S3 Ep142: Colocando o X em X-Ops

S3 Ep142: Colocando o X em X-Ops

Carimbo de data / hora: 6 de julho de 2023, 1h58
S3 Ep142: Colocando o X em X-Ops PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.
by Paul Ducklin

COLOCANDO O X NO X-OPS

Primeiro foi o DevOps, depois o SecOps, depois o DevSecOps. Ou deveria ser SecDevOps?

Paul Ducklin fala com Matt Holdcroft, membro da Sophos X-Ops, sobre como fazer com que todas as suas equipes corporativas de “Ops” trabalhem juntas, com a segurança cibernética correta como uma luz orientadora.

Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

Com Paul Ducklin e Matt Holdcroft. Música de introdução e finalização por Edith Mudge.

Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.

LEIA A TRANSCRIÇÃO

PATO.  Olá pessoal.

Bem-vindo ao podcast Naked Security.

Como você pode ouvir, não sou Doug, sou Duck.

Doug está de férias esta semana, então meu amigo de longa data e colega de segurança cibernética se juntou a mim neste episódio, Matt Holdcroft.

Matt, você e eu voltamos aos primeiros dias da Sophos...

…e o campo em que você trabalha agora é a parte de cibersegurança conhecida como “DevSecOps”.

Quando se trata de X-Ops, você já esteve lá para todos os valores possíveis de X, pode-se dizer.

Conte-nos algo sobre como você chegou onde está agora, porque é uma história fascinante.

MAT.  Meu primeiro emprego na Sophos foi administrador e desenvolvedor do Lotus Notes, e eu trabalhava na então sala de produção, então era responsável por duplicar disquetes.

Estes eram disquetes REAIS, que você poderia realmente fracassar!

PATO.  [RISOS ALTOS] Sim, o tipo de 5.25″…

MAT.  Sim!

Naquela época, era fácil.

Tínhamos segurança física; você pode ver a rede; você sabia que um computador estava em rede porque tinha um pedaço de cabo saindo da parte de trás.

(Embora provavelmente não estivesse em rede porque alguém havia perdido o terminador na extremidade [do cabo].)

Então, tínhamos regras simples e legais sobre quem poderia ir para onde e quem poderia enfiar o quê em quê, e a vida era bastante simples.

PATO.  Hoje em dia, é quase o contrário, não é?

Se um computador não estiver na rede, ele não poderá fazer muito para ajudar a empresa a atingir seus objetivos e é quase considerado impossível de gerenciar.

Porque ele precisa ser capaz de acessar a nuvem para fazer qualquer coisa útil, e você precisa ser capaz de alcançá-lo, como pessoa de operações de segurança, por meio da nuvem, para garantir que esteja funcionando perfeitamente.

É quase uma situação Catch-22, não é?

MAT.  Sim.

Está completamente invertido.

Sim, um computador que não está conectado é seguro… mas também é inútil, porque não está cumprindo seu propósito.

É melhor estar continuamente online para que ele possa obter continuamente as atualizações mais recentes, e você pode ficar de olho nisso e obter telemetria da vida real, em vez de ter algo que você pode verificar todos os dias.

PATO.  Como você disse, é uma ironia que ficar on-line seja profundamente arriscado, mas também é a única maneira de gerenciar esse risco, especialmente em um ambiente onde as pessoas não comparecem ao escritório todos os dias.

MAT.  Sim, a ideia de trazer seu próprio dispositivo [BYOD] não voaria no passado, não é?

Mas tínhamos o Build Your Own Device quando entrei na Sophos.

Esperava-se que você encomendasse as peças e construísse seu primeiro PC.

Isso foi um rito de passagem!

PATO.  Foi bem legal…

…você poderia escolher, dentro do razoável, não poderia?

MAT.  [Risos] Sim!

PATO.  Devo ir para um pouco menos de espaço em disco, e então talvez eu possa ter [VOZ DRAMÁTICA] OITO MEGABYTES DE RAM!!?!

MAT.  Era a era dos 486es, disquetes e faxes, quando começamos, não é?

Lembro que os primeiros Pentiums chegaram à empresa e foi: “Uau! Olhe para ele!

