Home Podcast ThreatTank – Episódio 5 – A Parada de TI
Download
Applications
Media
Expert Service

ThreatTank – Episódio 5 – A Parada de TI

Download
Share

About The Author

Picture of Tom Gorup
Tom Gorup
As the Vice President of Security Services at Edgio, Tom Gorup leads a team of security professionals who deliver world-class security solutions to customers across various industries. He is responsible for overseeing the company's global security operations, ensuring the highest standards of quality, efficiency, and customer satisfaction. Tom has over 15 years of experience in managing security operations, from co-founding and running a successful MDR startup to directing a large-scale SOC at a leading cloud security provider. He has a proven track record of building and growing security teams, developing innovative technologies and processes, and securing organizations from emerging threats. He is also a recognized thought leader and speaker in the security industry, as well as a decorated veteran who served in the U.S. Army. Tom is passionate about advancing the field of cybersecurity and empowering his team to deliver the best security outcomes for their customers.

Outline

Download
Share

Fique à frente das ameaças cibernéticas com as últimas informações dos nossos especialistas em segurança.

Inscreva-se agora para receber:

  • Novos episódios de ThreatTank ao serem lançados
  • Os principais ataques da indústria
  • Percepções e estratégias de resposta acionáveis
  • E mais!
Subscreve já

Uma Introdução ao ThreatTank – Episódio 5: A Parada GLOBAL DE TI

Tom Gorip: Bem-vindo ao Threat Tank, um podcast que aborda a mais recente inteligência sobre ameaças, resposta a ameaças e insights sobre o cenário de segurança em todo o mundo. Sou o seu anfitrião, Tom Gorip ,vice-presidente de serviços de segurança da Edgio.
E hoje, vamos mergulhar na recente queda DE TI DE alto nível, explorando o que aconteceu, qual foi o impactos e o que podemos aprender com isso.
Hoje juntem-se a mim estão Richard Yew e Matt Fryer.
Bem-vindo, Richard, Matt.

Matt Fryer: Feliz por estar aqui. Obrigado por me ter.

Richard Yew: Obrigado por me ter aqui novamente.

Tom Gorip: Sim, de novo. Então Matt, como você é novo no Threat Tank, quem é você? Apresente-se.

Matt Fryer: Feliz! Matt Fryer , sou o arquiteto CISO da Fortinet.
Portanto, a minha experiência é um longo caminho de segurança cibernética de colaboradores individuais como gerentes de projeto e programa que trabalham diretamente no centro de operações de segurança em segurança de aplicativos até a gestão média até a CISO, um executivo de operações de segurança em algumas organizações diferentes.
Então, eu tenho uma espécie de experiência entre trabalhar diretamente com empresas dentro de uma empresa, bem como do governo federal e do governo civil de nível DoD.

Tom Gorip: Muito bom. Isso parece muito divertido em todo o lugar.

Matt Fryer: É como uma abordagem de espingarda para a segurança. Basta fazer tudo.

Tom Gorip: Sinto que são muitas pessoas em segurança, especialmente na última década, certo? É muita coisa a descobrir ao longo do caminho.

E Richard, que tal você? Eu sei que você já passou antes, mas sim.

Richard Yew: Eu estava a pensar se pode dizer que Richard não precisa de introdução, mas aqui estou eu.
Sim, Richard Yew , sou vice-presidente de gestão de produtos na Edgio.
Sou responsável pelos desenvolvimentos e estratégia de mercado de crescimento para o nosso portfólio de segurança, bem como, sabem, aplicações de computação de ponta, bem como uma linha de negócios de desempenho web.

Tom Gorip: Fantástico. Bem, mais uma vez, bem-vindo ao Threat Tank. Vai ser, acho que vai ser um episódio divertido.
Acho que temos muito para falar, especialmente se tivesse isto, este evento a acontecer, sabem, há quase um mês. Por isso, temos um pouco mais de informação, um pouco mais de detalhes na parte de trás

Mas antes de começarmos, adoraria começar todo o nosso podcast com uma pergunta. E para todos os que ouvem, eles não fazem ideia do que é esta pergunta. Então, vocês estão ambos prontos? Estão prontos para isso?

Matt Fryer: Eu estava pronto como um pode ser.

Tom Gorip: Sim. Não importava. Eu ia estar pronto para ir de novo.
Então, tudo bem, aqui está uma pergunta.
Você é agora um super-herói com o poder mais mundano imaginável.
O que é e como usá-lo para salvar o dia?

Matt Fryer: Superpotência mundana. Então, conseguimos definir a nossa superpotência mundana. Sim, vamos ver.
O que é uma superpotência boa e mundana? Não sei.

Tom Gorip: Talvez seja possível. Quando respiramos, tomamos, maximizamos a ingestão de O2.

Richard Yew: Eu não sei, cara. Quero dizer, apenas ser capaz de fazer crescer uma barba como vocês. Quer dizer, isso é superpoder, homem.

Tom Gorip: É muito mundano, certo?

Matt Fryer: Como acelerar.

Richard Yew: O que é que faz com esta coisa? Posso mudar o mundo, sabem?

Matt Fryer: Sim, o crescimento acelerado do folículo permite-me ficar bem e manipular as pessoas para fazer o bem, fazer o bem e não as coisas más – uma seta de informação e desinformação. Podem usar a boa aparência para criar coisas boas em todo o mundo.

Richard Yew: Fantástico.

Tom Gorip: Sim, isso faz parte do Neandertal em mim. Sabem, só o cabelo cresce.

Matt Fryer: É o irlandês em mim.

Richard Yew: Esse é o Neandertal. O vermelho vem do Neandertal, por isso ouvi.

Matt Fryer: É assim que há muito vermelho e mais cinzento nele. Quando a segurança cibernética é suficientemente longa, a cor vai, você recebe os cinzas.

Tom Gorip: Então Richard, o seu seria barba. Cultivam uma barba? Sabem, estou a imaginar-vos agora com uma barba como a minha, como plantar aquilo em vós.

