas cosas, ¿verdad? Dame toda la analogía más simple que puedes dar es como, envíame todos los registros, ¿verdad? Pero te perdiste 30 ataques diferentes porque tenías 55 gigabytes o petabytes de registros que están volando en tu SIM y solo había seis personas revisándolos.
Tom Gorup: Sí. Así que la brecha de objetivos, ¿verdad?
Matt Fryer: Sí. Querías todo y te lo dimos, pero no podías hacer todo con él porque no tenías la capacidad de hacerlo, ¿verdad? Así que tal vez da un paso atrás y comienza a entender lo que puedes hacer y luego analiza eso y luego toma el acceso que necesitas tener. Entonces, estamos empezando a ver ese cambio un poco, ¿verdad? Mientras que una industria que siempre nos acaba de enviar todo, la industria de la seguridad me ha dado todo porque lo necesito todo. Y nunca dio un paso atrás para decir que no se puede hacer todo lo que se necesita hacer porque no se tiene ni la tecnología ni la gente para lograrlo.
Tom Gorup: Sí, una cosa en esa línea en la que he estado pensando son los valores, ya saben, y es una oportunidad en mi propio trabajo, supongo que la seguridad es solo un parche. Al final del día, la seguridad es solo un parche para, ya sabes, o algo que el humano hizo, mala configuración, hizo clic en el enlace equivocado, escribió un código malo; es seguridad solo un parche. ¿Cómo llegamos a usted? Algo en lo que he estado pensando es en el enfoque de presupuesto de suma cero para la seguridad. Aprovechando lo que hay allí. Primero, antes de empezar a agregar todas estas capas y agregar software adicional, que estamos viendo una y otra vez se está convirtiendo en un problema.
Matt Fryer: Quiero decir, usted rompe la economía y luego no tiene ningún presupuesto y se da cuenta de la mejor manera de hacer lo mejor que puede. Lo que obtuviste no es la respuesta. Es una buena pregunta. Creo que hace cinco años era como si estuviéramos viendo programas de seguridad comenzando a ingerir más de la pila de TI, ¿verdad? Y en múltiples, ya saben, vidas pasadas, he visto a la seguridad tener su segmento. Es como, oh, bueno, ejecuto la SIM y ejecuto IDS, ejecuto IPS, ejecuto la seguridad de la aplicación, ejecuto los firewalls y otras cosas. Y cuando están descubriendo como están viendo esta convergencia de red y seguridad, y estoy diciendo que sabiendo bien el petróleo y el agua que realmente son, pero están viendo esta convergencia de red y seguridad unirse o TI y seguridad unirse donde están viendo que simplemente se engulle más de lo que está haciendo porque sienten que tienen que asegurarlo como lo están haciendo, ¿verdad? Y están viendo que toma más y más y más. Y eventualmente solo vas a ser un grupo, ¿verdad? Solo vas a ser una plataforma, una organización de TI segura, ¿verdad? Esa es la forma en que va a ser si se lo da el tiempo suficiente. Pero creo que una vez que dejas de decir que necesito una tecnología individual o una persona individual para resolver un problema es cuando empezarás a alejarte de esa necesidad de tener siempre estas capas de tecnologías diferentes que hagan todas estas cosas, ¿verdad? Porque estás tratando de resolver un problema con una tecnología. Y hemos estado haciendo eso durante tanto tiempo y la industria nos lo ha estado haciendo, ¿verdad? Tenemos vendedores por ahí que venden una tecnología. Eso es todo lo que hacen. Son lo mejor de lo mejor. Vamos a comprar eso, ¿verdad? Pero ustedes están viendo como un resultado de eso en el y probablemente verán en los próximos cinco años que van a empezar a ver organizaciones, programas de seguridad dicen, miren, voy a dejar de hacer eso y empezar a construir plataformas, ¿verdad? Necesito algo que resuelva 100 problemas, no resuelva un problema. Y al hacer eso, lo que verán es una reducción en las capas de ese programa de seguridad. Y al mismo tiempo, no soy un defensor de esto. Pondré la mesa. Hay, tengo esa garganta para ahogar un tipo de mentalidad, ¿verdad? Única fuente de verdad. ¿Estás empezando a reducir mucho esa pila a donde se hace mucho más fácil manejar esas cosas, ¿correcto? La idea de comprar una pieza de tecnología o contratar a una persona para resolver un problema está desapareciendo rápidamente. Estás empezando a ver que ocurren muchas plataformas o un montón de trabajo en equipo alrededor de múltiples problemas. Entonces, en lugar de tener un equipo de aplicaciones, vas a tener un equipo de seguridad de redes que tiene seguridad de aplicaciones , seguridad de red, ciertos equipos de seguridad de servicios de red, equipos de lanzamiento, todo eso en ese equipo singular. Porque esa cohesión de todas esas personas que trabajan juntas reduce, ya sabes, no solo el riesgo, sino los gastos financieros generales cuando se trata de todo eso. Por lo tanto, hay muchas cosas que están sucediendo para reducir las capas por una multitud de razones. A 10.000 pies, resolver un problema financiero. Se vuelve más barato cuando lo haces de esa manera. Y luego el otro, el otro grande es un problema de eficiencia, ¿verdad? Cuando tienes una gran plataforma haciendo una cosa, se vuelve más eficiente hacerlo. Cuando tienes un montón de personas trabajando en un montón de cosas diferentes, todo en un grupo que se vuelven más eficientes.
