Ransomware, Cyber-Savviness y la conexión de seguridad pública y privada

Nitin Natarajan es el subdirector de CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad), y tiene una amplia experiencia en el espacio de ciberseguridad, incluida la supervisión de infraestructura crítica para el Consejo de Seguridad Nacional de EE. UU. y el Departamento de Salud y Servicios Humanos de EE. UU. 

En esta discusión con el socio general de a16z, Joel de la Garza (quien anteriormente fue director de seguridad en Box y dirigió equipos de seguridad en numerosas instituciones financieras), Natarajan explica por qué el panorama de amenazas de seguridad cibernética en evolución está obligando a organizaciones de todos los tamaños, así como a individuos, para volverse más cibernéticos. También cubre una serie de otros temas, incluida la mejor manera en que la industria y el gobierno pueden trabajar juntos para compartir información y mantener a todos protegidos.

Esta es una versión editada de una discusión en vivo que tuvo lugar en mayo. Puedes escuche toda la discusión en forma de podcast aquí.

---

JOEL DE LA GARZA: ¿Cómo piensa usted y cómo piensa CISA sobre la priorización de las amenazas? Eso parece ser una clave para todo lo que estás tratando de hacer.

NITIN NATARAJAN: A medida que observamos la priorización, todo se reduce a comprender realmente cuáles son esos riesgos sistémicos. ¿Cómo podemos ayudar a contar la historia del análisis de impacto en cascada para que las personas puedan tomar decisiones sobre dónde invertir y contra qué riesgos invertir para protegerse? 

O, ¿cómo vemos el riesgo como un taburete de tres patas? Creo que dedicamos mucho tiempo a hablar sobre la identificación de riesgos. Pasamos mucho tiempo hablando de mitigación de riesgos. Nos olvidamos de esa tercera pata, que para mí es esa cada riesgo que identificamos y no mitigamos, lo estamos aceptando. Y siempre aceptamos algún riesgo. Quiero decir, conduje hasta aquí. Subí al escenario. Me arriesgué viniendo aquí. Correré el riesgo de irme y posiblemente caerme.

Pero, ¿cómo nos aseguramos de que nuestros ojos estén bien abiertos a lo que estamos aceptando? ¿Y cómo entendemos ese panorama de riesgo y lo usamos para impulsar nuestra priorización? Y luego, ¿cómo vemos esto en 16 sectores críticos que se encuentran en varios niveles de madurez?

Industrias como el sector financiero han tenido un retorno de la inversión cuantificable al invertir en ciberseguridad, pero tenemos otros sectores que no han invertido tanto tiempo ni tanto en esa área. Queremos ser capaces de abordar el riesgo de una manera que reconozca que las personas se encuentran en diferentes lugares y que se dirija tanto a las grandes corporaciones multinacionales como a las pequeñas empresas. Al observar los riesgos de la cadena de suministro, gran parte de ese riesgo no reside en las grandes corporaciones multinacionales, sino en las pequeñas empresas que están creando esa pequeña pieza, ese único artilugio que es fundamental.

Por lo tanto, la priorización para nosotros es un desafío porque estamos analizando industrias completas, vertical y horizontalmente. Pero lo que queremos intentar y hacer es entender realmente qué es ese riesgo sistémico.

Los medios y la industria de la seguridad suelen hablar siempre de las mismas amenazas. ¿Cuáles son algunas de las cosas que más le preocupan de las que no escuchamos todos los días?

Creo que la mayor amenaza es la complacencia. Se ha hablado mucho sobre quién es el adversario y cómo es el adversario. ¿Y cómo nos involucramos? Pero lo que realmente me preocupa es hacer que las personas entiendan verdaderamente el potencial que tienen para convertirse en víctimas y cómo perciben que la amenaza es suya.

Cosas como Hack de Colonial Pipeline y otros incidentes han ayudado con eso, donde la gente ha pensado en el pasado, “No puedo ser una víctima. Nadie va a venir por mí: soy una pequeña empresa, o soy una pequeña jurisdicción rural, o soy una escuela, y lo que sea. No están preocupados por mí. Están preocupados por las ciudades de Nueva York del mundo, están preocupados por las grandes corporaciones multinacionales”. Creo que lo que estamos viendo es que las personas pueden ver que la amenaza es real para ellos. 