Richard Yew – Vejam, como a razão pela qual mencionei a barba é porque eu estava a pensar no cabelo como a minha superpotência mais mundana é apenas fazer o cabelo crescer da mesma forma e parar de crescer a um certo comprimento para que eu possa simplesmente acordar, não ter que me preocupar com o cabelo, ligar as minhas câmaras e fazer o que eu tenho que fazer, não sei, poupar 30 minutos de cabelo a fazer. Sim, eu vou ser uma vez.

Matt Fryer: Sim. É poderoso. Tenho cerca de 4 cálice. Vocês sabem como é difícil lidar com isso.

Tom Gorip: Sabe, isso é bastante mundano, mas ainda é útil.

Richard Yew: Sim. Gostaria de acordar todos os dias com o mesmo cabelo.

Tom Gorip: Sim. É como não tentar descobrir o que vai vestir. Tipo, se eu não tivesse que gerir o meu cabelo, seria ótimo. Tentei barbear-me. Raspoei-o durante a COVID, mas a minha mulher é realmente uma habitante. Portanto, a luta é real.

Richard Yew: Ser capaz de tomar um banho com as suas roupas e não as molhar. Certo.

Matt Fryer: Isso é ótimo. Receber consolo. Disse à minha mulher que ia barbear a barba. A tua barba vai picar-me, mas eu ia raspar a minha barba. E a resposta dela foi: Ninguém jamais confiará em você, então você tem que manter a barba. Não se pode confiar em mim sem barba.

Tom Gorip: Isso é justo.

Richard Yew: Agora estás a magoar os meus sentimentos.

Tom Gorip: Tudo bem, tudo bem, então vamos entrar. Então, o que aconteceu?
O CrowdStrike lançou uma atualização e causou alguns problemas e quando dou mais detalhes no fundo do que aconteceu aqui?

Matt Fryer: Alguns problemas. Então, eles implantaram uma atualização para o seu software e isso não se deu bem com versões específicas do Windows, certo. Portanto, nem todas as versões, havia definitivamente pessoas que executavam versões que não eram afetadas, mas que afetavam o Windows e causavam o que é notoriamente conhecido na INDÚSTRIA DE TI como a tela azul da morte e exigiam uma intervenção manual para remover entradas de arquivo específicas que estavam causando uma morte de tela azul para que você possa fazer com que o sistema operacional real funcione normalmente. Então, na verdade, lançou uma atualização, e quebrou o Windows no processo é uma espécie de visão de 10 000 metros do que aconteceu.

Richard Yew: Sim, eu estava a fazer trabalhos de casa de última hora e reli ontem toda a RCA. É engraçado. É como um erro simples, como se tivesse essencialmente um sensor, mas também existe um RRC de conteúdo de resposta rápida, que é essencialmente apenas uma configuração. Mas as configurações, como quando esperam 21 entradas, mas a configuração só tem 20 entradas. Então, adivinhe o que aconteceu? Você tenta ler isso, e há um pouco de problemas de memória que estão causando uma falha nos drivers do kernel. Quero dizer, entre em porque está no kernel em 1º lugar.

Tom Gorup – Então, quando eu estava lendo a RCA, eu não podia evitar, mas eles são como, imaginem algum tipo de GIF desse parâmetro e é como lá fora na natureza, simplesmente nunca chegou, sabem, é como se fosse este parâmetro de perda, 20 em 21. Apenas um parâmetro causa falhas globais DE TI como todos o descrevem. Isso, para mim, é espetacular. Então, ao vosso ponto, isto é o agente CrowdStrike que está a funcionar ao nível do kernel, mas vamos explorar um pouco isso. Precisa desse nível de acesso? Como o quê? Porque é que tem acesso ao kernel?

Richard Yew: Queres trazer a Microsoft para isto?

Tom Gorip: Sim. Quer dizer, você tem que, certo? Quando estão a explorar este problema, como de forma abstrata, isto é o que eu tenho pensado nas últimas semanas, é quem está em falta, certo? Começamos a quebrar este problema. Nós falamos sobre o CrowdStrike, empurrar para fora uma atualização que tinha 20 parâmetros em vez dos 21 necessários, subproduto é falha de um agente. OK, bem, o software falha. Acontece. Deve uma atualização de assinatura falhar o software? Provavelmente não. Deveria ter havido testes mais rigorosos? Provavelmente. Mas agora estamos a travar os sistemas operativos em cima disso, certo? Então, agora a Microsoft está no mix.

Matt Fryer: Então, quando você começa, quando essa pergunta é feita a partir de A, de um nível de estratégia para um nível de risco, é como quem está em falta? Quem é quem? Quem é, realmente, quando se estreitam nisso por culpa do que aconteceu e, e a resposta fácil é culpar o CrowdStrike. Essa é a resposta mais fácil que todos vão fazer. É como, oh, bem, você empurra a atualização, você quebrou tudo. É a resposta mais fácil de dar. Muitas vezes não é a resposta certa. Eu diria, de uma opinião profissional, da opinião de um estrategista, que é culpa de todos, certo? Então, se eu sou o CrowdStrike, eu envio atualizações no final da semana globalmente sem abordagem gradual, apenas um grande empurrão que provavelmente não é o melhor processo do mundo. Como um indivíduo que está a gerir um ambiente, não tenho qualquer consideração e na disponibilidade do meu ambiente, certo? Será que me torno totalmente dependente da cadeia de abastecimento e crio problemas no meu abastecimento que permitam à minha cadeia de abastecimento criar perturbações? Não acho que isso seja parte do meu programa de gestão da cadeia de abastecimento, mas não considero isso porque parte disso me pertence como uma CISO ou, ou diretores de segurança para dizer, ei, como se tivesse que ter em consideração que terá a SolarWinds ou a Microsoft ou o CrowdStrike ou alguém que irá causar uma interrupção no seu ambiente. É preciso ter um BCP ou um método para superar isso. Então, não pode ser, oops, desculpe, CrowdStrike quebrou. É tudo culpa vossa. Essa não pode ser a resposta. E do ponto de vista regulatório, temos órgãos reguladores que entram e ditam às organizações, às empresas como precisam de operar para criar condições equitativas, certo? E podemos preparar-nos para um pouco disto, mas quando temos órgãos reguladores que estão a ditar campos de igualdade para, sabem, empresa, estamos a criar buracos. É inadvertido. Não é malicioso de forma alguma, mas você está criando buracos por natureza. Então, quando você faz essa pergunta, por que você tem acesso ao kernel? Acho que se fizerem um pouco de escavação, vão descobrir porquê, certo? A resposta fácil é que eles não tinham escolha. Tiveram que dar a eles porque isso era um ditado que veio de órgãos reguladores.

