Investigación y divulgación de vulnerabilidades: la fina línea de la equidad

Recientemente visité la nueva oficina de Londres de la consultora de seguridad IOactive, una empresa con entornos de trabajo interesantes.

Al reunirme con el fundador y presidente Joshua Pennell y el director de tecnología Gunter Ollmann, comencé preguntando cómo opera esta empresa cuando sus empleados entran y salen de las empresas. Pennell explicó que los clientes acuden a ellos porque quieren trabajar con su gente y el cliente típico (empresas de alta tecnología y grandes empresas) buscan el mejor talento.

La forma en que funciona la empresa, dijo Pennell, es que las empresas se acercan a ellos cuando hay que hacer algo y cuando las empresas están siendo pirateadas «no hay fin del trabajo».

“Las empresas intentan conseguir seguridad y no se les habría dado financiación el año pasado, pero luego son pirateadas y se les dará este año. La junta lo dará, el CISO mantendrá su trabajo y obtendrá un cofre de guerra, ya que el CISO es una figura decorativa y cuando ocurre un hack, obtienen lo que quieren «.

Dijo: “Para las organizaciones que no tienen seguridad, o para los departamentos de TI que no cuentan con todo el personal y si necesita manos adicionales para que las cosas sucedan, necesita personas para descubrir qué se perdió y comenzar a hacer los análisis forenses en el incidente.»

Cuando se trabaja en un proyecto, Ollmann dijo que depende de la «calidad» de lo que está implementado y cuánto tiempo puede llevar, especialmente porque dijo que «la mayoría de las organizaciones grandes no tienen sistemas», ya que no están aprovechando la programación y a menudo, los consultores tienen que empezar de cero, ya que tienen que aclarar sus problemas.

Pennell dijo que en un trabajo, IOactive se incorporó durante 48 horas iniciales después de una violación «masiva», pero 18 meses después, todavía estaban recibiendo informes sobre la búsqueda de datos. “Solo tenían lo mínimo indispensable; a menudo la seguridad es una casilla de verificación para el cumplimiento «.

Ollmann siguió diciendo que a menudo un proyecto comienza descubriendo cómo se violaron las empresas, qué tan lejos y profundo llegó y trabajando con las organizaciones para proteger más y desarrollar herramientas para identificar problemas más rápido.

“En algunos casos no debería ser necesario que la organización se concentre en la respuesta a incidentes más del diez por ciento del tiempo, ya que las herramientas están disponibles, pero si archivas todo y luego te violan, ¿entonces qué? Las herramientas son buenas para facilitar una respuesta, pero hacerla evolucionar hacia los corazones y las mentes de las empresas es mejor y comprender el perfil de riesgo.

“Si no sigue la protección, ¿cómo puede presentarse ante un frente legal o tratar con un investigador certificado cuando no hay pruebas suficientes de lo que sucedió o de quién lo hizo? Una pantalla en blanco hará que el equipo de TI se apresure y reinstale un escritorio, pero con 20,000 dispositivos, una organización tendrá malware en 50-200 de ellos, así que ¿tiene tiempo para hacer análisis forenses? No, simplemente vuelve a crear una imagen de ellos. Con 100.000 empleados en una organización global, todo se reducirá a un proceso rápido: una organización que he visto lo ha reducido a 15 minutos «.

Ollmann afirmó que si los mismos cinco e
ndpoints siempre se iniciará con malware infectado, ese nivel de pantalla azul es lo que estamos viendo con un enfoque de detección forense y cuánto tiempo dedica el equipo de TI a limpiarlo. “Desde la persona mejor pagada en TI hasta el servicio de asistencia técnica, deben ser más eficaces. En una organización, el equipo de seguridad es siempre menor de lo que la empresa necesita en términos de recursos «.

Como la empresa parece estar pasando constantemente de un incidente grave a otro, la empresa afirmó que a menudo se encuentra comenzando las configuraciones de seguridad desde cero, mientras que el consultor actúa como la «mano derecha» del CISO. Con la propuesta de Directiva de seguridad cibernética que proponía notificaciones de incumplimiento las 24 horas, Pennell creía que esto era imposible de medir, ya que “nadie sabe lo que sucedió después de ese tiempo, ya que algunos pueden detectarse pero hay algunos que nunca se conocen, a veces TI está ahí para mantener las luces encendidas ”.

Le pregunté a Ollmann sobre el concepto del consultor trabajando como «mano derecha del CISO», dijo que es el caso de un forastero que entra en la zona de conflicto y tiene que ganarse la confianza del equipo. Él dijo: “A menudo hay muchas culpas y muchas ‘¿por qué no hiciste esto o aquello?’ Nos llaman como expertos, y mucho está averiguando qué sucedió.

«La asignación de la culpa rara vez tiene que ver con el consultor, sino que trabajamos con el CISO y el equipo de gestión ejecutiva en lo que salió mal, por lo que somos menos un mediador y más centrados en las cosas, más un director de proyecto».

Ollmann afirmó que, por lo general, un proyecto puede durar entre seis y nueve meses, o incluso hasta dos años, para protegerse contra los ataques. Pennell dijo que tras el nombramiento de un nuevo CISO, se asigna el presupuesto y se contratará a un consultor para que lo gaste en las áreas correctas y en los planes de pruebas de penetración.

La empresa ha tenido una presencia cada vez mayor principalmente gracias a su personal de investigación y reconocido personal, que incluye al «pirata informático» Chris Valasek y al difunto Barnaby Jack, pero siguiendo el ejemplo de Pennell para ser más «vanguardista» y ofrecer algo diferente, dijo. busca personas que ofrezcan un cierto calibre de personalidad y habilidades. “Es gente que puede codificar y aspirar a entrar; ponemos un listón y si llegan a nuestro nivel, sube el nivel de aspiración ”, dijo.

Luego, esas personas son enviadas a la naturaleza para resolver un problema, que seguramente requiere una piel gruesa y una cabeza equilibrada.