CISOs devem construir segurança cibernética desde o início

Karen Roby, da TechRepublic, conversou com Curtis Simpson, CISO da Armis, uma empresa de segurança da Internet das Coisas (IoT), sobre as preocupações de segurança com o 5G. O seguinte é uma transcrição editada de sua conversa.

Karen Roby: Falamos muito sobre 5G, é claro, e todas as diferentes facetas da tecnologia. Também falamos muito sobre segurança, mas não tanto sobre os dois juntos. Quando se trata de 5G e as implicações de segurança, com o que você está mais preocupado?

VEJO: 5G: o que significa para a computação de borda (recurso especial ZDNet/TechRepublic) | Baixe a versão gratuita em PDF (TechRepublic)

Curtis Simpson: Na verdade, há muitas preocupações aqui. Apenas para citar alguns deles, estamos migrando de um tipo de rede baseada em hardware gerenciada centralmente que é construída e gerenciada por provedores de telecomunicações para uma rede baseada em software que pertence tanto a provedores quanto a empresas.

Na verdade, veremos redes 5G privadas interagindo com redes 5G públicas, mas aqui está o problema: não para casos de uso benignos. Com a velocidade que o 5G vai entregar, não é segredo que, em todo o mundo, estamos desenvolvendo e iniciando rapidamente a implantação de cidades inteligentes em grande escala, e isso é apenas o começo. Chegaremos a um ponto em que uma cidade inteligente pode ser descrita como uma tonelada de diferentes dispositivos inteligentes ou dispositivos IoT que fornecem serviços críticos e serviços de qualidade de vida, todos executados em redes 5G. Além disso, teremos redes 5G privadas construídas por empresas e usadas para manter todos os tipos de operações internas, funções críticas em áreas remotas do mundo etc.

O desafio, quando você olha para o último em particular, é que os profissionais de segurança estão lutando com a complexidade de seus ambientes atuais. Eles nem sequer têm as mãos ou a cabeça em torno da infinidade de dispositivos IoT, os riscos em torno desses dispositivos, os ataques que ocorrem contra dispositivos IOT críticos. Agora, essas empresas estão montando redes 5G privadas com dispositivos exclusivos que ainda não tinham visto antes, em redes que nunca foram responsáveis ​​por gerenciar, e essas redes estarão interagindo com outras redes públicas. Além disso, muitas das exposições que existiam nas redes 3G e 4G ainda existem nas redes 5G. Fornecendo a capacidade de rastrear usuários, acionar alertas em massa para diferentes dispositivos, não vimos muita exploração dessas coisas no ado. Não havia necessariamente uma razão para isso, mas quando você analisa os casos de uso em torno do que será executado nas redes 5G, há muitas preocupações.

Karen Roby: O que precisa acontecer, que tipo de colaboração precisa ser envolvida? Como o 5G está aqui, está se movendo e as cidades inteligentes estão evoluindo rapidamente. Essas coisas estão acontecendo tão rapidamente.

VEJO: Futuro do 5G: projeções, lançamentos, casos de uso e muito mais (PDF gratuito) (TechRepublic)

Curtis Simpson: Isso é. E temos que ser inteligentes sobre isso. E realmente, se olharmos para o que temos que fazer, o fator básico é que a segurança precisa estar na base das redes 5G privadas e públicas. E quando pensamos em redes 5G privadas, temos que ter o talento, o conjunto de habilidades, a experiência para realmente construir essas redes com responsabilidade e segurança, e temos que ter tempo para fazê-lo. Não é como quando começamos a migrar para a nuvem, onde apenas fazemos isso, apenas movemos as principais cargas de trabalho, os principais recursos para a nuvem e, em seguida, voltamos a proteger essas nuvens para que possamos proteger essas principais cargas de trabalho e serviços e soluções de forma eficaz. Não podemos fazer o que historicamente fizemos. Sempre criamos o valor seguro ou comercial primeiro e depois protegemos mais tarde.

A realidade não pode ser verdade aqui. Se for verdade aqui, quem pagará o preço? Como não teremos os recursos necessários para construir essas redes com segurança, gerenciá-las com segurança, monitorá-las, entender quando as coisas estão potencialmente maliciosas versus ainda agindo normalmente, e elas estarão executando funções críticas tanto dentro de nossos negócios quanto como pensamos em cidades inteligentes, na verdade estamos agora falando sobre a potencial interrupção das vidas humanas. Tanto a qualidade de vida quanto realmente impactar a vida de tal forma que as pessoas podem morrer se não estivermos construindo segurança na base, o que também significa que não podemos levar inerentemente dispositivos IoT que podemos introduzir em casa hoje e igualmente introduzir em uma empresa e em seguida, basta colocá-los em redes 5G que estão alimentando cidades inteligentes ou os principais recursos de negócios.