PATO.  Quais são suas três principais dicas para os operadores de segurança cibernética de hoje?

Porque eles são muito diferentes do antigo, “Oooh, vamos apenas tomar cuidado com o malware e, quando o encontrarmos, iremos limpá-lo”.

MAT.  Uma das coisas que mudou muito desde então, Paul, é que, antigamente, você tinha uma máquina infectada e todo mundo estava desesperado para desinfetar a máquina.

Um vírus executável infectaria *todos* os executáveis ​​no computador, e colocá-lo de volta em um estado "bom" era realmente aleatório, porque se você perdesse alguma infecção (supondo que você pudesse desinfetar), você estaria de volta à estaca zero como assim que esse arquivo foi invocado.

E não tínhamos, como temos agora, assinaturas digitais e manifestos e assim por diante onde você poderia voltar a um estado conhecido.

PATO.  É como se o malware fosse a parte principal do problema, porque as pessoas esperavam que você o limpasse e basicamente removesse a mosca da pomada e, em seguida, devolvesse o pote de pomada e dissesse: “É seguro usar agora, pessoal .”

MAT.  A motivação mudou, porque naquela época os criadores de vírus queriam infectar o máximo de arquivos possível, geralmente, e muitas vezes faziam isso apenas “por diversão”.

Considerando que hoje em dia, eles querem capturar um sistema.

Portanto, eles não estão interessados ​​em infectar todos os executáveis.

Eles só querem o controle desse computador, seja qual for o propósito.

PATO.  Na verdade, pode até não haver arquivos infectados durante o ataque.

Eles podem invadir porque compraram uma senha de alguém e, quando entrarem, em vez de dizer: “Ei, vamos soltar um vírus que disparará todos os tipos de alarmes”…

…eles dirão: “Vamos apenas descobrir quais ferramentas de administração de sistema astutas já existem e que podemos usar de maneiras que um administrador de sistema real nunca faria.”

MAT.  De muitas maneiras, não era realmente malicioso até…

…Lembro-me de ter ficado horrorizado quando li a descrição de um determinado vírus chamado “Ripper”.

Em vez de apenas infectar arquivos, ele circulava e alterava bits em seu sistema silenciosamente.

Portanto, com o tempo, qualquer arquivo ou setor do disco pode se corromper sutilmente.

Seis meses depois, você pode descobrir repentinamente que seu sistema não pode ser usado e não tem ideia de quais mudanças foram feitas.

Lembro que isso foi bastante chocante para mim, porque, antes disso, os vírus eram irritantes; alguns tinham motivos políticos; e alguns eram apenas pessoas experimentando e “se divertindo”.

Os primeiros vírus foram escritos como um exercício intelectual.

E eu me lembro, antigamente, que não podíamos ver nenhuma maneira de monetizar infecções, mesmo que fossem irritantes, porque você tinha aquele problema de “Pagar nesta conta bancária” ou “Deixar o dinheiro sob esta pedra no parque local”…

…que estava sempre suscetível de ser apanhado pelas autoridades.

Então, é claro, veio o Bitcoin. [RISADA]

Isso tornou todo o malware comercialmente viável, o que até então não era.

PATO.  Então, vamos voltar às dicas principais, Matt!

O que você aconselha como as três coisas que os operadores de segurança cibernética podem fazer para dar a eles, se preferir, a maior margem de lucro?

MAT.  OK.

Todo mundo já ouviu isso antes: Patching.

Você precisa corrigir e corrigir com frequência.

Quanto mais você deixar o patch... é como não ir ao dentista: quanto mais você deixar, pior vai ser.

É mais provável que você atinja uma mudança significativa.

Mas se você estiver aplicando patches com frequência, mesmo que encontre um problema, provavelmente poderá lidar com isso e, com o tempo, melhorará seus aplicativos de qualquer maneira.

PATO.  Na verdade, é muito, muito mais fácil atualizar de, digamos, OpenSSL 3.0 para 3.1 do que atualizar de OpenSSL 1.0.2 para OpenSSL 3.1.

