* Por Pat Gelsinger, CEO de VMware.
Pat Gelsinger, CEO de VMware participó en el RSA Conference 2019 y en su presentación resaltó el imperativo que tiene la industria de seguridad por dar un cambio radical pasando de un reactivo a uno predictivo.
Aquí puede escuchar toda la presentación.
En la pasada edición del RSA Conference en San Francisco, pudimos ser testigos de la fantástica innovación y los avances en la industria de la seguridad. Pero creo que hay una realidad mucho más profunda, y es que colectivamente hemos fallado a nuestros clientes.
Cada vez más información de la humanidad, de la industria, de los negocios, la sociedad y de cada persona -todas las cosas que hacemos- están en línea; y no hemos cumplido con las expectativas de nuestros clientes. Ellos gastan más y más en seguridad informática y sigue incrementando el número de ciberataques; esto es simplemente incorrecto.
Creo, es el momento de dar pasos radicales, pasos importantes más allá de los que hemos tomado. Y para hacerlo, me gustaría discutir lo que considero son estas 3 observaciones provocativas, que tal vez nos permitan dar un paso adelante de una manera más radical.
- La mayor amenaza para la seguridad es el hiper-enfoque en las amenazas de seguridad.
La industria de la seguridad se ha enfocado tanto en las amenazas informáticas, cuando de hecho esta es una de nuestras mayores debilidades. El enfoque excesivo en abordar esas amenazas a la seguridad nos ha impedido realmente construir una capacidad mucho mayor en seguridad cibernética. Creo que necesitamos reducir fundamentalmente la superficie de ataque en lugar de perseguir las últimas amenazas. Como dijo Ben Franklin: “Una onza de prevención vale una libra de cura”.
Básicamente, pensamos solamente de manera reactiva, o en perseguir amenazas. ¿Cuándo se aprueba el presupuesto de seguridad? Justo después de un ataque. Entonces, su vida es buena y ¿qué sucede? Agrega más y más capas de soluciones inadecuadas, en lugar de tener un enfoque preventivo, proactivo, de construcción, endurecimiento, parches, segmentación, etc. Como un buen constructor, se comienza con una gran base.
De acuerdo a un análisis realizado por VMware, 80% de las inversiones empresariales en seguridad se aplican en ser reactivos. Y el futuro no es mejor, porque de acuerdo a CB Insights, aunque consideremos un mayor foco en la cultura de innovación, la comunidad de capital de riesgo que invierte en start ups de seguridad, destina el 72% de sus inversiones en ser reactivos también.
Creo que debemos invertir totalmente esta situación. Tenemos que ver dónde tenemos el mayor impacto y ahí es donde necesitamos hacer nuestras inversiones. Dólar por dólar tenemos que ponerlo donde vamos a obtener mayores resultados. Necesitamos hacer cosas como aplicaciones segmentadas, controles reorientados desde la perspectiva de una aplicación, encriptando la aplicación en lugar del enlace de la red.
- “Awareness de la aplicación” carece de conocimiento de las aplicaciones.
Esta semana, durante el RSA Conference, probablemente vimos de 50 a 100 anuncios de nuevos productos que hablan sobre el conocimiento de las aplicaciones. Y la realidad es que solo son analizadores de protocolos, no entienden la aplicación en sí, y esto es especialmente cierto cuando se piensa a dónde se dirigen las aplicaciones.
Aquí un ejemplo sencillo, un casco moderno que provee información en tiempo real sobre una maquinaria, cadena de suministro, producción de la fábrica, etc. La aplicación sería una solución compleja, no es solo un protocolo que pasa por un par de servicios que se comunican entre ellos, es una red rica de servicios diferentes, tal vez una base de datos de su código de construcción de hace dos décadas, tal vez algunos servicios nuevos, o nuevas capacidades de realidad aumentada o virtual (AR/VR) que están en marcha, una red de aplicaciones complejas.
- Su producto de seguridad más importante no será un producto de seguridad.
Esto me lleva a mi tercera observación: su producto de seguridad más importante, no lo será en el futuro. Sé que está enojado, pero piense en esto por un segundo, no carga un respirador o una máquina de diálisis con usted. Siendo un ser con un sistema biológico no lo necesita, a menos que se presente una emergencia. El respirador o la máquina de diálisis está ya integrado a usted. Y es así como los sistemas de seguridad deben estar integrados.
Me reuní con el CEO de un banco y le pregunté: ¿cuántos proveedores de servidores utiliza? Él dijo “2”. ¿Cuántos proveedores de almacenamiento usas? Él dijo “2”. ¿Cuántos proveedores de redes usas? Creo que son cuatro, contestó. ¿Cuántos proveedores de seguridad usas? ¡Dijo 250! Esta complejidad nos está matando y es una pesadilla.