O desafio é que esses dispositivos não foram construídos com a segurança em mente. Temos que construir as redes e os dispositivos com a segurança em mente, o que significa que temos que colaborar com os fabricantes, temos que ter os talentos certos que estão construindo essas redes, habilitando esses dispositivos, configurando esses dispositivos com parcerias , com esses fabricantes. A segurança deve estar em todos os lugares, sempre e desde o início.

Karen Roby: Quão difundido é o entendimento de que é assim que precisa ser, Curtis? Isso é algo em que há pessoas como você tentando gritar do telhado: “Ei, pessoal. Temos que entender que isso deve ser a base ou enfrentaremos repercussões incrivelmente trágicas”. Ou isso é algo que você sente como uma comunidade, e CISOs como você, e outros, os fabricantes, estão todos de acordo com isso. Até onde está a aceitação?

VEJO: Engenharia social: uma folha de dicas para profissionais de negócios (PDF grátis) (TechRepublic)

Curtis Simpson: Há um general em torno do que estou dizendo. A preocupação que tenho é o que vimos historicamente, é que se uma empresa precisa tomar certas ações de sua perspectiva para se manter viável ou entrar em um determinado mercado dentro de um determinado período de tempo, novamente, o pensamento ou a estratégia sempre foi, vamos chegar lá e então vamos nos preocupar em otimizar daqui para frente. Estou preocupado que vamos fazer isso de novo. E enquanto fazemos isso, vamos pagar o preço, e então teremos que aprender com aqueles que pagaram o preço, e então voltar e fazer esse trabalho. Essa é a preocupação geral.

Também estou preocupado que os profissionais de segurança estejam cansados ​​agora. Esta é uma conversa muito comum no espaço agora porque os ambientes se tornaram mais complexos, os orçamentos são o que eram, a contagem de cabeças o que era. Não mudamos para a nuvem, adicionamos a nuvem. Não estamos migrando para 5G, estamos adicionando 5G. Temos que ser atenciosos com o fato de que estamos criando uma superfície de ataque totalmente nova, além de um novo plano de negócios. E vamos ter que financiar isso, vamos ter que dar o tempo necessário, vamos ter que realmente levar isso a sério. E acho que mais podemos fazer para garantir que os CEOs e outros que estão tomando algumas dessas decisões em apoio à estratégia de negócios realmente entendam que a segurança está na raiz disso. E precisamos ter certeza de que estamos capacitando e trazendo aos nossos CISOs a energia necessária para combater essa luta e levar essas mensagens ao topo.

Karen Roby: O que mais os CISOs precisam fazer? Tenho certeza que muitos deles, a maioria deles estão sobrecarregados agora.

Curtis Simpson: Eles absolutamente são. E eles não podem aceitar isso em termos de compreensão do risco, criação de estratégias em torno do gerenciamento do risco, criação de operações e programas e implantação de ferramentas em torno de tudo isso, além de tudo o que estão fazendo hoje. Essa é a realidade. Eles simplesmente não podem. Eles vão tombar. Isso significa que, ao analisarmos isso nas empresas, pois estamos criando redes 5G privadas e consumindo recursos 5G, precisamos de uma equipe dedicada. Temos que olhar para isso enquanto estamos construindo uma linha de negócios inteiramente nova, ou estamos construindo um subgrupo ou subempresa inteiramente nova dentro de nossa organização. Temos que levar isso tão a sério da perspectiva de fornecer recursos dedicados para fazer isso direito e financiar novas contagens de funcionários adicionais para poder gerenciar esse ambiente de maneira muito madura e segura daqui para frente. Porque se fizermos o que sempre fizemos, apenas parafusando isso nas equipes atuais de infraestrutura e segurança, isso será um problema.

Karen Roby: É a parte chique e divertida de falar sobre alguma coisa. Com 5G por tanto tempo tem sido, “Oh, menor latência e velocidades mais rápidas. Vai ser ótimo, ótimo, ótimo.” Mas sem essa base, como você mencionou, e as peças que precisam ser colocadas primeiro, pode ser desastroso.

Curtis Simpson: Sim. E estamos falando de redes inteiramente novas. Além disso, não apenas vamos para uma rede orientada por software, mas também para uma rede orientada por software que realmente depende de protocolos e métodos de comunicação mais típicos, o que torna isso ainda pior porque não do perspectiva de ter os recursos para entender isso, mas os invasores agora têm uma vantagem que não necessariamente tinham em um ambiente 4G. Então, eles têm uma vantagem que nossos profissionais e as pessoas que constroem e protegem esses ambientes não têm, eles estão por trás, e é por isso que eu digo que temos que nos concentrar muito nisso como um programa e sustentar isso e financiá-lo como um programa, com a segurança como o início dessa fundação.