Corel adquiere Awingu para acelerar su oferta de espacio de trabajo remoto seguro. Leer más

AwinguruTalks con el Dr. Chase "Zero Trust" Cunningham

AwinguruTalks es un podcast y un videoblog en el que hablamos con líderes del pensamiento tecnológico, expertos y responsables de la toma de decisiones. En él, exploramos una gran variedad de temas, como el estado actual y el futuro de la tecnología empresarial, la seguridad informática y el trabajo a distancia.

En nuestro primer episodio, el director de marketing de Awingu, Arnaud Marliere, habla con el autor y experto en ciberseguridad Dr. Chase Cunningham. Chase tiene más de dos décadas de experiencia en el ámbito de la ciberseguridad, y ha trabajado durante más de 13 años como experto en la Agencia de Seguridad Nacional de Estados Unidos o NSA. En su último libro, titulado "Ciberguerra: verdad, táctica y estrategia"En este libro, explora "conceptos y verdades estratégicas que le ayudarán a usted y a su organización a sobrevivir en el campo de batalla de la ciberguerra".

El Dr. Cunningham también es conocido como 'Dr. Zero Trust', como uno de los actuales líderes de pensamiento de este concepto de seguridad deperemita - una idea a la que, en Awingu, prestamos mucha atención, ya que creemos que es el futuro necesario de la ciberseguridad. En los próximos 30 minutos, exploraremos esa idea del Zero Trust, hablaremos del libro de Chase, de la ciberguerra y discutiremos hacia dónde evoluciona el mundo de la seguridad informática para las empresas - y cómo debe adaptarse.

Chase, tú eres "Mister Zero Trust", así que definitivamente tenemos que hablar de Zero Trust. No es una idea o un concepto nuevo, ya lleva un par de años. ¿Puedes explicar, en breve, cuál es la idea que hay detrás de Zero Trust?

La historia de la Zero Trust se remonta a 2003, y ahí es donde este grupo llamado Foro Jericó tuvo una idea en torno a la seguridad deperimetralizada. Se preguntaron cómo sería la seguridad en la era cloud y se adelantaron a su tiempo. Avancemos un poco hasta 2010, donde un analista de Forrester llamado John Kindervag tomó esa idea de seguridad deperimetrada y dijo: "ese es un término de marketing un poco malo, llamémoslo Zero Trust - eso es más sexy".

Pero en aquel momento, se trataba de cortafuegos, NAC y segmentación en la red, mientras que ahora hemos pasado a un modelo de seguridad en torno al usuario, al punto final y a los accesos. El lado "cero" de esto es donde estás eliminando las piezas de configuración por defecto que causarían compromisos - los recursos compartidos, los accesos, los privilegios excesivos, todas esas cosas - para que puedas mantener las cosas tan cerca de "cero" como sea posible.

Así que, básicamente, no porque te autentiques con las credenciales correctas todo lo que hagas a partir de ahí debe considerarse "seguro" como tal, ¿no?

Correcto, y ahí es donde las VPN son parte de ese problema. Muchas veces cuando miras la VPN, da acceso a los recursos corporativos; pero de hecho, sólo me abrirá las puertas una vez que entre. Después de hacer un túnel a través de mi VPN, puedo tocar todo tipo de cosas. Esto contrasta con soluciones como SDN y SDP: aunque entre, y aunque tenga "credenciales", no me permite maniobrar dentro de esa infraestructura. A eso es a lo que se quiere llegar.

Lo que está diciendo es que SDN y SDP son realmente dos de los núcleos componentes en un Arquitectura ZT? ¿Podría explicarlo?

Cuando se observa el estado actual de la tecnología de la información, creo que todo gira en torno a la seguridad de los puntos finales, los dispositivos móviles gestionados, los perímetros definidos por software, una buena gestión de la identidad y el acceso, la autenticación multifactorial, etc. Y aunque hay otros componentes con los que se puede ir más lejos, creo que si se dice cuáles son las cosas principales e inmediatas "post-COVID", ahí es donde estamos ahora mismo.

