ThreatTank – Episódio 3 – Gestão da superfície de ataque

Uma Introdução ao Threattank – Episódio 3: Gestão da superfície de ataque

Tom Gorip: Bem-vindo ao Threat Tank, um podcast que aborda a mais recente inteligência sobre ameaças, resposta a ameaças e insights sobre o cenário de segurança em todo o mundo. Sou o seu anfitrião, Tom Gorip, Vice-Presidente, Serviços de Segurança da Edgio. E hoje estão hoje a juntar-se a mim Jeff Patzer e Chris Herrera. Bem-vindo, Jeff e Chris.

Jeff Patzer: Sim, obrigado.

Chris Herrera: Obrigado por nos ter.

Tom Gorip: Sim, cara, esta vai ser uma ótima conversa. Vamos investigar o Gerenciamento de superfície de ataque, o valor, o que é, todo esse tipo de coisas excelentes. Mas enquanto estamos a construir uma tradição aqui no ThreatTank Podcast, gosto de me abrir com uma pergunta quebra-gelo. Agora, se esta é a sua primeira vez sintonizar, não digo aos convidados estas perguntas. Então, eles não fazem ideia do que estou prestes a perguntar. E este fez-me rir em voz alta quando o li inicialmente.

A questão é, Chris e Jeff, se estão preparados para isto, se fossem fruta, que fruta seriam e como evitariam ser comidos?

Chris Herrera: OH, oh! Bem, se estamos a defini-lo como sendo comido por uma pessoa comum, então eu suponho que talvez um duriano. O meu entendimento é que aqueles cheiram muito mal quando se cortam neles e eles nem parecem tão apetitosos. Mas isso poderia ser só eu a falar da ignorância, uma vez que nunca vi realmente uma.

Tom Gorip: Então, você seria um duriano porque aquele que você evitaria ser comido, você olharia, pareceria mal e cheirava mal, pareceria mal e cheirava mal e presumivelmente provaria mal.

Chris Herrera: Sim, gosto mal.

Tom Gorip: Tudo bem, sim.

Jeff Patzer: Eles nem gostam de durianos nos caminhos-de-linha na maioria dos lugares onde crescem quando é durante a estação porque cheiram tão terrível. Mas eles são muito comidos, Chris, por isso não tenho a certeza de que podem evitar isso. São saborosos. É tipo, como é que vão evitá-lo?

Tom Gorip: Sim, imagino que seja como jalapenos, toda a gente gosta de estar tão quente, mas ainda há um mercado para as pessoas que querem comer como a pimenta mais quente. Então, o que é que obtém, Jeff?

Jeff Patzer: Vou apenas com a figo. Eu seria um figo e não tentaria evitar ser comido porque, sabem, todo o objetivo de ser uma fruta é realmente ser consumida.

Tom Gorip: A razão pela qual você quer ser consumido é porque é assim que se espalha e cresce mais árvores de fruto essencialmente, certo?

Jeff Patzer: Então, você começa a fazer a interessante viagem através de um sistema digestivo de qualquer tipo de animal e também figos são absolutamente deliciosos e o truque é sim, levá-los onde você pode realmente obtê-los frescos porque a maioria dos lugares que você tem que comprá-los como na loja e eles simplesmente não são escolhidos frescos. Mas se vivermos num lugar onde os recebamos frescos, não há melhor fruta.

Tom Gorip: Posso garantir que estou muito intrigado por o descrever como uma viagem interessante através de algo.

Jeff Patzer: Quer dizer, como foi o autocarro mágico da escola, certo, onde se pode juntar, sabe a viagem pelo sistema digestivo? O mesmo. Estou a pensar que talvez nem todos tenham essa referência.

Chris Herrera: Uma versão um pouco menos PG de Rick and Morty quando eles fazem um tipo de episódio muito semelhante.

Tom Gorip: É bom.

Jeff Patzer: Exatamente. Exatamente.

Tom Gorip: Então, eu vou brincar com isso enquanto estava a pensar nisso, já que eu estava a pensar talvez um morango. Mas eu faria as minhas sementes como pequenas BBS. Então eles são tão difíceis que você poderia gostar, se você morder neles você vai lascar um dente, então ninguém iria querer comê-lo. Mas então, ao vosso ponto, posso não estar espalhado tão amplamente e vastamente.

Chris Herrera: Interessante você tem um problema com essa resposta, que é que eles vão decidir que não querem comer você depois de já terem feito uma mordida.

Tom Gorip: OH, porque você fede. Acho que eles não querem comer-vos.

Chris Herrera: E eu estou mal.

Tom Gorip: Isso é ótimo. Isso é bom. Tudo bem. Vamos começar. Esperemos que o quebra-gelo seja tão divertido para todos quanto para nós discutirmos. Mas temos de nos colocar no tópico, e este é novamente Attack SurfaceManagement . Chris, eu estava a pensar se nos poderiam explicar como o que é o Attack Surface Management abreviado como ASM.

