Vivimos en un mundo en el que la alta especialización ha llegado a cotas que podrían resultar ridículas. En algunos entornos admitimos que la palabra freak tiene connotaciones negativas, ese experto en la serie de películas X, o en el profundo conocimiento de las ranas de tipo Y, o de la música popular de mediados de los 50 del norte de Irán…
A finales del siglo pasado, en una época muy lejana al bits y los bytes, filósofos como Ortega y Gasset en su obra La rebelión de las masas, dedicaban un capítulo entero a cuestionar lo absurdo de la alta especialización en La barbarie del especialismo.
Al autor filosofaba en lo peligros que es tener esa visión tan cerrada del experto, que lo aleja de la realidad, ya que esta se compone por distintos campos.
Pongamos el ejemplo de un traumatólogo. ¿Debe este conocer en profundidad las partes del aparato digestivo, para operar prótesis de rodilla? Todos entendemos que el conocimiento “base” o transversal en la medicina debe ser necesario, al igual que entendemos que es necesaria la especialización en el área de lo óseo…
Me gusta poner otro ejemplo que he vivido de cerca y que critico profundamente. Imaginemos el problema del sobrepeso. La solución al sobrepeso va más allá de ir a un médico o nutricionista y que ponga una dieta de lechuga/pechuga. Hay un factor muy importante que es el deporte, pero por encima de una dieta hipocalórica está el factor psicológico. Es FUNDAMENTAL solucionar el problema de la mente, para que la solución del estómago funcione. En este caso, un equipo multidisciplinar de varios expertos sería la solución ideal…
Vayamos al terreno que nos compete en este ámbito, la tecnología y la ciberseguridad. Recuerdo con cierto añoro las discusiones con los amigos a la hora del café sobre sin Microsoft Windows o Linux. Si¡!! Éramos freaks¡! Pero esas discusiones aparte de para pasar el rato, nos enseñaban, nos formábamos en disciplinas que no manejábamos y que incluso amábamos/odiábamos. Siempre había algún radical que no aprendía de la hibridación que hoy diríamos…
Nada más lejos de aquella realidad, hoy nos toca bailar con sistemas operativos del pingüino, del gigante de Redmond, el de la manzana, el del androide, la virtualización de Red Hat, de Vmware, los firewalls de Fortinet, Palo Alto, el antivirus de Sophos, de Eset, y suma y sigue. Suma y sigue a un abanico de tecnologías que han desembocado no solo en expertos del sistema operativo X, sino en una especialización tan profunda que llega a administradores de tal servicio, y no les pida un movimiento dentro del sistema, solo saben de eso.
El gigante de las búsquedas en internet de dos oes puso sobre la mesa recientemente un modelo educativo que ha suscitado todo tipo de opiniones muy controvertidas. Me refiero a la academia Google. Prometen un plan de carrera en el que en 6 meses te forman para que seas experto de su religión, de su tecnología, de visión de la misma, y que estés capacitado para desarrollar trabajo de valor para ellos.
Al más puro estilo FP, dejamos de lado el fabuloso panorama educativo de nuestras universidades europeas y españolas, en las que se forma al futuro profesional en unas bases que, si bien necesitan del toque de la dichosa especialización, preparan al profesional para ser un matemático, estadista, ingeniero de software o hacker ético.
Imagina que estudias en la academia de hamburguesas de Burger King, quizás hagas el mejor Whopper, pero lo mismo en Mcdonalds no te quieren…
Imagina un ingeniero de Firewall. Uno bueno tendría los RFC´s de redes en la mesilla de noche y sería capaz de conocer y asimilar cualquier aplicativo… Ni en pintura¡!! Si quieres ser un experto en el fabricante Z debes casi hacer una promesa, 3 años en un monasterio, y rendir pleitesía a su política de formación, certificaciones, cambios, nuevas funcionalidades, etc…
En el mundo del hacking ético, de la parte ofensiva, lo vivimos con perfiles altamente especializados en la web. Capaces de obtener increíbles resultados en el proceso de ataque, pero auténticos incompetentes en la post explotación del sistema, cuando llegas a vector interno. Imagina un hacker de la nueva escuela frente a un sistema operativo que pone algo así como as300 o as400… Pero de igual manera, no le pidas al experto de as400 romper la seguridad del directorio activo, porque dentro de que todos son hackers, expertos en ciberseguridad, son disciplinas tremendamente comunes y a la vez distintas.
Otra de las carencias que solemos detectar es la falta del conocimiento defensor en el atacante, y falta de conocimiento atacante en el defensor. Cuéntale un ataque de kerberos basado en Golden Ticket a un sysadmin windosero de los de botón derecho-administrar. Creerá que le estás hablando de la película del genio Burton y la fábrica de chocolate… Pero pregúntale al atacante cómo solucionar no el fallo de Sqlinjection del portal web, sino cómo solucionarlo en una empresa en la que hay 60 programadores sin política devops, y con una exigencia del negocio cambiante, sin tiempo para QA, testing, ni nada de eso…
Y esto me da pie a hablar de eso, de la empresa ¡!! ¿Qué nos importa a nosotros los técnicos la empresa? Nosotros hablamos el lenguaje de Matrix ¡! Conocemos los entresijos de los 0 y los 1, y como Bender en Futurama, alguna vez tenemos pesadillas y aparece un 2… a nosotros con cosas de empresa…
El factor negocio lo es todo en la empresa. Es el principio¡!! Tirar el firewall que compré hace 2 años a la basura y comprar el que vende mi empresa, porque es más mejor, sin ofrecer una alternativa al cliente no es una buena recomendación de seguridad. No configures mejor el antivirus, mejor lo cambias todo porque así yo gano más dinero. Luego nos quejamos de la obsolescencia programada, pero somos los primeros en que en nuestro sector nos viene bien, para el frigorífico o lavadora nos quejamos.
