0
0
A maioria dos CISOs é responsável pelo gerenciamento de riscos cibernéticos dentro de sua própria empresa. Alguns, no entanto, devem ter uma visão mais ampla. Os CISOs em empresas fornecedoras de produtos de segurança cibernética também têm responsabilidade com todas as empresas que compram ou usam seus produtos.
Para esta edição do CISO Conversations, a SecurityWeek conversou com dois CISOs de fornecedores: Chris Morales , CISO da empresa de segurança e análise Netenrich ; e Laura Whitt-Winyard, CISO da empresa de EDR Malwarebytes . O objetivo é explorar as diferenças introduzidas no papel do CISO quando a empresa vende segurança cibernética para outras empresas.
Responsabilidade do produto
Uma função fundamental para todos os CISOs é proteger a reputação da marca de suas empresas. Para a maioria dos CISOs, isso se concentra em proteger sua própria infraestrutura contra violações, perda de dados, ransomware etc. O fornecedor CISO tem outra dimensão – proteger os clientes da empresa de serem invadidos por uma falha no produto que vendem. Isso repercutiria como dano de marca para sua própria empresa.
Ambos os CISOs apontam para sua posição como a cadeia de suprimentos para seus clientes. Os ataques à cadeia de suprimentos estão aumentando devido ao princípio ‘hack one, 100s or 1000s’ amplamente adotado por gangues criminosas e atacantes de estados-nações. Morales apontou para a SolarWinds e a Kaseya; Whitt-Winyard apontou para Okta.
A violação do Okta afetou cerca de 400 de seus clientes. O incidente da Kaseya afetou cerca de 40 clientes, mas centenas mais a jusante deles. Até 18.000 clientes podem ter sido afetados pelo hack da SolarWinds , embora se acredite que menos de 100 empresas importantes e escritórios do governo tenham sido violados. O incidente da SolarWinds demonstra o dano à marca que pode ocorrer, com suas ações caindo 23% em uma semana após a divulgação.
Tanto Morales quanto Whitt-Winyard – e a maioria dos CISOs de fornecedores – têm a responsabilidade adicional de não apenas impedir que sua empresa se torne uma vítima da cadeia de suprimentos, mas também impedir que ela se torne uma fonte da cadeia de suprimentos. Isso requer um profundo envolvimento com o produto que eles vendem – e isso, por sua vez, tem efeitos indiretos em sua função que diferencia o CISO fornecedor do CISO não fornecedor.
A primeira e mais óbvia é que, embora seja necessária perspicácia comercial para gerenciar riscos contra sua própria empresa, isso não pode ser feito à custa de perspicácia técnica para proteger seus produtos e ajudar seus clientes. O fornecedor CISO não pode ser simplesmente um empresário, mas também um guru técnico.
Whitt-Winyard vai além e acredita que todos os CISOs exigem habilidades técnicas. “Parte do meu papel de CISO”, disse ela, “é orientar e treinar minha própria equipe, para ajudar a elevá-los a posições de liderança ou mais atraentes”. Ela deu o exemplo de um membro da equipe que pode estar atualmente envolvido em governança, mas quer se tornar um pentester.
“Se eu não entender os detalhes técnicos do que essa pessoa precisa aprender”, ela continuou, “não serei capaz de orientá-los corretamente para entrar em algo pelo qual são apaixonados. Se minha equipe estiver trabalhando em coisas pelas quais eles são apaixonados, obterei resultados excepcionais – mas se eles estiverem trabalhando em coisas pelas quais não são apaixonados, só vou conseguir exatamente o que pedi e nada mais .”
Morales também possui profundo conhecimento técnico. “Sou totalmente versado em tecnologia em geral”, disse ele, “e isso é importante para a maioria das pessoas de segurança. Conheço redes, TI, bancos de dados, desenvolvimento – entendo tudo isso.”
Ambas as empresas – na linguagem moderna – ‘bebem nosso próprio champanhe’. Eles são consumidores e fornecedores de seus próprios produtos, e os CISOs estão profundamente inseridos no processo de desenvolvimento de produtos.
Programa de recompensas de bugs
As recompensas por bugs são outra questão particularmente relevante para um CISO de fornecedor. Ambos os CISOs acreditam neles. Morales ainda não opera um programa de recompensas por bugs, embora o tenha feito em sua empresa anterior (outra empresa fornecedora de segurança cibernética). “Não é muito relevante para nós agora, porque a maioria de nossos clientes são empresas de segurança que têm seus próprios acordos. Mas à medida que entramos em novos mercados oferecendo, por exemplo, automação em operações, precisaremos considerar recompensas por bugs”, disse ele.