Chris Herrera: Vou dar o que espero e acho que é uma definição bastante precisa. Mas, como sempre, quando se fala em frente a outras pessoas de segurança, outros especialistas, qualquer outra pessoa que esteja no seu campo, está sempre ou deve ter medo de dizer algo errado ou levemente.

Então, por favor, corrija-me se estou errado a qualquer momento aqui, mas ASM, Attack Surface Management é em poucas palavras, incorpora diferentes aspetos de identificação, priorização, monitoramento e análise de ativos digitais. E por ativos digitais que seriam coisas como servidores web, endereços IP, terminais de API, aplicações, tudo o que está digitalmente dentro de um ambiente que pode ser exposto através da Internet ou algo assim. E então o ASM entra em jogo.

O Gerenciamento da superfície de ataque, você pode pensar nisso, nessas palavras individuais. Parte disso é que você está controlando a superfície de ataque. Então, o que está disponível para ser visto ou pingado ou sondado ou qualquer coisa da Internet que seja considerada a sua superfície de ataque. O ASM permite determinar o que está disponível, o que está lá. Podem encontrar coisas que nem sabiam que estavam lá. E depois vai mais um passo e pode dizer-lhe idealmente que tipos de aplicações, que servidores, que versões estão a correr atrás. Então, até mesmo um passo adicional onde ele pode amarrá-los a diferentes vulnerabilidades como o CVSS (Common Vulnerability Scoring System) e vulnerabilidades de dia zero e coisas assim e dar-lhe uma ideia muito melhor da sua superfície de ataque dentro dos seus ativos digitais. Portanto, há muito mais nisso do que isso. Obviamente, é isso que vamos discutir hoje, mas espero que seja um bom ponto de partida para o que é o Attack Surface Management.

Tom Gorip: Sim. Como na forma mais básica de dizer uma ferramenta que vasculha a Internet para a Internet. Bem, a Internet que enfrenta os seus ativos e que os agrega em algum tipo de ferramenta.

Chris Herrera: Sim, exatamente.

Tom Gorip: Descrição mais básica.

Chris Herrera: Sim. Então, eu estava a tentar pensar numa metáfora de como visualizar isto. E a melhor coisa que eu poderia pensar seria um tipo de coisa muito técnica em que eu estou imaginando como Star Trek ou Star Wars ou algo ao longo dessas linhas em que você tem o monitor da sua nave em uma tela e tem todos os diferentes componentes lá dentro e está monitorando cada elemento da sua nave que está no espaço que pode potencialmente ser derrubado por lasers ou armas ou qualquer coisa ao longo dessas linhas. E além de vos dizer o que está lá, também vos diz o estatuto deles.

Está a dizer-vos como estão a fazê-lo. Pode dar-lhe alguma informação adicional também. E sabem, ao vosso ponto, podem então, se quiserem saber mais sobre outros ativos também, enviar uma investigação, enviar algumas análises, obter alguma informação sobre outra pessoa, e pode não ser útil para outros. Mas para mim, essa foi uma boa maneira de obter uma imagem mental de, pelo menos, amarrar a ASM a exemplos do mundo real por causa de Star Trek e Star Wars. Mas vocês sabem algo ao longo dessas linhas.

Tom Gorip: Falta alguma coisa nessa definição, Jeff?

Jeff Patzer: Sim, sabem, eu vim talvez de mais como o fundo de desenvolvimento, de engenharia. Eu também penso nisso tanto quanto os blocos de construção como o funcionamento interno da coisa que você tem. Então, quando você está pensando em como é a minha superfície de ataque, as coisas que você construiu para fora também são vulnerabilidades de ataque, certo? Então, se você está pensando sobre as coisas que você está escolhendo adicionar como uma perspetiva de biblioteca ou algo assim no código que você está usando para expor, você sabe que não é apenas sobre como a Internet pode chegar até você, é como uma vez que algo tem as coisas, pode fazer dentro de seu sistema também, certo?

Para ampliar a analogia de Star Trek, monitorar o status do motor é tão importante quanto saber o que o campo que você sabe que o campo que protege o laser está fazendo, certo? Então eu venho pensando como hey, se você estiver usando algumas bibliotecas externas, que se você estiver usando qualquer tipo de software neste momento você está garantido para estar usando algum tipo de biblioteca de código aberto para construir essas como pedaços maiores de software. Saber o que está dentro dessas e possíveis vulnerabilidades que elas podem ter também é tão importante quanto as peças externas com as quais as pessoas interagem.

Tom Gorip :A minha próxima pergunta é porque disse que é tão importante monitorizar como porque é valioso. Qual é o valor de executar um ASM?