Ahora se aplica todo eso a través del navegador, se podría hacer a través de otras soluciones, pero eso son las piezas básicas tal y como están hoy en día.

Cada vez más vendedores están aplicando ZT, SDP y otra jerga en sus conversacionesy Supongo que las empresas son cada vez más buscando activamente para soluciones que se habilitan dentro de esa filosofía. ¿Es esto algo que puede reconocer también, al ver este cambio que se está produciendo en el mercado?

Sí, creo que el propio mercado se ha alineado con la ZT como escenario futuro de la infraestructura de seguridad. La razón es que ha habido tal crecimiento dentro de los EE.UU. (desde el Departamento de Defensa hasta la banca y la sanidad) y ha habido grupos de trabajo formulados en torno a esa filosofía. Pero, por otro lado, tengo muchas conversaciones y llamadas con gente de Europa, Australia y Japón, por lo que todo esto se ha convertido en una especie de punto de rebote global sobre cómo será la seguridad en el futuro. Y eso ocurre porque tiene sentido. porque se basa en una estrategia, no sólo en "más" tecnología.

Hablemos un poco de Awingu en un contexto ZT. Es una solución que está diseñado para permitir realmente BYOD, entre otros, pero de forma segura. Todo funciona a través del navegador, nosotros agregan diferentes tipos de aplicaciones y hacer disponibles en HTML5, todo está disponible de forma segura en un navegador a través de un canal encriptadoetc. El MFA está construido-enobviamente, hay nada que se ejecute localmente en el dispositivo - incluso si su dispositivo se comprometido, usted conoce su seguridad perímetro está mucho más aislado. ¿Cómo ve usted Awingu en el Cero Confíe en paisaje y filosofía?

Hemos analizado Awingu en algunas de nuestras investigaciones, y creo que Awingu representa el estado futuro de lo que pretendemos en términos de ciberseguridad. Encaja en el tipo de solución en la que puedes decir con seguridad que estás empaquetando la seguridad, es algo que es nativo a la experiencia del usuario, se ejecuta dentro del navegador (especialmente a través de HTML5) y pones al usuario en eso sin empujar nuevas máquinas a ellos, sin VPN y otras supuestas soluciones. Simplemente dices "aquí tienes tu navegador, esto es lo tuyo, vete a hacer operaciones seguras". Y hay mucha innovación en ese espacio. En otras palabras, creo que en el contexto de Zero Trust una solución como Awingu tiene mucho sentido.

Definitivamente. Los departamentos de TI tienen la capacidad de sustituir VPN con una forma diferente de trabajar. Es un enfoque diferente para resolver el mismo uso-casospero el usuario-centrado y con sencillez y la seguridad en el centro de la misma.

Si miras a cinco o diez años atrás frente a la de hoy, ¿ve usted grandes cambios o también se centra en "mantener las cosas simples y los piratas informáticos encuentran las formas más sencillas de entrar?

Todavía se trata de la simplicidad. Ya sabes, yo era un 'red teamer', y estando en el lado del red teamer no tienes que intentar hacer cosas súper locas. La mayoría de las veces, incluso si miras lo que está pasando, el phishing es muy útil, porque el phising provoca los clics y obtienen credenciales y ese tipo de cosas. O el ransomware es un gran problema, porque los antivirus no han detenido ese tipo de problemas. Así que no es que se necesiten soluciones realmente complejas, sino que se trata de la solución correcta aplicada de la forma adecuada para anular todos los elementos básicos con los que la gente se compromete.

Así que... puedo simplificar y decir que los seres humanos suelen ser el eslabón más débil? No se trata de las herramientas que utilizamos, sino de quizá los procesos sean demasiado complejos, o las personas no siguen los procesos, o estamos utilizando la tecnología adecuada pero no lo estamos desplegando correctamente. ¿Se trata de la simplicidad y la experiencia del usuario?

