Entrevistas Listas para Usar: Jason Garbis Experto en Zero Trust
Geoffrey Burke: Hola a todos, hoy tenemos con nosotros a un experto en Zero Trust y autor de innumerables trabajos sobre ZTDR.
Bienvenido Jason, cuéntanos un poco sobre ti.
Jason Garbis: He estado en la industria de la tecnología toda mi carrera, que son casi 35 años en este momento. Así que eso me hace extremadamente viejo.
Comencé como ingeniero de software, escribiendo código en C y C++ para sistemas distribuidos. En ese rol, no solo llegué a entender cómo funcionan realmente los sistemas de software, sino también cómo funcionan las arquitecturas empresariales. Después de eso, cambié a un rol de consultoría de servicios profesionales para un proveedor de middleware. En ese rol, tuve la oportunidad de viajar, visitar y trabajar con muchas empresas que estaban utilizando el middleware de este proveedor en particular para construir sistemas distribuidos a gran escala. Eso, a su vez, me expuso a la imagen completa de los desafíos empresariales.
Comencé a adentrarme en el mundo de la seguridad hace unos 15 años, trabajando en el ámbito de la gestión de identidades: identidad, gobernanza y gestión del ciclo de vida. A partir de ahí, pasé a lo que hoy llamamos acceso a la red de Zero Trust, trabajando para un proveedor en ese espacio. Allí lideraba el equipo de gestión de productos, pero también asumí un rol de liderazgo con la Cloud Security Alliance como parte del grupo de trabajo de Perímetro Definido por Software en ese momento.
Hoy, lidero ese grupo, y lo hemos transformado y ampliado su alcance para centrarnos en zero trust. Así que en esos roles, trabajo mucho con empresas y con personas en diferentes trabajos como el equipo de seguridad, el equipo de TI, y ahora, en los últimos años, trabajando con las personas aquí en Object first, el equipo de protección de datos, respaldo y recuperación.
Hablemos sobre Zero Trust
Geoffrey Burke: ¿Dónde escuchaste por primera vez sobre Zero Trust? ¿Fue más desde una perspectiva de red?
Jason Garbis: Creo que fue alrededor de 2015. Estaba trabajando para una empresa de gestión de identidades, que fue adquirida por RSA en 2013. Eso fue justo después o poco después de que se publicara el primer documento sobre zero trust por John Kinderrock en Forester. Eso fue en 2010, así que tenía cierta conciencia de ello. Luego, dejé RSA y me uní a una empresa que estaba lanzando lo que hoy llamamos una solución de acceso a la red de zero trust.
En este espacio, me expuse al concepto de zero trust y me di cuenta de que esto es realmente interesante. Está tomando todo lo que he hecho en torno a la gestión de identidades, gobernanza de identidades y mejores prácticas y aplicándolo a un nivel de red real.
En el mundo de la gestión de identidades, necesitas asegurarte de entender quién debería tener acceso a qué. La gobernanza de identidades hace cosas desde una perspectiva de proceso empresarial, asegurándose de que las personas estén en los grupos correctos y haciendo cumplir la segregación de funciones. Sin embargo, nunca ha habido una aplicación estricta.
Luego, nos adentramos en el mundo de zero trust y reconocimos que necesitas hacer cumplir esto en la capa de red también porque hay tantas vulnerabilidades y tanto en la superficie de ataque que puede ser aprovechado que necesitas que esas políticas conscientes de identidad y contextuales se apliquen a nivel de proceso, a nivel de identidad, a nivel de aplicación y a nivel de red.
Geoffrey Burke: El ransomware debe haber aumentado significativamente la necesidad de Zero Trust en la industria. Uno de los principios fundamentales de zero trust es asumir una brecha. ¿Crees que los profesionales de TI han aceptado este concepto?
Jason Garbis: Así es. Creo que todos podemos observar la prevalencia, el daño y la frecuencia de estos importantes ataques de ransomware y entender cuán desafiante es nuestro panorama de amenazas. La premisa de asumir una brecha, segmentar tu red y hacer cumplir el principio de menor privilegio es un gran antídoto contra el ransomware y asegurarte de que sea más difícil para los atacantes hacer algo.
Asumir Brecha
Geoffrey Burke: Uno de los desafíos con Zero Trust y la idea de asumir brechas es que, esencialmente, estás diciendo que tu sistema ha sido violado antes del hecho. A algunos gerentes puede que no les guste ese tipo de visión pesimista.
