¿No hay reproductor de audio debajo? Escuchar directamente en Soundcloud.

PATO.  Hola todos.

Bienvenido al podcast de Naked Security.

Como puedes escuchar, no soy Doug, soy Duck.

Doug está de vacaciones esta semana, por lo que me acompaña en este episodio mi viejo amigo y colega de seguridad cibernética, Matt Holdcroft.

Matt, tú y yo volvemos a los primeros días de Sophos...

…y el campo en el que trabaja ahora es la parte de ciberseguridad de lo que se conoce como “DevSecOps”.

Cuando se trata de X-Ops, ha estado allí para todos los valores posibles de X, se podría decir.

Cuéntanos algo de cómo llegaste a donde estás ahora, porque es una historia fascinante.

MATE.  Mi primer trabajo en Sophos fue el de administrador y desarrollador de Lotus Notes, y trabajaba en la entonces sala de producción, por lo que era responsable de la duplicación de disquetes.

¡Estos eran disquetes REALES, que realmente podías fallar!

PATO.  [RISA FUERTE] Sí, del tipo de 5.25″...

MATE.  ¡Sí!

En ese entonces, era fácil.

Teníamos seguridad física; se podía ver la red; sabías que una computadora estaba conectada en red porque tenía un cable que salía por la parte de atrás.

(Aunque probablemente no estaba conectado a la red porque alguien había perdido el terminador del extremo [del cable]).

Entonces, teníamos reglas agradables y simples sobre quién podía ir a dónde y quién podía meter qué en qué, y la vida era bastante simple.

PATO.  En estos días, es casi al revés, ¿no?

Si una computadora no está en la red, entonces no puede hacer mucho para ayudar a la empresa a lograr sus objetivos, y se considera casi imposible de administrar.

Porque necesita poder llegar a la nube para hacer cualquier cosa útil, y usted necesita poder llegar a ella, como persona de operaciones de seguridad, a través de la nube, para asegurarse de que esté a la altura.

Es casi una situación Catch-22, ¿no?

MATE.  Sí.

Está completamente volcado.

Sí, un ordenador que no está conectado es seguro… pero también es inútil, porque no está cumpliendo su función.

Es mejor estar continuamente en línea para que pueda obtener continuamente las últimas actualizaciones, y pueda vigilarlo, y pueda obtener telemetría de la vida real, en lugar de tener algo que pueda verificar cada dos días.

PATO.  Como usted dice, es una ironía que conectarse en línea sea profundamente riesgoso, pero también es la única forma de administrar ese riesgo, particularmente en un entorno donde las personas no se presentan en la oficina todos los días.

MATE.  Sí, la idea de traer su propio dispositivo [BYOD] no volvería a volar en el pasado, ¿verdad?

Pero teníamos Build Your Own Device cuando me uní a Sophos.

Se esperaba que ordenara las piezas y construyera su primera PC.

¡Ese fue un rito de iniciación!

PATO.  fue bastante agradable…

…podrías elegir, dentro de lo razonable, ¿no?

MATE.  [RISA] ¡Sí!

PATO.  ¿¡Debería optar por un poco menos de espacio en disco, y luego tal vez pueda tener [VOZ DRAMÁTICA] OCHO MEGABYTES DE RAM!?!

MATE.  Era la era de los 486es, los disquetes y los faxes, cuando empezamos, ¿no?

Recuerdo que los primeros Pentium llegaron a la empresa y fue: “¡Guau! ¡Míralo!"

PATO.  ¿Cuáles son sus tres mejores consejos para los operadores de ciberseguridad de hoy?

Porque son muy diferentes de los antiguos, "Oooh, solo tengamos cuidado con el malware y luego, cuando lo encontremos, iremos y lo limpiaremos".

MATE.  Una de las cosas que ha cambiado mucho desde entonces, Paul, es que, en el pasado, tenías una máquina infectada y todos estaban desesperados por desinfectarla.