Sabes, he tenido un cambio de pensamiento en los últimos dos años. Solía pensar que la gente es el problema, y ya no lo creo. Lo que realmente pienso ahora es que nosotros, la gente, típicamente hicimos de la seguridad algo para los ingenieros de seguridad, no para el usuario medio. Así que lo que necesitamos son soluciones que se pongan delante del usuario medio y que honestamente no puedan "fastidiar". Que todo lo que hagan es que simplemente hagan su trabajo, operando en un entorno seguro, y entonces no tengas que preocuparte por ello.

Y si podemos hacer eso -se ha hablado mucho de democratizar la seguridad y ese tipo de cosas- estamos haciendo que no tengan que preocuparse por operar de la manera correcta. Y eso es a lo que queremos llegar.

Así que realmente, si hacemos soluciones que son bastante simples, Básicamente, que atienden el nivel adecuado de experiencia de usuario para el usuario adecuado, Entonces, ¿veremos entrar muchas menos infracciones?

Sí, y esa es una de las razones por las que hablo mucho con la gente sobre cosas que quizás se ejecuten a través del navegador, como cosas de aislamiento del navegador, seguridad en contenedores, ese tipo de aplicaciones, donde el usuario - sabe cómo usar un navegador - así que pon todos tus controles de seguridad allí, y empújalos a través de eso y luego, no te preocupes por nada más. Eso es lo que quieres: quieres facilidad de uso, como todo lo demás. La seguridad no debería ser súper difícil, sólo debería ser: "haz tu trabajo". A menos que seas un ingeniero de seguridad. Entonces es difícil, entonces es un nivel completamente diferente.

Gran parte de ella tiene que ver con comportamiento del usuario: haciendo cosas simple y cambiante comportamiento. Introducir cosas que no son muy complejas de organizarcomo MFA. Pero cambiar el comportamiento de los usuarios para hacer seguro de que sabe que adoptan esas nuevas cosasEso es lo que hay que hacer. En un nivel superior, ¿qué tipo de, de asesoramiento le daría a usted conoce los negocios, instituciones públicasetc., sobre cómo asegurar su operaciones y específicamente su espacio de trabajo?

Creo que la infraestructura debe ser lo más "corporativa" posible. En segundo lugar, usuarios y puntos finales lo más seguros posible. Y la región entre esos dos es simplemente un espacio disputado y luego ser capaz de empujar los controles hacia el punto final, el usuario, que les permite operar de una manera que es por naturaleza segura sin problemas por defecto. Además, empujándolos a través de esos canales y haciendo que no tengan otra opción que operar de esa manera. Y ahí es donde estás tratando de llegar.

No queremos una seguridad opcional, no queremos que la gente tenga que elegir lo mejor. Cuando es fácil y cuando está empaquetado y cuando es empujado hacia fuera a esas personas que ahora son remotas - quiero decir, con COVID-19 100% del mundo ahora mismo está fuera del perímetro. Deja de intentar hacer las cosas viejas que estabas haciendo y pasa a este nuevo enfoque.

Así que dices: "mata la contraseña", "mata la VPN" y adopta esta filosofía Zero Trust para tu seguridad informática. Creo que es un gran consejo.

¿Quién está haciendo esta piratería ¿De qué hablaste? Me refiero a queTiene que haber diferentes grupos con diferentes objetivos para hacerloo es realmente hay una específica objetivo de estos hackers?

Bueno, depende. En mi libro he puesto algunas cosas sobre la historia de las APT y el tipo de objetivo de las diferentes organizaciones en términos de hacking. Hay una diferencia entre el tipo de actividad del estado-nación (que es el gran tipo de cosas estratégicas que los EE.UU. y otros países se dedican a ganar una ventaja estratégica) y está el lado criminal. Así que ahora mismo, mucho de lo que se está viendo es que cualquiera que pueda encontrar un nuevo punto de apoyo lo está utilizando. Puede ser una APT que está tratando de ganar un punto de apoyo para usarlo para algo más tarde, o podría ser una organización criminal que sólo está buscando hacer sus operaciones criminales.