Jason Garbis: Mencionas un punto interesante, y esa es una de las razones por las que necesitamos zero trust. Cuando hablas con los equipos de redes empresariales y escuchas lo que han tenido que hacer, ha sido muy difícil porque no han tenido las herramientas de seguridad o el vocabulario para hacer cumplir políticas de acceso reales. Los equipos de redes han tenido que cambiar su enfoque. Sus objetivos en el pasado han sido principalmente construir redes confiables, rápidas y resilientes, pero no han tenido la capacidad de hacer cumplir la seguridad a la que está vinculada la red. Cosas como la identidad y el contexto. Antes, era como si no supiéramos nada sobre la aplicación. No sabemos nada sobre el usuario, y si nuestro usuario es malicioso, ¿adivina qué? Sus paquetes maliciosos llegarán tan confiablemente y rápido como los de los demás.
Zero Trust ahora te da la oportunidad de alejarte de eso y decir que sabemos qué identidad está en este dispositivo, y vamos a permitir o denegar esos paquetes según la política.
Geoffrey Burke: ¿Es cierto que hoy en día, los equipos de protección de datos y seguridad tienen que trabajar juntos más que nunca debido a la amplia variedad de amenazas?
Jason Garbis: Sí, absolutamente. Mencionaste un punto importante: la necesidad de que los equipos de seguridad y los equipos de respaldo y recuperación de datos trabajen juntos y reconozcan que, primero, todo lo que hacemos en nuestra empresa ahora está digitalizado. Todo funciona en ello, y por lo tanto, todo es un objetivo y necesita ser asegurado. No es correcto tratar el sistema de datos, respaldo y recuperación como otra aplicación porque no lo es. Es un gran objetivo para los atacantes. También es un paracaídas de emergencia.
Si eres atacado y has invertido todo este dinero en sistemas de recuperación de respaldo, quieres asegurarte de que sigan disponibles en una emergencia y que las copias de seguridad se validen como recuperables de manera regular mediante pruebas de DR.
Utilizando Estrategias de Zero Trust
Geoffrey Burke: ¿Qué estrategias le darías a las personas que intentan lograr lo anterior?
Jason Garbis: Esa es una conversación de toda una hora. He visto algunas situaciones realmente malas donde obtienes resistencia de las personas que no son de seguridad en la empresa. Hay muchas malas maneras de hacer las cosas, pero también hay muchas buenas maneras de hacer las cosas. Hay un claro equilibrio entre la zanahoria y el palo en términos de motivar o forzar a las personas a seguir estos procedimientos.
Sabemos que salir como un equipo de seguridad y metafóricamente golpear a las personas en la cabeza con un palo y decir: "No, tienes que hacer esto", no es una gran manera de hacer cumplir las cosas, pero a veces, tienes que tener elementos de eso.
Miramos lo que nuestras empresas están haciendo hoy. No creo que nadie reclame victoria y diga que estamos haciendo genial. Estamos en un entorno adversarial. Nosotros como sociedad hemos dominado tantas cosas técnicas, como la ingeniería eléctrica, el transporte, la comunicación y la medicina.
En todas estas cosas, hemos hecho avances fenomenales, sin embargo, realmente fallamos en seguridad objetivamente.
Tenemos adversarios que son igual de innovadores, bien financiados y maliciosos y que mantienen el ritmo con nuestras contramedidas de inversión. Así que, los equipos de seguridad tienen que reconocer que tienen la responsabilidad de mejorar la seguridad de su empresa, y las personas tendrán que aceptar cambios allí.
Necesitamos crecer como industria, y los equipos de seguridad deben reconocer que simplemente tienen que hacer lo básico correctamente. No puedes tener personas desplegando servidores o servicios en tu red de los que no estás al tanto y que no están clasificados de la manera correcta.
Eso simplemente no es aceptable.
Del mismo modo, los usuarios no pueden simplemente conectar dispositivos aleatorios a la red y acceder a cosas. La buena noticia es que con el conjunto moderno de tecnologías relacionadas con la seguridad, podemos mejorar la experiencia del usuario y la seguridad. Podemos adoptar autenticación biométrica, autenticación sin contraseña y otras medidas. Una iniciativa de zero trust puede aportar valor al negocio de muchas maneras, y el enfoque correcto es usar un poco de palo y muchas zanahorias.
Geoffrey Burke: No necesariamente poseemos todo en nuestros entornos. Tomemos la cadena de suministro, por ejemplo. ¿La industria de TI está tomando esto en serio y es capaz de aplicar los principios de zero trust en lugares como ese?
Jason Garbis: Sí, y hay una iniciativa significativa, especialmente en el gobierno, en torno a las S bombs, materiales de facturación de software y entendiendo de dónde proviene eso. Si lees algunas de las guías de la NSA sobre zero trust en torno a los dispositivos, profundizan en esto, como puedes imaginar.
- Preguntas como: ¿de dónde proviene este hardware?
- ¿Cómo sabes que este hardware no ha sido manipulado?
- ¿Tienes algún componente malicioso incrustado allí?