Chris Herrera: A minha primeira ideia é que muitas equipas de segurança se falarmos especificamente sobre empresas ou se soubermos, mesmo indivíduos em casa, é fácil. Bem, não necessariamente fácil. É fácil proteger as coisas que você sabe que tem e com as quais você está familiarizado. Mas exatamente ao ponto de Jeff, você está construindo essas ferramentas, esses ambientes a partir de muitas peças individuais. E cada uma dessas peças individuais também está a contribuir para a superfície de ataque, a sua superfície geral. Não consigo pensar numa palavra melhor para isso agora. Vou tentar pensar nisso até ao final disto.

Cada uma dessas peças individuais pode tornar-se o elo fraco ou, sabem, o membro mais lento do exército. Além de garantir que tudo isso é enumerado como uma ferramenta de gestão de superfície de ataque, a tecnologia de inventário também pode dar prioridade a esses e dizer-lhe, ei, estes são os mais importantes em termos de se estes descem, todo o sistema está a descer ou eles podem dar prioridade a eles em termos de, ei, estes são os mais vulneráveis em termos do software mais desatualizado ou estão abertos à vulnerabilidade de dia zero mais recente.

E você pode até mesmo dar prioridade a eles em termos de, ei, estes são os mais simples de remendar se você quiser obter alguma fruta baixa ou alguns, você sabe, apenas molhar os pés. Em termos de não necessariamente despachar, mas aumentar a sua postura de segurança em geral.

Jeff Patzer: Sim. Sabem, posso acrescentar a isto, como, para mim, o valor é que está a tornar-se essencialmente impossível ficar por cima de tudo sem algum tipo de sistema de monitorização, certo? É que os sistemas estão a tornar-se mais complexos. Sabem, a analogia que eu sempre estava a pensar para a ASM é, sabem, nos velhos tempos, o que fizemos para proteger contra exércitos invasores à medida que construíamos um castelo? A única maneira de atravessar a parede ao redor foi umas portas, certo? E assim, de certa forma, as portas são como portas para a Internet. Você precisa ser capaz de, sabem, que é um pouco simples, como se o castelo fosse simples, certo? Como se tivesse paredes e talvez um fosso e talvez um par de lugares onde se possa entrar e sair. Mas à medida que se constrói em complexidade, sendo capaz de monitorizar esses, é preciso mais do que um par de corredores que estão a dizer aos generais. Tipo, este é o status dessa porta, certo?

Você está no ponto em que, com o software, você pode realmente federar o controle nas mãos dos membros da equipe, certo? Portanto, qualquer um pode construir uma porta neste momento. Qualquer pessoa pode ampliar as capacidades. E se você vai depender das pessoas para ter que gerir tudo isso, manter o controle dessa complexidade, ele só vai se desmembrar ao longo do tempo. Então, para mim, é como o valor é que ele permite que você cresça em complexidade, mas continue talvez um pouco de espera, como ser capaz de permitir que as pessoas façam coisas, mas também monitorar as coisas que estão acontecendo como as coisas que estão expondo e mantendo o controle disso. Porque, caso contrário, à medida que as coisas ficam mais complexas, não há como os seres humanos acompanhem esses tipos de sistemas. Nem devemos ser.

Tom Gorup: Sim, sim, 100%. Alguns de vocês costumavam dizer que a analogia do castelo é o perímetro. A defesa do castelo está meio morta; não há perímetro, certo? Estamos em vários ambientes híbridos multi-nuvem, alguns centros de dados, alguns no Azure, alguns na AWS, alguns no GCP e no Digital Ocean. Estamos quase por todo o lado. Sabemos tudo o que está por aí?

Quando olho para o que penso sobre a postura de segurança, coloco-a em 3 pilares: Visibilidade, Exposições e Ameaças. Não posso proteger o que não consigo ver. Preciso de compreender onde estão as minhas vulnerabilidades e preciso de compreender como estou a ser atacado. O que estou a ouvir é o Attack Surface Management dá-nos muito dos dois primeiros, especialmente a visibilidade e as coisas que eu não sabia que existiam. Portas abertas, tecnologia de API que estou a usar na minha aplicação, mas também como que realçando quais as vulnerabilidades que existem no meu ambiente de que eu poderia ser atacado. Então, parece extremamente poderoso. Mas, como, que equipas normalmente executam este tipo de ferramentas? Será que só o vemos em equipas de segurança que devem executar um AMS?

Chris Herrera: Historicamente, acho que é preciso dizer que as equipas de segurança são responsáveis ou foram responsáveis por adquirir as ferramentas ASM, por as pôr em funcionamento, por as utilizar de forma consistente, interpretar os resultados, levar esses resultados às diferentes equipas dentro das organizações. No caso de talvez eles estejam a descobrir bens que não sabiam que existiam ou nomes de anfitrião que não sabiam que ainda estavam em funcionamento ou qualquer coisa ao longo dessas linhas.

