ThreatTank – episodio 3 – Gestione della superficie di attacco

Un’introduzione a ThreatTank – episodio 3: Gestione della superficie di attacco

Tom Gorup: Benvenuti in Threat Tank, un podcast che tratta le informazioni più recenti sulle minacce, la risposta alle minacce e le informazioni sul panorama della sicurezza in tutto il mondo. Sono il vostro ospite, Tom Gorup, Vice Presidente, servizi di sicurezza alla Edgio. E insieme a me oggi ci sono Jeff Patzer e Chris Herrera. Benvenuti, Jeff e Chris.

Jeff Patzer: Sì, grazie.

Chris Herrera: Grazie per averci ricevuti.

Tom Gorup: Sì, amico, questa sarà una bella conversazione. Ci occuperemo della gestione delle superfici di attacco, del suo valore, di cosa si tratta, di tutto quel genere di cose fantastiche. Ma mentre stiamo costruendo una tradizione qui sul Podcast ThreatTank, mi piace aprire con una domanda rompighiaccio. Ora, se questa è la prima volta che ti sintonizzi, non dico queste domande agli ospiti. Quindi, non hanno idea di cosa sto per chiedere. E questo mi ha fatto ridere ad alta voce quando l’ho letto all’inizio.

La domanda e’, Chris e Jeff, se siete pronti per questo, se foste un frutto, quale frutto sareste e come evitereste di essere mangiati?

Chris Herrera: Oh cavolo. Beh, se lo definiamo come mangiato da una persona media, allora suppongo che forse sia un durian. La mia comprensione e’ che quei puzzolenti quando li tagliate dentro e non sembrano nemmeno cosi’ appetitosi. Ma potrei essere io a parlare per ignoranza, visto che non ne ho mai vista una.

Tom Gorup: Quindi, saresti un durian perché quello che eviteresti di essere mangiato, guarderesti, appariresti cattivo e odorassi cattivo, appariresti cattivo e odori cattivi e presumibilmente cattivo.

Chris Herrera: Sì, ha un cattivo sapore.

Tom Gorup: Va bene, si’.

Jeff Patzer: Non gli piace nemmeno il durian sulla metropolitana nella maggior parte dei luoghi in cui crescono quando è durante la stagione perché hanno un odore così terribile. Ma vengono mangiati molto pesantemente, Chris, quindi non sono sicuro che tu possa evitarlo. Sono gustose. E’ tipo, come pensi di evitarlo?

Tom Gorup: Sì, immagino sia come il jalapenos, tutti come se fossero così caldi, ma c’è ancora un mercato per le persone che vogliono mangiare come il pepe più caldo. Allora, cosa hai capito, Jeff?

Jeff Patzer: Sto solo andando con fig. Sarei un fico e non cercherei di evitare di essere mangiato perché, sai, lo scopo di essere un frutto è quello di essere consumato.

Tom Gorup: Il motivo per cui vuoi essere consumato è perché è così che ti diffondi e crei più alberi da frutto essenzialmente, giusto?

Jeff Patzer: Così si può andare in un interessante viaggio attraverso un sistema digestivo di qualsiasi tipo di animale e anche i fichi sono assolutamente deliziosi e il trucco è sì, portarli dove si può effettivamente ottenere loro fresco perché la maggior parte dei posti si deve comprare come nel negozio e non sono semplicemente raccolti freschi. Ma se vivi in un posto dove li porti freschi, non c’è frutta migliore.

Tom Gorup: Posso garantirvi che sono per lo più incuriosito dal fatto che lo abbiate descritto come un viaggio interessante attraverso qualcosa.

Jeff Patzer: Voglio dire, com’è stato lo scuolabus magico, giusto, dove ci si può unire, conoscete il viaggio attraverso il sistema digestivo? Uguale. Sto pensando che forse non tutti ottengono quel riferimento.

Chris Herrera: Una versione leggermente meno PG di Rick e Morty quando fanno un tipo di episodio molto simile.

Tom Gorup: È buono.

Jeff Patzer: Esatto. Esattamente.

Tom Gorup: Quindi, giocherò con questo mentre ci stavo pensando, perché stavo pensando forse una fragola. Ma preparerei i miei semi come la piccola BBS. Quindi sono cosi’ duri che ti piacerebbe, se li mordi, farai un chip a un dente, in modo che nessuno lo voglia mangiare. Ma poi, al suo punto di vista, potrei non essere diffuso così ampiamente e molto.

Chris Herrera: Interessante che tu abbia un problema con quella risposta, che è che decideranno che non vogliono mangiarti dopo che hanno già preso un morso, però.

Tom Gorup: Oh, perché puzzi. Non vorrebbero mangiarti, credo.

Chris Herrera: E ho un aspetto negativo.