Richard Yew: Sim, acho que tudo se resume a leis anticompetitivas. Então, por exemplo, parte disso é que o Windows tem o Windows Defender como se o defender fosse o único que tem acesso ao kernel para poder instalar controladores do kernel, então dá vantagem injusta aos dependentes do Windows, certo? Para competições de livre mercado, certo? Outros fornecedores de segurança devem ter acesso a ela. No entanto, como se eu fosse de uma perspetiva técnica dos meus chapéus técnicos aqui.

Tom Gorip: E também é preto. Isso é bom. Sim, o branco na mão esquerda…

Richard Yew: Mas eu tenho um branco!
Então, o que acontece foi que de acordo com opiniões de especialistas, certo. Muitos destes recursos de segurança requerem acesso ao nível do kernel para realmente executar as suas funções. E você pode argumentar que, ei, porque é que está mais do lado da Microsoft? Na verdade, para dar um passo atrás, sabem, só para os fins de fundo de todos, certo? Sabem, em computação, certo, geralmente há duas fases, como dois espaços no trajeto. Há um espaço de kernel onde o hardware está interagindo com o software e depois há um espaço de usuário. É aqui que você sabe, o seu Windows carrega seus programas, você pode instalar seus jogos no seu software, suas palavras da Microsoft e o que quer que seja e eles podem usar esse é o espaço do usuário. Então há sempre um debate, certo? Ei, você deve instalar os serviços de segurança no seu espaço do kernel porque ele tem o acesso de nível mais alto ou mais como o acesso de nível mais baixo, certo?

Tom Gorip: Neste caso, tela zero, certo?

Richard Yew: Sim, você pode ver o que quer que haja um malware que está a criar novos processos e ameaças ou se você tem um malware que está a escrever, sabe, um arquivo malicioso no disco, você é capaz de intercetar e parar isso a esse nível. É por isso que, no entanto, há também o trapaco que é perigoso, certo? Assim, como mostrado neste caso, a falha no driver resultou em falha na inicialização, o que significa que o usuário final nunca será capaz de alcançar o espaço do usuário em primeiro lugar.

Matt Fryer: Sacrificou a disponibilidade por causa de uma estratégia singular de mitigação de controle. Então foi, ei, preciso de acesso ao kernel porque vou ter este nível profundo de inspeção contra os ataques maliciosos, certo? Esse é o processo de pensamento do (Microsoft) Defender, nem de todos os outros, certo? Preciso de monitorizar o kernel porque, se algo de mau acontece no kernel, preciso de ver isso para que possa mitigá-lo. E sinto-me como um passo atrás e dizer, bem, será que essa é a abordagem certa para isso? Ou é o isolamento e a quarentena uma melhor abordagem para criar condições de igualdade com disponibilidade e segurança. Então, é como, você precisa de acesso ao kernel porque você vai quebrar coisas se você fizer algo mau, certo?
Prefiro que o monitorizem e depois isolem e colocem quarentena se houver um problema porque não estou a quebrar coisas más.
Isso faz sentido?

Tom Gorip: Acho que há algumas direções diferentes que poderíamos, sabem, tomar para levar esta conversa também dessa forma. Como, sabem, um deles é este controlador em particular que foi assinado pela Microsoft, foi escrito de uma forma que se estendia efetivamente para alavancar outras DLLS de certa forma. Eu não acho que eles eram realmente arquivos de sistema, mas eles eram equivalentes onde os drivers agora executam arquivos fora do seu tipo de parâmetros, certo? O que foi o que causou o acidente. É esse tipo de como estou a compreendê-lo?

Richard Yew: Sim, algo assim. É honestamente lá, há sempre um debate e, como podem ver o CrowdStrike RCA, certo? Eles aludiram muito bem ao facto de que a versão mais recente do Windows fornece mais funcionalidades para executar serviços de segurança no espaço do utilizador. E continuaremos a trabalhar diligentemente com a Microsoft para garantir que somos capazes de portar mais desta funcionalidade de segurança. Então, eles reconhecem que correr estas coisas no espaço do kernel provavelmente não é um bueno, mas eles têm que fazê-lo por causa do ambiente que lhes foi fornecido, certo? Para que eles funcionem eficazmente, eles têm que fazer isso. No entanto, se mais uma vez, é aqui que voltamos a gostar de quem é culpa e sabem o que é isto? Esta falha do CrowdStrikes é como eles estão exigindo apenas executar isto no espaço do kernel? Não sabemos, certo? Mas parece que há definitivamente um desejo de portar todos eles para o espaço do usuário? Ser capaz de fornecer o mesmo nível de inspeções e visibilidade qualquer que seja o malware que está a ser escrito sobre isso, por exemplo, os processos a um nível mais alto exces. Assim, como as indústrias aéreas ou qualquer código de segurança está escrito em sangue. Eu sinto que, neste caso, cada melhoria de processo, quaisquer melhorias na portabilidade de recursos de segurança de um nível de kernel para um espaço de usuário, é escrito com interrupções, certo?

Tom Gorip: Sim, é um modelo menos privilegiado. Quanto é que realmente precisa? O que pode ser feito? O que precisa estar ao nível do kernel? Mas quando penso nisso também, pergunto-me, sabem, a forma como o descreviam anteriormente, Matt, era quase sentida como uma coisa de cultura de segurança, certo? Precisamos de mais visibilidade, mais acesso. Precisamos ser capazes de ver todas as coisas, o tempo todo. E sabem, fizemos isto connosco de um ponto de vista da cultura de segurança semelhante? Temos que arranjar agentes em tudo, como adicionar mais software.