Richard Yew: Usted sabe, como hablar de la plataforma, es muy cercano y querido para mi corazón, creo que es fuertemente, usted sabe, se alinea con lo que usted dijo que, usted sabe, encontramos que tenemos este término, usted sabe, en aquellos días, lo llamamos paradoja DDoS. Esencialmente, tienes una organización que te preocupa tanto, ya sabes, tus problemas de disponibilidad, correcto, conseguir DDoSed. Tienes tanto miedo de bajar. Empezaste a comprar lo mejor de los productos de raza aquí y allá, los encadenaste en un tren y todas tus cosas pasan por eso. Y luego, bueno, lo que terminaste sucediendo es que agregas latencia, agregas un solo punto de fallas, agregas especializaciones y creas un factor de bus múltiple a lo largo de la cadena. Y luego terminaste teniendo cortes autoinducidos cuando haces eso, que luego se remonta a los problemas iniciales que estás tratando de resolver en primer lugar, ¿verdad? Ya saben, capas de valores, ya saben, como pueden ser capas de seguridad que les gustan bien las cosas, pero tienen que tener sentido. Tienen que ser arquitectadas de alguna manera. Tienen que compartir datos. Tienen que estar en el mismo panel de control. Tienen que ser gestionados por el equipo que tiene redundancia y gestionados a través de eso lo que lo convierte en una plataforma, ¿verdad? Y realmente creo que, ya saben, a medida que empezamos a ver más y más a la industria moverse hacia esa dirección, se trata de crear una plataforma para que en lugar de adquirir lo mejor de su raza y tratar de averiguar cómo cambiar y crear todos estos requisitos y procesos no funcionales solo para asegurarse de que esto no se reduce. Se trata de tener las plataformas adecuadas y las personas adecuadas y luego ver cuál es la solución correcta para conectarse. Ni siquiera necesitas que en el 1er lugar sepas como cito a Elon Musk, siempre dicen que nunca optimices la parte que no debería existir en el 1er lugar eliminarla primero.
Tom Gorup: Sí, deberías eliminar primero, porque también traes una especie de buen punto, aunque cuando volvemos a este corte global de TI hablamos de CrowdStrike. ¿Tienen la culpa de Microsoft, tienen la culpa? Y empezamos a hablar aquí es como, son los arquitectos de estas soluciones que, discúlpeme, dijeron de otra manera, los clientes de Microsoft y CrowdStrike que implementaron CrowdStrike en un entorno en vivo para hacer actualizaciones en tiempo real, correcto. Por lo tanto, usted tenía un binario con nivel de raíz, acceso a nivel de kernel y acceso a Internet capaz de ejecutar lo que quiera en un sistema de producción. Entonces, cuando estamos pensando en una plataforma y estamos pensando en disponibilidad, redundancias y copias de seguridad, como ¿cómo funciona todo eso? ¿Cómo a dónde tomamos eso? ¿Cómo contemplamos ese problema?
