Jamey Heary de Cisco: Organizaciones que trabajan con información confidencial, usan WiFi encriptado, VPN y aplicaciones encriptadas

El 18 de octubre(October 18th) fuimos invitados a Cisco Connect 2017 . En este evento, nos reunimos con el experto en seguridad (security expert) Jamey Heary . Es ingeniero(Systems Engineer) de sistemas distinguido en Cisco Systems , donde dirige el equipo de arquitectura de seguridad global(Global Security Architecture Team) . Jamey es un (Jamey)asesor y arquitecto de seguridad de(security advisor and architect) confianza para muchos de los clientes más importantes de Cisco . También es autor de libros(book author) y ex bloguero de Network World.(Network World blogger). Hablamos con él sobre la seguridad en la empresa moderna, los importantes problemas de seguridad que afectan a las empresas y organizaciones, y las últimas vulnerabilidades que afectan a todas las redes y clientes inalámbricos ( KRACK ). Esto es lo que tenía que decir:

Nuestra audiencia está compuesta tanto por usuarios finales como por usuarios comerciales. Para comenzar y presentarse un poco, ¿cómo describiría su trabajo en Cisco , de una manera no corporativa?

Mi pasión es la seguridad. Lo que me esfuerzo por hacer todos los días es enseñar a mis clientes y usuarios finales sobre la arquitectura. Por ejemplo, hablo de un producto de seguridad(security product) y cómo se integra con otros productos (propios o de terceros). Por lo tanto, me ocupo de la arquitectura del sistema(system architecture) desde una perspectiva de seguridad(security perspective) .

James Heary, Cisco

Según su experiencia como experto en seguridad(security expert) , ¿cuáles son las amenazas de seguridad más importantes para la empresa moderna?

Los grandes son la ingeniería(engineering and ransomware) social y el ransomware . Este último causa devastación en tantas empresas, y va a empeorar porque hay mucho dinero en ello. Es probablemente lo más lucrativo que los creadores de malware descubrieron cómo hacer.

Hemos visto que el enfoque de los "chicos malos" está en el usuario final. Él o ella es el eslabón más débil en este momento. Como industria, hemos tratado de capacitar a las personas, los medios de comunicación han hecho un buen trabajo al correr la voz sobre cómo puede protegerse mejor, pero aún así, es bastante trivial enviarle a alguien un correo electrónico específico y hacer que tome una acción que desee: haga clic en un enlace, abra un archivo adjunto, lo que sea que desee.

La otra amenaza son los pagos en línea. Continuaremos viendo mejoras en las formas en que las empresas aceptan pagos en línea pero, hasta que la industria implemente formas más seguras de aceptar pagos en línea, esta área será un factor de riesgo(risk factor) enorme .

Cuando se trata de seguridad, las personas son el eslabón más débil y también el foco principal de los ataques. ¿Cómo podríamos hacer frente a este problema, ya que la ingeniería social es una de las principales amenazas a la seguridad?

Hay mucha tecnología que podemos aplicar. No hay mucho que puedas hacer por una persona, especialmente en una industria donde algunas personas tienden a ser más útiles que otras. Por ejemplo, en la industria de la salud(healthcare industry) , la gente solo quiere ayudar a los demás. Entonces, si les envía un correo electrónico malicioso, es más probable que hagan clic en lo que les envía que personas de otras industrias, como un departamento de policía(police department) .

Así que tenemos este problema, pero podemos usar la tecnología. Una de las cosas que podemos hacer es la segmentación, que puede reducir drásticamente la superficie de ataque(attack surface) que está disponible para cualquier usuario final. A esto lo llamamos " confianza cero(zero trust) ": cuando un usuario se conecta a la red de la empresa(company network) , la red comprende quién es el usuario, cuál es su función en la organización, a qué aplicaciones necesita acceder el usuario, comprenderá la máquina del usuario y cuál es la postura de seguridad(security posture) de la máquina, a un nivel muy detallado. Por ejemplo, incluso puede decir cosas como la prevalencia de una aplicación que tiene el usuario. La prevalencia(Prevalence) es algo que encontramos efectivo, y significa cuántas otras personas en el mundo usan(world use)esta aplicación, y cuántos en una organización dada. En Cisco , hacemos este análisis a través de hash: tomamos un hash de una aplicación y tenemos millones de puntos finales, y volverán y dirán: "la prevalencia en esta aplicación es 0.0001%". La prevalencia(Prevalence) calcula cuánto se usa una aplicación en el mundo y luego en su organización. Ambas medidas pueden ser muy buenas para determinar si algo es muy sospechoso y si merece ser examinado más de cerca.