Un virus ejecutable infectaría *todos* los ejecutables de la computadora, y hacer que volviera a un estado "bueno" era realmente fortuito, porque si se perdía alguna infección (suponiendo que pudiera desinfectar), volvería al punto de partida como tan pronto como ese archivo fue invocado.

Y no teníamos, como tenemos ahora, firmas digitales y manifiestos y demás donde se podía volver a un estado conocido.

PATO.  Es como si el malware fuera la parte clave del problema, porque la gente esperaba que lo limpiaras y básicamente quitaras la mosca del ungüento, y luego devolvieras el frasco de ungüento y dijeras: "Es seguro usarlo ahora, amigos". .”

MATE.  La motivación ha cambiado, porque en ese entonces los creadores de virus querían infectar tantos archivos como fuera posible, en general, y a menudo lo hacían simplemente "por diversión".

Mientras que en estos días, quieren capturar un sistema.

Entonces no están interesados ​​en infectar cada ejecutable.

Solo quieren el control de esa computadora, para cualquier propósito.

PATO.  De hecho, es posible que ni siquiera haya archivos infectados durante el ataque.

Podrían entrar porque le compraron una contraseña a alguien, y luego, cuando entran, en lugar de decir: "Oye, dejemos suelto un virus que activará todo tipo de alarmas"...

…dirán: “Veamos qué ingeniosas herramientas de administrador de sistemas ya existen que podamos usar de formas que un verdadero administrador de sistemas nunca haría”.

MATE.  En muchos sentidos, no era realmente malicioso hasta que...

…Recuerdo que me horroricé cuando leí la descripción de un virus en particular llamado “Destripador”.

En lugar de solo infectar archivos, daría vueltas y juguetearía en su sistema en silencio.

Entonces, con el tiempo, cualquier archivo o sector en su disco podría corromperse sutilmente.

Seis meses después, es posible que de repente descubra que su sistema no se puede utilizar y que no tenga idea de los cambios que se han realizado.

Recuerdo que eso me chocó bastante, porque antes los virus eran molestos; algunos tenían motivos políticos; y algunos eran simplemente gente experimentando y “divirtiéndose”.

Los primeros virus se escribieron como un ejercicio intelectual.

Y recuerdo, en el pasado, que realmente no podíamos ver ninguna forma de monetizar las infecciones, a pesar de que eran molestas, porque tenías ese problema de "Pagarlo en esta cuenta bancaria" o "Dejar el dinero debajo". esta roca en el parque local”…

…que siempre estuvo susceptible de ser recogido por las autoridades.

Luego, por supuesto, apareció Bitcoin. [RISA]

Eso hizo que todo el asunto del malware fuera comercialmente viable, lo que hasta entonces no lo era.

PATO.  ¡Así que volvamos a esos consejos importantes, Matt!

¿Qué aconseja como las tres cosas que los operadores de seguridad cibernética pueden hacer para darles, si lo desea, la banda más grande por su dinero?

MATE.  DE ACUERDO.

Todo el mundo ha oído esto antes: parcheo.

Tienes que parchear, y tienes que parchear a menudo.

Cuanto más tiempo dejes el parche… es como no ir al dentista: cuanto más tiempo lo dejes, peor va a ser.

Es más probable que llegue a un cambio de última hora.

Pero si está aplicando parches con frecuencia, incluso si encuentra un problema, probablemente pueda solucionarlo y, con el tiempo, mejorará sus aplicaciones de todos modos.

PATO.  De hecho, es mucho más fácil actualizar, por ejemplo, OpenSSL 3.0 a 3.1 que actualizar OpenSSL 1.0.2 a OpenSSL 3.1.

MATE.  Y si alguien está probando su entorno y puede ver que no se está manteniendo al día con los parches... es, bueno, "¿Qué más hay que podamos explotar? ¡Vale la pena echarle otro vistazo!”

Mientras que alguien que está completamente parcheado... probablemente esté más al tanto de todo.

es como el viejo Guía del autoestopista galáctico: Mientras tengas tu toalla, asumen que tienes todo lo demás.