Matt Fryer: Así que, creo que muchas veces en seguridad, nos quedamos como atascados en la tecnología. Realmente lo hacemos. Creo que pasamos mucho tiempo. Somos practicantes como que es justo donde vivimos, ¿verdad? La herramienta es la cosa y a menudo, nos tomó un tiempo, al menos en usamos mi carrera como ejemplo, como si pasara mucho tiempo en herramientas, ¿verdad? Pasé mucho tiempo desplegándolos, diseñándolos, asegurándolos, arquitectándolos. Pasé mucho tiempo en herramientas y me tomó un tiempo en mi carrera ir, Hey, tengo que dar un paso atrás de las herramientas y entender que hay una gente y un proceso para esto también, ¿verdad? Entonces, creo que cuando se trata de las herramientas mismas, creo que primero tenemos que dar un paso atrás de las herramientas y decir, OK, desde el punto de vista de la gente en proceso, este problema es la interrupción global DE TI. ¿Fue esto un problema de herramientas o era un problema de personas en proceso? ¿O fueron ambas cosas? Porque creo que hemos pasado mucho tiempo enfocados, especialmente cuando miras las noticias y los medios y lo que está pasando, toda la gente hablando de lo que pasó. Están hablando de ¿es culpa de CrowdStrike o es culpa de Microsoft? ¿Por qué la tecnología de CrowdStrike hace XY y Z? Están viendo a algunas personas hablar de ello, pero es como si hubiera un problema de proceso aquí también, ¿verdad? Como parte de su programa de seguridad, tiene un equipo de infosec que trabaja en procesos y políticas y comprende cómo implementar las cosas. Una vez que tienes una arquitectura y en el diseño que tiene sentido y tu arquitectura y diseño involucra y se adapta y supera a medida que esos procesos y políticas maduran. Entonces, es que uno no puede ser exclusivo del otro. Entonces, cuando decimos, ¿qué estamos quitando a la tecnología en sí en este corte global de TI? Creo que tenemos que empezar primero con las políticas de proceso y las personas que sucedieron en todo esto, ¿verdad? Entonces, ¿CrowdStrike tuvo un problema de proceso cuando lo lanzó? Absolutamente, sin duda. Hubo un problema de prueba, hubo un problema de control de calidad, hubo un problema de liberación en cuanto al proceso fue en cómo lo hicieron. Hubo un problema de aprobación sobre cómo esa cosa incluso fue aprobada para ser liberada de la manera en que fue liberada. Y luego en el lado del cliente, como si no tuviera un proceso sobre cómo lidiar con cortes manuales como ese. Su diseño y su arquitectura eran defectuosos. Si tenías todo totalmente dependiente, a menos que fueras Southwest Airlines aparentemente.
Tom Gorup: Bueno, Windows 3,1 no se vio afectado. Entonces, Southwest era bueno.
Matt Fryer: Sí, Southwest perfectamente bien Windows Como aquí estamos hablando de cómo tenemos que ser más maduros y Southwest Airlines estaba estableciendo el nuevo listón de ser inmaduro y usar el software más antiguo que puedes encontrar y resuelven más problemas. No lo actualices todo, estarás bien.
Tom Gorup: Bueno, creo que también Delta había sido acusado de algo de eso, así como de algunos de los artículos que he estado leyendo y de ida y vuelta entre CrowdStrike, Delta y Microsoft. Porque quiero decir, en última instancia esto es a veces creo que es algo que se ha perdido en nosotros, ¿verdad? En general, hay personas, humanos, hay un elemento humano en todo esto, todo lo que hacemos. Y al final del día, estaba leyendo artículos de que hay una señora, ella y su esposo estaban de vacaciones y sus vacaciones se extendieron otros siete días debido a las cancelaciones de Delta, ¿verdad?
Richard Yew: Suena como un buen problema,
Tom Gorup: Tal vez si pudieras pagarlo. Porque yo también, saben, la respuesta en eso fue algo así como su política cuesta 30 dólares al día. Es como, OK, ¿qué vas a conseguir por 30 dólares al día? McDonald’s te costó 30 dólares entre los dos en estos días, ya sabes, pero hay un elemento humano que creo que perdemos, como si nos perdiéramos en esto como herramienta, herramienta, herramienta, resolver estos problemas y luego olvidamos como, ¿para quién estamos resolviendo esto? Como lo que realmente me gusta pensar en ese individuo que es impactado como un subproducto de nuestras decisiones. ¿Consideramos eso, ya sabes, cuando hacemos este tipo de movimientos?