Tienes una interesante serie de artículos en Network World sobre sistemas de gestión de dispositivos móviles(Mobile Device Management) ( MDM ). Sin embargo, en los últimos años, este tema parece ser menos discutido. ¿Se está desacelerando el interés de la industria en tales sistemas? ¿Qué está pasando, desde tu perspectiva?

Han pasado pocas cosas, una de las cuales es que los sistemas MDM se han saturado bastante en el mercado. Casi(Almost) todos mis clientes más importantes cuentan con uno de estos sistemas. La otra cosa que ha sucedido es que las regulaciones de privacidad y la mentalidad(privacy mindset) de privacidad de los usuarios han cambiado de tal manera que muchas personas ya no entregan su dispositivo personal (teléfono inteligente, tableta, etc.) a su organización y permiten que se instale un software MDM . (MDM software)Así que tenemos esta competencia: la empresa quiere tener acceso completo a los dispositivos que usan sus empleados para poder protegerse y los empleados se han vuelto muy resistentes a este enfoque. Existe esta batalla constante entre los dos bandos. Hemos visto que la prevalencia deLos sistemas MDM(MDM) varían de una empresa a otra, según la cultura y los valores de la empresa(company culture and values) , y cómo cada organización quiere tratar a sus empleados.

¿Afecta esto la adopción de programas como Bring Your Own Device ( BYOD ) para trabajar?

Sí, lo hace totalmente. Lo que sucede, en su mayor parte, es que las personas que usan sus propios dispositivos en la red corporativa, los usan en un área muy controlada. Una vez más(Again) , la segmentación entra en juego. Si traigo mi propio dispositivo a la red corporativa, entonces tal vez pueda acceder a Internet, a algún servidor web(web server) corporativo interno , pero de ninguna manera voy a poder acceder a los servidores de bases de datos, las aplicaciones críticas de mi empresa o sus datos críticos, desde ese dispositivo. Eso es algo que hacemos programáticamente en Cisco para que el usuario pueda ir a donde necesita en la red de la empresa,(company network) pero no a donde la empresa no quiere que vaya, desde un dispositivo personal.

El problema de seguridad(security issue) más candente en el radar de todos es " KRACK " ( ataque de reinstalación de clave(Key Reinstallation AttaCK) ), que afecta a todos los clientes y equipos de red que utilizan el esquema de cifrado WPA2 . (WPA2 encryption)¿Qué está haciendo Cisco para ayudar a sus clientes con este problema?

Es una gran sorpresa que una de las cosas en las que confiamos durante años ahora se pueda descifrar. Nos recuerda los problemas con SSL , SSH y todas las cosas en las que creemos fundamentalmente. Todos ellos se han vuelto "no dignos" de nuestra confianza.

Para este problema, identificamos diez vulnerabilidades. De esos diez, nueve de ellos están basados ​​en el cliente, por lo que tenemos que arreglar el cliente. Uno de ellos está relacionado con la red. Para eso, Cisco lanzará parches. Los problemas son exclusivos del punto de acceso(access point) , y no tenemos que arreglar enrutadores y conmutadores.

Me encantó ver que Apple obtuvo sus correcciones en el código beta,(beta code) por lo que sus dispositivos cliente pronto estarán completamente parcheados. Windows ya tiene listo un parche(patch ready) , etc. Para Cisco , el camino es sencillo: una vulnerabilidad en nuestros puntos de acceso y vamos a lanzar parches y correcciones.

Hasta que todo se arregle, ¿qué recomendaría a sus clientes que hicieran para protegerse?

