Zero Gravity: Chris Childerhose Talks Tech with the Ootbi VSA | Join us >>
  • Empresas
  • Blog
  • Entrevistas Listas para Usar: Jason Garbis Experto en Zero Trust
Negocios

Entrevistas Listas para Usar: Jason Garbis Experto en Zero Trust

| 11 min to read

Geoffrey Burke: Hola a todos, tenemos con nosotros hoy. Experto en Zero Trust y autor de innumerables obras sobre ZTDR.

Bienvenido Jason, cuéntanos un poco sobre ti.

Jason Garbis: He estado en la industria de la tecnología toda mi carrera, que son casi 35 años en este momento. Así que eso me hace extremadamente viejo.

Comencé como ingeniero de software, escribiendo código en C y C++ para sistemas distribuidos. En ese rol, no solo llegué a entender cómo funcionan realmente los sistemas de software, sino también cómo funcionan las arquitecturas empresariales. Después de eso, cambié a un rol de consultoría de servicios profesionales para un proveedor de middleware. En ese rol, tuve la oportunidad de viajar, visitar y trabajar con muchas empresas que estaban utilizando el middleware de este proveedor en particular para construir sistemas distribuidos a gran escala. Eso, a su vez, me expuso a la imagen completa de los desafíos empresariales.

Comencé a adentrarme en el mundo de la seguridad hace unos 15 años, trabajando en el ámbito de la gestión de identidades: identidad, gobernanza y gestión del ciclo de vida. A partir de ahí, me trasladé a lo que hoy llamamos acceso a la red Zero Trust, trabajando para un proveedor en ese espacio. Allí lideraba el equipo de gestión de productos, pero también asumí un rol de liderazgo con la Cloud Security Alliance como parte del Grupo de Trabajo de Perímetro Definido por Software en ese momento.

Hoy, lidero ese grupo, y lo hemos transformado y ampliado su alcance para centrarnos en zero trust. Así que en esos roles, trabajo mucho con empresas y mucho con personas en diferentes trabajos como el equipo de seguridad, el equipo de TI, y ahora, en los últimos años, trabajando con las personas aquí en Object first, el equipo de protección de datos, respaldo y recuperación.

Hablemos sobre Zero Trust

Geoffrey Burke: ¿Dónde escuchaste por primera vez sobre Zero Trust? ¿Fue más desde una perspectiva de redes?

Jason Garbis: Creo que fue alrededor de 2015. Estaba trabajando para una empresa de gestión de identidades, que fue adquirida por RSA en 2013. Eso fue justo después o poco después de que se publicara el primer documento sobre zero trust por John Kinderrock en Forester. Eso fue en 2010, así que tenía algo de conocimiento al respecto. Luego, dejé RSA y me uní a una empresa que estaba lanzando lo que hoy llamamos una solución de acceso a redes de zero trust.

En este ámbito, estuve expuesto al concepto de zero trust y me di cuenta de que es realmente interesante. Está tomando todo lo que he hecho en torno a la gestión de identidades, la gobernanza de identidades y las mejores prácticas y aplicándolo a un nivel de red real.

En el mundo de la gestión de identidades, necesitas asegurarte de entender quién debería tener acceso a qué. La gobernanza de identidades hace cosas desde una perspectiva de proceso de negocio, asegurándose de que las personas estén en los grupos correctos y haciendo cumplir la segregación de funciones. Sin embargo, nunca ha habido una aplicación estricta.

Luego, nos trasladamos al mundo de zero trust y reconocimos que también necesitas hacer cumplir esto en la capa de red porque hay tantas vulnerabilidades y tanto en la superficie de ataque que puede ser aprovechado que necesitas que esas políticas conscientes de identidad y contextualmente conscientes se apliquen a nivel de proceso, a nivel de identidad, a nivel de aplicación y a nivel de red.

Geoffrey Burke: El ransomware debe haber aumentado significativamente la necesidad de Zero Trust en la industria. Uno de los principios fundamentales de zero trust es asumir una brecha. ¿Crees que los profesionales de TI han aceptado este concepto?