Tom Gorup: È fantastico. Bene. Va bene. Cominciamo. Speriamo che il rompighiaccio sia divertente per tutti gli altri quanto lo è per noi. Ma dobbiamo andare sull’argomento, e questo è ancora Attack Surface Management. Chris, mi chiedevo se potesse spiegarci cosa è Attack Surface Management abbreviato in ASM.

Chris Herrera: Darò quello che spero e penso sia una definizione piuttosto accurata. Ma come sempre quando parli davanti ad altri addetti alla sicurezza, ad altri esperti, a chiunque sia nel tuo campo, sei sempre o dovresti essere terrorizzato dal fatto che stai per dire qualcosa di sbagliato o leggermente.

Quindi, vi prego di correggermi in caso di errore in qualsiasi momento, ma ASM, Attack Surface Management è in poche parole, incorpora diversi aspetti di identificazione, assegnazione delle priorità, monitoraggio e analisi delle risorse digitali. E dalle risorse digitali che sarebbero cose come server Web, indirizzi IP, endpoint API, applicazioni, qualsiasi cosa che sia digitalmente all’interno di una sorta di ambiente che potrebbe essere esposto tramite Internet o qualcosa del genere. E poi entra in gioco l’ASM.

La gestione della superficie di attacco, potete pensare a questo, a quelle parole individuali. Parte di questo è che stai gestendo la superficie di attacco. Quindi, ciò che è disponibile per essere visto, ping o sondato o qualsiasi cosa da Internet che è considerata la tua superficie di attacco. ASM consente di determinare cosa è disponibile e cosa c’è lì. Potresti trovare cose che nemmeno sapevi fossero lì. E poi fa un ulteriore passo in avanti e può dirvi idealmente quali tipi di applicazioni, quali server e quali versioni sono in esecuzione. Quindi anche un ulteriore passaggio in cui è possibile collegare tali vulnerabilità a vulnerabilità diverse, come il CVSS (Common Vulnerability Scoring System) e le vulnerabilità Zero-day e simili, fornendo un’idea molto migliore della superficie di attacco all’interno delle risorse digitali. Quindi c’è molto di più. Ovviamente, questo è ciò di cui parleremo oggi, ma si spera che sia un buon punto di partenza per la gestione della superficie di attacco.

Tom Gorup: Sì. Un po’ come nel modo più semplice per dire uno strumento che perquisisce Internet per Internet. Beh, le vostre risorse che si affacciano su Internet e in qualche modo le aggregano in una sorta di strumento.

Chris Herrera: Sì, esatto.

Tom Gorup: Descrizione più semplice.

Chris Herrera: Sì. Quindi, stavo cercando di pensare ad una metafora di come visualizzarlo. E la cosa migliore che mi viene in mente è una cosa molto tecnica in cui sto immaginando come Star Trek o Star Wars o qualcosa del genere in cui hai il monitor della tua nave su uno schermo e contiene tutti i diversi componenti e sta monitorando ogni singolo elemento della tua nave che si trova nello spazio esterno e che può essere potenzialmente abbattuto da laser, armi o qualsiasi altra cosa del genere. E oltre a dirti cosa c’è, ti sta anche dicendo lo stato di loro.

Ti sta dicendo come lo stanno facendo. Potrebbe anche darvi alcune informazioni aggiuntive. E sapete, fino al vostro punto, potete, se volete saperne di più anche su altre risorse, inviare una sonda, inviare delle scansioni, ottenere delle informazioni su qualcun altro, e potrebbe non essere utile ad altri. Ma per me, questo era un buon modo per ottenere un’immagine mentale di legare almeno ASM a esempi non reali a causa di Star Trek e Star Wars. Ma lei sa qualcosa del genere.

Tom Gorup: Manca qualcosa in quella definizione, Jeff?

Jeff Patzer: Sì, sai, sono venuto da forse più come il background degli sviluppatori, il background ingegneristico. Penso anche a questo come ai blocchi di costruzione come il funzionamento interno della cosa che hai. Quindi, quando pensate a come si presenta la mia superficie di attacco, le cose da cui l’avete costruita sono anche delle vulnerabilità di attacco, giusto? Quindi, se state pensando alle cose che state scegliendo di aggiungere dal punto di vista di una libreria o qualcosa del genere nel codice che state usando per esporre, sapete che non si tratta solo di come Internet può raggiungervi, ma di come una volta che qualcosa ha le cose, può fare anche all’interno del vostro sistema, giusto?

Per estendere la tua analogia con Star Trek, monitorare lo stato del motore è importante quanto sapere che cosa sta facendo il tuo campo di protezione laser, giusto? Così mi capita di pensare come hey, se si utilizzano librerie esterne, che se si utilizza un qualsiasi tipo di software a questo punto si è certi di usare una sorta di libreria open source per costruire quelle come pezzi di software più grandi. Conoscere il contenuto di tali elementi e le possibili vulnerabilità è altrettanto importante dei componenti esterni con cui le persone interagiranno.