En algunos casos, no es necesario que haga nada, porque a veces se usa el cifrado dentro del cifrado. Por ejemplo, si voy al sitio web de mi banco, utiliza TLS o SSL(TLS or SSL) para la seguridad de las comunicaciones, que no se ve afectado por este problema. Entonces, incluso si estoy usando un WiFi abierto , como el de Starbucks , no importa tanto. Donde este problema con WPA2 entra más en juego es en el lado de la privacidad(privacy side) . Por ejemplo, si voy a un sitio web y no quiero que otros lo sepan, ahora lo sabrán porque WPA2 ya no es efectivo.

Una cosa que puede hacer para protegerse es configurar conexiones VPN . Puede conectarse de forma inalámbrica, pero lo siguiente que debe hacer es encender su VPN . La VPN está bien porque crea un túnel encriptado que atraviesa el WiFi . Funcionará hasta que el cifrado VPN(VPN encryption) también sea pirateado y necesite encontrar una nueva solución. 🙂

En el mercado de consumo(consumer market) , algunos proveedores de seguridad están agrupando VPN con sus suites antivirus y de seguridad total. También están comenzando a educar a los consumidores de que ya no es suficiente tener un firewall y un antivirus, también se necesita una VPN . ¿Cuál es el enfoque de Cisco con respecto a la seguridad para la empresa? ¿También promueve activamente VPN como una capa de protección(protection layer) necesaria ?

VPN es parte de nuestros paquetes para la empresa. En circunstancias normales, no hablamos de VPN dentro de un túnel encriptado y WPA2(tunnel and WPA2) es un túnel encriptado. Por lo general, porque es excesivo y hay una sobrecarga que tiene que ocurrir en el lado del cliente(client side) para que todo funcione bien. En su mayor parte, no vale la pena. Si el canal ya está encriptado, ¿por qué encriptarlo de nuevo?

En este caso, cuando lo atrapen con los pantalones bajados porque el protocolo de seguridad WPA2(WPA2 security) está fundamentalmente roto, podemos recurrir a VPN , hasta que los problemas se solucionen con WPA2 .

Pero habiendo dicho eso, en el espacio de inteligencia(intelligence space) , las organizaciones de seguridad como el tipo de organización del Departamento(Department) de Defensa(Defense type) , han estado haciendo esto durante años. Se basan en VPN , además de encriptación inalámbrica y, muchas veces, las aplicaciones en el medio de su VPN también están encriptadas, por lo que obtienes una encriptación de tres vías, todas usando diferentes tipos de criptografía. Lo hacen porque son "paranoicos" como deberían ser. :))

En su presentación en Cisco Connect , mencionó que la automatización es muy importante en la seguridad. ¿Cuál es su enfoque recomendado para la automatización en seguridad?

La automatización se convertirá rápidamente en un requisito porque nosotros, como humanos, no podemos movernos lo suficientemente rápido para detener las violaciones y amenazas de seguridad. Un cliente tenía 10.000 máquinas encriptadas por ransomware en 10 minutos. No hay forma humanamente posible de que pueda reaccionar a eso, por lo que necesita automatización.

Nuestro enfoque actual(approach today) no es tan severo como debería ser, pero cuando vemos algo sospechoso, un comportamiento que parece una violación, nuestros sistemas de seguridad le dicen a la red que ponga ese dispositivo o ese usuario en cuarentena. Esto no es el purgatorio; aún puede hacer algunas cosas: aún puede ir a Internet u obtener datos de los servidores de administración de parches . (patch management)No estás totalmente aislado. En el futuro, es posible que tengamos que cambiar esa filosofía y decir: una vez que está en cuarentena, no tiene acceso porque es demasiado peligroso para su organización.

¿Cómo utiliza Cisco la automatización en su cartera de productos de seguridad?