Jason Garbis: Lo ha hecho. Creo que todos podemos observar la prevalencia, el daño y la frecuencia de estos importantes ataques de ransomware y entender lo desafiante que es nuestro panorama de amenazas. La premisa de asumir una brecha, segmentar tu red y hacer cumplir el principio de menor privilegio es un gran antídoto contra el ransomware y asegurarte de que sea más difícil para los atacantes hacer algo.

Asumir la Brecha

Geoffrey Burke: Uno de los desafíos con Zero Trust y la idea de asumir brechas es que, esencialmente, estás diciendo que tu sistema ha sido violado antes del hecho. A algunos gerentes podría no gustarles ese tipo de visión pesimista.

Jason Garbis: Mencionas un punto interesante, y esa es una de las razones por las que necesitamos zero trust. Cuando hablas con equipos de redes empresariales y escuchas lo que han tenido que hacer, ha sido muy difícil porque no han tenido las herramientas de seguridad ni el vocabulario para hacer cumplir políticas de acceso reales. Los equipos de redes han tenido que cambiar su enfoque. Sus objetivos en el pasado han sido principalmente construir redes confiables, rápidas y resilientes, pero no han tenido la capacidad de hacer cumplir la seguridad a la que está atada la red. Cosas como la identidad y el contexto. Antes, era como si no supiéramos nada sobre la aplicación. No sabemos nada sobre el usuario, y si nuestro usuario es malicioso, ¿adivina qué? Sus paquetes maliciosos llegarán tan confiablemente y rápido como los de los demás.

Zero Trust ahora te da la oportunidad de alejarte de eso y decir que sabemos qué identidad está en este dispositivo, y vamos a permitir o denegar esos paquetes según la política.

Geoffrey Burke: ¿Es cierto que hoy en día, los equipos de protección de datos y seguridad tienen que trabajar juntos más que nunca debido a la amplia variedad de amenazas?

Jason Garbis: Sí, absolutamente. Mencionaste un punto importante: la necesidad de que los equipos de seguridad y los equipos de respaldo y recuperación de datos trabajen juntos y reconozcan que, primero, todo lo que hacemos en nuestra empresa ahora está digitalizado. Todo depende de ello, y por lo tanto, todo es un objetivo y necesita ser asegurado. No es correcto tratar el sistema de datos, respaldo y recuperación como otra aplicación más porque no lo es. Es un enorme objetivo para los atacantes. También es un paracaídas de emergencia.

Si eres atacado y has invertido todo este dinero en sistemas de recuperación de respaldo, quieres asegurarte de que aún estén disponibles en una emergencia y que los respaldos hayan sido validados como recuperables de manera regular mediante pruebas de DR.

Utilizando Estrategias de Zero Trust

Geoffrey Burke: ¿Qué estrategias le darías a las personas que intentan lograr lo anterior?

Jason Garbis: Esa es una conversación de toda una hora. He visto algunas situaciones realmente malas donde recibes resistencia de las personas que no son de seguridad en la empresa. Hay muchas malas maneras de hacer las cosas, pero también hay muchas buenas maneras de hacer las cosas. Hay un claro equilibrio entre la zanahoria y el palo en términos de motivar o forzar a las personas a seguir estos procedimientos.

Sabemos que salir como un equipo de seguridad y metafóricamente golpear a las personas en la cabeza con un palo y decir: "No, tienes que hacer esto," no es una gran manera de hacer cumplir las cosas, pero a veces, tienes que tener elementos de eso.

Miramos lo que nuestras empresas están haciendo hoy. No creo que nadie reclame victoria y diga que lo estamos haciendo genial. Estamos en un entorno adversarial. Nosotros como sociedad hemos dominado tantas cosas técnicas, como la ingeniería eléctrica, el transporte, la comunicación y la medicina.

En todas estas cosas, hemos hecho avances fenomenales, sin embargo, realmente apestamos en seguridad objetivamente.