Mas eu não sei necessariamente se isso significa que é assim que ele precisa estar avançando. É interessante como a tecnologia aumenta em complexidade, mas também em termos do que pode fazer por nós, de certa forma confunde as linhas entre diferentes equipas. É por isso que historicamente, sabem, nós, os termos como os DEV SECOPS ou DevOps ou coisas assim, essas terminologias e a forma como nos referimos às pessoas que estão a criar aplicações. Apenas como um exemplo específico, isso mudou ao longo do tempo pouco nos últimos 5-10 anos. E eu acho que isso pode ser um sinal de como a segurança está de uma forma que se infiltrava na vida de todos.

Agora, não é necessariamente apenas uma equipa de segurança. Eu sei que, na minha experiência, obviamente, nem sequer saberei o que faço, mas a segurança não é uma coisa que faço todos os dias. Mas estou a interagir com outros membros de outras equipas que, nominalmente, não têm nada a ver com a segurança, mas sabem muito simplesmente porque têm de fazer o seu trabalho.

Jeff Patzer: Bem, sim, eu gosto muito da maneira como você coloca isso, Chris. Gosto muito da forma como o colocas no sentido de que todos estão a interagir com a segurança de alguma forma ou de outra, quer seja se estiveres a abrir e-mails neste ponto, estás a interagir com o problema da segurança. Tipo, você está sendo pescado? Estão a ser, sabem, verificados quanto a coisas? Tecnicamente, esse é um tipo de superfície através do qual alguém pode atacar você.

Por isso, penso que quando se pergunta o que as equipas usam, sinto que, historicamente, tem como se FOSSE e os programadores acertassem, como se estivessem a usar isso por razões muito específicas. Mas no geral está a crescer, certo? E como eu estava a dizer, sabem, neste momento, digamos que querem construir um formulário que seja ingerido por vocês, têm parceiros que estão a registar algo ou o que quer que seja, certo? Eu posso construir automações que pegam nessa informação e eu posso enviá-la para qualquer pessoa dentro da organização ou fora da organização.

Como eu disse, há a capacidade de os membros da equipa começarem a fazer coisas que talvez não sejam historicamente como construir um servidor web que faça coisas específicas baseadas na web, mas que ainda sejam partes da recolha de dados para essa organização. Torna-se realmente à medida que avançamos todos, se estiverem online, de outra forma, seja qual for a forma como estiverem, estarão expostos, certo. Você está interagindo de alguma forma ou de outra, sim.

Chris Herrera: E penso que o Tom responde à sua pergunta de há apenas um minuto sobre as equipas que talvez sejam normalmente ou se espera que sejam responsáveis por estas ferramentas. Acho que faz sentido que a segurança tenha tido essa responsabilidade no passado e agora também. Mas considerando que os ASMs podem fazer mais do que apenas fornecer informações de segurança, também podem ser usados como dissemos antes de uma ferramenta de inventário, posso ver porque isso seria muito útil para equipas que não são de segurança. Trabalhando em segurança, muitas vezes trabalho com diferentes equipas e diferentes clientes e fazendo a minha análise de registos e outras coisas.

Apresento-lhes, ei, aqui estão alguns domínios que têm vindo a ver alguns ataques e é sempre interessante para mim quando me deparo com um caso em que a resposta deles é oh uau, pensei que desligaríamos esse domínio há 12 meses e acontece que ainda está ligado. Ainda está muito aberto à Internet. Ainda está a ver muitos ataques. Portanto, o aspeto do inventário pode ser muito usado regularmente por pessoas que não são de segurança e, na verdade, talvez deva depender de quão fácil é de usar.

Tom Gorip: Sim, eu adoro isso e, Jeff, falar sobre a superfície de ataque é muito maior do que ficar em portas abertas, ligando isso a domínios. Temos, sabem, aquisições de subdomínios. Você deixa um domínio que foi ligado a terceiros, e três anos depois, ele está sendo sequestrado e agora está servindo malware que, em seguida, faz com que o seu domínio seja colocado na lista negra. Esse é o problema de todos. Isso é um problema de negócios como um todo. Mas ir mais longe e olhar para você sabe que os e-mails que vêm dentro é um fator intacto.

Embora existam ferramentas para o Gerenciamento de superfície de ataque, a superfície de ataque em si é uma conversa mais ampla que envolve todos os aspetos do negócio e não pode ser limitada apenas ao que a equipe de segurança está monitorando, certo? Tem de estar envolvido, a engenharia tem de estar envolvida, e o marketing tem de estar envolvido. Todas estas equipas precisam de ter uma conversa entre si para proteger eficazmente o negócio.