Se te cayó el acrónimo APT - puede usted explicar esto en breve?

APT es básicamente la amenaza persistente avanzada de la que se oye hablar todo el tiempo en las noticias. Lo que realmente viene de un grupo de coroneles de la fuerza aérea que se sentó y dijo: "Bueno, ¿qué significa realmente que un estado nación va a tratar de hackear a otro estado nación?" Se les ocurrió este término. La amenaza persistente que va a seguir viniendo después de las organizaciones que tienen grandes fondos, grandes recursos y que están dirigidos a las actividades de nivel estratégico nacional.

Lo has descrito muy bien en tu libro también - Aconsejaría a cualquier persona interesada que definitivamente lea especialmente esos capítulos. Es interesante ver cómo diferentes naciones tienen diferentes objetivos y diferentes técnicas que aplican.

Hablando de ciberseguridad y guerra, si nos acercamos a las empresas: ¿cuáles diría usted que son hoy las principales amenazas, si es que puede resumirlas en algunas de ellas?

Bueno, creo que hay un capítulo en mi libro acerca de tratar de conducir más allá de lo que los chicos malos suelen buscar y luego el verdadero quid de la cuestión es no hacer que sea fácil para ellos. En mi opinión, y esto se basa en la historia y la experiencia, si puedes deshacerte de la contraseña, es una de las cosas más importantes. Además, si puedes deshacerte de las VPN también es muy importante.

Y si realmente puedes trabajar en torno a las configuraciones por defecto y empujar a tu organización a una posición en torno al mantra Zero Trust, estás eliminando mucho de lo que el adversario necesita para hacer esas actividades comprometedoras. Es por eso que realmente estaba empujando la historia de esto: porque hay un montón de cosas en los medios de comunicación y en las noticias sobre la IA y estos locos hacks y cualquier otra cosa. Sin embargo, la mayoría de lo que se ve es la explotación basada en esas cosas muy simples. No se trata de un "mega hackeo con IA".

Hablemos de "matar la contraseña". ¿Por qué debemos acabar con las contraseñas?

Bueno, yo publiqué una investigación sobre esto, pero ha sido respaldada por otras organizaciones que han publicado la investigación. Así que, curiosamente, hay aproximadamente 15 mil millones de credenciales comprometidas en este momento, actualmente disponibles. Sólo hay 7 mil millones de personas en el planeta, así que eso significa, básicamente, que todo el mundo tiene al menos una contraseña comprometida. ¿Por qué te consideras "seguro" cuando aprovechas algo que garantizas que en algún nivel está comprometido? Y no me refiero a no tener nunca una contraseña en ningún sitio, porque eso no va a funcionar. Pero usando sistemas en los que tienes autenticación de múltiples factores (MFA) y biometría basada en contraseñas, todas esas cosas, como que no debería ser tan difícil.

Mi hija de diez años sabe cómo hacer MFA para Fortnite, ya sabes. Así que es algo que deberíamos ser capaces de configurar y utilizar. Y no es tan difícil. Es lo suficientemente "diferenciador" para las organizaciones como para que, si puedes hacerlo, cambie el juego.

Usted toca el tema del MFAque existe en diferentes sabores, pero ha estado en el mercado durante muchos, muchos, muchos años. Y supongo que también se reduce al usuario-experiencia y que la gente sea reacia a utilizar la AMF porque lo ven como una molestia, aunque la prestación de seguridad sea mucho mayor. ¿Cuáles son, para usted, las principales tendencias si se mira el panorama del AMF o, por extensión, seguridad en el proceso de autenticación?