Matt Fryer: Teníamos un amigo de la familia que estaba en Atlanta. Si pudieras imaginar cuando todo esto cayó y Atlanta, en lo que respecta a los que trabajan, si no lo saben, Atlanta es un importante centro para las aerolíneas, ¿verdad? Es uno de los más grandes de Estados Unidos. Así que básicamente se retrasó su avión, se sentó allí durante dos días, todavía se retrasó y luego dijo, OK, bueno, no podemos esperar. Vayamos a buscar un coche de alquiler. Bueno, no había más coches de alquiler porque todo el mundo tenía un coche de alquiler. Así que ahora están tratando de averiguar todas estas cosas. Así que, un solo llevándolo a un nivel personal, ¿verdad? Porque puede ser difícil cuando se toman estas decisiones decir, ¿cómo puede esto impactar a la gente? Hay tantos de ellos que puedes perderte y cuán impactante puede ser esto universal o globalmente. A veces solo tienes que llevarlo a un nivel individual y casarlo con Una persona y decir, OK, bueno, si tomo esta decisión qué impacto y medio bien, Susie puede quedar atrapada en el aeropuerto antes de días puede no ser capaz de conseguir un coche de alquiler. Ella está durmiendo en el suelo del aeropuerto esperando que su vuelo sea reprogramado. ¿Y por qué sucedió todo esto? Fue porque tomamos la decisión de impulsar una actualización o tomamos la decisión de ser planos en nuestra arquitectura o los organismos reguladores decidieron que era justo que todos tuvieran acceso al kernel. O, ya sabes, todas estas decisiones que inadvertidamente tienen efectos adversos para la persona. ¿Y alguna vez nos detenemos y pensamos en por qué? Y el ejemplo más fácil es como, oye, como tener acceso a todos, tener acceso al kernel que ayuda, ¿verdad? Es como, bueno, ya sabes, tenemos que hacerlo justo porque Microsoft solo lanzará Defender a todos. Bueno, así no es como funciona el mercado, ¿verdad? Sí, definitivamente tendría Defender, pero puedo contar con dos manos y nueve dedos ¿a cuánta gente no le gusta Microsoft, verdad? Entonces, es como, tienes razón, estás nivelando el campo de juego, pero la mitad del mercado habría comprado CrowdStrike de todos modos. Entonces, usted está diciendo que CrowdStrike tiene que tener acceso al kernel, campo de juego nivelado? Bueno, el mercado va a comprar lo que quieren comprar, ya sea que tenga acceso al kernel o no. Creo que estás creando un campo de juego artificial para hacer cosas que crees que son correctas. Y luego, por supuesto, probablemente lo sean en la mayoría de los casos. Pero al no darse cuenta del efecto adverso de hacer eso bien, usted impacta al hacer eso. ¿Sabes lo que quiero decir?
Richard Yew: Ya sabes, como de todas las conversaciones, ya sabes, en los blogs y los posts de Reddit y yo, ya sabes, hablo de quién es la culpa, qué sucede, como quién, quién es, quién va peor, lo que sea. Pero hasta ahora no he encontrado un artículo para hablar sobre el costo. Quiero decir, cuánto cuesta, cuántas horas por persona para ir como poner manualmente en el disco de arranque y ya sabes, como arreglar la actualización manual, para traer de vuelta esas azadas, ¿verdad? Pero, es como, ¿cómo cuantificamos el impacto de las personas como los tardíos quedándose varados? Quiero decir, esto está impactando hospitales, esto está impactando 911 servicios de emergencia, ¿verdad? Con eso, ¿cuál es el costo para eso, verdad? Es como hasta ahora, sospecho que nos llevará mucho tiempo averiguar exactamente el impacto. Y no creo que se pueda cuantificar eso con dinero, ¿verdad? Estoy, por supuesto, en la cantidad de demandas o acciones colectivas, cuánto hay un pago, correcto, que el dólar monetario asignó a todo. Pero creo que el impacto de la pérdida de vida, el evento potencial de vida que estaría sucediendo con potencialmente no cuantificable. Y al final del día, esa es la gente a la que estamos impactando si no hacemos las cosas bien.