Matt Fryer: Quando você entra em operações de segurança na maior parte das vezes que você fala como os estrategistas há 10 anos, eles queriam os logs de tudo. Quer dizer os registos de tudo? Há como este um modelo de enviar-me tudo o que é possível até que eles perceberam muito rapidamente que não há maneira de fazer tudo isso. Sabem o que quero dizer? Vocês estão a levar tudo isto. Então, há essa cultura com insegurança. É como, apenas me dar acesso a tudo para que eu possa fazer o meu trabalho. E nunca se deu um passo atrás. E a referência do Parque Jurássico, certo, é que você quer ter acesso. Deve ter razão? Deve ter esse acesso? Devem estar a fazer isto? Não é que você pode, é você deve certo? E nós nunca como uma cultura em segurança, estamos começando a descobrir isso e estamos começando a dar esse passo atrás e ir, OK, precisamos desse acesso? Existe outra estratégia em que não precisamos disso? Podemos fazê-lo de uma forma diferente, certo? Porque, por outro lado, seremos um pouco mais seguros, criaremos um melhor programa de disponibilidade ou sabemos, temos um melhor tempo de resposta se tivermos um problema, certo? Há muitas análises diferentes que se vão para isso. Mas nós fizemos isso a nós mesmos ao ponto de que, se precisarmos de acesso a tudo e estamos a pisar nos nossos próprios pés no processo disso, certo? Dá-me acesso a todas estas coisas, certo? Dê-me toda a analogia mais simples que você pode dar é como, enviar-me todos os logs, certo? Mas você perdeu 30 ataques diferentes porque você tinha 55 gigabytes ou petabytes de logs que estão voando para o seu Sim e você só tinha seis pessoas revendo-os.

Tom Gorip: Sim. Então, o alvo da violação, certo?

Matt Fryer: Sim. Vocês queriam tudo e nós demos a vocês, mas não conseguiam fazer tudo com ele porque não tinham a capacidade de o fazer, certo? Então, talvez dê um passo atrás e comece a entender o que você pode fazer e depois analise isso e, em seguida, ter o acesso que você precisa ter. Então, estamos começando a ver essa mudança um pouco, certo? Enquanto que uma indústria que você sempre acabou de nos enviar tudo, a indústria de segurança me deu tudo porque eu preciso de tudo. E nunca deu um passo atrás para dizer que não pode fazer tudo o que precisa de fazer porque não tem nem a tecnologia nem as pessoas para a tirar.

Tom Gorip: Sim, uma coisa dessas linhas que tenho pensado são os títulos, sabem, e é uma oportunidade para o meu próprio trabalho, acho que a segurança é apenas um patch. No final do dia, a segurança é apenas um patch para, sabem, ou algo que o ser humano fez, má configuração, clicou no link errado, escreveu algum código mau; é segurança é apenas um patch. Como é que sabemos, algo que tenho pensado é a abordagem de orçamento de soma zero para a segurança. Aproveitando o que está lá. Primeiro, antes de começarmos a adicionar todas estas camadas e adicionar software adicional, que estamos a ver vezes e vezes está a tornar-se um problema.

Matt Fryer: Quer dizer, você trava a economia e depois não tem nenhum orçamento e você descobre a melhor maneira de fazer o melhor que puder. O que você tem não é a resposta. É uma boa pergunta. Acho que, mesmo há cinco anos, era como se estivesse a ver programas de segurança a começar a devorar mais da PILHA DE TI, certo? E em várias vidas passadas, vi a segurança ter o seu segmento. É como, oh, bem, eu executo o SIM e executo IDS, executo IPS, executo segurança de aplicações, executa firewalls e outras coisas. E quando eles estão a descobrir enquanto vocês estão a ver esta convergência de rede e segurança, e eu estou a dizer que sabendo muito bem o petróleo e a água que realmente são, mas vocês estão a ver esta convergência de rede e segurança a juntar-se ou ELA e a segurança a juntarem-se onde vocês estão a vê-LO apenas uma espécie de devorar mais do que está a fazer porque eles sentem que têm de o proteger enquanto o fazem, certo? E vocês estão vendo que isso leva cada vez mais e mais. E eventualmente você vai ser apenas um grupo, certo? Você vai ser apenas uma plataforma, uma organização de TI segura, certo? É assim que vai ser se o derem tempo suficiente. Mas eu acho que, quando pararem de dizer que preciso de uma tecnologia individual ou de uma pessoa individual para realmente resolver um problema, é quando vocês vão começar a afastar-se dessa necessidade de sempre ter essas camadas de diferentes tecnologias que fazem todas essas coisas, certo? Porque estamos a tentar resolver um problema com uma tecnologia. E temos feito isso há tanto tempo e a indústria tem feito isso para nós, certo? Temos vendedores que vendem uma tecnologia. É tudo o que eles fazem. São os melhores dos melhores. Vamos comprar isso, certo? Mas vocês estão vendo como uma saída disso no e provavelmente veem nos próximos cinco anos que vão começar a ver organizações, programas de segurança dizem, olha, vou parar de fazer isso e começar a construir plataformas, certo? Preciso de algo que resolva 100 problemas, não resolva um problema. E ao fazer isso, o que você vai ver é uma redução nas camadas desse programa de segurança. E, ao mesmo tempo, não sou um proponente disto. Vou definir a mesa. Há, eu tenho essa garganta para sufocar uma mentalidade, certo? Única fonte de verdade. Está a começar a reduzir muito essa pilha até onde fica muito mais fácil gerir essas coisas, certo? A ideia de comprar uma peça de tecnologia ou contratar uma pessoa para resolver um problema está rapidamente a desaparecer. Está a começar a ver muitas plataformas a acontecer ou muita equipa a construir em torno de múltiplos problemas a acontecer. Então, em vez de ter uma equipe de aplicativos, você terá uma equipe de segurança de redes que tem segurança de aplicativos , segurança de rede, certas equipes de segurança de serviços de rede, equipes de lançamento, tudo isso nessa única equipe. Porque essa coesão de todos aqueles indivíduos que trabalham juntos reduz, sabem, não apenas o risco, mas a sobrecarga financeira quando se trata de tudo isso. Há muitas coisas que estão a acontecer para reduzir as camadas por uma série de razões. A 10 000 metros, resolva um problema financeiro. Fica mais barato quando o fazemos dessa forma. E então o outro, o outro grande é um problema de eficiência, certo? Quando temos uma grande plataforma a fazer uma coisa, torna-se mais eficiente fazê-lo. Quando temos um grupo de pessoas a trabalhar num grupo de coisas diferentes, tudo num grupo que se obtém mais eficiente.