“Eu tenderia a apoiar pesquisadores de segurança em vez de tentar combatê-los”, acrescentou. “É melhor dar a eles um caminho para ajudá-lo em vez de machucá-lo, porque de qualquer forma eles estão encontrando essas coisas.”
Whitt-Winyard já opera um programa de recompensas de bugs no Malwarebytes via HackerOne . “A equipe de segurança cibernética é proprietária do nosso programa de recompensas por bugs”, explicou ela. “Revisamos as diferentes vulnerabilidades encontradas, determinamos se são legítimas e determinamos sua gravidade. Obviamente, a recompensa varia dependendo da natureza da vulnerabilidade. Assim, determinamos internamente qual equipe de produto é proprietária do produto e, em seguida, rastreamos essa vulnerabilidade para correção. Então nós o testamos novamente e, se funcionar, pagamos ao hacker.”
Whit-Winyard acredita fortemente em programas de recompensas por bugs. Ela acredita que toda empresa que possui ativos voltados para a Internet deveria ter um. “Quando você tem um programa de recompensas por bugs”, ela disse, “você incentiva a comunidade de segurança a avaliar tudo o que você tem voltado para a Internet. Mesmo se você contratar um pentester de terceiros, ele pode usar ferramentas automatizadas que não pegam tudo. Então, você ainda precisa de um programa de recompensas de bugs para, bem, preencher essa lacuna.”
Função de marketing
Embora as recompensas por bugs possam não ser exclusivas dos CISOs de fornecedores, uma função de marketing provavelmente é. Para Morales, é uma parte natural de ser um fornecedor CISO. “Muitos de nossos clientes são outras empresas de segurança e seu CISO deve aprovar a compra de novos produtos. É natural que o CISO comprador queira falar com o CISO vendedor, porque ambos falam a mesma língua. Acho que é um papel de marketing.”
Para Whitt-Winyard, o papel é mais claro. “Eu me envolvo no lado do marketing. Um bom exemplo é que recentemente participei do nosso pontapé inicial de vendas, onde conheci 158 pessoas. Fiz questão de conhecer cada pessoa – e fiz isso.”
Ela também passou algum tempo com a própria força de vendas da Malwarebyte. “Facilitei conversas entre nossos vendedores e pessoas mais envolvidas na comunidade de segurança para garantir que os vendedores entendessem o desafio de segurança que as empresas enfrentam.”
No mesmo evento, ela continuou: “Passei muito tempo com nosso próprio pessoal de marketing, discutindo a realidade de que muitos clientes em potencial não percebem que temos um produto empresarial. Eles apenas pensam: ‘Malwarebytes? Ah sim, aquele produto sem gordura que você baixa. Como superamos esse preconceito?
“Falei com alguns de nossa equipe sênior de produtos sobre aprimoramentos que acho que seriam importantes para nossos clientes porque, em última análise, sou o cliente – não apenas porque trabalho na Malwarebytes, mas porque sou o CISO e estive em segurança cibernética há mais de 20 anos”.
Por fim, ela acrescentou: “E quando formos a coisas como RSA Conference, Blackhat e DEF CON, estarei representando a empresa lá. Vou trabalhar nos estandes e me encontrar com alguns de nossos clientes existentes, bem como alguns de nossos clientes em potencial.”
Observância
Os CISOs geralmente têm sentimentos ambivalentes em relação à conformidade. Os regulamentos não podem ser ignorados, mas eles realmente existem para garantir que outras empresas estejam seguras. Eles se aplicam a todas as empresas, mas fornecedores de mercado de massa como Malwarebytes terão um grande volume de dados de terceiros (clientes) para proteger.
Para muitos CISOs, os regulamentos podem atrapalhar a segurança. “Eu odeio essa ideia de conformidade como instigadora de fazer as coisas”, disse Morales. “Algumas delas são antiquadas e contêm ideias que simplesmente não foram bem executadas. Isso acaba fazendo você fazer coisas que você não gosta.”
Whitt-Winyard tem uma visão semelhante, mas sucinta. “Uma das coisas que defendo para minha equipe é que conformidade não é igual a segurança – segurança é igual a conformidade. Se fizermos a segurança da maneira certa, praticamente não importa qual regulamento estamos tentando cumprir – estaremos em conformidade.”
Os regulamentos, ela acrescentou, “existem para pessoas que não estão fazendo o que deveriam estar fazendo em primeiro lugar”.
Violação
Mas e se, apesar de todas as precauções, um fornecedor de segurança for violado? Um fornecedor é a cadeia de suprimentos para todos os seus clientes – considere a SolarWinds e a Kaseya. Uma violação afetaria a própria organização do CISO, mas também poderia afetar muitos de seus clientes.
“Eu seria demitido”, disse Morales, meio brincando. Mas ele usa isso como um incentivo (um pouco) de brincadeira para sua equipe de segurança. “Se eu for demitido, não irei sozinho.”