Tom Gorup: Sí, 100%. Así que, vi números que van desde 3,5 millones a 8 millones de computadoras que fueron impactadas por esta actualización. Y tenga en cuenta que esto fue en 79 minutos. Entonces, lanzaron la actualización como a las 4:00 AM UTC y en 79 minutos derribaron más de ocho millones de computadoras, ¿verdad? Evento espectacular. Quiero decir, ¿para qué?
Matt Fryer: Es eficiente.
Tom Gorup: Su lanzamiento de nuevas actualizaciones. Sorprendente fueron capaces de tocar 8 millones de computadoras en un período tan corto. Creo que el lanzamiento fue como en un minuto que fueron capaces de golpear todo esto y luego, cuando estas máquinas comenzaron a entrar en línea a medida que la mañana se extendió, ya saben, ahí es donde el impacto. Pero sí, hay un costo significativo.
Entonces, dos preguntas más antes de cerrar esto.
Uno es qué creemos que el impacto en la seguridad, la reputación de la industria de la seguridad también tuvo en esto. ¿Qué más vacilaciones vemos o hemos visto en el acuerdo de nivel ejecutivo para introducir nuevas herramientas de seguridad en la tecnología?
Matt Fryer: Diría que no es una gran. Creo que van a conseguir esta gran bandera roja, ya saben, en marcha. A la gente siempre le gusta, ah, es tan horrible, ¿verdad? Saben, he leído mucho y creo que están viendo a muchos profesionales, los chicos que han estado en este negocio lo suficiente. Digo, oh, ¿puedes imaginar cuánto costó esto CrowdStrike y lo malo que fue para CrowdStrike, bla, bla, bla, bla, y hablar de lo malo que es esto para CrowdStrike? Y luego tienes las pequeñas voces que están saliendo diciendo, sí, pero ¿cuánto te salvó CrowdStrike, verdad? Han estado alrededor por mucho tiempo. Han tenido un incidente en cuántos años, ¿verdad? Quiero decir, han salvado a muchas empresas de un montón de malware, ransomware, muchas violaciones. Se han salvado muchas cosas gracias a CrowdStrike. Así que muchas veces nos perdemos pero olvidamos de eso, ¿verdad? Así que, muchas de estas tecnologías de nuevo, solo eres tan bueno como tu última violación, pero obtienes muchos de estos estrategas que son muy tranquilos en su naturaleza. A muchos de estos ejecutivos no les gustan las reacciones instintivas severas a sus entornos. No conozco muchos CISOs que son como, hey, CrowdStrike fue violado, vamos a arrancar inmediatamente, ¿verdad? Creo que si va a haber algún efecto adverso.
Tom Gorup: Creo que Elon lo hizo. Estoy bastante seguro de que pensé haber visto un tweet que tal vez Elon hizo.
Matt Fryer: Entonces, me gusta Elon, él solo, tiene miles de millones. Él puede hacer eso. Es muy caro hacer ese cambio. Realmente lo es. Es muy caro decir que voy a arrancar una tecnología porque la tenían. Ahora, el lado de la gestión de la cadena de suministro de su programa de seguridad acaba de tener algo nuevo que comprobar. Creo que van a ver cambios y saben, riesgo y transferencia de riesgo y destacando, ya saben, algunas de las cosas que su cadena de suministro puede causarle. Así que probablemente verán a algunos ejecutivos dar un paso atrás en sus nuevos contratos a medida que las cosas se renuevan y se despliegan de su cadena de suministro para decir, bueno, necesitamos tener algunas garantías de cada una de estas organizaciones de que están comprando de eso cuando estos eventos, estos eventos globales, cuando estas cosas siguen sucediendo, necesitamos tener algunas garantías dentro de estos contratos que el riesgo, ya saben, creo que verán mucho de eso. No creo que nos dañe cada vez que gastamos toda nuestra gente de seguridad es solo tan buena como la última violación. Así que, es como que van a ver este tipo de hacer el ciclo y pasaremos un año o dos recuperándonos de él, pero creo que solo van a tener un efecto cualitativo y cuantitativo en general allí.