Tom Gorup: la mia prossima domanda è perché hai detto che è importante monitorare quanto perché è prezioso. Qual è il valore dell’esecuzione di un ASM?

Chris Herrera: Il mio primo pensiero è che molti team di sicurezza se parliamo specificamente di aziende o sai, anche di individui a casa, è facile. Beh, non necessariamente facile. È semplice proteggere le cose che si sa di avere e con cui si ha familiarità. Ma esattamente al punto di Jeff, state costruendo questi strumenti, questi ambienti da molti singoli pezzi. E ognuno di questi singoli pezzi contribuisce anche alla superficie di attacco, la tua superficie complessiva. Non riesco a pensare a una parola migliore per questo ora. Cercherò di pensarci entro la fine di tutto questo.

Ognuno di questi pezzi, può diventare l’anello debole o, sai, il membro più lento in marcia dell’esercito. E oltre a essere sicuri che sia tutto enumerato uno strumento di gestione delle superfici di attacco, la tecnologia dell’inventario può anche dare priorità a tali strumenti e dirvi, ehi, questi sono i vostri più importanti in termini di guasti, guasti dell’intero sistema o di priorità in termini di, ehi, questi sono i vostri più vulnerabili in termini di software più obsoleto o sono aperti alla vulnerabilità zero-day più recente.

E o si può anche dare priorità a loro in termini di, ehi, questi sono i più semplici da correggere se si vuole ottenere un po’ di frutta bassa o alcuni, sapete, basta bagnarsi i piedi. In termini non necessariamente di invio, ma di aumento del livello di sicurezza generale.

Jeff Patzer: Sì. Sai, potrei aggiungere a questo, tipo, a me, il valore è che sta diventando praticamente impossibile stare al passo con tutto senza un qualche sistema di monitoraggio, giusto? È che i sistemi stanno diventando sempre più complessi. Sai, l’analogia a cui ho sempre pensato per ASM e’, sai, ai vecchi tempi, cosa facevamo per proteggere dagli eserciti invasori, come avresti costruito un castello? L’unico modo per attraversare il muro erano un paio di porte, giusto? E così, in un certo senso, i porti sono come porte per Internet. Devi essere in grado di, sai, che è un po’ semplice, come il castello è semplice, vero? Come se avesse dei muri e forse un fossato e forse un paio di posti in cui entrare e uscire. Ma man mano che si costruisce la complessità, essere in grado di monitorarli, ci vuole molto di più di un paio di corridori che lo dicono ai generali. Tipo, questo e’ lo stato di quella porta, giusto?

Sei al punto in cui, con il software, puoi effettivamente federare il controllo nelle mani dei membri del team, giusto? Così chiunque può costruire una porta a questo punto. Chiunque può estendere le capacità. E se si vuole fare affidamento sulle persone per gestire tutto questo, tenere traccia di quella complessità, si verificherà un’interruzione nel corso del tempo. Quindi, per me, è come se il valore fosse che ti permette di crescere in complessità, ma di tenere forse un po’ sotto controllo, come essere in grado di permettere alle persone di fare cose, ma anche monitorare quelle cose che stanno accadendo come le cose che stanno esponendo e tenerne traccia. Perché altrimenti, man mano che le cose diventano più complesse, non c’è modo che gli esseri umani possano tenere traccia di questi tipi di sistemi. E non dovremmo esserlo.

Tom Gorup: Si’, si’, 100%. Alcuni di voi dicevano che l’analogia del castello è il perimetro. La difesa del castello e’ un po’ morta, non c’e’ perimetro, giusto? Ci troviamo in vari ambienti ibridi multi-cloud, alcuni data center, alcuni in Azure, altri in AWS, altri in GCP e Digital Ocean; siamo praticamente ovunque. Sappiamo tutto quello che c’è là fuori?

Quando guardo ciò che penso del comportamento di sicurezza, lo metto in 3 pilastri: Visibilità, esposizioni e minacce. Non posso proteggere quello che non vedo. Ho bisogno di capire dove sono le mie vulnerabilità e devo capire come mi stanno attaccando. Quello che sento è che Attack Surface Management ci offre davvero molte delle prime due, soprattutto visibilità e cose che non sapevo esistessero. Porte aperte, tecnologia API che sto utilizzando nella mia app, ma anche evidenziare le vulnerabilità presenti nel mio ambiente da cui potrei essere attaccato. Quindi, sembra estremamente potente. Ma, come, quali team di solito utilizzano questo tipo di strumenti? Lo vediamo solo nei team di sicurezza che dovrebbero gestire un AMS?

Chris Herrera: Storicamente, penso che sia corretto affermare che i team di sicurezza sono responsabili o sono stati responsabili di procurare gli strumenti ASM, renderli operativi, utilizzarli in modo coerente, interpretare i risultati, portarli ai diversi team all’interno dell’organizzazione. In caso di scoperta di risorse che non conoscevano esistevano o di nomi host che non sapevano fossero ancora attivi o in esecuzione o di qualsiasi altra cosa del genere.