Richard Yew: Como falar em platformização, é muito próximo e querido ao meu coração, acho que está fortemente, sabem, alinhado com o que disseram que, sabem, achamos que temos este termo, sabem, nos tempos atrás, chamamos-lhe paradoxo DDoS. Essencialmente, você tem uma organização com a qual está tão preocupada, sabe, com os seus problemas de disponibilidade, certo, com o DDoSed. Tem tanto medo de descer. Começaste a comprar os melhores produtos da raça aqui e ali, prendeu-os em série num comboio e tens todas as tuas coisas a passar por isso. E então, bem, o que você acabou por acontecer é que você, você adiciona latência, adiciona um único ponto de falhas, adicionou especializações e cria um fator de barramento múltiplo de um em toda a cadeia. E depois acabaram por ter falhas autoinduzidas quando o fazem, o que depois remonta aos problemas iniciais que estão a tentar resolver em 1º lugar, certo? Sabem, camadas de títulos, sabem, como podem ser camadas de segurança que gostam bem das coisas, mas têm de fazer sentido. Eles têm de ser arquitetados de certa forma. Eles têm de partilhar dados. Têm de estar no mesmo painel de controlo. Eles têm de ser geridos pela equipa que tem redundância e geridos por isso o que a torna numa plataforma, certo? E eu realmente acho que, à medida que começamos a ver cada vez mais a indústria se movendo em direção a essa direção, tudo se resume a criar uma plataforma para que, em vez de adquirir o melhor da raça e tentar descobrir como mudar de data e criar todos esses requisitos e processos não funcionais apenas para garantir que isso não vá para baixo. É tudo sobre ter as plataformas certas e as pessoas certas e depois ver qual é a solução certa para ligar. Vocês nem precisam disso no 1º lugar que vocês sabem como cito Elon Musk, eles sempre dizem que nunca otimizam a parte que não deveria existir no 1º lugar removem-na primeiro.

Tom Gorip: Sim, você deve estar removendo primeiro, porque você traz uma espécie de bom ponto também, no entanto, é quando voltamos novamente a esta interrupção global DE TI que falamos sobre o CrowdStrike. Eles estão por culpa da Microsoft, eles estão por culpa? E começámos a falar aqui é como, são os arquitetos destas soluções que, desculpem, disseram de outra forma, os clientes da Microsoft e do CrowdStrike que implementaram o CrowdStrike num ambiente ao vivo para fazer atualizações em tempo real, certo. Então, você tinha um binário com nível de raiz, acesso ao nível do kernel e acesso à Internet capaz de executar o que quiser em um sistema de produção. Então, quando estamos pensando em uma plataforma e estamos pensando em disponibilidade, redundâncias e backups, como é que tudo isso funciona? Como onde vamos levar isso? Como é que contemplamos esse problema?

Matt Fryer: Então, acho que muitas vezes em segurança, ficamos como presos à tecnologia. Realmente nós fazemos. Acho que passamos muito tempo. Somos praticantes como se isso fosse onde vivemos, certo? A ferramenta é a coisa e muitas vezes, demorou algum tempo, pelo menos em usarmos a minha carreira como exemplo, como eu passei muito tempo em ferramentas, certo? Passei muito tempo a implementá-los, a projetá-los, a protegê-los, a arquitetá-los. Passei muito tempo em ferramentas e demorou algum tempo na minha carreira para ir, ei, eu tenho que dar um passo atrás das ferramentas e entender que há pessoas e processos para isso também, certo? Então, eu acho que, quando se trata das ferramentas em si, acho que primeiro tivemos que dar um passo atrás das ferramentas e dizer, OK, do ponto de vista das pessoas em processo, este problema é a interrupção GLOBAL DE TI. Isto era um problema de ferramenta ou era um problema de pessoas em processo? Ou foram ambos? Porque acho que passámos muito tempo focados, especialmente quando olhamos para as notícias e os meios de comunicação e o que está a acontecer, todas as pessoas a falar sobre o que aconteceu. Eles estão a falar de culpa deste CrowdStrike ou culpa desta Microsoft? Porque é que a tecnologia do CrowdStrike faz XY e Z? Vocês estão vendo algumas pessoas falarem sobre isso, mas é como se houvesse um problema de processo aqui também, certo? Como parte do seu programa de segurança, você tem uma equipe da infosec que trabalha em processos e políticas e compreende como implementar as coisas. Depois de ter uma arquitetura e um design que faz sentido e a sua arquitetura e design envolve e adapta-se e supera à medida que esses processos e políticas amadurecem. Portanto, um não pode ser exclusivo do outro. Então, quando dizemos, sabem, o que estamos a tirar da própria tecnologia nesta interrupção global DE TI? Acho que temos de começar primeiro com as políticas de processo e as pessoas que aconteceram em toda esta coisa, certo? Então o CrowdStrike teve um problema de processo quando o lançou? Absolutamente, sem dúvida. Houve um problema de teste, houve um problema de GQ, houve um problema de liberação no que diz respeito ao processo de como o fizeram. Houve um problema de aprovação em como essa coisa foi aprovada para ser lançada da forma como foi lançada. E então, do lado do cliente, como se não tivesse nenhum processo sobre como lidar com interrupções manuais como esse. O seu design e a sua arquitetura eram imperfeitos. Se você tivesse tudo totalmente dependente, a menos que fosse a Southwest Airlines aparentemente.