Entonces, si está completamente parcheado, probablemente esté al tanto de todo lo demás.

PATO.  Entonces, estamos parcheando.

¿Qué es lo segundo que tenemos que hacer?

MATE.  Solo puedes parchear lo que sabes.

Entonces lo segundo es: Monitoreo.

Tienes que conocer tu patrimonio.

En cuanto a saber qué se está ejecutando en sus máquinas, recientemente se ha realizado un gran esfuerzo con SBOM, el Lista de materiales del software.

Porque la gente ha entendido que es toda la cadena…

PATO.  ¡Exactamente!

MATE.  No sirve de nada recibir una alerta que dice: "Hay una vulnerabilidad en tal o cual biblioteca", y su respuesta es: "Está bien, ¿qué hago con ese conocimiento?"

Saber qué máquinas se están ejecutando y qué se está ejecutando en esas máquinas...

…y, volviendo a la aplicación de parches, “¿Realmente instalaron los parches?”

PATO.  O un ladrón se coló y se fue, “¡Ajá! Piensan que están parcheados, así que si no verifican dos veces que se han mantenido parcheados, tal vez pueda degradar uno de estos sistemas y abrirme una puerta trasera para siempre, porque creen que tienen el problema. ordenado.”

Así que supongo que el cliché es: "Siempre mida, nunca asuma".

Ahora creo que sé cuál es su tercer consejo, y sospecho que será el más difícil/controvertido.

Así que déjame ver si tengo razón... ¿qué es?

MATE.  Yo diría que es: Matar. (O Sacrificar.)

Con el tiempo, los sistemas aumentan... se diseñan y construyen, y la gente sigue adelante.

PATO.  [RISA] ¡Accrete! [RISA MÁS FUERTE]

Algo así como una calcificación...

MATE.  O percebes…

PATO.  ¡Sí! [RISA]

MATE.  Percebes en el gran barco de tu compañía.

Pueden estar haciendo un trabajo útil, pero pueden hacerlo con tecnología que estaba de moda hace cinco o diez años cuando se diseñó el sistema.

Todos sabemos cómo a los desarrolladores les encanta un nuevo conjunto de herramientas o un nuevo lenguaje.

Cuando está monitoreando, necesita vigilar estas cosas, y si ese sistema se está alargando, debe tomar la decisión difícil y eliminarlo.

Y nuevamente, al igual que con los parches, cuanto más tiempo lo deje, es más probable que se dé la vuelta y diga: "¿Qué hace ese sistema?"

Es muy importante pensar siempre en ciclo de vida cuando implementa un nuevo sistema.

Piense: “Está bien, esta es mi versión 1, pero ¿cómo voy a acabar con ella? ¿Cuándo va a morir?

Exponga algunas expectativas para el negocio, para sus clientes internos y lo mismo para los clientes externos.

PATO.  Entonces, Matt, ¿cuál es su consejo para lo que sé que puede ser un trabajo muy difícil para alguien que está en el equipo de seguridad (por lo general, esto se vuelve más difícil a medida que la empresa crece) para ayudarlos a vender la idea?

Por ejemplo, "Ya no se le permite codificar con OpenSSL 1. Tiene que pasar a la versión 3. ¡No me importa lo difícil que sea!"

¿Cómo transmites ese mensaje cuando todos los demás en la empresa te están presionando?

MATE.  En primer lugar... no se puede dictar.

Necesitas dar estándares claros y esos necesitan ser explicados.

¿Esa venta que obtuviste porque enviamos antes sin solucionar el problema?

Se verá ensombrecido por la mala publicidad de que teníamos una vulnerabilidad o que enviamos con una vulnerabilidad.

Siempre es mejor prevenir que arreglar.

PATO.  ¡Por supuesto!

MATE.  Entiendo, de ambos lados, que es difícil.

Pero cuanto más tiempo lo dejas, más difícil es cambiar.

¿Establecer estas cosas con, "Voy a usar esta versión y luego voy a configurar y olvidar"?

¡No!