Ma non so se significa che è così che deve andare avanti. È interessante come la tecnologia aumenti in termini di complessità, ma anche in termini di ciò che può fare per noi, in un certo senso sfugge i confini tra i diversi team. Per questo, storicamente, abbiamo termini come dev SECOPS o DevOps o cose del genere, quelle terminologie e il modo in cui ci riferiamo alle persone che stanno costruendo applicazioni. Come esempio specifico, le cose sono cambiate nel corso degli ultimi 5-10 anni. E penso che possa essere un segno di come la sicurezza si stia infilando nella vita di tutti.

Ora, non è più necessariamente solo una squadra di sicurezza. So per esperienza, ovviamente non saprò nemmeno cosa fare, ma la sicurezza non è una cosa che faccio ogni giorno. Ma sto interagendo con altri membri di altre squadre che nominalmente non hanno nulla a che fare con la sicurezza, ma sanno molto semplicemente perché devono farlo per fare il loro lavoro.

Jeff Patzer: Beh, si’, mi piace molto il modo in cui lo dici, Chris. Mi piace molto il modo in cui lo si dice nel senso che tutti interagiscono con la sicurezza in qualche modo, sia che si tratti di aprire e-mail a questo punto, si interagisce con il problema della sicurezza. Tipo, ti stanno cacciando? Sta controllando le cose? Tecnicamente, e’ un tipo di superficie attraverso cui qualcuno potrebbe attaccarti.

Quindi, penso che quando chiedete a quali team lo usano, ho l’impressione che storicamente abbiate le stesse idee e gli sviluppatori, come se lo stessero usando per ragioni molto specifiche. Ma nel complesso sta crescendo, giusto? E come stavo dicendo, a questo punto, diciamo che vuoi costruire un modulo che sia entrata per te ci sono partner che stanno registrando qualcosa o altro, giusto? Posso creare automazioni che prendano quelle informazioni e posso inviarle a chiunque all’interno dell’organizzazione o all’esterno dell’organizzazione.

Come ho detto, i membri del team possono iniziare a fare cose che forse non sono storicamente come la creazione di un server Web che fa cose specifiche basate sul Web, ma che sono ancora parte della raccolta di dati per quell’organizzazione. Diventa davvero mentre andiamo avanti tutti, se sei online in un certo senso, in qualsiasi altro modo, sei esposto, giusto. Stai interagendo in qualche forma o in un’altra, sì.

Chris Herrera: E penso, Tom alla tua domanda di appena un minuto fa circa i team che sono in genere o che si prevede siano responsabili di questi strumenti. Credo che abbia senso che la sicurezza abbia avuto questa responsabilità in passato e anche in questo momento. Ma considerando che gli ASM possono fare molto di più che fornire semplicemente informazioni di sicurezza, possono anche essere utilizzate come abbiamo detto prima di uno strumento di inventario, capisco perché sarebbe molto utile per i team non addetti alla sicurezza. Lavorando nel settore della sicurezza, lavoro spesso con team e clienti diversi e faccio la mia analisi dei log e di qualsiasi altra cosa.

Vi presento, ehi, ecco alcuni domini che hanno visto alcuni attacchi ed è sempre interessante per me quando mi imbatto in un caso in cui la risposta da loro è oh wow, ho pensato che avremmo disattivato quel dominio 12 mesi fa e si scopre che è ancora acceso. E’ ancora molto aperta a Internet. Sta ancora vedendo molti attacchi. Pertanto, l’aspetto dell’inventario può essere utilizzato regolarmente da persone non addetti alla sicurezza e, di fatto, dovrebbe dipendere dalla sua facilità di utilizzo.

Tom Gorup: Sì, mi piace e, Jeff, parlando della superficie di attacco è molto più grande di rimanere in un porto aperto collegandolo a domini. Abbiamo, sapete, le acquisizioni del sottodominio. Lasci un dominio collegato a una terza parte, e tre anni dopo viene dirottato e ora serve malware che poi fa entrare il tuo dominio nella lista nera. E’ un problema di tutti. E’ un problema d’affari nel suo complesso. Ma andando oltre e guardando le e-mail in arrivo è un fattore intatto.

Sebbene esistano strumenti per la gestione della superficie di attacco, la superficie di attacco è una conversazione più ampia che coinvolge ogni aspetto dell’azienda e non può limitarsi a ciò che il team di sicurezza sta monitorando, giusto? Deve essere coinvolto, deve essere coinvolto l’ingegneria e deve essere coinvolto il marketing. Tutti questi team devono dialogare tra loro per proteggere efficacemente l’azienda.