Tom Gorip: Bem, o Windows 3,1 não foi afetado. Então, o sudoeste era bom.

Matt Fryer: Sim, Southwest perfeitamente fino Windows como aqui estamos falando sobre como precisamos ser mais maduros e a Southwest Airlines estava estabelecendo a nova barra em ser imaturo e usando o software mais antigo que você pode encontrar e eles resolvem mais um problema. Não atualizem tudo, vão ficar bem.

Tom Gorip: Bem, acho que também a Delta tinha sido acusada de alguns desses artigos, bem como de alguns dos artigos que tenho lido e de trás e para a frente entre o CrowdStrike, a Delta e a Microsoft. Porque quero dizer, em última análise, às vezes penso que é algo que se perdeu em nós, certo? Em geral, há pessoas, humanos, há um elemento humano em tudo isso, tudo o que fazemos. E no final do dia, eu estava a ler artigos de uma senhora, ela e o marido estavam de férias e as suas férias prolongaram-se mais sete dias por causa de cancelamentos da Delta, certo?

Richard Yew: Parece um bom problema,

Tom Gorip: Talvez se pudesse pagar. Porque eu também, vocês sabem, a resposta nisso foi algo como a política deles é de 30 dólares por dia. É como, OK, o que vais conseguir por 30 dólares por dia? O McDonald’s custou-lhe 30 dólares entre vocês dois hoje em dia, sabem, mas há um elemento humano que eu acho que perdemos, como nos perdemos nesta ferramenta, ferramenta, ferramenta, resolver estes problemas e depois esquecemos como, para quem estamos a resolver isto? Como o que realmente gosta de pensar sobre aquele indivíduo que é impactado como um subproduto das nossas decisões. Será que contemplamos isso, sabem, quando fazemos este tipo de movimentos?

Matt Fryer: Tínhamos um amigo da família que estava em Atlanta. Se vocês pudessem imaginar quando tudo isto foi para baixo e Atlanta, tanto quanto aqueles que trabalham, se eles não estão cientes, Atlanta é um grande centro para as companhias aéreas, certo? É um dos maiores da América. Então, ela basicamente fez com que o avião atrase, sentou-se lá por dois dias, ainda se adiou e disse: OK, bem, mal podemos esperar. Vamos arranjar um carro alugado. Bem, não havia mais carros de aluguer porque todos tinham um carro alugado. Então agora eles estão tentando descobrir tudo isso. Então, um único levando-o a um nível pessoal, certo? Porque pode ficar difícil quando se toma estas decisões dizer: Como é que isto pode afetar as pessoas? Há tantos deles que se podem perder e quão universalmente ou globalmente impactante isto pode ser. Às vezes, basta levá-lo a um nível individual e casar com Um com a sua pessoa e dizer: OK, bem, se eu tomar esta decisão que impacto e meio bem, Susie pode ficar presa no aeroporto antes de dias não conseguir arranjar um carro alugado. Ela está a dormir no chão no aeroporto à espera que o seu voo seja reprogramado. E porque é que tudo isto aconteceu? Foi porque tomámos uma decisão de atualizar ou tomámos uma decisão de nos tornarmos planos na nossa arquitetura ou órgãos reguladores decidimos que era justo que todos tenham acesso ao kernel. Ou, sabem, todas estas decisões que inadvertidamente têm efeitos adversos para a pessoa. E será que alguma vez paramos e pensamos sobre porquê? E o exemplo mais fácil é como, ei, como ter acesso a todos, ter acesso ao kernel quem ajuda, certo? É como, bem, sabem, temos que torná-lo justo porque a Microsoft vai simplesmente implementar o Defender para todos. Bem, não é assim que o mercado funciona, certo? Sim, eu teria absolutamente o defender, mas posso contar com duas mãos e nove dedos quantas pessoas não gostam da Microsoft, certo? Então, é como, você está certo, você está nivelando o campo de jogo, mas metade do mercado teria comprado CrowdStrike de qualquer maneira. Então, você está dizendo que o CrowdStrike tem que ter acesso ao kernel, igualdade de condições? Bem, o mercado vai comprar o que eles querem comprar, quer tenha acesso ao kernel ou não. Acho que estão a criar um campo de jogo artificial de nível para fazer coisas que acham que estão certas. E então, por todos os meios, eles provavelmente são na maioria dos casos. Mas não percebendo o efeito adverso de fazer isso direito, você impacta fazendo isso. Sabem o que quero dizer?

Richard Yew: Vocês sabem, como em todas as conversas, sabem, nos blogs e nos posts do Reddit e eu, vocês sabem, falo de quem é a culpa, o que acontece, como quem, quem é, quem é, quem está indo pior, o que quer que seja. Mas até agora não me deparei com um artigo para falar sobre o custo. Quero dizer, como quanto custa, quantas horas por pessoa para ir como colocar manualmente no disco de arranque e você sabe, como corrigir manualmente atualizar, para trazer de volta essas enxadas, certo? Mas, mas é como, como é que nós até quantificamos o impactos das pessoas, tal como as que estão atrasadas. Quer dizer, isto está a afetar os hospitais, isto está a afetar os serviços de emergência 911, certo? Com isso, qual é o custo para isso, certo? É como até agora, eu suspeito que vai demorar muito tempo a descobrir exatamente o impactos. E eu não acho que vocês possam quantificar isso com dinheiro, certo? Eu sou, claro, na quantidade de ações judiciais ou coletivas, quanto há um pagamento, certo, que o dólar monetário atribuiu a tudo. Mas eu acho que o impactos da perda de vida, potencial evento de vida que estaria a acontecer com potencial inquantificável. E no final do dia, essas são as pessoas que estamos impactando se não fizermos as coisas certas.