Jeff Patzer: Uma pergunta rápida para ti, Tom, sobre isto e Chris também. Chris, estás a falar, ei, estou a ver registos como se estivesse a rever registos. Quero dizer, muitas pessoas, não estão a olhar para as linhas de registo, certo? Como vocês mostrem isso e eles são como se agora essa fosse a matriz, eu não faço essas coisas. Quais são os seus pensamentos sobre os tipos de visualizações de dados que podem ser usadas para comunicar melhor a superfície de ataque a pessoas que você conhece, elas talvez não venham de um fundo de engenharia. Eles não vêm de um fundo DE TI onde, sabem, eles se levantam e olham para linhas de troncos todos os dias, onde você pode dar-lhes algo que é como explica a matriz por baixo, certo. O que é que vocês, quais são os pensamentos do seu tipo sobre maneiras que podem, sabem, fazer isso efetivamente?

Chris Herrera: OH, essa é uma pergunta tão boa e interessante. O meu primeiro pensamento é que nunca fui muito bom na visualização de dados, mas sei quando os vejo, e conheço uma boa visualização de dados quando os vejo. Na minha cabeça estou a ver este tipo efémero de ideia de que quero ser capaz de ver visualmente como é quando tenho tudo a partir de uma perspetiva de aplicação web. Quero ver quais domínios tenho disponíveis na Internet. Quero que eles sejam agrupados de acordo, seja o que for que isso signifique. Quero então poder ir lá e ver que versões de que software estão a executar. Num mundo ideal, clique e deslig Mas na maior parte, eu quero uma visão visual para ver a um alto nível o que exatamente está acontecendo e então ser capaz de perfurar a partir daí.

Tom Gorip: Sim. Eu tocaria duas vezes nisso e diria que um gráfico de nó é super poderoso e vejo que em uma série de facetas diferentes, como em um ângulo, é como um processo de resposta a incidentes ser capaz de mostrar a progressão de um atacante. Log4j foi um grande exemplo disto. Log4j De uma perspetiva de resposta a incidentes, o ponto de vista dos MDR é a atividade pós-compromisso porque é um ataque de dia zero; não tens assinaturas para isso, certo? Quando log4j saiu, ninguém tinha uma assinatura para um exploit log4j porque, bem, ninguém sabia disso. Mas o que nós pegamos foi o comando de saída e o tráfego de controle.

Se você pudesse começar a pegar em uma infinidade de ativos chegando a servidores de comando e controle únicos, você quer dizer, mais rapidamente, pegar em ativos comprometidos, mas então a que eles se ligaram? E é aí que, como a visualização de nós, acho que ajuda a criar essas conexões que, de outra forma, não conseguiriam fazer através de logs por si mesmos. Eu sempre imagino que seja como o sonar do Batman, certo? Como dar a obtenção destas vistas nos cantos e lugares e ver conexões onde, de outra forma, não as teria visto através de gráficos de nós. Eu posso fazer nerd em gráficos de nós durante todo o dia.

Chris Herrera: Quer dizer, quem não pode?

Jeff Patzer: Sim, se alguma vez quiserem ver como seria um pessoal muito opinado da DataViz, Chris Edward Tufte é o cara. Ele tem como se as obras seminais sobre isto fosse como deveria ser. Ele é muito opinado, mas tem algumas coisas boas.

Tom Gorip: Adoro. Vou verificar isso. Então, tudo isso me parece ótimo. Eu implantei esta ferramenta, que chamamos de Attack Surface Management, e de repente eu tenho um inventário de todos os ativos abertos à Internet, números de portas, APIs, serviços de aplicativos, tudo. Eu sei como eles vão ser vulneráveis e como eles podem ser atacados. E está tudo apresentado num gráfico praticamente sem gráfico, certo? Então, o que pode correr mal? Que desafios teriam as empresas neste momento?

Chris Herrera: Bem, nada. Você está feito naquele momento.

Tom Gorip: Sim. Certo. Pendure-o.

Chris Herrera: Não, acho que é muito semelhante a alguns dos tópicos de que estávamos a falar antes, onde muitas destas equipas trabalham em conjunto, apesar de cada equipa estar a fazer um tipo de trabalho tão diferente e obviamente haver muitos especialistas locais em diferentes áreas. Mas o tipo de saída destes ASMs que estamos a discutir hoje e de novo, como já falámos antes, o tipo de saída é muito útil para muitas equipas diferentes. Acho que este tipo de coisas remonta, sabem, a todas as equipas que trabalham em conjunto precisam de ser capazes de partilhar informações e colaborar.