Jeff Patzer: Una domanda veloce per te, Tom, anche su questo e Chris. Chris, stai parlando di, ehi, sto guardando i registri come se stessi rivedendo i registri. Voglio dire, molte persone non guardano le linee di tronchi, giusto? Come se lo mostrassi tu e loro fossero come se ora fosse la matrice, io non faccio quelle cose. Quali sono le vostre opinioni sui tipi di visualizzazioni dei dati che possono essere utilizzate per comunicare meglio la superficie di attacco alle persone che conoscete, forse non provengono da un background tecnico. Non provengono da un AMBIENTE IT in cui, sapete, si alzano e guardano le righe di log ogni giorno in cui potete dare loro qualcosa che è come spiega la matrice sottostante, giusto. Cosa pensi del tuo uomo su come farlo, sai, in modo efficace?

Chris Herrera: Oh cavolo, è una domanda così buona e interessante. Il mio primo pensiero è che non sono mai stato molto bravo nella visualizzazione dei dati, ma lo so quando lo vedo, e conosco una buona visualizzazione dei dati quando lo vedo. Nella mia testa vedo questo tipo di idea effimera di voler vedere visivamente come appare quando ho tutto dal punto di vista di un’applicazione web. Voglio vedere quali domini ho a disposizione su Internet. Voglio che siano raggruppati di conseguenza, qualunque cosa significhi. Voglio quindi essere in grado di entrare e vedere quali versioni del software sono in esecuzione. In un mondo ideale, fare clic su On e Off per vedere quali vulnerabilità potrebbero essere applicabili a questi diversi endpoint. Ma soprattutto, voglio una vista visiva per vedere ad alto livello cosa sta succedendo esattamente e poi essere in grado di perforare da lì.

Tom Gorup: Sì. Toccerei due volte e direi che un grafico di nodi è super potente e vedo che su una serie di sfaccettature diverse, come ad esempio su un angolo, è come un processo di risposta agli incidenti per poter mostrare la progressione di un utente malintenzionato. Log4j ne è stato un ottimo esempio. Log4j dal punto di vista della risposta agli incidenti, un punto di vista MDR è un’attività post-compromesso perché si tratta di un attacco zero-day; non avete firme per farlo, giusto? Quando log4j è uscito, nessuno aveva la firma per un exploit log4j perché, beh, nessuno lo sapeva. Ma quello che abbiamo scoperto era il comando in uscita e il controllo del traffico.

Se poteste iniziare a raccogliere una miriade di risorse che raggiungono singoli server di comando e controllo, intendete rispondere più rapidamente alle risorse compromesse, ma a cosa si sono connessi? Ed è qui che, come la visualizzazione dei nodi, penso aiuti a creare quelle connessioni che altrimenti non si sarebbero potute fare attraverso i log da soli. Immagino sempre che sia come il sonar di Batman, giusto? Un po’ di dare queste viste negli angoli e nei luoghi e vedere le connessioni dove altrimenti non le avreste viste attraverso i grafici dei nodi. Posso fare i nerd sui grafici dei nodi tutto il giorno.

Chris Herrera: Voglio dire, chi non può?

Jeff Patzer: Sì, se mai vuoi vedere come sarebbe un DataViz molto opinionato ragazzi, Chris Edward Tufte è il ragazzo. Ha come se le opere seminali su questo è come dovrebbe essere. E’ molto opinionato, ma ha delle buone cose.

Tom Gorup: Mi piace. Lo verificherò. Quindi, tutto questo mi sembra fantastico. Distribuisco questo strumento, lo chiamiamo Attack Surface Management, e all’improvviso ho un inventario di tutte le risorse aperte a Internet, numeri di porta, API, servizi applicativi, tutto. So come saranno vulnerabili e come possono essere attaccati. Ed e’ tutto presentato in un grafico piuttosto “no”, giusto? Quindi cosa potrebbe andare storto? Quali sfide dovrebbero affrontare le aziende a questo punto?

Chris Herrera: Beh, niente. Hai finito a quel punto.

Tom Gorup: Sì. Giusto. Riaggancia.

Chris Herrera: No, penso che sia molto simile ad alcuni degli argomenti di cui parlavamo prima, in cui molti di questi team lavorano tutti insieme, anche se ogni singolo team sta svolgendo un tipo di lavoro così diverso e ovviamente ci sono molti esperti locali in diverse aree. Tuttavia, il tipo di output di questi ASM di cui stiamo discutendo oggi e ancora come abbiamo già detto prima, è molto utile a molti team diversi. Credo che questo tipo di cose risalga a, sapete, tutti i team che lavorano insieme devono essere in grado di condividere informazioni e collaborare.

Si tratta di uno strumento che non solo può renderlo significativamente più efficiente, ma può anche, sapete, sollevare l’acqua per tutti aumentando la conoscenza di tutti su ciò che accade dietro le quinte e delineando un percorso in avanti per assicurarsi che la vostra posizione di sicurezza non peggiori e migliori idealmente.