MAT.  E se alguém está sondando seu ambiente e pode ver que você não está atualizado sobre seus patches... é, bem, “O que mais podemos explorar? Vale a pena dar uma olhada!”

Considerando que alguém que está totalmente atualizado... eles provavelmente estão mais no controle das coisas.

é como o velho Guia do Mochileiro das Galáxias: contanto que você tenha sua toalha, eles assumem que você tem todo o resto.

Portanto, se você está totalmente atualizado, provavelmente está no topo de tudo.

PATO.  Então, estamos corrigindo.

Qual é a segunda coisa que precisamos fazer?

MAT.  Você só pode corrigir o que você conhece.

Então a segunda coisa é: do Paciente.

Você tem que conhecer sua propriedade.

No que diz respeito a saber o que está sendo executado em suas máquinas, tem havido muito esforço recentemente com SBOMs, o Lista de materiais de software.

Porque as pessoas entenderam que é toda a cadeia...

PATO.  Exatamente!

MAT.  Não adianta receber um alerta que diz: “Há uma vulnerabilidade em tal e tal biblioteca” e sua resposta é: “OK, o que eu faço com esse conhecimento?”

Saber quais máquinas estão rodando e o que está rodando nessas máquinas...

…e, voltando ao patching, “Eles realmente instalaram os patches?”

PATO.  Ou um bandido entrou sorrateiramente e disse: “Aha! Eles acham que estão corrigidos, então, se eles não estiverem verificando novamente se eles permaneceram corrigidos, talvez eu possa fazer o downgrade de um desses sistemas e abrir uma porta dos fundos para cada vez mais, porque eles acham que têm o problema. resolvido.”

Então, acho que o clichê é: “Sempre meça, nunca assuma”.

Agora acho que sei qual é sua terceira dica e suspeito que será a mais difícil/controversa.

Então deixe-me ver se estou certo... o que é?

MAT.  eu diria que é: Matar. (Ou Abate.)

Com o tempo, os sistemas aumentam... eles são projetados e construídos, e as pessoas seguem em frente.

PATO.  [Risos] Acréscimo! [Risos mais altos]

Uma espécie de calcificação...

MAT.  Ou cracas…

PATO.  Sim! [RISADA]

MAT.  Cracas no grande navio da sua empresa.

Eles podem estar fazendo um trabalho útil, mas podem estar fazendo isso com a tecnologia que estava em voga há cinco ou dez anos, quando o sistema foi projetado.

Todos nós sabemos como os desenvolvedores adoram um novo conjunto de ferramentas ou um novo idioma.

Quando você está monitorando, precisa ficar de olho nessas coisas e, se esse sistema estiver ficando velho demais, você terá que tomar a decisão difícil e eliminá-lo.

E, novamente, da mesma forma que com o patch, quanto mais tempo você deixar, maior a probabilidade de se virar e dizer: "O que esse sistema faz?"

É muito importante sempre pensar wifecycwe quando você implementa um novo sistema.

Pense: “OK, esta é a minha versão 1, mas como vou eliminá-la? Quando vai morrer?”

Coloque algumas expectativas para o negócio, para seus clientes internos, e o mesmo vale para os clientes externos.

PATO.  Então, Matt, qual é o seu conselho para o que sei que pode ser um trabalho muito difícil para alguém que está na equipe de segurança (normalmente isso fica mais difícil à medida que a empresa cresce) para ajudá-los a vender a ideia?

Por exemplo, “Você não tem mais permissão para codificar com OpenSSL 1. Você precisa mudar para a versão 3. Não me importa o quão difícil seja!”

Como você transmite essa mensagem quando todos os outros na empresa estão se opondo a você?

MAT.  Primeiro de tudo... você não pode ditar.

Você precisa fornecer padrões claros e eles precisam ser explicados.

Aquela venda que você conseguiu porque enviamos antes do prazo sem resolver nenhum problema?

Será ofuscado pela má publicidade de que tínhamos uma vulnerabilidade ou de que lançamos com uma vulnerabilidade.

É sempre melhor prevenir do que remediar.

PATO.  Sem dúvida que sim!

MAT.  Eu entendo, de ambos os lados, que é difícil.