Esta é uma ferramenta que não só pode tornar isso significativamente mais eficiente, como também pode, sabem, aumentar a água para todos, aumentando o conhecimento de todos sobre o que se passa debaixo do capô nos bastidores e delinear um caminho para a frente para garantir que a sua postura de segurança não piore e, idealmente, melhore significativamente.

Jeff Patzer: Sim, quero dizer, uma coisa em que penso é como é que se diverte as peças discretas de trabalho que têm de acontecer para isto? É difícil porque, para mim, quando se diz, OK, eu preciso ir abordar a segurança, postura coisas como algumas dessas podem ser fáceis. Algumas delas podem ser mais difíceis como subir a atualização da sua versão do WordPress. Não sei, talvez seja fácil, talvez não seja. Mas como atualizar pacotes de código, especialmente entre como uma versão principal, como se fosse preciso muito trabalho para olhar para essas coisas e dizer, sabem ao fazer isso, vou quebrar algo que já está em produção, certo? Como da perspetiva de um programador, parece que parece simples o suficiente, sim, basta atualizar esta versão menor, não tão má versão principal. Pode ser muito difícil fazer isso de forma eficaz. Então, eu não sei.

Para mim é quase como a postura de segurança. O trabalho que entra é quase como refatorar o trabalho ou lidar com código antigo que você precisa cuidar, certo? É quase como uma tarefa em alguns sentidos ou não é o aspeto criativo de como construir. Está a voltar atrás e a olhar para o que fez e a gostar de se apoiar e reparar e fazer coisas assim. E assim, eu acho que qualquer ferramenta que você tenha deve ajudar a quebrar esse trabalho discreto para permitir que você a federar aos proprietários, para atribuir pessoas que possam assumir o controle. Porque no final do dia, se vocês têm, como eu disse, um sistema complexo, vocês vão ter muitas coisas diferentes que têm que acontecer. E ser capaz de garantir que você pode gerir isso e depois auditar e acompanhar como os seus projetos, como o processo real de fazer o trabalho torna-se tão importante quanto saber que você tem que fazê-lo, acredito.

Tom Gorup: Sim, sim. A primeira coisa que vem à mente são resultados mensuráveis. É o que ouço frequentemente dos clientes. Há duas perguntas que ouço dos clientes o tempo todo: Como é que me podem tornar mais seguro de uma forma mensurável? Como é que se pode medir isto fez-me melhor, fez-me mais forte. E então qual é a próxima coisa mais importante em que preciso trabalhar? Priorização eficaz.

Tudo bem, então sabem, pensar nisso, porque eu acho que ao vosso ponto vocês têm é como se muito desse trabalho também pudesse ser obscuro. Como é que resolvo este problema? É uma mudança de código? É uma mudança de configuração? Talvez eu não consiga resolvê-lo de todo. Talvez tenhamos de aceitar este risco. Como é esse processo? Então, sim, isso é um bom conselho.

Jeff Patzer: E acho que uma coisa boa que me fez pensar é o ruído, como a relação ruído/sinal. Portanto, é como ter a certeza de que a ferramenta está a dizer-vos está a ajudar-vos a descobrir qual é a coisa mais importante. E se é sobre-indexar coisas demais que não é tão grande de um negócio. Isso é mais como uma coisa do tipo de alerta. Como, ei, isso pode ser algo que você deve estar preocupado, como ajudar a distinguir essa relação ruído-sinal. É igualmente importante porque saber em que se concentrar é, é o que é preciso começar, certo?

Chris Herrera: Certo. Se você receber 1000 notificações que são todas de baixa prioridade, então isso pode fazer com que você pense que está em um local muito pior do que você realmente é.

Tom Gorip: Eu sinto que essa é a sua zona de ataque, certo Chris? Prioridade ativa com os clientes. Quaisquer cenários vêm à mente onde é como, cara, eles deveriam ter trabalhado nisso, ou sabem, ou talvez você tenha feito uma má recomendação. Eu adoraria ouvir isso.

Chris Herrera: Isso é bom. Não, nunca fiz uma má recomendação. Então, a sua primeira pergunta, passando pela análise, é um pouco de experiência para mim quando falo em trabalhar com os meus clientes, estou a ajudá-los a proteger as suas aplicações web. E muitas vezes quando estou a apresentar a minha revisão, as minhas recomendações e quaisquer ajustes de ajuste que eu acho que eles devem fazer aos seus produtos de segurança, muitas vezes isso é porque as suas aplicações não foram escritas com segurança em mente desde o início. Mas não só isso, também não foram escritos de uma forma que seja fácil fazer mudanças de seu lado.

É por isso que é da nossa perspetiva, da perspetiva da minha equipa de segurança, que podemos fazer patches virtuais dentro da aplicação, criando regras de segurança personalizadas, qualquer coisa dessas linhas. Acho que esse tipo de respostas à pergunta com relação a fazer análises de segurança e como isso pode iluminar como os clientes podem fazer melhor. E sabem, no que diz respeito a fazer más recomendações, eu nunca, eu nunca identificei erradamente um falso positivo.