Tenemos adversarios que son igual de innovadores, bien financiados y maliciosos y que mantienen el ritmo con nuestras contramedidas de inversión. Por lo tanto, los equipos de seguridad deben reconocer que tienen la responsabilidad de mejorar la seguridad de su empresa, y las personas tendrán que aceptar cambios allí.

Necesitamos crecer como industria, y los equipos de seguridad deben reconocer que simplemente tienes que hacer lo básico correctamente. No puedes tener personas desplegando servidores o servicios en tu red de los que no estás al tanto y que no están clasificados de la manera correcta.

Eso simplemente no es aceptable.

Del mismo modo, los usuarios no pueden simplemente conectar dispositivos aleatorios a la red y acceder a cosas. La buena noticia es que con el conjunto moderno de tecnologías relacionadas con la seguridad, podemos mejorar la experiencia del usuario y la seguridad. Podemos adoptar la autenticación biométrica, la autenticación sin contraseña y otras medidas. Una iniciativa de cero confianza puede aportar valor al negocio de muchas maneras, y el enfoque correcto es usar un poco de palo y muchas zanahorias.

Geoffrey Burke: No necesariamente poseemos todo en nuestros entornos. Tomemos la cadena de suministro, por ejemplo. ¿Está la industria de TI tomando esto en serio y es capaz de aplicar los principios de cero confianza en lugares como ese?

Jason Garbis: Sí, y hay una iniciativa significativa, especialmente en el gobierno, en torno a las S bombs, la factura de materiales de software y entender de dónde proviene eso. Si lees algunas de las guías de la NSA sobre cero confianza en torno a los dispositivos, profundizan en esto, como puedes imaginar.

  • Preguntas como: ¿de dónde proviene este hardware?
  • ¿Cómo sabes que este hardware no ha sido manipulado?
  • ¿Tienes componentes maliciosos incrustados allí?

Tomemos, por ejemplo, lo que sucedió recientemente. Afortunadamente, se detectó una biblioteca de código abierto con código malicioso incrustado antes de que se distribuyera. Si yo fuera un actor malicioso, seguiría una vía realmente interesante: incrustarme en un proyecto de código abierto, contribuir durante un par de años y luego colocar código malicioso en el proyecto.

Así que quiero terminar el último punto allí, ya sabes, la brecha asumida, que creo que es obvia aquí. No vas a poder validar cada pieza de código de código abierto que esté en tu entorno. Hay un nivel de confianza que debes tener en la comunidad, y claramente, deberías estar haciendo esto para el escaneo del código fuente de tus aplicaciones personalizadas, ya sabes, dinámico y estático y cosas así, pero.

También quieres llegar a un punto donde no haya luz entre lo que esperas que una aplicación o sistema haga en la red y lo que realmente hace.

Geoffrey Burke: Ese es un buen punto. También iba a preguntarte sobre el futuro porque estuve en la Conferencia de Seguridad de Winnipeg en abril, y su gran orador invitado fue Mike Rogers, almirante Mike Rogers, exjefe de la ¿Qué es lo que más te asusta? ¿Qué te quita el sueño? Me sorprendió al decir que en los próximos tres años, será una combinación de IA y computación cuántica. Sabes, estaba pensando en 10-15 años.

Jason Garbis: Comenzaré hablando de lo fácil: no estoy terriblemente preocupado por la cuántica en este momento. Si bien hay claramente un conjunto de proveedores e investigadores que están muy interesados en esto, no están invirtiendo en cuántica o agilidad criptográfica en este momento. Quieren estar al tanto, pero no están listos. Cuando llegue el momento, pueden confiar en sus bibliotecas o proveedores para actualizar algoritmos a prueba de cuántica.

No trabajo en la comunidad de inteligencia, sino en el sector privado comercial e incluso para agencias federales no del Departamento de Defensa. Reconocemos que esto está llegando, pero no están haciendo proactivamente cosas como cambiar a diferentes algoritmos. Así que no estoy terriblemente preocupado por eso. Vendrá, y habrá un montón de trabajo. Será, ya sabes, como el problema del Y2K multiplicado por diez.