Tomemos, por ejemplo, lo que sucedió recientemente. Afortunadamente, se detectó una biblioteca de código abierto con código malicioso incrustado en ella antes de que se distribuyera. Si yo fuera un actor malicioso, seguiría una vía realmente interesante: incrustarme en un proyecto de código abierto, contribuir durante un par de años y luego colocar código malicioso en el proyecto.
Así que quiero terminar el último punto allí, ya sabes, la brecha asumida, que creo que es obvio aquí. No vas a poder validar cada pieza de código de código abierto que esté en tu entorno. Hay un nivel de confianza que debes tener en la comunidad, y claramente, deberías estar haciendo esto para el escaneo del código fuente de tus aplicaciones personalizadas, ya sabes, dinámico y estático y cosas así, pero.
También quieres llegar a un punto donde no haya luz entre lo que esperas que una aplicación o sistema haga en la red y lo que realmente hace.
Geoffrey Burke: Ese es un buen punto. También iba a preguntarte sobre el futuro porque estuve en la Conferencia de Seguridad de Winnipeg en abril, y su gran orador invitado fue Mike Rogers, almirante Mike Rogers, exjefe de la ¿Qué es lo que más te asusta? ¿Qué te quita el sueño? Me sorprendió al decir que en los próximos tres años, será una combinación de IA y computación cuántica. Sabes, estaba pensando en 10-15 años.
Jason Garbis: Comenzaré hablando sobre lo fácil: no estoy terriblemente preocupado por la cuántica en este momento. Si bien hay claramente un conjunto de proveedores e investigadores que están muy interesados en esto, no están invirtiendo en cuántica o agilidad criptográfica en este momento. Quieren estar al tanto, pero no están listos. Cuando llegue el momento, pueden confiar en sus bibliotecas o proveedores para actualizar algoritmos a prueba de cuántica.
No trabajo en la comunidad de inteligencia, sino en el sector privado comercial e incluso para agencias federales no DoD. Reconocemos que esto está llegando, pero no están haciendo cosas proactivas como cambiar a diferentes algoritmos. Así que no estoy terriblemente preocupado por eso. Vendrá, y habrá un montón de trabajo. Será, ya sabes, como el problema del Y2K multiplicado por diez.
Ese es un gran ejemplo de cuando la industria puso mucho trabajo en ello, y se convirtió en un problema no existente cuando llegó el cambio de milenio debido a todas las inversiones y el trabajo. Creo que veremos lo mismo con la computación cuántica.
La IA, creo, es un problema mucho mayor. No es tanto desde un ángulo de seguridad directa porque la IA no es creativa. No creará una nueva forma de atacar, pero te permitirá amplificar el conjunto actual de métodos de ataque por 100, 1000 o 1,000,000. Las organizaciones necesitan estar listas para eso, pero diría que el problema más difícil proviene de los deepfakes y la incapacidad de distinguir una interacción con alguien o algo.
Todos hemos visto esto como real versus falso, donde obtienes entidades generadas por IA en una llamada de Zoom como esta. Quiero decir, ¿cómo sabes que soy real y no generado por IA?
El Futuro de Zero Trust
Geoffrey Burke: ¿Ves que zero trust evoluciona aún más? ¿Qué ves en el futuro en ese sentido?
Jason Garbis: Hay algunos ángulos aquí. Claramente, un sistema de IA necesita ser protegido de la manera correcta, al igual que cualquier aplicación valiosa a la que quieras aplicar tus principios de confianza.
La noción de contexto no ha llegado a ninguna aplicación, y mucho menos a las aplicaciones de IA, así que no podemos decir que vamos al modelo de IA, y va a devolver información potencialmente diferente para ti basada en atributos sobre ti. No estamos en ese punto en la industria.
Creo que hay una necesidad de eso en general, que es la capacidad de cualquier aplicación, ya sea IA o una aplicación estándar, de ser consciente y consumir el contexto de zero trust y tomar decisiones basadas en eso.
Un ejemplo realmente simple es la ubicación geográfica. Tenemos una aplicación que tiene datos en ella. Puedes acceder a ella dependiendo de dónde estés, según las regulaciones de protección de datos o privacidad. Es un tipo de cosa realmente básica, pero es más difícil de lo que piensas asegurarte de que aún podamos ser productivos porque depende de datos o metadatos adecuados.
Geoffrey Burke: Supongamos que soy completamente nuevo en Zero Trust. Veo que Veeam y Numberline han desarrollado esta nueva Zero Trust Data Resilience (ZTDR) práctica.
¿Cómo surgió eso? ¿Qué es ZTDR en pocas palabras? ¿Cómo lo aplicamos?
