Vinnie Liu tenía solo 17 años cuando consiguió su primer trabajo: la Agencia de Seguridad Nacional (NSA). Era el año 1999 y trabajaba en la recopilación de inteligencia de señales.
Fue un comienzo formidable pero típico para Liu, ahora CEO y cofundador de Bishop Fox. La NSA estaba buscando graduados de secundaria prometedores con fluidez comprobada en piratería y lenguajes de programación. Liu, entonces estudiante de informática con una especialización en psicología en la Universidad de Pensilvania, pasó dos años viajando desde Filadelfia hasta la oficina satélite de la NSA en Baltimore. Su primer año se centró en la piratería del equipo rojo y el segundo en el desarrollo de herramientas especializadas.
Trabajando en la NSA “Realmente me abrió los ojos a lo profundo que puedes llegar, a lo profundo que puede llegar este agujero de conejo”, dice Liu. “Crecí con sistemas de tablones de anuncios en Internet. La ciberseguridad ni siquiera era un término que la gente usara”.
Eso es todo lo que dirá sobre su trabajo en la NSA, excepto que involucró a actores del estado-nación. Pero la experiencia dejó una huella duradera.
“Me dio una gran sensación de estar impulsada por la misión”, dice Liu. “Somos misioneros, no mercenarios. Nuestra misión, fundamentalmente, es mantener a las personas seguras tanto en línea como fuera de línea”.
Esa misión finalmente se manifestó como Bishop Fox, una empresa de seguridad ofensiva cuyo equipo de piratas informáticos fingen ser villanos. En otras palabras, intentan todas las formas posibles de penetrar las defensas de seguridad de un cliente, incluidas las simulaciones adversarias y el “equipo púrpura” (equipo rojo y asesoramiento al equipo azul del cliente al mismo tiempo).
Pero a pesar de toda la astucia criminal que el personal de Bishop Fox necesita emplear, Liu piensa en el trabajo de la compañía en términos médicos. El obispo Fox, dice, es “el médico del médico”.
“Hay tantas similitudes entre las buenas prácticas de salud y la seguridad”, le dice a Dark Reading. “No solo prescribes pastillas y ya está. No comes sano y haces ejercicio una vez y eso es todo”.
Este enfoque es una mirada a las dos cualidades personales que subyacen al éxito de Liu: su sentido de propósito –“misioneros, no mercenarios”– y su palpable desdén por la autocomplacencia. El tipo de optimismo de Liu es duro, incluso austero.
“La gente en la industria tiene una visión demasiado pesimista”, dice. “Ni siquiera me gusta la broma, 'No es si te piratean, sino cuándo'. Toda nuestra filosofía es defender hacia adelante”.
Trayectoria profesional
Al igual que muchas firmas tecnológicas exitosas, Bishop Fox tiene orígenes humildes: la sala de estar de un apartamento de soltero.
Liu se graduó de Penn en 2003 y se centró en la seguridad de la red y los servicios de detección de intrusos adaptativos. Luego se unió a Ernst & Young como consultor de seguridad, realizando pruebas de penetración para clientes de Fortune 500. Liu llama al Centro de Seguridad Avanzada de Ernst & Young "una especie de NSA para el sector privado".
Francis Brown, ahora en la junta del obispo Fox, trabajaba con Liu en Ernst & Young. Brown y Liu habían vivido en el mismo salón que los estudiantes de primer año en Penn y ambos estudiaron informática. Fueron los únicos estudiantes de primer año en su programa que no abandonaron dentro del año, dice Liu. Los dos amigos vivían como compañeros de casa en Arizona, donde "siempre que pudiéramos pagar pizza e Internet, estaríamos listos".
Honeywell finalmente cazaría furtivamente a ambos hombres de Ernst & Young; Liu lideraría el equipo global de pruebas de penetración de Honeywell, además de los equipos de las diversas subsidiarias de Honeywell. La oportunidad de construir el equipo de Honeywell era una perspectiva emocionante, pero resultó ser una oportunidad limitada: una vez que se formó el equipo, el ritmo de trabajo más lento dejó a Liu (y Brown) inquietos. Liu había superado el papel; en 2005, hablaba en conferencias como Black Hat sobre cómo eludir las herramientas antiforenses, una habilidad que había estado desarrollando desde su adolescencia. Tanto Liu como Brown comenzaron a trabajar como profesionales de seguridad independientes.