Tienes que mirar tu base de código y saber qué hay en tu base de código y decir: “Estoy confiando en estas bibliotecas; Estoy confiando en estas utilidades”, y así sucesivamente.

Y tienes que decir: “Tienes que ser consciente de que todas esas cosas están sujetas a cambios y hacerle frente”.

PATO.  Entonces, parece que está diciendo que si la ley comienza a decirles a los proveedores de software que deben proporcionar una Lista de materiales de software (un SBOM, como mencionó anteriormente), o no...

…realmente necesita mantener tal cosa dentro de su organización de todos modos, solo para que pueda medir su posición en una base de seguridad cibernética.

MATE.  No puedes ser reactivo con esas cosas.

No es bueno decir: “¿Esa vulnerabilidad que salió en toda la prensa hace un mes? Ahora hemos llegado a la conclusión de que estamos a salvo”.

[RISA] ¡Eso no es bueno! [MÁS RISAS]

La realidad es que todo el mundo se verá afectado por estas locas luchas para solucionar las vulnerabilidades.

Hay algunos grandes en el horizonte, potencialmente, con cosas como el cifrado.

Algún día, NIST podría anunciar: "Ya no confiamos en nada que tenga que ver con RSA".

Y todos van a estar en el mismo barco; todos tendrán que luchar para implementar una nueva criptografía cuánticamente segura.

En ese momento, va a ser: "¿Qué tan rápido puede obtener su solución?"

Todo el mundo va a estar haciendo lo mismo.

Si estás preparado para ello; si sabes que hacer; si tiene una buena comprensión de su infraestructura y su código...

…si puede salir a la cabeza del grupo y decir: “Lo hicimos en días en lugar de semanas”?

Esa es una ventaja comercial, además de ser lo correcto.

PATO.  Entonces, permítanme resumir sus tres Sugerencias principales en lo que creo que se han convertido en cuatro, y veré si las tengo bien.

Consejo 1 es bueno viejo Parche temprano; parche a menudo.

Esperar dos meses, como hacía la gente en los días de Wannacry... eso no fue satisfactorio hace seis años, y ciertamente es demasiado, demasiado en 2023.

Incluso dos semanas es demasiado tiempo; necesita pensar: "Si necesito hacer esto en dos días, ¿cómo podría hacerlo?"

El consejo 2 es monitor, o en mis palabras cliché, "siempre mida, nunca asuma".

De esa manera, puede asegurarse de que los parches que se supone que deben estar allí realmente lo estén, y de que realmente pueda averiguar sobre esos "servidores en el armario debajo de las escaleras" que alguien olvidó.

El consejo 3 es matar/eliminar, lo que significa que construye una cultura en la que puede desechar productos que ya no son aptos para su propósito.

Y una especie de Consejo auxiliar 4 es ser ágil, para que cuando llegue el momento Kill/Cull, puedas hacerlo más rápido que los demás.

Porque eso es bueno para sus clientes y también le otorga (como usted dijo) una ventaja comercial.

¿Ha entendido bien?

MATE.  ¡Suena así!

PATO.  [TRIUNFANTE] Cuatro cosas simples para hacer esta tarde. [RISA]

MATE.  ¡Sí! [MÁS RISAS]

PATO.  Al igual que la ciberseguridad en general, son viajes, ¿no es así?, en lugar de destinos.

MATE.  ¡Sí!

Y no dejes que lo "mejor" sea enemigo de lo "mejor". (O "bueno".)

Así que ...

Parche.

Monitor.

Matar. (O Sacrificar.)

Y: Ser ágil… prepárate para el cambio.

PATO.  Matt, esa es una gran manera de terminar.

Muchas gracias por tomar el micrófono en tan poco tiempo.

Como siempre, para nuestros oyentes, si tiene algún comentario, puede dejarlo en el sitio de Naked Security o contactarnos en las redes sociales: @nakedsecurity.

Ahora solo me queda decir, como siempre: Hasta la próxima…

AMBAS COSAS.  ¡Mantente seguro!

[MÓDEM MUSICAL]