Tom Gorup: Sim, 100%. Então, vi números que variam de 3,5 milhões a 8 milhões de computadores que foram afetados por esta atualização. E tenha em mente que isto foi em 79 minutos. Então, eles implantaram a atualização como as 4:00 da manhã UTC e em 79 minutos derrubaram mais de oito milhões de computadores, certo? Evento espetacular. Quer dizer, para quê?

Matt Fryer: É eficiente.

Tom Gorip: O lançamento de novas atualizações. Espantosos conseguiram tocar em 8 milhões de computadores num período tão curto. Acho que o lançamento foi como se, dentro de um minuto, eles conseguiam bater em tudo isso e depois, quando essas máquinas começaram a entrar na internet quando a manhã se arregalou, sabem, foi aí que o impactos. Mas sim, há um custo significativo.
Então, mais duas perguntas antes de encerramos isto.
Uma é o que pensamos que o impactos na segurança, a reputação da indústria de segurança também teve nisso. Que mais hesitação vemos ou vimos em acordo de nível executivo para trazer novas ferramentas de segurança na tecnologia?

Matt Fryer: Eu diria que não é um grande. Acho que vão conseguir esta grande bandeira vermelha, sabem, em movimento. As pessoas sempre gostam, ah, é tão horrível, certo? Sabem, eu li muito e acho que estão a ver muitos dos profissionais, os rapazes que estiveram neste negócio o tempo suficiente. Eu digo, oh, vocês podem imaginar o quanto isso custava o CrowdStrike e quão ruim isso foi para o CrowdStrike, blá, blá, blá, e falar sobre o quão ruim isso é para o CrowdStrike. E então vocês têm as pequenas vozes que estão a sair dizendo, sim, mas quanto é que o CrowdStrike te salvou, certo? Eles já existem há muito tempo. Eles tiveram um incidente em quantos anos, certo? Quer dizer, eles salvaram muitas empresas de muitos malwares, de ransomware, de muitas violações. Muitas coisas foram salvas por causa do CrowdStrike. Muitas vezes nos perdemos, mas esquecemos disso, certo? Então, muitas dessas tecnologias novamente, você é tão bom quanto a sua última violação, mas você tem muitos desses estrategistas que são muito calmos em sua natureza. Muitos desses executivos não gostam de reações severas aos seus ambientes. Eu não sei muitos CISOs que são exatamente como, ei, CrowdStrike foi violado, vamos imediatamente rasgá-lo, certo? Acho que se vai haver qualquer efeito adverso.

Tom Gorip: Acho que o Elon fez. Tenho a certeza que pensei ter visto um tweet que talvez o Elon tenha feito.

Matt Fryer: Então, eu gosto do Elon, ele só, ele tem bilhões. Ele pode fazer isso. É muito caro fazer essa mudança. É mesmo. É muito caro dizer que vou extrair uma tecnologia porque eles a tinham. Agora, o lado da gestão da cadeia de abastecimento do seu programa de segurança tem uma coisa nova para verificar. Acho que vão ver mudanças e sabem, risco e transferência de risco e destacar, sabem, algumas das coisas que a vossa cadeia de abastecimento pode causar-vos. Então, vocês verão provavelmente alguns executivos dar um passo atrás em seus novos contratos à medida que as coisas se renovam e se desenrolam da sua cadeia de suprimentos para dizer: Ei, precisamos ter algumas garantias de cada uma dessas organizações que você está comprando quando esses eventos, esses eventos globais, quando essas coisas continuam acontecendo, precisamos ter algumas garantias dentro desses contratos de que o risco, sabem, eu acho que vocês verão. Não acho que isso nos prejudique sempre que gastamos todo o nosso pessoal de segurança é tão bom quanto a última violação. Então, é como se vocês estivessem a ver este tipo de fazer o ciclo e passaremos um ou dois anos a recuperar-se dele, mas acho que eles vão ter um efeito qualitativo e quantitativo no seu conjunto.

Richard Yew: Há um pouco disso, sabem, durante muitos anos, certo? Sempre tentámos a segurança. Costumávamos ser a organização do não, certo? Então, agora estamos a tentar retratá-lo e trabalhar bem com a segurança empresarial, quando bem feito, sempre dizemos que a segurança é como uma boa pausa forte num supercarro, certo? Permite acelerar rapidamente e mover-se rapidamente porque pode travar com força, certo? Mas agora, obviamente, haverá alguns problemas de confiança, certo? Porque não ajuda com o, nós sempre diremos: Ei, não estamos aqui para abrandar um negócio. Não estamos aqui para adicionar complexidades e problemas ao negócio. Mas, obviamente, haverá um pouco de questões de confiança que ei, você disse isso, mas depois veja o que a sua ferramenta me fez. Bem, não é como, acho que ninguém vai mudar esse tipo de necessidades de segurança. Mas não ajuda com as histórias que as percepções que as pessoas ainda têm, ei, este tipo está apenas a tentar tornar a minha vida difícil. Então, claro, ainda há trabalho a fazer para tentar convencer os nossos colegas não-segurança de que, ei, não estamos aqui para abrandar o seu processo. Não estamos aqui para dizer não ao que estão a fazer. Estamos aqui para tentar ajudá-lo a correr mais rápido. Estamos a tentar implementar o DEVSECOPS e ter um pipeline de CI/CD seguro porque queremos que codifique mais rapidamente o primeiro dia. Não é preciso usar novas coisas de segurança, como depois do fato, certo? Mas, claro, este tipo de incidente faz-nos recuar um pouco. Mas acho que as indústrias reconhecem que, sabem, a segurança não é aquela que as intenções de não abrandar o negócio, apesar de a porcaria acontecer de tempos em tempos.

Tom Gorip: Isso é ótimo. Sim.

Matt Fryer: A melhor analogia, o melhor ditado que pode dar a isso. E isso começou como se estivesse a dizê-lo. E o Tom vai sorrir. Eu sei que ele vai sorrir. É que há um ditado que sempre usei, especialmente no lado da operação e para ajudar a criar alguma facilidade no que fazemos. Lento é suave e suave é rápido.

Tom Gorip: É isso mesmo. Suave é rápido.