Creo que se está pasando a un espacio en el que todo se construye en torno al usuario y la identidad. Si nos remontamos a la historia y observamos la situación de la seguridad hace diez años, ésta giraba en torno a los cortafuegos y la red. Y ahora se trata realmente del usuario, la identidad y el acceso, y es hacia donde seguimos avanzando. Así que esta evolución significa que la seguridad se va a centrar más en lo que hace el usuario final, en el análisis del comportamiento y en ese tipo de cosas. No tiene que ser tan difícil como se piensa que la gente adopte esto y, afortunadamente, nos estamos moviendo en un espacio en el que la banca y la asistencia sanitaria también se están moviendo a las autenticaciones de múltiples factores, por lo que la mayoría de la gente se está familiarizando con. si quiero entrar en mi cuenta bancaria, "tengo que configurar MFA o 2FA", o al menos lo he visto en alguna parte.

Si miramos a Awingu como una plataforma de soluciones, tenemos incorporado Capacidades de MFA. Son súper fáciles de activar desde la perspectiva del administrador: sólo tienes que deslizarlo para abrirlo y sus usuarios están habilitados con MFA. Y si el sabor incorporado no es lo suficientemente bueno o quieres otra cosa, bien, puedes conectarte a un montón de soluciones MFA de terceros en esa mezcla también.

Pero a lo que quería llegar es a es que todavía, en bastantes casos, cuando estamos presentando la tecnología a los administradores, se les devuelve el favor. Aunque sea súper fácil activarlo, el administrador es así: "Sí, pero mis usuarios - y específicamente los usuarios mayores - no quieren utilizar la AMF porque creen que es una molestia. Sólo quieren poner el nombre de usuario y la contraseña en caché, y eso está bien". ¿Cómo pueden salvar esa brecha? y cómo pueden educar, o tal vez tomar sus usuarios finales en ese viaje de seguridad?

Sí, hago muchos talleres sobre eso con la gente y una cosa de la que les he hablado es que tu coche, vale, el coche que conduces tiene un cinturón de seguridad, y tiene un airbag. Y te lleva un extra, ¿qué? ¿tres segundos entrar en el coche y abrocharte el cinturón? Sin embargo, la probabilidad estadística de sobrevivir a un accidente de coche con el cinturón de seguridad es exponencialmente mayor que sin él. Entonces, ¿merece la pena tomarse esos tres segundos extra para abrocharse? Lo mismo ocurre con las contraseñas y la AMF. Si quieres mantener tu trabajo, si quieres mantener tu negocio en funcionamiento y no quieres arriesgarte a un compromiso, tómate el número x de segundos extra para que aparezca un parpadeo en tu teléfono y haz clic en "autenticar".

Para cualquier persona lógica, aparte de estar realmente vectorizado en no tener un cambio en el lugar, no hay manera de que puedan argumentar que eso tiene sentido y todavía tengo que correr a través de una organización que, una vez que se aborda desde ese punto de vista no dice "bien, lo entiendo".

Si incluimos en esa mezcla el "Traiga su propio dispositivo" (BYOD)... Ya sabes, la VPN en un mundo BYOD parece ser un partido bastante difícil.

Sí. Quiero decir, deberíamos vivir en un mundo que es BYOD. Honestamente, ahí es donde hay ahorros para la empresa. ¿Por qué, como director general, compraría portátiles a la gente si ya tienen uno en casa? ¿No sería mejor si pudiera decir simplemente: "Haz tu trabajo, usa tu máquina, te pondré algunos controles y mientras accedas a los recursos corporativos, me aseguraré de que estés protegido. Si estás haciendo cosas en la selva de Internet, es tu dispositivo, vuélvete loco. Eso es lo tuyo".

Si nosotros, no nos acercamos a proveedores específicos de VPN, sólo mira en las noticias de los últimos doce meses, probablemente todos los principales vendedores han tenido sus retos. ¿Hay un contexto en el que usted diría Vale, usar una VPN sigue estando bien, o ¿deberíamos eliminar la VPN por completo?

Así que creo que si planeas a largo plazo, después de que toda esta especie de "cosa de la crisis" se haya nivelado, creo que matas la VPN categóricamente. Aconsejo a la gente todo el tiempo: trabajar para deshacerse de las contraseñas y de la VPN. Sin embargo, por el momento, si no tienes otra opción, la VPN es mejor que nada. Así que es una de esas cosas en las que a largo plazo, quieres pasar de la VPN. Planea tu presupuesto, mira hacia eso, muévete a ese estado. Sin embargo, si estás en ese espacio ahora mismo donde estás haciendo tres años de innovación en tres semanas, una VPN es una solución vivible. Es mejor que nada.