Whitt-Winyard disse: “Seria devastador; para mim como indivíduo, para minha empresa e para todos os nossos clientes.” Ela descreve os fornecedores de segurança como tendo um alvo pintado nas costas. “Somos muito vigiados por maus atores. Somos uma empresa de cibersegurança. Estamos impedindo-os – então, sempre que houver uma falha ou vulnerabilidade em nosso produto, eles vão pular nele.”
Ela aceita que tem responsabilidade para com sua própria empresa, mas também para com todos os clientes de sua empresa. “Sim, temos nosso próprio problema de marca. Mas, do meu ponto de vista, tenho uma obrigação maior, como uma obrigação moral, com a comunidade de segurança como um todo. O objetivo da Malwarebytes e meu é proteger o mundo, uma empresa de cada vez.”
No que diz respeito ao produto, ela está ciente de que, se ela ou sua equipe não detectar algo ou não relatar um problema ao desenvolvimento do produto, sua empresa poderá se tornar outra SolarWinds. “Se houver um backdoor, um buraco ou um vazamento em nosso produto que coloque as pessoas em risco, há um monte de hackers prontos para atacar.”
Simplificando, uma violação de um fornecedor de segurança é duplamente devastador – e é o CISO que carrega a lata.
Ameaças futuras
Os fornecedores de segurança geralmente avisam seus clientes em potencial: ‘não é uma questão de você ser violado, mas de quando você for violado’. Com base em ganso, ganso e molho, perguntamos aos nossos CISOs fornecedores quais eles consideram as principais ameaças que todos enfrentaremos nos próximos anos.
Para Whitt-Winyard, a principal ameaça é o extortionware – sendo a evolução do ransomware. “Não é mais apenas ransomware. Antigamente, era: ‘Ok, criptografamos seus dados. Se você quiser decifrá-lo, pague-nos dinheiro’. Bem, agora é ‘Nós criptografamos seus dados e os exfiltramos e, a propósito, ainda estamos em sua rede’”.
Ela deu um exemplo. Em uma empresa, “maus atores entraram em seu ambiente. Eles espreitaram por algum tempo; seu tempo de permanência era algo como seis meses sem serem detectados. Enquanto eles não foram detectados, eles estavam vazando lentamente toneladas de dados e lançando bombas lógicas e bombas-relógio por toda a rede.”
Quando chegou a hora certa, os invasores lançaram o ransomware e criptografaram o sistema da vítima. “A vítima pagou o resgate e descriptografou os sistemas”, continuou ela. “Mas então o agressor disse: ‘Quer saber? Nós temos seus dados, então nos pague um pouco mais’. Depois disso, foi: ‘A propósito, lançamos bombas lógicas e bombas-relógio em sua rede, e vamos detoná-las se você não nos pagar novamente’”. E continuou: ‘Também temos credenciais de administrador de domínio para seu ambiente…’. Uma vez que a extorsão começa, ela nunca termina.”
Para Morales, a ameaça é mais interna do que externa. “Negligência interna”, disse ele. “Eu realmente acho que isso me assusta mais do que a Rússia. Temo que vamos nos machucar se não tomarmos cuidado.” O problema é a velocidade necessária de inovação e desenvolvimento modernos.
“Tivemos um crescimento bastante sólido nos últimos anos”, continuou ele, “e esse crescimento cria a necessidade de mais e mais rápidos desenvolvimentos. Mais e mais rápido sempre leva a erros. Mas não posso ser eu que nos atrasa. Devo acompanhar o ritmo, e há muito espaço para tropeçar e cair.”
Ele acha que esse é um problema que afeta a maioria das empresas. “O negócio não vai desacelerar apenas para que a segurança possa acompanhar. Você nunca conhecerá um CEO que dirá: ‘Quer saber? Devemos desacelerar agora’. Não é assim que a América corporativa funciona.”
CISOs versus CISOs de fornecedores
A grande diferença entre CISOs de fornecedores de segurança e CISOs de não fornecedores é que os primeiros devem olhar em duas direções simultaneamente. Eles têm responsabilidade em relação à infraestrutura de sua própria empresa, mas também têm responsabilidade – por meio dos produtos que vendem – em relação a todos os seus clientes.
Isso tem dois efeitos primários. O CISO deve ter alto conhecimento técnico e se envolver profundamente no produto. O CISO fornecedor precisará de um relacionamento muito mais próximo com o desenvolvimento do produto do que normalmente é necessário. O segundo efeito é que o fornecedor CISO deve se sentir confortável em usar um chapéu de marketing. Os clientes que compram produtos de segurança querem falar com o pessoal de segurança.
Em suma, o fornecedor CISO é efetivamente um CISO+.
FONTE: SECURITYWEEK