Matt Fryer: Essa é a maneira mais fácil. Eu vou te abrandar, mas você vai se mover muito mais rápido, certo?

Tom Gorip: Sim, é uma grande experiência na última pergunta aqui. E eu acho que é aqui que a borracha encontra a estrada.
Richard, o que podemos aprender com isto? O que podemos fazer melhor? O que pensamos como qualquer uma delas como o quê? O que podemos aprender com isto?

Richard Yew: Bem, o que aprendemos é que a segurança é a disponibilidade dos negócios de todos, não o tempo. É um problema de todos. Só porque um determinado vendedor faz você descer não significa que outras pessoas não assumem a responsabilidade. Ele volta a gostar de quem o dedo deve ser apontado, certo? Acho que, como disse, seria holística. Pensem no vosso processo, pessoas, processos, tecnologias. Tudo anda de mãos dadas. Como por que é que a Microsoft precisa de fazer isto? Devemos promover estas coisas através do espaço do utilizador, eventualmente, como este CrowdStrike precisa de ter um processo melhor. Será que eles precisam implementar o Canary implementado, o que deve ser um padrão quando você toca milhões de agentes, certo? Então, as empresas precisam implementar o processo certo? Para garantir que você contabiliza este tipo de evento apocalítico. Então, para mim, é que não se pode olhar para as coisas numa única dimensão. As coisas apenas tiveram que ser vistas como uma lista se há alguma chamada para ações precisa ser uma chamada conjunta para ações entre o seu fornecedor e entre si mesmo. Não deve ser a Microsoft apenas trabalhar nos aspiradores. A Microsoft deve trabalhar com o CrowdStrike e os seus clientes juntos e garantir que eles criem resiliência no futuro.

Tom Gorip: Adoro! Acho que isso é uma grande ideia, sabem, trabalhar mais em conjunto. Muitas vezes vemos vendedores a trabalhar nestes silos e a não serem apresentados uns aos outros e isso é uma boa escolha.
E você, Matt?

Matt Fryer: Sim, eu acho que é um pouco dessas linhas, certo. Penso que o grande apelo à ação não é afastar-se da segurança. É uma espécie de passo para se inclinar mais para dentro dela. Eu acho que o tiake Away eu quando vejo estas coisas acontecer não é como, oh homem, nós realmente temos que, sabem, ir menos privilégios e realmente começar, você sabe, cortar para trás o que essas pessoas estão fazendo, blá, blá, blá. Como essa não é a minha reação. A minha reação é: OK, bem, temos um problema de disponibilidade e vamos debruçar-nos sobre isso, certo? É inclinar-se um pouco mais para um segmento diferente do que é a segurança e resolver os problemas. Acho que esse é um tipo de apelo à ação é dar um passo atrás e entender o que está a fazer com o seu programa, certo? Isto é algo que vos causou um grande problema? Se o seu passo atrás deve ser o quê? Um dos meus processos e políticas em torno das outras partes deste triângulo para garantir que, quando coisas como esta acontecem, eu tenho uma resposta melhor a isso. Não posso dizer quantas telefonemas das 3:00 da manhã recebi ao longo da minha carreira porque o BCP de alguém era lixo, certo? E então eles culpam todos os outros. É como, oh, foi culpa assim e também. Ah, a central de ajuda clicou no link. Deus, homem, não posso acreditar nisso. Bem, você está para baixo por duas semanas. Bem, sim, é culpa deles por clicar no link, mas como é que a culpa deles levou duas semanas para recuperar dele, certo? Então, eu acho que o apelo à ação para muitas dessas organizações, para nós, como líderes, para nós, para os próprios vendedores, é apenas dar um passo atrás e analisar como você está fazendo as coisas em segurança e ajustá-las às coisas que acontecem. Haverá sempre coisas que acontecem. Toda a gente está preocupada com o chapéu-preto. O chapéu-preto é a coisa. É o bogeyman atrás da cortina agora mesmo. Está fora da cadeia de abastecimento. Há chapéu-preto, há agora uma cadeia de abastecimento é o outro grande bogeyman. Todos os meus vendedores estão apenas a tentar vender os meus dados ou estão apenas a tentar falhar. Dê um passo atrás, cara. O vosso apelo à ação é ir. Todos devíamos fazer revisões anuais do nosso programa. Este é o apelo à ação. Faça uma revisão do seu programa. Descubra onde estão as suas lacunas porque as tem. Quer acreditem ou não, têm lacunas. Dê um passo atrás e revê-lo. Dê uma olhada nisso, compreendê-lo, olhar para os seus contratos. Torne-se melhor amigo da lei que é que há muitas coisas que vão acontecer aqui. Eu não acho que fuja disso. Vai ser a solução de qualquer um. Não sou um tipo de botão de pânico. Acho que o Tom sabe que nunca bato em botões de pânico. Então, as pessoas que estão a premir o botão de pânico, cara, dispara CrowdStrike. Acho que provavelmente está apenas a responder das emoções à análise, certo? Jerich, que é um CISO Eu acho para Gestão de Resíduos, li as coisas dele no LinkedIn, e eu estava tipo, ele está 100% certo. O CrowdStrike resolveu muitos problemas e ninguém está a reconhecer isso neste momento. Estão apenas a dizer CrowdStrike, sabem, cara má, cara má. É como, não, é analisado.

Tom Gorup –
Sim. Penso que, como Richard mencionou anteriormente, a segurança é o problema de todos e de todas as partes do órgão, seja uma TI, seja uma engenharia, seja a própria equipa de segurança, o RH e as finanças, como todos precisam de fazer parte disso e de ter uma aparência difícil e difícil.

Bem, estamos na marca de uma bola pesada incrível. Acho que foi uma ótima conversa. Eu provavelmente poderia continuar por pelo menos mais 45 minutos, mas eu sei que vocês dois têm lugares para estar.

Então, eu aprecio que você está no show, Matt. Mais uma vez, obrigado, Richard.
Obrigado por ouvir. Mantém-te gelado.

Subscreve já

Tags

Just For You