Ese es un gran ejemplo de cuando la industria puso mucho trabajo en ello, y se convirtió en un no problema cuando llegó el cambio de milenio debido a todas las inversiones y el trabajo. Creo que veremos lo mismo con la computación cuántica.

La IA, creo, es un problema mucho más grande. No es tanto desde un ángulo de seguridad directa porque la IA no es creativa. No creará una forma completamente nueva de atacar, pero te permitirá amplificar el conjunto actual de métodos de ataque por 100, 1000 o 1,000,000. Las organizaciones necesitan estar listas para eso, pero diría que el problema más difícil proviene de los deepfakes y la incapacidad de distinguir una interacción con alguien o algo.

Todos hemos visto esto como real versus falso, donde obtienes entidades generadas por IA en una llamada de Zoom como esta. Quiero decir, ¿cómo sabes que soy real y no generado por IA?

El Futuro de Zero Trust

Geoffrey Burke: ¿Ves que el zero trust evoluciona aún más? ¿Qué ves en el futuro en ese sentido?

Jason Garbis: Hay algunos ángulos aquí. Claramente, un sistema de IA necesita ser protegido de la manera correcta, al igual que cualquier aplicación valiosa que desees aplicar a tus principios de confianza.

La noción de contexto no ha llegado a ninguna aplicación, y mucho menos a las aplicaciones de IA, por lo que no podemos decir que vamos al modelo de IA, y que este va a devolverte potencialmente información diferente basada en atributos sobre ti. No estamos en ese punto en la industria.

Creo que hay una necesidad de eso en general, que es la capacidad de cualquier aplicación, ya sea IA o una aplicación estándar, de ser consciente y consumir el contexto de zero trust y tomar decisiones basadas en eso.

Un ejemplo realmente simple es la ubicación geográfica. Tenemos una aplicación que tiene datos en ella. Puedes acceder a ella dependiendo de dónde estés, basado en regulaciones de protección de datos o privacidad. Es un tipo de cosa realmente básica, pero es más difícil de lo que piensas asegurarte de que aún podamos ser productivos porque depende de datos o metadatos adecuados.

Geoffrey Burke: Digamos que soy completamente nuevo en Zero Trust. Veo que Veeam y Numberline han desarrollado esta nueva Zero Trust Data Resilience (ZTDR) práctica.

¿Cómo surgió eso? ¿Qué es ZTDR en pocas palabras? ¿Cómo lo aplicamos?

Jason Garbis: Observamos el estado de la industria, en particular, el modelo de madurez de zero trust. Mencioné los pilares que cubre, incluyendo dispositivos de identidad, redes, cargas de trabajo de aplicaciones y datos. Sin embargo, hay brechas en áreas donde ese modelo es silencioso. En particular, no menciona nada sobre la copia de seguridad y recuperación de datos. Queríamos proporcionar alguna orientación y liderazgo de pensamiento sobre este tema. ¿Cómo deberían las personas aplicar los principios de zero trust a los ámbitos de datos, copia de seguridad y recuperación? Creamos este concepto llamado Zero Trust Data Resilience (ZTDR). 

Estamos extendiendo el modelo de Zero Trust y proporcionando conceptos y un camino de madurez dentro de ese dominio.

Zero Trust Data Resilience (ZTDR) se basa en tres conceptos principales: 

  1. Primero, seguir el principio de segmentación y separación de Zero Trust: Debes separar tu software de copia de seguridad de tu almacenamiento de copia de seguridad. Necesitan estar geográficamente aislados y tener diferentes puntos de control. En el modelo de brecha asumida, si uno de esos componentes es vulnerado, quieres asegurarte de que el otro no lo esté.
  2. El segundo principio es habilitar múltiples zonas resilientes. Todos estamos familiarizados con el concepto 3-2-1, y esto lo extiende al decir que necesitas asegurarte de que esas copias de seguridad estén en lugares geográficamente distribuidos.
  3. Luego, el tercer elemento es la inmutabilidad. Los datos de copia de seguridad necesitan ser inmutables y estar respaldados por la plataforma adecuada para que estés protegido incluso en el evento de una brecha por alguien que pueda eliminar esos datos de copia de seguridad. Así que esos son los tres conceptos centrales, y luego formalizamos esto un poco definiendo algunas capacidades adicionales. 