Tuvimos un incidente con un pequeño distrito escolar que fue víctima de ransomware. Llamaron al número y dijeron: “No tenemos dinero. Solo somos este pequeño distrito escolar. No entiendes. Y los atacantes dijeron: “No, sabemos cuánto dinero tienes”.

¿Qué piensas sobre romper algo de ese entumecimiento o esa complacencia del lado del público en general?

Creo que es educación. Es lograr que el consumidor haga preguntas. Entonces, si va a un banco, por ejemplo, ¿el banco usa autenticación de múltiples factores? Desea buscar esos tipos de capacidades, así como lo que esa institución hace con su información personal y sus recursos, y cuál es el valor allí.

Creo que hacer que la gente entienda incluso cosas como la Internet de las Cosas, y que estamos introduciendo muchas más vulnerabilidades en el mundo, es importante. Quiero decir, tenemos refrigeradores conectados a internet. No estoy en contra. No sé qué hace diferente a mi refrigerador. Pero todas estas cosas están trayendo nuevas vulnerabilidades. 

En broma le dije a alguien el otro día que me encantaría volver a mi antiguo Motorola StarTAC días. Hemos incorporado mucha capacidad y tecnología a nuestros dispositivos móviles. Pero con eso, trajimos riesgo. Y no creo que hayamos dedicado suficiente tiempo a hablar sobre el riesgo, porque estamos hablando del tamaño de píxel y la capacidad de jugar.

Creo que también necesitamos educar a la próxima generación. Podría decirse que estoy perdido. Creo lo que creo, ya sabes, ¿y cómo me haces cambiar de opinión? Pero miro a mis hijos que están saliendo de la escuela secundaria y la gente dice: "Oh, son tan experto cibernético.” Y diría que no lo son, ofrecería que lo son conocedor de la tecnología. Han usado iPads desde que tenían dos meses de edad, pero todavía pegan la contraseña en la parte posterior del iPad o en la parte posterior de su teclado.

Entonces, creo que hemos equiparado conocimiento tecnológico inteligencia cibernética. Necesitamos hacerlos cibernéticos. Necesitamos integrarlo en la próxima generación para que ellos realmente lo integren en su vida diaria, tanto personal como profesionalmente.

¿Hay amenazas por las que estamos demasiado obsesionados y probablemente nos distraigan del riesgo real?

Pasamos mucho tiempo mirando el corto plazo. Es la naturaleza, es por defecto. Nos estamos enfocando en lo que está aquí y ahora, lo que está frente a nosotros. Pero no sé si dedicamos suficiente tiempo a mirar a más largo plazo, si realmente estamos analizando cómo será la resiliencia en 5 años, 10 años, 15 años. Y creo que es porque es difícil. No sabemos dónde estará la tecnología en 5 o 10 años, por lo que es difícil evaluar dónde enfocarse. Así que nos enfocamos en lo que está inmediatamente frente a nosotros.

Creo que debemos dedicar más tiempo a esa resiliencia a más largo plazo porque llevará tiempo desarrollarla. Cuando miro las soluciones empresariales, o en el gobierno, muchos de esos tipos de cosas son esfuerzos de varios años. Y a menudo, al menos en el proceso de adquisición del gobierno, en el momento en que establecemos nuestro alcance y realizamos la adquisición, ya está desactualizado. Y comenzamos el ciclo de nuevo.

Lo más importante es comprometerse con nosotros. Tenemos excelentes relaciones con los socios. que sabemos. Mi mayor preocupación es que hay muchos socios que no sé.

Hablemos de la situación con Rusia y Ucrania. Una de las cosas que ha sido muy interesante como observador pasivo es que no hemos tenido el mismo caos que tuvimos en el pasado. NotPetya y estas cosas que fueron diseñadas y desarrolladas para perturbar a Ucrania pero salieron e interrumpieron el comercio global. Parece que, en esta iteración, ha habido muchos menos daños colaterales. 

¿Es porque acabamos de subir de nivel y estamos haciendo mucho? ¿Es el trabajo del gobierno impulsar los estándares y hacer saber a la gente? porque tenemos la Escudos arriba anuncio que muchos de los directorios en los que estoy y la gente con la que trabajo se lo tomaron muy en serio. 