Dirijo una gran empresa con 25,000 personas, casi 9 mil millones de dólares en ingresos y estamos cambiando nuestro modelo de cómo ejecutamos las TI en VMware. Cuando comenzamos en 2015 teníamos 75 productos, los hemos reducido a la mitad y estamos en un proceso de reducirlo a la mitad nuevamente. Nuestro objetivo es llegar a menos de 25 productos de seguridad porque estamos incorporando más sistemas de seguridad en nuestra infraestructura, en la red, en los sistemas de almacenamiento, en las operaciones de nuestros usuarios finales, integrándolas en la infraestructura.
¿Cómo logra tomar 250 productos, mantenerlos parcheados, actualizados, asegurándose de que están trabajando y validados entre sí? Es simplemente una locura. Tenemos que disminuir esa complejidad, y este es nuestro enfoque en VMware: construir un modelo en el que reduzcamos constantemente la superficie de ataque, aseguremos las aplicaciones y los datos, y al mismo tiempo haciendo intrínseca la seguridad.
No se trata de armar un paquete de seguridad y agregarle servidor y ruteador y llamarlo seguridad intrínseca, eso quizás sea bueno para los vendedores, pero no cambia nuestra arquitectura de seguridad, no ayuda en este problema. Es necesario que se convierta en un servicio distribuido que esté al tanto de las aplicaciones que entrega, los datos y los servicios. Si lo pone de otra manera, nuestro objetivo es aprovechar el poder de la nube para asegurar la nube.
¿Cómo será este cambio en la práctica? ¿Cómo vamos a implementarlo a escala? Estamos refactorizando y reconsiderando esta noción básica de un firewall. Y todos entendemos un firewall, en gran medida, alrededor del tráfico norte-sur justo en el límite de su entorno, pero en el mundo de micro-servicios de múltiples nubes de hoy en día, no hay ningún borde. No hay lugar para bloquear. Y todavía sirve un propósito pero mínimo.
Al ver su infraestructura a través de la lente de las aplicaciones que se ejecutan en ella, necesita saber bien, cuáles son los servicios y las relaciones de los servicios que forman esa aplicación, los roles y los comportamientos previstos de cada una de esas máquinas y cómo deben comunicarse.
Entonces digamos que al comprender una de las cosas centrales que se supone que están sucediendo en lugar de otras 50 millones de cosas que no se supone que estén sucediendo. Y cuando entendemos esos buenos comportamientos, a nivel de red y a nivel de la aplicación, ¿cómo se comunican entre sí?, ¿cómo trabajan entre sí?; creemos que hemos resuelto el problema de una manera fundamental.
Y a medida que pensamos en lo que estamos haciendo a nivel de la máquina virtual, a nivel de red definida por software, podemos aprovechar la infraestructura de una manera poderosa como nunca antes.
Piense en la máquina virtual. Cuando lanzamos una aplicación, conocemos el ADN, conocemos el certificado de nacimiento de la aplicación en sí. Sabemos cómo se ejecuta, cómo se aprovisiona, qué se supone que debe hacer y que se encuentra fuera del host, no se puede manipular la máquina virtual, no se puede desactivar la protección antivirus, se encuentra fuera de ella, pero tiene pleno conocimiento de lo que está sucediendo en el nivel de aplicación. Y se distribuye, está en todas partes y se mueve con la aplicación y los servicios que se ejecutan dentro de ella, y aprende del host, también estamos creando un servicio que permite toda esa información, a través de todas las aplicaciones que se ejecutan. Es una aplicación de aprendizaje automático completamente distribuida desde el nacimiento hasta la vida y la ejecución de todo el entorno.
Y simplemente llamamos a eso un Firewall definido por servicio. Es un firewall reimaginado. Hecho completamente en software con las consideraciones de un conjunto de aplicaciones y servicios completamente distribuidos y complejos, es el servidor de seguridad para la era de la nube.
Todo esto tiene un gran impacto porque se reduce drásticamente la superficie de ataque, estamos construyendo una base que nos hace mirar decenas o cientos de cosas, en lugar de miles de millones de cosas. No solo hace que sea más fácil para usted endurecer su superficie, sino que, para cualquiera que intente atacarla, se volverá más difícil no exponerse.
Este es el viaje en el que estamos, el de crear y entregar una infraestructura de machine learning, ágil y definido por software, que genere esa seguridad intrínseca en la infraestructura misma. Para verdaderamente construir una base firme para un futuro seguro.
* Transcripción de parte de la presentación de Pat Gelsinger, CEO de VMware durante el RSA Conference 2019.
Si quieres ver el video completo de esta presentación da clic aquí.