En ciertas áreas, usamos mucha automatización. Por ejemplo, en Cisco Talos , nuestro grupo de investigación de amenazas(threat research group) , obtenemos datos de telemetría de todos nuestros widgets de seguridad y muchos otros datos de otras fuentes. El grupo Talos(Talos group) utiliza el aprendizaje automático(machine learning) y la inteligencia artificial para clasificar millones de registros todos los días. Si observa la eficacia a lo largo del tiempo en todos nuestros productos de seguridad, es increíble, en todas las pruebas de eficacia de terceros.

¿Se está ralentizando el uso de ataques DDOS ?

Desafortunadamente, DDOS como método de ataque(attack method) está vivo y bien, y está empeorando. Hemos descubierto que los ataques DDOS tienden a estar dirigidos a ciertos tipos de corporaciones. Dichos ataques se utilizan como señuelo y como arma de ataque(attack weapon) principal . También hay dos tipos de ataques DDOS : volumétricos y(volumetric and app) basados ​​en aplicaciones. La volumetría se ha salido de control si miras los últimos números de la cantidad de datos que pueden generar para derribar a alguien. Es ridículo.

Un tipo de corporaciones que son objetivo de los ataques DDOS son las del comercio minorista, generalmente durante la temporada navideña(holiday season) ( ¡se acerca el Black Friday !). El otro tipo de empresas que son objeto de ataques DDOS son aquellas que trabajan en áreas controvertidas, como el petróleo y el gas(oil and gas) . En este caso, estamos ante personas que tienen una determinada causa ética y moral, que deciden DDOS a una organización u otra porque no están de acuerdo con lo que están haciendo. Tales personas hacen esto por una causa, por un propósito, y no por el dinero involucrado.

Las personas traen a sus organizaciones no solo sus propios dispositivos sino también sus propios sistemas en la nube ( OneDrive , Google Drive , Dropbox , etc.). Esto representa otro riesgo de seguridad(security risk) para las organizaciones. ¿Cómo se enfrenta un sistema como Cisco Cloudlock a este problema?

Cloudlock hace dos cosas fundamentales: primero, te da una auditoría de todos los servicios en la nube que se están utilizando. Integramos Cloudlock con nuestros productos web para que (Cloudlock)Cloudlock pueda leer todos los registros web . Eso le dirá hacia dónde se dirige cada uno en la organización. Así que sabes que mucha gente está usando su propio Dropbox , por ejemplo.

Lo segundo que hace Cloudlock es que todo está hecho de API que se comunican con servicios en la nube. De esta forma, si un usuario publicó un documento de la empresa(company document) en Box , Box inmediatamente le dice a Cloudlock que ha llegado un nuevo documento y que debe echarle un vistazo. Así que miraremos el documento, lo categorizaremos, descubriremos el perfil(risk profile) de riesgo del documento, así como si se compartió con otros o no. Según los resultados, el sistema dejará de compartir ese documento a través de Box o lo permitirá.

Con Cloudlock puede establecer reglas como: "esto nunca debe compartirse con nadie fuera de la empresa. Si es así, desactive el uso compartido". También puede realizar el cifrado bajo demanda, en función de la criticidad de cada documento. Por lo tanto, si el usuario final(end user) no encriptó un documento comercial(business document) crítico , al publicarlo en Box , Cloudlock forzará el encriptado de ese documento automáticamente.

 

Nos gustaría agradecer a Jamey Heary por esta entrevista y sus sinceras respuestas. Si quieres ponerte en contacto, puedes encontrarlo en Twitter(on Twitter) .

Al final de este artículo, comparta su opinión sobre los temas que discutimos, utilizando las opciones de comentarios disponibles a continuación.



Ana Belén Cortes

About the author

¡Hola! Mi nombre es, y soy un hacker de hardware. Tengo más de 10 años de experiencia en la reparación y modificación de computadoras. Puedo arreglar casi cualquier cosa, desde computadoras portátiles hasta tabletas y televisores inteligentes. Con mis habilidades, puedo ayudar a los clientes a resolver sus problemas de manera rápida y eficiente. Mi blog está dedicado a ayudar a las personas a aprender a reparar sus computadoras y electrodomésticos con las herramientas adecuadas. ¡Y mi página de Facebook es donde comparto consejos, trucos y conocimientos sobre todo lo relacionado con la informática!


Related posts