Jason Garbis: Observamos el estado de la industria, en particular, el modelo de madurez de zero trust. Mencioné los pilares que cubre, incluyendo dispositivos de identidad, redes, cargas de trabajo de aplicaciones y datos. Sin embargo, hay brechas en áreas donde ese modelo es silencioso. En particular, no menciona nada sobre respaldo y recuperación de datos. Queríamos proporcionar alguna orientación y liderazgo de pensamiento en torno a este tema. ¿Cómo deberían las personas aplicar los principios de zero trust a los ámbitos de datos, respaldo y recuperación? Creamos este concepto llamado Zero Trust Data Resilience (ZTDR).
Estamos extendiendo el modelo de Zero Trust y proporcionando conceptos y un camino de madurez dentro de ese dominio.
Zero Trust Data Resilience (ZTDR) se basa en tres conceptos principales:
- Primero, seguir el principio de segmentación y separación de Zero Trust: Debes separar tu software de respaldo de tu almacenamiento de respaldo. Necesitan estar geográficamente aislados y tener diferentes puntos de control. En el modelo de brecha asumida, si uno de esos componentes es violado, quieres asegurarte de que el otro no lo esté.
- El segundo principio es habilitar múltiples zonas resilientes. Todos estamos familiarizados con el concepto 3-2-1, y esto lo extiende diciendo que necesitas asegurarte de que esos respaldos estén en lugares distribuidos geográficamente.
- Luego, el tercer elemento es la inmutabilidad. Los datos de respaldo deben ser inmutables y respaldados por la plataforma adecuada para que estés protegido incluso en caso de una brecha por alguien que pueda eliminar esos datos de respaldo. Así que esos son los tres conceptos centrales, y luego formalizamos esto un poco definiendo algunas capacidades adicionales.
Por ejemplo, modelar cómo tu sistema de respaldo y recuperación accede a las fuentes de datos que respaldan la empresa, asegurando que los sistemas de producción sean monitoreados, y el sistema de monitoreo también debe estar protegido por políticas de zero trust. Del mismo modo, el acceso al almacenamiento de respaldo, tanto para leer como para escribir, debe estar protegido por políticas de zero trust para que solo las entidades correctas (el software de respaldo) puedan leer y escribir.
El acceso a la administración de respaldo, como cualquier sistema privilegiado, necesita ser cuidadosamente controlado y aplicar autenticación fuerte.
Te aseguras de que incluso cuando tu persona principal esté, ya sabes, de vacaciones o ausente, alguien sepa cómo seguir el libro de operaciones con éxito. Esos tipos de cosas constituyen todo este concepto de resiliencia de datos de zero trust. Así que, hemos dado esto a la industria, y proporciona un mapa de ruta para hacerlo. También permite a los equipos de respaldo y recuperación tener conversaciones informadas con el equipo de seguridad sobre la adición de Protección de Datos a las iniciativas generales de Zero Trust.
¿Qué viene después?
Geoffrey Burke: Como pregunta final, ¿cuáles son tus planes para el futuro? ¿Te ves escribiendo otro libro? Ya has escrito al menos dos libros sobre zero trust, ¿verdad?
Jason Garbis: Sí, lo estoy. He pasado mucho de mi tiempo trabajando con empresas en su estrategia y arquitectura de zero trust. Es decir, realmente disfruto hacer eso. Aprendí algo de cada compromiso, y a medida que hago eso, continúo refinando el modelo, el enfoque y la metodología en torno a ello. Así que eso es algo que quiero seguir haciendo, ayudando a las empresas y perfeccionando y mejorando este modelo. Esto es algo que se vuelve más maduro, y lo compartiré con la comunidad en general.
Estoy en las primeras etapas de pensar en cómo sería una segunda edición del libro, con un alcance ampliado y un énfasis real en ello. Hacer y proporcionar orientación práctica sobre cómo aplicar este modelo de madurez. ¿Cómo creas un mapa de ruta? ¿Cómo mapeas las capacidades en tu plataforma al objetivo final? ¿Cuál es la definición y aplicación de estas políticas de acceso?
Geoffrey Burke: ¿Cómo te mantienes en el terreno mientras también trabajas como educador? Siempre hay un dilema: si te conviertes en un maestro, te conviertes más en un teórico. No estás en el terreno luchando, así que comienzas a sentir una especie de separación. ¿Sigues involucrándote a nivel de trabajo, como en el nivel de trinchera de zero trust, además de escribir los libros?
Jason Garbis: Sí, y no hay sustituto para el trabajo realmente duro de estar en el sitio con un cliente y una empresa, realizando un taller de dos días y entrevistando a docenas de personas para entender.
- ¿Cómo están gestionando la identidad?
- ¿Cómo están gestionando sus redes?
- ¿Cómo se ve su estrategia de protección de datos o seguridad de datos?
Es un trabajo duro, pero también es estimulante aprender sobre ello porque, como dije, aprendí algo de cada uno de estos. Comparto eso y reflexiono sobre ello con cada empresa con la que trabajo en el futuro.