Entonces, un día, en 2006, Liu, Brown y un tercer colaborador se sentaron en la sala de estar y jugaron con la idea de lanzar una startup de servicios de seguridad.
“Dijimos, '¿Por qué no?'”, recuerda Liu. “Realmente estábamos disfrutando esto”.
“De 2006 a 2009, éramos una empresa de 'estilo de vida'”, dice Liu, refiriéndose al hecho de que la empresa seguía siendo una especie de pasatiempo para ellos. En 2009 cambiaron a una mentalidad profesional y nació Bishop Fox. Liu y sus socios se propusieron reclutar al mejor talento que pudieron encontrar y atraer clientes cada vez más importantes. Sus ingresos aumentaron, a pesar de su lanzamiento durante la Gran Recesión.
También fue el Era de la lluvia de titanes – cuando una serie de ataques que se creía que eran obra de actores patrocinados por el estado chino comprometieron varias agencias gubernamentales en los Estados Unidos y el Reino Unido – y las empresas y agencias gubernamentales comenzaban a darse cuenta de lo vulnerables que eran en realidad. El análisis binario y el análisis forense de respuesta a incidentes repentinamente tuvieron una gran demanda. Liu era uno de los pocos cientos de personas en los Estados Unidos que tenía alguna experiencia con estas dos funciones, y la mayoría de sus compañeros solo habían trabajado con análisis forense de discos.
"¡Apestábamos en eso en ese entonces!" él ríe. “Todos lo hicieron. Estábamos poniéndonos al día con las personas que escriben los virus”.
Avance rápido hasta ahora
En estos días, Bishop Fox ofrece varias pruebas de evaluación, incluida la metodología integral 4+1, en la que se construyen varias evaluaciones y simulaciones en torno a un ejercicio de simulación central. Pero todos los servicios de la empresa implican un trabajo continuo con los desarrolladores, arquitectos y equipos de un cliente, en lugar del estilo de "cascada" de realizar una prueba aquí y otra allá. A veces, una evaluación sola puede tardar dos meses en completarse.
“Este no es un tipo de escaneo de 'déjame simplemente patear los neumáticos'”, dice Liu. “Observamos el código. Nos fijamos en los problemas de lógica empresarial. Nos gusta encontrar los problemas difíciles, siempre los explotamos y vamos a perseguirlos hasta el final”.
Liu tampoco permite que los clientes descansen en sus nuevas herramientas o infraestructura. “Tienes que entender bien los conceptos básicos”, dice. “Les enseñamos cómo recibir un golpe y seguir adelante”.
Doce años después, las amenazas han aumentado, los atacantes se han vuelto más sofisticados y los defensores están cambiando la forma en que abordan la seguridad. Liu ha observado que los equipos de seguridad se alejan de la seguridad basada en el cumplimiento y se acercan a operaciones de seguridad continuas y de desarrollo.
¿Qué significa eso para el obispo Fox?
“Hemos sido muy discretos”, dice Liu. “Creo que es hora de salir de nuestro caparazón. Hemos hecho un buen trabajo con clientes de renombre. Es hora de salir al mundo y hablar, de llevar el buen trabajo a más personas”.
El panorama puede haber cambiado, pero la misión de Liu no: mantener a las personas seguras, en línea y fuera de línea.
BYTES DE PERSONALIDAD
¿Cuál es el mayor éxito de Vinnie Liu? “Esto suena terrible, pero estoy muy orgulloso de las personas que han venido a través del obispo Fox. Algunos de nuestros ex alumnos se han convertido en CISO en empresas que cotizan en bolsa. Los reclutadores simplemente colgarán si escuchan que trabajas en Bishop Fox [porque saben lo difícil que es contratar gente]”.
¿Una cosa que sus colegas nunca adivinarían sobre él? “Bailo tontamente, canto fuerte, ruedo por el suelo, hago muecas. … Haré cualquier cosa para que mis hijos se rían y sonrían”.
¿El trabajo de sus sueños si trabajara en una industria diferente? “Definitivamente algo donde hago cosas con mis manos: comida para personas, construcción, etc.”
¿Lo que más le gusta hacer en su tiempo libre? “Mi habilidad pandémica ha sido fallar en hacer crecer cosas en mi jardín. El universo de alguna manera ha arruinado los 32 pies cuadrados de patio trasero donde se encuentra mi jardín”.
¿Libro favorito? “Soy un gran nerd de los libros de ciencia ficción/fantasía. Cuantas más batallas espaciales, magos y extraterrestres, mejor”.