Creo que esto cambió en varios lados. Definitivamente hubo cambios con el adversario y algunos de los enfoques allí. Creo que definitivamente hay cambios desde el lado del gobierno y el trabajo que hemos hecho durante varios años para realmente subir el listón. Mucho de eso se debe a la colaboración con la industria, y muchos de esos tipos de cosas que han ayudado a la industria a ser más resistente. Creo que la gente cree en la ciberseguridad más que hace varios años. Y, entonces, todas esas cosas juntas nos han llevado a un buen lugar.

Estuve en el espacio de la salud pública por un tiempo y hemos estado luchando contra las pandemias durante mucho tiempo. Esto no es nuevo para nosotros. Y estábamos luchando contra pandemias, recuerdo cuando H1N1, lo que pensábamos que era una pandemia, llegó. Poco sabíamos. Y, ya sabes, lo que en realidad dijimos en ese entonces era que no podíamos adoptar una postura completa de trabajo remoto o teletrabajo porque los sistemas de TI no podían manejarlo. Bueno, avancemos 12 años y lo logramos. Logramos eso no solo por la transición a la nube, muchas cosas nos llevaron a donde estamos hoy.

Así que creo que cuando miramos a NotPetya en comparación con ahora, parte de esto son cambios en el lado del adversario, cambios en nuestro lado y cambios en la asociación y la relación. Shields Up es un gran ejemplo en el que podemos inclinarnos hacia adelante y compartir mucha más información con socios de la industria, tanto a nivel clasificado como no clasificado. ¿Cómo conseguimos información por ahí? ¿Cómo hacemos que la gente confíe en la información que publicamos?

Nuestro objetivo al final del día no es hacer llegar todos los documentos clasificados a todo el mundo o conseguir que todo el mundo sea autorizado con una autorización de seguridad. Nunca obtendremos esa información en el momento oportuno. Es sacar la información de una manera que la gente realmente pueda utilizarla. A lo largo de los años, he desarrollado una especie de mantra sobre el intercambio de información. para mi es: ¿Cómo hacemos llegar la información correcta a las personas adecuadas de manera oportuna que resulte en más informado Toma de decisiones. Entonces, aunque la decisión es la misma, al menos está mejor informada.

Y así, mientras observamos este evento, y lo que vimos, teníamos los mecanismos para obtener información. Teníamos gente que creía en la calidad de la información que salía. También creo que vale la pena inclinarse hacia adelante y decir que no tenemos mucha información. Y vimos algunas cosas realmente únicas. Teníamos mucha información que pudimos pasar del espacio clasificado al podio con bastante rapidez, en un tiempo récord, en algunos casos, y realmente pudimos usar eso para impulsar la toma de decisiones de las personas sobre qué acciones deberían tomar. Así que creo que ha sido una respuesta fuerte y efectiva.

Pero se trata de la colaboración y la asociación, porque no se trata solo de que brindemos información si no se puede utilizar. Y hasta que podamos recibir comentarios y realmente construir esos sistemas de una manera que nos permita trabajar juntos, no vamos a cambiar eso. concurso paisaje mientras estamos mirando la infraestructura crítica.

Miro a mis hijos que están saliendo de la escuela secundaria y la gente dice: "Oh, son tan experto cibernético.” Y diría que no lo son, ofrecería que lo son conocedor de la tecnología. Han usado iPads desde que tenían dos meses de edad, pero todavía pegan la contraseña en la parte posterior del iPad o en la parte posterior de su teclado.

Me encantaría conocer su opinión sobre el ransomware. La administración se ha puesto muy seria al respecto. Y da la casualidad de que se centra principalmente en las áreas que ahora están luchando entre sí. Tengo curiosidad acerca de su enfoque para lidiar con el ransomware y cómo tal vez esté eliminando algo de eso. Porque parece que tal vez ha mejorado...

Haré mi enchufe para nuestro sitio de ransomware, donde tratamos de poner todo junto en un sitio web central para difundir la información. Pero creo que mucho se reduce a la educación. Es educar a la gente de que no vas a recibir un millón de dólares por correo electrónico, vas a recibir un gran cheque en papel, alguien va a llamar a tu puerta y tocar el timbre. Creo que se trata de dejar que la gente entienda quiénes son las víctimas potenciales.

Tuvimos un incidente con un pequeño distrito escolar que fue víctima de ransomware. Llamaron al número y dijeron: “No tenemos dinero. Solo somos este pequeño distrito escolar. No entiendes.