Richard Yew: Hay un poco de eso, ya sabes, durante muchos años, ¿verdad? Siempre hemos estado intentando en seguridad. Solíamos ser la organización de no, ¿verdad? Entonces, ahora estamos tratando de retratarlo y trabajar bien con la seguridad del negocio, cuando se hace bien, siempre decimos que la seguridad es como una buena ruptura fuerte en un superauto, ¿verdad? Te permite acelerar rápido y moverte rápido porque puedes frenar duro, ¿verdad? Pero ahora, obviamente, va a haber algunos problemas de confianza, ¿verdad? Porque no ayuda con el, siempre diremos, oye, no estamos aquí para ralentizar un negocio. No estamos aquí para añadir complejidades y problemas al negocio. Pero obviamente va a haber un poco de problemas de confianza que oye, dijiste eso, pero luego mira lo que tu herramienta me hizo. Bueno, no es como, no creo que nadie va a cambiar eso como de las necesidades de la seguridad más. Pero no ayuda con las historias que las percepciones que la gente todavía tiene, oye, este tipo está tratando de hacer mi vida difícil. Así que, por supuesto, todavía hay trabajo por hacer para tratar de convencer a nuestros compañeros que no son de seguridad de que, oye, no estamos aquí para ralentizar su proceso. No estamos aquí para decir no a lo que estás haciendo. Estamos aquí para intentar ayudarte a correr más rápido. Estamos tratando de gustarnos Estamos tratando de implementar DEVSECOPS y tener un pipeline seguro de CI/CD porque queremos que codifices más rápido el primer día. No tienes que abofetear nuevas cosas de seguridad como después del hecho, ¿verdad? Pero, por supuesto, este tipo de incidente nos hace retroceder un poco. Pero sí creo que las industrias reconocen que, ya saben, el hecho de que la seguridad no es la que tiene la intención de no ralentizar el negocio a pesar de que la basura ocurre de vez en cuando.
Tom Gorup: Eso es genial. Sí.
Matt Fryer: La mejor analogía, el mejor dicho que se puede dar a eso. Y algo así se encendió mientras lo decías. Y Tom va a sonreír. Sé que va a sonreír. Es que hay un dicho que siempre he usado, especialmente en el lado de la operación y para ayudar a crear cierta facilidad en lo que hacemos. Lento es suave y suave es rápido.
Tom Gorup: Así es. Smooth es rápido.
Matt Fryer: Esa es la forma más fácil. Voy a ralentizarte, pero te vas a mover mucho más rápido, ¿verdad?
Tom Gorup: Sí, es un gran segue en, yo diría, la última pregunta aquí. Y creo que aquí es donde el caucho se encuentra con el camino.
Richard, ¿qué podemos aprender de esto? ¿Qué podemos hacer mejor? ¿Qué pensamos como cualquiera de ellos como qué? ¿Qué podemos aprender de esto?
Richard Yew: Bueno, lo que hemos aprendido es que la seguridad es la disponibilidad comercial de todos, no el tiempo. Es el problema de todos. Solo porque un vendedor en particular te hace ir abajo no significa que otras personas no tienen la responsabilidad. Se vuelve a gustar a quién debe apuntar el dedo, ¿verdad? Creo que, como dije, sería holístico. Piensa en tu proceso, personas, procesos, tecnologías. Todo va de la mano. ¿Por qué Microsoft necesita hacer esto? Si eventualmente promovemos esto a través del espacio de usuario, como este CrowdStrike necesita tener un mejor proceso. ¿Necesitan implementar Canary rolled, que debería ser un estándar cuando tocas a millones de agentes, verdad? Entonces, ¿las corporaciones necesitan implementar el proceso correcto? Para asegurarte de que cuentas este tipo de evento apocalíptico. Así que, para mí, es que no se puede ver las cosas en una sola dimensión. Las cosas solo han tenido que ser vistas como un listado si hay alguna llamada a la acción necesita ser una llamada conjunta a la acción entre su proveedor y entre usted mismo. No debería ser Microsoft solo trabajar en el vacío. Microsoft debe trabajar con CrowdStrike y sus clientes juntos y asegurarse de que crean resiliencia en el futuro.
Tom Gorup: ¡Me encanta! Creo que eso es un gran punto de partida, ya saben, trabajar juntos más. A menudo vemos vendedores trabajando en estos silos y no siendo presentados entre sí y eso es una muy buena comida para llevar.