¿Por qué cree que es tan difícil para las empresas deshacerse de la VPN o pasar a ¿el próximo bombo, la próxima generación de tecnología?

Ahí es donde vuelvo a lo que dije un poco antes: tenemos que hacer soluciones de seguridad que sean más fáciles de usar para todos y con las que estén más familiarizados. Las VPN siguen siendo algo que hay que decirles que descarguen, que pongan la configuración correcta del servidor, que usen la contraseña, el nombre de usuario, etc. Es más complicado, pero la gente está relativamente familiarizada con una VPN, incluso los "no tecnológicos" entienden lo que son las VPN porque se han vendido en los medios de comunicación, en el marketing y lo que sea. Así que es un poco más familiar, pero no es mejor ni mucho menos.

Nosotros ya habló de la corona o COVID-19. Vimos, de un proveedor perspectivaes que hay muchas empresas que hacen RDP y tener entornos RDP abiertos - que es bastante fácil de mapa. Al mismo tiempoLo que vimos desde el brote de corona es que hay mucho más abierto Puertos RDP en el mercado, a nivel mundial. Supongo que eso sólo puede significar va a haber más (o haya han sido mucho más) brechas que aún no han sido identificados. Como experto en el tema, lo que ¿ves? como los principales temas que conoces o los principales tipos de infracciones y brotes desde ¿la pandemia nos golpea?

Las últimas cifras que he visto se refieren a la suplantación de identidad, que ha aumentado en 600% de un año a otro. Es una cifra asombrosa. Además, el secuestro de RDP y la búsqueda de servidores RDP vulnerables aumentó en 3-400%. La gente está husmeando, tratando de encontrar servidores RDP vulnerables. El hecho de que estas dos cosas hayan aumentado significa que hay muchos más problemas de los que todavía no somos conscientes. La razón es, por supuesto, porque la gente está luchando para responder y mantener las empresas en funcionamiento. Va a tomar un tiempo antes de que realmente encontrar un montón de estos compromisos, pero te garantizo que va a suceder. Exactamente por lo que estás diciendo: la gente se apresuró a mantener los servidores en funcionamiento durante Corona.

Vamos a discutir una cosa más. Como experto en el tema - después de todo, ha escrito el libro sobre guerra cibernética - si necesita hacer predicciones sobre la ciberseguridad paisaje en un horizonte de cinco a diez años¿Qué crees que van a ser los principales desafíos para las organizaciones que nos preceden. Y tú puede ser específico allí.

Creo que vamos a seguir en un mundo que, por desgracia, hace muchas de las mismas cosas. Los últimos 30 años van a volver en una versión diferente para el futuro. Todavía me molesta, y me quita el sueño, que la gente se oponga a los principios de seguridad. "¿Por qué queremos MFA?" "¿Por qué queremos alternativas seguras a la VPN?" Es porque todavía existe esta cuestión en torno a "estar cómodo". Hacia donde vamos es que esas cosas se van a volver más ubicuas. Va a estar más integrado en la experiencia del usuario y eso ayudará a eliminar algo de eso. Pero vamos a seguir teniendo explotaciones de este tipo de cosas en el futuro previsible, simplemente por el problema de la cultura. A los humanos no les gusta cambiar su forma de hacer las cosas, más que por la falta de tecnología.

Entonces, ¿crees que dentro de 10 años ahora seguiremos utilizando simplemente contraseñas?

Dios, espero que no.

Creo que eso lo resume perfectamente. ¡Gracias por acompañarnos, Chase!

Índice de contenidos
¿Quiere saber más sobre Awingu?
Este sitio web utiliza cookies. Lea nuestra transparencia política de cookies!