Y los atacantes dijeron: “No, sabemos cuánto dinero tienes. Tenemos sus estados de cuenta bancarios. Sabemos cuánto tienes. Y sabemos cuánto puede pagar y lo que le estamos pidiendo es bastante proporcional a cuánto tiene en el banco. Así que no nos llevamos todo, dejamos un poco de algo. Pero, en realidad, esto es lo que queremos”.

Y el distrito escolar dijo: “Bueno, quieres Bitcoin. No sé cómo hacer eso." 

“Tenemos una mesa de ayuda. Tenemos mesas de ayuda en 14 idiomas diferentes que pueden ayudarlo a obtener bitcoin. ¿Entonces, Cómo podemos ayudarle?"

Entonces, creo que con el ransomware debemos permitir que las personas entiendan las vulnerabilidades, los riesgos, quiénes podrían ser los objetivos y las acciones a tomar [consulte el aviso conjunto de CISA 2021 Ransomware Trends]. Y el impacto monetario. Con los ataques de ransomware y con otros tipos de cosas que estamos viendo, la gente está INSTRUMENTO individual usuarios Pero también creo que la gente está empezando a prestar atención. Creo que la gente está empezando a no hacer clic en todo.

I do preocuparse por cosas como pandemias y ese tipo de cosas en las que tenemos un mayor potencial de oportunidades. O alguien con 300 correos electrónicos en su bandeja de entrada y solo necesita leerlos, que es víctima de ese tipo de cosas. Y por eso tenemos que mantener la presión. Tenemos que mantener la transmisión de mensajes. 

Y necesitamos que la generación más joven también se dé cuenta de esto. Porque cometí el error de revisar la bandeja de entrada de mi estudiante de secundaria. Y no sé si leen sus correos electrónicos o qué. No sé qué tienen... hay cientos, cientos, de correos electrónicos. Ni siquiera sé de dónde son o cómo los consiguieron. ¿Cómo educamos a esa próxima generación para que esté en un lugar mejor?

Nuestro objetivo al final del día no es hacer llegar todos los documentos clasificados a todo el mundo o conseguir que todo el mundo sea autorizado con una autorización de seguridad. . . . Para mí, es: ¿Cómo hacemos llegar la información correcta a las personas adecuadas de manera oportuna que resulte en más informado Toma de decisiones.

Sería genial entender cómo podemos, en el sector privado, comprometernos mejor con el gobierno y ayudar a mejorar las cosas. Porque es una de esas cosas de los deportes de equipo, donde todos perdemos juntos si no ganamos.

Creo que lo más importante es comprometerse con nosotros. Tenemos excelentes relaciones con los socios. que sabemos. Mi mayor preocupación es que hay muchos socios que no sé. No sabemos dónde están, o cómo llegar allí. CISA es una organización en crecimiento: tenemos una fuerza de campo en todo el país de aproximadamente 500 personas, y debemos seguir creciendo, pero incluso 500 personas son una gota en el océano. Entonces, necesitamos saber cómo involucrarnos y con quién involucrarnos. Y ahí es donde creo que la industria puede ayudar, porque hay muchas más oportunidades para que la industria se comprometa a conectarnos con los socios adecuados que pueden ayudarnos a elevar el listón de la resiliencia.

Y luego mantennos honestos. Mantennos honestos y edúcanos. Sabes, realmente estamos tratando de avanzar en muchos de nuestros compromisos porque creo que, en el pasado, ha habido mucho miedo sobre cómo nos relacionamos con la industria: "¿Qué podemos hacer?" “¿Qué podemos decir?” "¿Qué no podemos decir?" 

Hemos construido un equipo en CISA ahora que realmente se inclina hacia el futuro donde no tenemos miedo de ese compromiso. Sí, hay líneas, pero tenemos mucha libertad dentro de esas líneas. Realmente estamos tratando de mantenernos dentro de esas barandillas, no queremos estrellarnos y caer por el precipicio, pero mientras permanezcamos dentro de esas barandillas, estaremos bien.

Así que creo que lo más importante es decirnos lo que no sabemos. Y sé que hay muchas cosas que no sabemos. Pero ayudarnos a educarnos sobre cuáles son, ayudarnos a ser responsables de lo que estamos haciendo o no haciendo, realmente creo que nos ayudará a avanzar y dar esos saltos significativos que necesitamos hacer.

Publicado julio 4, 2022