¿Y a ti, Matt?
Matt FRYER: Sí, creo que es algo así como en esas líneas, correcto. Creo que el gran llamado a la acción no es alejarse de la seguridad. Es una especie de paso para inclinarse más duro en él. Pienso que el quitar que yo tengo cuando veo que estas cosas suceden no es como, oh hombre, realmente tenemos que, ya sabes, ir menos privilegio y realmente empezar, ya sabes, reducir lo que estas personas están haciendo, bla, bla, bla. Así no es mi reacción. Mi reacción es, bien, tenemos un problema de disponibilidad y vamos a inclinarnos en eso, ¿verdad? Es inclinarse un poco más en tal vez un segmento diferente de lo que es la seguridad y resolver los problemas. Creo que esa es una especie de llamada a la acción es dar un paso atrás y entender lo que estás haciendo con tu programa, ¿verdad? ¿Es esto algo que te causó un gran problema? Si tu paso atrás debería ser qué? Uno de mis procesos y políticas en torno a las otras partes de este triángulo para asegurarme de que cuando ocurran cosas como esta, tenga una mejor respuesta a ello. No puedo decirte cuántas llamadas telefónicas a las 3:00 AM he recibido en mi carrera porque el BCP de alguien era basura, ¿verdad? Y luego culpan a todos los demás. Es como, oh, fue así y también es culpa. Ah, la mesa de ayuda hizo clic en el enlace. Dios, hombre, no puedo creer eso. Bueno, estás abajo durante dos semanas. Bueno, sí, es su culpa por hacer clic en el enlace, pero ¿cómo es su culpa que le tomó dos semanas recuperarse de él, verdad? Por lo tanto, creo que el llamado a la acción para muchas de estas organizaciones, para nosotros como líderes, para nosotros, para los proveedores mismos, es simplemente dar un paso atrás y analizar cómo se están haciendo las cosas en seguridad y ajustarlas para esas cosas que suceden. Siempre va a haber cosas que pasen. Todo el mundo está preocupado por el sombrero negro. El sombrero negro es la cosa. Es el hombre del bogeyman detrás de la cortina en este momento. Es una cadena de suministro. Hay sombrero negro, ahora hay una cadena de suministro es el otro gran bogeyman. Todos mis proveedores solo están tratando de vender mis datos o simplemente están tratando de colapsar. Da un paso atrás, hombre. Su llamado a la acción es ir. Todos deberíamos hacer revisiones anuales de nuestro programa. Este es el llamado a la acción. Haz una revisión de tu programa. Averigüe dónde están sus brechas porque las tiene. Lo creas o no, tienes lagunas. Da un paso atrás y revísalo. Échale un vistazo, entiéndelo, mira tus contratos. Conviértase en mejores amigos con legal que es que hay un montón de cosas que van a suceder aquí. No creo huir de ella. Va a ser la solución de cualquiera. No soy un tipo de botón de pánico. Creo que Tom sabe que nunca me golpeo los botones de pánico. Entonces, la gente que está golpeando el botón de pánico va, hombre, fuego CrowdStrike. Creo que probablemente solo responda de las emociones al análisis ¿verdad? Jerich, que es un CISO, creo, para la gestión de residuos, leí sus cosas en LinkedIn, y pensé que tiene razón al 100%. CrowdStrike resolvió muchos problemas y nadie lo reconoce ahora mismo. Solo están diciendo CrowdStrike, ya sabes, malo, malo. Es como, no, está analizado.
Tom Gorup:
Sí. Creo que, como Richard mencionó anteriormente, la seguridad es un problema de todos y cada parte del órgano, ya sea una TI, es una ingeniería, es el propio equipo de seguridad, recursos humanos y finanzas, como todo el mundo necesita ser parte de tomar en eso y realmente tomar una mirada dura y dura.
Bueno, estamos en la marca es una bola pesada impresionante. Creo que fue una gran conversación. Probablemente podría continuar con esto durante al menos otros 45 minutos, pero sé que ambos tienen lugares donde estar.
Así que, aprecio que estés en el show, Matt. Una vez más, gracias, Richard.
Gracias por escuchar. Quédate en Frosty.