Por ejemplo, modelar cómo tu sistema de copia de seguridad y recuperación accede a las fuentes de datos que respaldan la empresa, asegurando que los sistemas de producción sean monitoreados, y el sistema de monitoreo también debe estar protegido por políticas de zero trust. Asimismo, el acceso al almacenamiento de copia de seguridad, tanto para leer como para escribir, debe estar protegido por políticas de zero trust para que solo las entidades adecuadas (el software de copia de seguridad) puedan leer y escribir.

Backup acceso de administración, como cualquier sistema privilegiado, necesita ser cuidadosamente controlado y aplicar autenticación fuerte.

Te aseguras de que incluso cuando tu persona principal esté, ya sabes, de vacaciones o ausente, alguien sepa cómo seguir el runbook con éxito. Ese tipo de cosas constituyen todo este concepto de resiliencia de datos de zero trust. Así que, hemos dado esto a la industria, y proporciona un mapa de ruta para hacerlo. También permite que los equipos de copia de seguridad y recuperación tengan conversaciones informadas con el equipo de seguridad sobre la adición de Protección de Datos a las iniciativas generales de Zero Trust.

¿Qué viene después?

Geoffrey Burke: Como pregunta final, ¿cuáles son tus planes para el futuro? ¿Te ves escribiendo otro libro? Ya has escrito dos libros, al menos sobre cero confianza, ¿verdad?

Jason Garbis: Sí, así es. He pasado mucho de mi tiempo trabajando con empresas en su estrategia y arquitectura de cero confianza. Es decir, realmente disfruto hacer eso. Aprendí algo de cada compromiso, y a medida que hago eso, continúo refinando el modelo, el enfoque y la metodología en torno a ello. Así que eso es algo que quiero seguir haciendo, ayudando a las empresas y perfeccionando y mejorando este modelo. Esto es algo que se vuelve más maduro, y lo compartiré con la comunidad en general.

Estoy en las primeras etapas de pensar en cómo sería una segunda edición del libro, con un alcance ampliado y un verdadero énfasis en ello. Hacer y proporcionar orientación práctica sobre cómo aplicar este modelo de madurez. ¿Cómo creas un mapa de ruta? ¿Cómo mapeas las capacidades en tu plataforma hacia el objetivo final? ¿Cuál es la definición y aplicación de estas políticas de acceso?

Geoffrey Burke: ¿Cómo te mantienes en las trincheras mientras trabajas como educador? Siempre hay un dilema: si te conviertes en un maestro, te conviertes más en un teórico. No estás en el terreno luchando, así que comienzas a sentir una especie de separación. ¿Sigues involucrándote a nivel de trabajo, como a nivel de trinchera de cero confianza, además de escribir los libros?

Jason Garbis: Sí, y no hay sustituto para el trabajo realmente duro de estar en el sitio con un cliente y una empresa, realizando un taller de dos días y entrevistando a docenas de personas para entender.

  • ¿Cómo están gestionando la identidad?
  • ¿Cómo están gestionando sus redes?
  • ¿Cómo es su estrategia de protección de datos o seguridad de datos?

Es un trabajo duro, pero también es estimulante aprender sobre ello porque, como dije, aprendí algo de cada uno de estos. Comparto eso y reflexiono sobre ello con cada empresa con la que trabajo en el futuro.

Noticias del producto

Al enviar este formulario, confirmo que he leído y acepto la Política de Privacidad.

También te puede interesar