Mas quanto mais tempo você deixa, mais difícil é mudar.

Definir essas coisas com: “Vou usar esta versão e depois vou configurar e esquecer”?

Não!

Você tem que olhar para sua base de código e saber o que está nela e dizer: “Estou contando com essas bibliotecas; Estou contando com esses utilitários”, e assim por diante.

E você tem que dizer: “Você precisa estar ciente de que todas essas coisas estão sujeitas a mudanças e enfrentá-las”.

PATO.  Portanto, parece que você está dizendo que se a lei começa a dizer aos fornecedores de software que eles devem fornecer uma lista de materiais de software (um SBOM, como você mencionou anteriormente) ou não…

…você realmente precisa manter uma coisa dessas dentro de sua organização de qualquer maneira, apenas para poder avaliar sua posição em termos de segurança cibernética.

MAT.  Você não pode ser reativo sobre essas coisas.

Não adianta dizer: “Aquela vulnerabilidade que foi espalhada por toda a imprensa há um mês? Agora concluímos que estamos seguros.”

[Risos] Isso não é bom! [MAIS RISOS]

A realidade é que todos serão atingidos por essas corridas loucas para corrigir vulnerabilidades.

Existem alguns grandes no horizonte, potencialmente, com coisas como criptografia.

Algum dia, o NIST pode anunciar: “Não confiamos mais em nada relacionado à RSA”.

E todos estarão no mesmo barco; todos terão que se esforçar para implementar uma nova criptografia quântica segura.

Nesse ponto, será: "Com que rapidez você pode resolver o problema?"

Todo mundo vai estar fazendo a mesma coisa.

Se você estiver preparado para isso; se você sabe o que fazer; se você tem um bom entendimento de sua infraestrutura e seu código...

… se você pode chegar lá na frente do bando e dizer: “Fizemos isso em dias, em vez de semanas”?

Essa é uma vantagem comercial, além de ser a coisa certa a fazer.

PATO.  Então, deixe-me resumir suas três dicas principais no que acho que se tornaram quatro e ver se as acertei.

A dica 1 é a boa e velha Patch cedo; remendar com frequência.

Esperar dois meses, como as pessoas faziam nos dias de Wannacry ... isso não era satisfatório seis anos atrás e certamente é muito, muito tempo em 2023.

Mesmo duas semanas é muito tempo; você precisa pensar: “Se eu preciso fazer isso em dois dias, como posso fazer isso?”

Dica 2 é monitor, ou em minhas palavras clichês: “Sempre meça, nunca assuma”.

Dessa forma, você pode ter certeza de que os patches que deveriam estar lá realmente estão, e para que você possa realmente descobrir sobre aqueles “servidores no armário embaixo da escada” que alguém esqueceu.

Dica 3 é Matar/Abater, o que significa que você constrói uma cultura na qual é capaz de descartar produtos que não são mais adequados para o uso.

E uma espécie de dica auxiliar 4 é Seja ágil, para que, quando chegar o momento Kill/Cull, você possa realmente fazer isso mais rápido do que todos os outros.

Porque isso é bom para seus clientes e também coloca você (como você disse) em vantagem comercial.

Tem isso certo?

MAT.  Parece que sim!

PATO.  [TRIUNFANTE] Quatro coisas simples para fazer esta tarde. [RISADA]

MAT.  Sim! [MAIS RISOS]

PATO.  Como a cibsegurança em geral, são jornadas, não são, ao invés de destinos?

MAT.  Sim!

E não deixe que o “melhor” seja inimigo do “melhor”. (Ou “bom”.)

Então ...

Patch

Monitor.

Mate. (Ou Abate.)

E: Seja ágil… esteja pronto para a mudança.

PATO.  Matt, essa é uma ótima maneira de terminar.

Muito obrigado por subir ao microfone em cima da hora.

Como sempre, para nossos ouvintes, se você tiver algum comentário, pode deixá-lo no site da Naked Security ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Resta-me agora dizer, como sempre: Até a próxima…

AMBAS.  Fique seguro!

[MODEM MUSICAL]

Carimbo de hora:

Mais de Segurança nua