Jeff Patzer: Nunca o fiz. Nunca aconteceu.

Chris Herrera: Acho que no início da minha carreira eu poderia ter sido um pouco exagerado em termos de recomendar ou talvez de colocar na lista negra certos endereços IP. À medida que se torna mais confortável com ele, é uma espécie de última linha de defesa neste momento. Mas sim, essa é provavelmente a pior decisão já tomada, pequenos erros como esse.

Tom Gorup – Penso que estão a falar com o poder de um ASM é poder olhar para os riscos que o vosso negócio, a vossa superfície de ataque e os riscos que o vosso negócio está a assumir e encontrar formas de mitigar esses riscos com as ferramentas que têm disponíveis. Às vezes, remendar não é algo que se pode realizar hoje. Trabalhei num incidente que não sei, talvez há uma década haja uma investigação forense num dos seus ativos mais críticos que foi infetado pelo Conficker.

Não sei se se se lembram da Conficker e essa máquina ainda pode estar comprometida hoje, porque a sua resposta foi que esta máquina está a fazer-nos demasiado dinheiro por minuto. Estava a fazer algum processo que lhes estava a ganhar demasiado dinheiro. A decisão deles era fazer uma lacuna aérea só para tirá-la da rede, deixá-la continuar a funcionar, mas ela permaneceu infetada. Na verdade, acho que eles colocaram um cadastro como não se conetar à rede e foi assim que eles resolveram isso. Porque, do ponto de vista do negócio, não valia a pena derrubar essa máquina e arriscar a receita associada a ela. Eles preferem simplesmente manter o processamento de TI em um estado comprometido.

Tenho a certeza de que há muitas máquinas com Windows XP por aí ainda em produção, certo. Da mesma forma que temos a ferramenta certa no lugar, embora o WAF seja ótimo, o patch virtual que eu acho é um exemplo incrível em que ei, não podemos corrigir isso agora. O que fazemos entretanto? Como resolvemos isso e potenciamos a nossa experiência, acho que é uma ótima, ótima recomendação, uma questão com nuances.

Estava a pensar que com um ASM haveria uma diferença entre o on-prem e a nuvem? Os resultados mudariam, o valor da ferramenta mudaria? O que seria de esperar diferente entre essas duas soluções?

Chris Herrera: OH, uau. Imediatamente estou a pensar, por isso poderia haver tantas mudanças. No final do dia, eles estão a fazer a mesma coisa até ao objetivo, que é identificar o inventário, descobrir onde estão as vulnerabilidades, etc. Mas no local versus baseado na nuvem, isso é uma espécie de; quero dizer, é semelhante a muitos produtos de segurança e às evoluções que todos tomaram ao longo da última década.

A seu ponto, em relação ao WAFS, pelo menos aqueles costumavam ser completamente apenas no local. São máquinas muito caras de centenas de milhares de dólares que estavam limitadas a você saber tanto poder de processamento como que uma máquina pode lidar e agora a maioria delas são baseadas na nuvem e os usuários não precisam se preocupar com quanto tráfego eles podem inspecionar ou qualquer coisa ao longo dessas linhas. Então, com um ASM baseado na nuvem versus on-premise, isso teria muitas das mesmas semelhanças com as capacidades técnicas e capacidades de computação.

Mas não só isso. Teria a dicotomia de quem é responsável por fazer as mudanças para a arquitetura subjacente. Você compra a peça de hardware, e então você tem que ter certeza de que todas essas coisas estão funcionando. Enquanto que se trata de uma solução baseada na nuvem, pode cair na visão de quem quer que esteja a comprar ou a usar e a pagar os direitos de usar o serviço. Além disso, eles teriam capacidades diferentes, muito semelhantes novamente aos produtos de segurança on-premise versus baseados na nuvem.

Portanto, um ASM baseado na nuvem provavelmente teria significativamente mais recursos em termos de digitalizar proativamente fora da sua própria rede e digitalizar através da Internet em todo o mundo. Enquanto que, na minha mente, pelo menos, uma solução no local pode estar limitada ao seu próprio ambiente. O que pode fazer sentido se isso é tudo o que nos interessa. Mas se você quiser ver o que mais está lá fora ou o que está disponível para os atacantes da perspetiva deles em relação ao seu ambiente, isso também seria uma consideração.