Jeff Patzer: Sì, voglio dire, una cosa a cui penso è come divinizzare i pezzi discreti di lavoro che devono accadere per questo? E’ dura perché per me quando dici, okay, devo affrontare la sicurezza, posture come alcune di queste possono essere facili. Alcuni di questi potrebbero essere più difficili come andare su aggiornare la tua versione di WordPress. Non lo so, forse e’ facile, forse no. Ma come l’aggiornamento dei pacchetti di codice, specialmente tra una versione principale, come se ci fosse un sacco di lavoro per esaminare queste cose e dire, sai, nel fare questo, ho intenzione di rompere qualcosa che è già in produzione, giusto? Come dal punto di vista di uno sviluppatore, sembra abbastanza semplice, sì, basta aggiornare questa versione minore, non così male versione principale. Può essere davvero difficile farlo in modo efficace. Quindi, non lo so.

Per me e’ quasi come la posizione della sicurezza. Il lavoro che arriva è quasi come il lavoro di refattorizzazione o la gestione di un vecchio codice di cui devi occuparti, giusto? E’ quasi come un lavoro in qualche senso o non e’ l’aspetto creativo di come costruire. E’ tornare indietro e guardare quello che hai fatto e come fare le cose, riparare e fare cose del genere. Quindi, penso che qualsiasi strumento che avete dovrebbe aiutare a rompere quel lavoro discreto per permettervi di federarlo ai proprietari, per assegnare persone che ne possano occupare. Perché, in fin dei conti, se hai, come ho detto, un sistema complesso, avrai molte cose diverse che devono succedere. E essere in grado di essere sicuri di poterlo gestire, quindi controllarlo e tenere traccia di progetti simili, come il processo effettivo di esecuzione del lavoro diventa importante quanto sapere che è necessario farlo, credo.

Tom Gorup: Si’, si’. La prima cosa che viene in mente sono i risultati misurabili. E’ quello che sento spesso dai clienti. Ci sono due domande che sento sempre dai clienti: Come potete rendermi più sicuro in modo misurabile? Come si può misurare questo mi ha reso migliore, mi ha reso più forte. E poi qual e’ la prossima cosa piu’ importante su cui devo lavorare? Assegnazione efficace delle priorità.

Va bene, quindi sai, pensare fino in fondo perché penso che, secondo te, anche molto di quel lavoro possa essere oscuro. Come posso risolvere questo problema? E’ un cambiamento di codice? Si tratta di una modifica di configurazione? Forse non riesco proprio a risolverlo. Forse dobbiamo accettare questo rischio. Che aspetto ha questo processo? Quindi si’, e’ un buon Consiglio.

Jeff Patzer: E penso che una buona cosa a cui mi hai appena fatto pensare sia il rumore, come il rapporto rumore-segnale. Quindi, è come assicurarsi che lo strumento ti stia dicendo che ti aiuta a capire qual è la cosa più importante. E se è troppo indicizzato su troppe cose, non è un gran problema. E’ piu’ come una cosa di tipo avvertimento. Come, ehi, questo potrebbe essere qualcosa di cui dovrebbe preoccuparsi, come aiutare a distinguere quel rapporto rumore-segnale. E’ altrettanto importante perché sapere su cosa concentrarsi è, è quello con cui bisogna iniziare, giusto?

Chris Herrera: Giusto. Se ricevi 1000 notifiche tutte a bassa priorità, potresti pensare di trovarti in una situazione molto peggiore di quella reale.

Tom Gorup: Mi sento come se quella fosse la tua zona d’attacco, vero Chris? Assegnazione attiva delle priorità ai clienti. Ogni scenario viene in mente dove e’ come, amico, avrebbero dovuto lavorare su questo, o sai, o forse hai fatto una cattiva raccomandazione. Mi piacerebbe molto sentirlo.

Chris Herrera: Va bene. No, non ho mai fatto una cattiva raccomandazione. Quindi, la prima domanda, esaminando l’analisi, è un po’ di background per me quando parlo di lavorare con i miei clienti, li sto aiutando a proteggere le loro applicazioni web. E molte volte quando presento la mia recensione, le mie raccomandazioni e qualsiasi aggiustamento di messa a punto che penso dovrebbero apportare ai loro prodotti di sicurezza, molte volte perché le loro applicazioni non sono state scritte tenendo conto della sicurezza fin dall’inizio. Ma non solo, non sono stati anche scritti in un modo che è facile apportare modifiche dal loro lato.

Ecco perché dal nostro punto di vista, dal punto di vista del mio team di sicurezza, possiamo eseguire patch virtuali all’interno dell’applicazione creando regole di sicurezza personalizzate, qualsiasi cosa in questo senso. Penso che questo tipo di risposte alla domanda relativa all’esecuzione di revisioni di sicurezza e a come ciò possa spiegare come i clienti possono migliorare. E sai, riguardo alle mie cattive raccomandazioni, non ho mai, non ho mai identificato erroneamente un falso positivo.