Pero incluso cuando el argumento ya no es la venta indiscriminada de nuestros productos o servicios, nos encontramos con falta de soluciones defensivas a esos ejercicios de red team o pentesting. Que se ofrecen. Voy a decir otra locura para un técnico, el marco regulatorio, la ley ¡!!! Dile a tu experto en explotación de Web services que acompañe su auditoría con un profundo marco legal de acompañamiento que garantice al cliente la viabilidad con su compliance. No le digas al traumatólogo realizar una inserción de prótesis cristalino (cataratas) pero quizás el oftalmólogo sí sepa recetarte un analgésico para el dolor de muela…
Dentro del mundo cloud, se nos abren 3,4 quizás 5 proveedores líderes de cloud públicas que predominan en las organizaciones, y me atrevo a reducir a dos players muy conocidos por todos como son Amazon WS y Microsoft Azure. Admito Google también en la ecuación como actor candidato al Oscar…
En algunas organizaciones nos encontramos con esa visión de hace 30 años del fan-boy de una tecnología, auténticos expertos en una u otra religión-cloud , pero desde el punto de vista del prestador de servicios, desde nuestro punto de vista de MSSP, nos encontramos cada vez más con una estrategia mixta. Creemos que la mejor solución es la moderación, haciendo alusión al comentario de Ortega y Gasset. Ni tanto blanco ni tan negro.
Nos encontramos con organizaciones que albergan servicios on-premise, con una estrategia de nube híbrida en la que juegan con hypervisores de todos los fabricantes, soluciones de bases de datos de todos los fabricantes, tecnología de red de chinos y americanos, y por supuesto los famosos As a Services cada uno proporcionado por un prestador distinto.
Imaginemos el proceso de logística, en el que tenemos fuentes de información desde el front-end de seguimiento de tu pedido, hasta la pistola del packaging, pasando por sistemas de decisión expertos basados en Machine learning e IA, como no, albergados en distintas nubes, con no menos de 10 lenguajes de programación en todo el proceso.
¿De verdad crees que con un antivirus en el Windows del administrativo controlas la seguridad de todos los puntos? ¿Con un firewall gestionado en una de las partes del proceso crees que vas a tener la suficiente protección? ¿Tu sistema de monitorización basado en agentes es compatible con una pistola del fabricante alemán noseque ¿ ¿podrás instalar un agente en un componente serverless que hoy es tuyo, y mañana es de un belga que usa tu procedimiento de conversión dólar-euros? ¿Cómo hacemos esto?
El principio de la seguridad multi-cloud son soluciones propias o basadas en productos, que provean de esa visibilidad de los distintos elementos, integrándolos en un dashboard que nos permita trabajar el dato, para llegar a la famosa información, conocimiento, y poder tomar las posturas de ciberseguridad necesarias.
Imagina que ataque dirigido a tu organización, esas siglas que siempre confundo con los tenistas, en la que comprometen un servidor de integración continua, un Jenkins, para saltar un proceso de QA y que cuando tu programador mete la zarpa, en vez de mandar un 1 cuando detectamos una sqli, el sistema mete un 0. ¿Monitorizabas la salud de Jenkins? ¿Monitorizas la seguridad de los propios sistemas de seguridad?
Hace unas semanas un cliente sufrió un ataque muy dirigido en el que no se detectó que alguien o algo (¿quizás esas IA?) había metido una exclusión en el sistema antivirus que le estaba dando barra libre a moverse por el sistema sin detección. Y era uno de esos EDR que prometen solucionar la ciberseguridad de tu organización…
Volviendo al inicio y propósito del artículo, desde Verne Tech. creemos profundamente en la especialización, en contar con los mejores profesionales, partners, programas de formación, etc que nos garanticen los mejores resultados en nuestros proyectos, pero creemos profundamente en la transversalidad de la ciberseguridad en todos nuestros proyectos. Al final es un requisito más para los proyectos con base tecnológica. Desde la implementación de un ERP, o un CRM para controlar las oportunidades de tu fuerza de ventas, hasta el desarrollo de una solución de hyperconvergencia y virtualización de puesto de trabajo, pasando por servicios de CAU o cualquier otro, en todos, la ciberseguridad debe ser un denominador común y debemos nutrir a nuestros grupos de trabajo de ese componente cybersecurity.
La nube no es segura, al igual que los sistemas operativos o los automóviles. La seguridad recae sobre las manos del que lo administra, y aparecerán fallos en Amazon, en Azure y en nuestra pulsera deportiva, pero está en nuestras manos la gestión de los mismos. No pienses que el cloud es seguro de por sí, ni te obligues a elegir entre un u otro proveedor por tus preferencias tech. Un buen consultor es capaz de hacer ese traje a medida para en base a los requisitos de negocio, y después técnicos, ofrecer la mejor solución. No seas ese talibán que defiende que su modelo es el mejor, y plantea siempre cuál es el mejor.