Jeff Patzer: Acrescentaria isso, Chris. Eu acho que às vezes as pessoas pensam que o Prem é, você possui hardware, você executa o seu próprio hardware. Acho que tem sido assim há muito tempo. Mas também pode haver esta ideia de um Prem em que você está executando o seu próprio software, você possui a propriedade disso. Então, vamos pegar como um pacote de código aberto de algum tipo, certo, onde você decidiu que sabe, em vez de construir algo do zero sozinho, você vai pegar uma coisa de código aberto existente, você vai executá-lo dentro de sua própria rede de nuvem de algum tipo, mas você está administrando-o sendo executado, certo.

A intenção geral é que, em vez de sabermos que compramos um serviço de terceiros pelo qual pagamos, e que eles gerem, estamos a possuir a gestão do mesmo, mesmo que ainda esteja a ser executado num escalador de nuvem. Para mim, o resultado ainda é o mesmo, como se ainda precisasse de fazer as mesmas coisas que estava a fazer, quer esteja a usar uma coisa de terceiros ou a executar o seu próprio pacote de código aberto de qualquer software que possa ser. Acho que, neste momento, tentar distingui-lo, não é um grande uso do tempo porque no final do dia, estão todos expostos de alguma forma ou de outra e pode passar de super simples a muito complexo e tudo o que capta isso é importante.

Tom Gorip: Sim, é interessante. A única diferença, e foi como se destacar na minha mente, foi a natureza distribuída da nuvem e a capacidade de digitalizar de diferentes lugares do globo. Como é a minha rede da China? Como é a Rússia? Como é a Letónia, em comparação com onde estão os meus clientes? Como é que se parece do ponto de vista deles? Talvez ser capaz de cortar o mundo dessa forma e geri-lo de forma diferente poderia ser interessante. Mas, ao mesmo tempo, sabem, com o uso crescente de redes ORB e caixas de relé operacionais, e sabem, o geofencing está efetivamente morto. Não deveria importar. Devíamos estar a bloqueá-lo independentemente de onde vem.

Isto tem sido ótimo. Jeff, deixe-me abrir quaisquer pensamentos finais sobre um Gerenciamento de superfície de ataque. Pensamentos finais.

Jeff Patzer: No final do dia eu vejo a ASM como outra ferramenta para te dar uma visão das coisas que estás a construir, das quais precisas de estar atento. Já disse isto antes, vou dizê-lo novamente, vou dizê-lo agora mesmo. Nenhuma ferramenta substitui o pensamento crítico. No final do dia, você precisa olhar para o que está dizendo e você tem que entender isso para ser capaz de fazer algo que faz sentido com isso. Podem comprar todas as ferramentas do mundo, mas se não se sentarem ali e pensarem no que é que estou a tentar realizar no final do dia, isso não vos serve.

Chris Herrera: Sim. Os meus pensamentos finais vão ser que algumas pessoas possam pensar nisso como um pouco de um cop-out, mas a IA obviamente não vai a nenhum lugar tão cedo, e se alguma coisa, só vai ter mais espaço onde quer que vá. Para o ponto de Jeff em que ele mencionou que não há substituto para o pensamento crítico, eu uso especificamente a IA, ChatGPT quase todos os dias para o meu trabalho e obviamente não pode fazer o meu trabalho para mim, mas definitivamente me leva na direção certa. A razão pela qual estou a apresentar isto é para a ASM, em termos de recomendações, em termos de passos em frente, mas também em termos do grande volume de dados que podem ser apresentados na saída de uma ferramenta como essa. Acho que vai ser quase imperativo que a IA assuma algum tipo de papel, seja enorme, seja pequena em termos de apresentar isso aos seres humanos e torná-la humanamente relacionável.

Tom Gorip: Sim, eu adoro isso. Adoro esse processo de pensamento, especialmente quando estamos a combinar vários conjuntos de dados. Mais uma vez, volto à postura de segurança, visibilidade, exposições e ameaças. O Gerenciamento de superfície de ataque nos dá muita visibilidade, muitas das exposições, ligando isso às suas ameaças, elas se tornam entradas para ajudá-lo a tomar decisões e ajustar sua postura de segurança como um todo. Mas para o ponto de Jeff, o pensamento crítico é um requisito. Não se pode simplesmente defini-lo e esquecê-lo. Como qualquer ferramenta. E, para o vosso ponto, a IA nem sempre está no ponto certo, como se não conseguires fazer o teu trabalho por ti, mas pode ajudar-te a guiar-te.

Acho que esta é uma conversa fantástica, muito divertida, e provavelmente poderia passar mais 30-40 minutos a falar de Gestão de superfícies de ataque e a escavar todos os buracos de coelho. Mas temos de parar. Portanto, é tudo o que temos para hoje. Obrigado por se juntar a nós no ThreatTank.

Para se manter atualizado com a mais recente inteligência de ameaças do Edgio, você pode se inscrever online no edg.io. Jeff e Chris, obrigado por voltarem. Isto foi fantástico. Eu aprecio o seu tempo.