Jeff Patzer: Mai fatto. Non è mai successo.

Chris Herrera: Penso che all’inizio della mia carriera avrei potuto essere un po’ troppo zelante in termini di raccomandazione o forse blacklist di determinati indirizzi IP. Man mano che ti senti più a tuo agio, è una sorta di ultima linea di difesa a questo punto. Ma si’, probabilmente e’ la peggiore decisione mai presa, piccoli errori del genere.

Tom Gorup: Penso che tu stia parlando del potere di un ASM è la capacità di esaminare i rischi che la tua azienda, la tua superficie di attacco e i rischi che la tua azienda sta assumendo e di trovare modi per mitigarli con gli strumenti a tua disposizione. A volte le patch non sono qualcosa che si può fare oggi. Ho lavorato ad un incidente che non so forse dieci anni fa, c’e’ un’indagine forense in una delle loro risorse piu’ critiche e’ stata infettata da Conficker.

Non so se ti ricordi di Conficker e quella macchina potrebbe ancora essere compromessa oggi perché la loro risposta è che questa macchina ci fa guadagnare troppi soldi al minuto. Stava facendo un processo che faceva guadagnare troppo denaro. La loro decisione è stata quella di liberarlo solo per toglierlo dalla rete, lasciarlo continuare a funzionare, ma è rimasto infetto. A dire il vero, credo che abbiano messo un’iscrizione come non connettersi alla rete ed è così che l’hanno risolta. Perché dal punto di vista aziendale, non valeva la pena abbattere quella macchina e rischiare i ricavi associati. Preferirebbero solo controllare l’elaborazione IT in uno stato compromesso.

Sono sicuro che ci sono molti computer Windows XP in produzione, in qualche modo, giusto. Allo stesso modo in cui abbiamo lo strumento giusto, anche se il WAF è fantastico, l’applicazione di patch virtuali è un ottimo esempio in cui, ehi, non è possibile risolvere il problema in questo momento. Cosa facciamo nel frattempo? Come risolverlo e sfruttare la tua esperienza, penso che sia un’ottima, ottima raccomandazione, una sorta di domanda sfumata.

Pensavo che, come con un ASM, ci sarebbe stata una differenza tra on-prem e cloud? I risultati cambierebbero, cambierebbe il valore dello strumento? Cosa si aspetterebbe di diverso tra queste due soluzioni?

Chris Herrera: Oh, wow. Immediatamente sto pensando, così ci potrebbero essere così tanti cambiamenti. Alla fine della giornata, stanno facendo la stessa cosa per quanto riguarda l’obiettivo, ovvero identificare l’inventario, capire dove sono le vulnerabilità, eccetera. Ma in sede rispetto al cloud, questo è un po’; voglio dire, è simile a molti prodotti per la sicurezza e alle evoluzioni che hanno preso tutti negli ultimi dieci anni.

Al suo punto di vista, per quanto riguarda i WAF, almeno quelli erano completamente solo in sede. Si tratta di macchine costosissime e costose da centomila dollari, che si limitavano a conoscere la potenza di elaborazione che un computer è in grado di gestire, e ora la maggior parte di esse sono basate su cloud e gli utenti non devono preoccuparsi di quanto traffico possono ispezionare o di qualsiasi altra cosa simile. Quindi, con un ASM basato su cloud e in sede, ciò avrebbe molte analogie con le capacità tecniche e le capacità di elaborazione.

Ma non solo. Avrebbe la dicotomia di chi è responsabile per apportare i cambiamenti per l’architettura sottostante. Acquistate l’hardware e poi dovete assicurarvi che tutto funzioni. Invece, se si tratta di una soluzione basata su cloud, potrebbe rientrare nelle competenze di chiunque acquisti o utilizzi e da cui paghi i diritti di utilizzo del servizio. Inoltre, avrebbero funzionalità diverse, molto simili agli altri prodotti per la sicurezza in sede rispetto ad altri prodotti basati su cloud.

Quindi, un ASM basato su cloud avrebbe presumibilmente maggiori capacità in termini di scansione proattiva al di fuori della propria rete e scansione su Internet in tutto il mondo. Mentre, almeno a mio avviso, una soluzione in loco potrebbe limitarsi al proprio ambiente. Il che potrebbe avere senso, se e’ l’unica cosa che ti interessa. Ma se volete vedere cos’altro c’è là fuori o cosa è disponibile per gli autori degli attacchi dal loro punto di vista rispetto al vostro ambiente, anche questo sarebbe un fattore da considerare.

Jeff Patzer: Aggiungerei a questo, Chris. Penso che a volte la gente pensi in prem sia che possiedi hardware, gestisci il tuo hardware. Credo che sia così da molto tempo. Ma ci può essere anche questa idea di un luogo in cui si esegue il proprio software, di cui si è proprietari. Quindi, prendiamo come un pacchetto open source di qualche tipo, giusto, dove avete deciso di sapere, invece di creare qualcosa da zero da soli, prenderete un elemento open source esistente, lo eseguirete all’interno della vostra rete cloud, ma lo gestirete in esecuzione, giusto.

