El concepto de responsable de ciberseguridad se encuentra en un proceso de transición de su antigua función de guardián y protector hacia un nuevo rol como facilitador de seguridad para toda la empresa. Nos lo cuenta Zane Lackey, nuestra firma invitada del mes, uno de los White Hat hackers más importantes a nivel mundial y autor de libros como Mobile Application Security o Hacking Exposed: Web 2.0
En la actualidad, Lackey es el cofundador y CSO de Signal Sciences, una plataforma de protección de aplicaciones web, y también forma parte del Advisory Board del Internet Bug Bounty Program y del Open Technology Fund.
A pesar de que se crean nuevas infraestructuras, servicios y aplicaciones, cosas tan sencillas como los fallos en la seguridad de los endpoints o la ausencia de sistemas de autenticación de dos factores continúan siendo la causa de los ataques globales que llegan a los telediarios. Arrancamos la entrevista rememorando su labor como White Hat hacker:
Panda Security: ¿Cómo se detecta una vulnerabilidad y se expone la amenaza para evitar un ataque?
Zane Lackey: Volviendo a mis días de pentesting, las estrategias más comunes consistían en detectar las asunciones que se hacían en el diseño del sistema y luego descubrir de qué manera podrían ser vulneradas. Posteriormente, adopté esa perspectiva pensando en cómo empoderar al equipo de desarrollo o al de DevOps para que pudieran saber durante el proceso de producción cómo sus servicios estaban siendo atacados. Es una de las lecciones más importantes que he aprendido de mi etapa de consultor de seguridad white hat y que aplico como CISO que busca construir una empresa segura: ¿Cómo puedo darle al equipo de ingeniería la mayor visibilidad posible para que pueda entender lo que pasa en producción?
PS: ¿Cómo ayudan programas como el Internet Bug Bounty a resolver las vulnerabilidades descubiertas? ¿Cuál es el siguiente paso?
ZL: Confío plenamente en el valor de los programas de bug bounty. Complementan muy bien el pentesting y creo que esta fórmula puede servirle a muchos de los programas de seguridad existentes. Lo más valioso de esta combinación es que el programa de bug bounty puede enfocarse en asuntos muy amplios, dejando el pentest simplemente para áreas específicas, y así alcanzar la mayor cobertura de seguridad posible.
En la búsqueda de soluciones, es importante trabajar con los investigadores y profesionales para que la comunicación funcione, para que la información llegue al equipo de servicios o de aplicaciones y todos puedan formar parte del proceso. Para que una vez detectado el problema, el equipo de producto defina la solución y los plazos que se manejarán. Aconsejo que ambas partes sean lo más transparentes posible.
PS: Recientemente, el Servicio Nacional de Salud británico (NHS) ha contratado a White Hat hackers para identificar ciberamenazas. ¿Crees que los hackers éticos son indispensables en las organizaciones actuales para evitar brechas y fortalecer la seguridad?
ZL: Cada organización tiene que pensar en cómo podrían atacar sus sistemas. Los White Hat hackers, los tests de penetración, los bug bounties, son solo una parte del todo, pero una parte realmente importante. No quieras invertir en seguridad solo por cumplimiento o para tachar la lista de las defensas que utilizas. Reto a los profesionales de seguridad a pensar en cómo un atacante puede entrar en su organización y a poner en práctica el resultado en las estrategias defensivas. Entonces, todos esos métodos de poner a prueba tus sistemas aportan un círculo de retroalimentación muy importante para mostrar dónde enfocar las defensas. Es decir, “al atacar tus sistemas, aquí es donde han ido”.
Creo firmemente en el balance entre ataque y defensa; usar una para guiar la otra y no únicamente trabajar con una de las dos de forma aislada.
PS: ¿La evolución hacia DevOps y la nube es una amenaza o una ayuda en materia de seguridad?
ZL: Adoptar DevOps y la nube puede ayudar a proteger tu empresa. En cualquier metodología de desarrollo, vas a tener vulnerabilidades. Por tanto, la metodología que te permita reaccionar con mayor rapidez es la que hará tu empresa más segura. La transición hacia Agile, cloud y DevOps implica que puedas reaccionar rápidamente.
PS: ¿Qué podemos aprender de brechas de seguridad como la de Equifax que ocurren gracias a vulnerabilidades de aplicaciones web?
ZL: Dos lecciones. La primera, que el 99% de las veces los ataques suceden por cosas comunes y sencillas: sistemas que no fueron parcheados, contraseñas débiles, malware en un endpoint… Invitaría a las empresas a no enfocarse solo en las amenazas complejas, como en exploits de zero day.
La segunda sería comprender que el riesgo de seguridad ha pasado de la red hacia la capa de aplicaciones y los endpoints. Gran parte de los equipos de seguridad siguen centrándose en la infraestructura de red, pero el riesgo está en las aplicaciones y los endpoints.
PS: ¿Cree que las empresas estarán preparadas para el GDPR? ¿Cómo pueden proteger los datos?
ZL: Seguridad y cumplimiento son dos conceptos totalmente distintos, aunque a veces se superponen. Las empresas deben pensar en cómo defender su información y no solo dedicarse a cumplir la legislación, como el . Cómo defienden sus endpoints, sus aplicaciones web, sus APIs. Para ello, deben generar visibilidad de los procesos, poner controles efectivos para el malware, aplicar autentificación de dos factores en tantos servicios como puedan, cobertura y protección en las capas de aplicaciones web.
PS: En términos de seguridad de aplicaciones web, ¿prefieres asegurarlas desde adentro, durante la programación, o emplear medidas de seguridad posteriores?
ZL: Hay que hacer ambas. Para defender aplicaciones, hay que pensar qué podemos hacer para eliminar la mayor cantidad de bugs posibles durante el ciclo de desarrollo, pero a la vez es necesario reconocer que siempre habrá bugs y vulnerabilidades. Además, debemos asegurar el propio código durante la programación y no simplemente buscar bugs antes de lanzarlo y, una vez la app está en internet, olvidarnos. Creo que este ha sido un error importante del SDLC (Systems Development Life Cycle) en los últimos 10 años, eliminar los bugs antes de la fase de producción y luego no dar visibilidad o defensa al código una vez en producción.
Hay que empezar a proveer de herramientas al equipo de desarrolladores para que ellos mismos puedan ver cómo están siendo atacadas sus aplicaciones y, por tanto, reaccionar. Los equipos de desarrolladores y DevOps necesitan ser autosuficientes en ciberseguridad. Solo así pueden seguir el ritmo de cambios constantes de las aplicaciones.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