L’intento generale è che, piuttosto che sapere di acquistare un servizio di terze parti per il quale si paga e che gestisce, si è effettivamente proprietari della gestione dell’IT, anche se è ancora in esecuzione su uno scaler cloud. Per me, il risultato è sempre lo stesso, come se doveste comunque fare le stesse cose che stavate facendo, sia che stiate usando un oggetto di terze parti o che stiate eseguendo il vostro pacchetto open source di qualsiasi software che potrebbe essere. Penso che a questo punto cercare di distinguerlo, non è un grande uso del tempo perché alla fine della giornata, sono tutti esposti in qualche forma o in un’altra e può passare da super semplice a molto complesso e tutto ciò che cattura ciò che è importante.

Tom Gorup: Sì, è interessante. L’unica differenza, che mi ha fatto notare nella mente, era la natura distribuita della nuvola e la capacità di scansionare da diversi punti del globo. Che aspetto ha la mia rete dalla Cina? Che aspetto ha dalla Russia? Che aspetto ha dalla Lettonia, rispetto forse a dove sono i miei clienti? Che aspetto ha dal loro punto di vista? Forse essere in grado di tagliare il mondo in questo modo e gestirlo in modo diverso potrebbe essere interessante. Ma allo stesso tempo, sapete, con il crescente uso delle reti ORB e delle scatole relè operative, e sapete, il geofencing è effettivamente morto. Non dovrebbe avere importanza. Dovremmo bloccarla, indipendentemente da dove provenga.

E’ stato fantastico. Jeff, lascia che apra un’ultima riflessione su un attacco Surface Management. Considerazioni finali.

Jeff Patzer: Alla fine della giornata, considero ASM un altro strumento per darvi un’idea delle cose che state costruendo, cose di cui dovete essere consapevoli. L’ho gia’ detto prima, lo ripeto, lo dico subito. Nessuno strumento sostituisce il pensiero critico. Alla fine della giornata, è necessario esaminare ciò che vi sta dicendo e comprenderlo per essere in grado di fare qualcosa che abbia senso. Si possono comprare tutti gli strumenti del mondo, ma se non si vuole sedersi lì e pensare a cosa sto cercando di realizzare, allora alla fine della giornata, non vi servirà a niente.

Chris Herrera: Sì. Il mio ultimo pensiero sarà che alcune persone potrebbero considerarlo un po’ come un poliziotto, ma ovviamente l’intelligenza artificiale non andrà da nessuna parte presto, e se non altro, avrà più un punto d’appoggio ovunque tu vada. Al punto di Jeff, dove ha detto che non c’è sostituto per il pensiero critico, uso l’intelligenza artificiale in particolare la chat, ChatGPT quasi ogni giorno per il mio lavoro e ovviamente non può fare il mio lavoro per me, ma mi porta sicuramente nella giusta direzione. Il motivo per cui sto sollevando questo problema è per ASM, in termini di raccomandazioni, in termini di passi avanti, ma anche in termini di volume di dati che possono essere presentati nell’output di uno strumento come questo. Penso che sarà quasi imperativo che l’intelligenza artificiale, che richieda un qualche tipo di ruolo, che sia enorme, che sia piccolo in termini di presentazione agli esseri umani e renderla umanamente relazionabile.

Tom Gorup: Sì, mi piace. Mi piace questo processo di pensiero, soprattutto quando stiamo combinando diversi set di dati. Ancora una volta, ritorno alla posizione di sicurezza, alla visibilità, alle esposizioni e alle minacce. La gestione delle superfici di attacco ci consente di ottenere molta visibilità, molte delle esposizioni, collegando queste minacce alle vostre minacce, che diventano input per aiutarvi a prendere decisioni e regolare la vostra posizione di sicurezza nel suo complesso. Ma per Jeff, il pensiero critico è un requisito. Non potete semplicemente impostarlo e dimenticarlo. Come qualsiasi strumento. E per il tuo punto di vista, l’intelligenza artificiale non è sempre puntuale, come se non potessi fare il tuo lavoro per te, ma può aiutarti a guidarti.

Penso che questa sia una conversazione fantastica, molto divertente, e potrei passare altri 30-40 minuti a parlare di gestione della superficie di attacco e a scavare tutti i buchi di coniglio. Ma dobbiamo smetterla. E’ tutto quello che abbiamo per oggi. Grazie per esserti Unito a noi su ThreatTank.

Per essere sempre aggiornati sulle ultime informazioni sulle minacce di Edgio, puoi iscriverti online all’indirizzo edg.io. Jeff e Chris, grazie per essere tornati. E’ stato fantastico. Apprezzo il suo tempo.