BLACK HAT USA – Las Vegas – Miércoles 7 de agosto – Esta semana en Black Hat, aparecieron en el escenario principal Ann Johnson, vicepresidenta corporativa y directora adjunta de seguridad de la información (CISO) de Microsoft, y Sherrod DeGrippo, director de estrategia de inteligencia de amenazas de Microsoft. por su conversación, “Desde el escritorio del CISO: seguridad más inteligente, más rápida y más sólida en la era de la IA”. » Si bien los asistentes esperaban una discusión centrada en las formas en que la IA puede contribuir a la eficacia de las herramientas de ciberseguridad, se podría decir que Johnson y DeGrippo decidieron desviarse del guión.
“¿Alguien recuerda que hubo un pequeño problema hace unas semanas?” DeGrippo preguntó a la multitud, haciendo referencia a la reciente interrupción global de CrowdStrike, lo que provocó risas en respuesta.
EL actualizando la configuración del sensor de fallas El 19 de julio, la plataforma Falcon de CrowdStrike provocó que millones de personas experimentaran cortes de energía y “pantallas azules de la muerte” hasta donde alcanzaba la vista. Con el paso de los días, las consecuencias continuaron ampliándose, con la pérdida monetaria estimada por un importe aproximado de 5.400 millones de dólares, excluyendo las pérdidas propias de Microsoft.
Johnson luego le dio a la audiencia detalles del apagón, según una persona que estaba en la escena y fue testigo de los efectos del apagón. El día antes del incidente, Microsoft se encontró luchando con un paquete de alcance limitado en Azure en una de sus regiones de EE. UU.
“A las 11:30 de esa noche el problema se resolvió y me fui a la cama”, dijo Johnson. “Pensé: ‘Está bien, todo está bien’. A la 1 a. m., tal vez a la 1:15 a. m., sonó mi teléfono con un cliente [who] “Dije: ‘Oye, tengo esta pantalla azul de la muerte’.
Comenzaron a llegar más llamadas y se dio cuenta de que no estaban relacionadas con la interrupción de Azure. Johnson explicó que Microsoft luego “reunió a las tropas” para abordar el problema.
“Estaba orgullosa de Microsoft, pero también de estas personas que literalmente trabajaban por turnos… estas personas trabajaban las 24 horas del día”, dice. “El sector estaba trabajando las 24 horas del día. Y aunque fueron los equipos operativos los más afectados, no los equipos cibernéticos, la resiliencia, la comunidad, las cosas que vi en el sector fueron tan fuertes que ‘una vez más se renueva. mi fe en que todos podemos ganar juntos. »
Según Johnson, la respuesta profesional al evento fue “increíble”. Pero ¿qué lección podemos aprender de esto?
Como explicó DeGrippo, el Microsoft Threat Intelligence Center (MSTIC) se centra en trabajar estrechamente con los clientes en sesiones informativas de inteligencia y está “integrado” en su comunidad de investigadores independientes, proveedores e incluso colegas de la organización de atención médica y otros sectores verticales.
Por ejemplo, Araña dispersaun grupo responsable de una cantidad significativa de incidentes de ransomware en los últimos 18 meses, es un grupo persistente al que Microsoft ha prestado especial atención. La comunidad de Microsoft, desde MSTIC hasta su Unidad de Delitos Digitales (DCU), dice DeGrippo, está ansiosa por combatir al grupo, contribuyendo a los esfuerzos de aplicación de la ley. Y no es sólo Microsoft quien lo hace, insiste Johnson: sus pares de la industria también están trabajando con el sector público para defender a las personas contra el actor de amenazas, compartiendo tácticas y estrategias de defensa.
“Por todo lo que ves en las noticias, hay miles de [malicious] “Cosas que no sucedieron porque todos en esta sala impidieron que sucedieran”, dijo Johnson a los asistentes a Black Hat. “Da una vuelta de victoria y aplaude. Sí, hay cosas malas que seguirán pasando. Pero todos ustedes están impidiendo que sucedan miles de cosas más, y eso es lo que hace la comunidad. »
IA en manos de defensores y actores de amenazas
Parte de mejorar la comunidad es adoptar tecnologías que faciliten la vida de los defensores. Por ejemplo, a medida que la GenAI siga ganando popularidad, los malos actores la utilizarán en su beneficio. Según Johnson, lo utilizarán para ser más efectivos y eficientes en lo que hacen, lo que hará que sea más difícil luchar contra ellos. ¿Qué deberían hacer los defensores en respuesta? Exactamente lo mismo.
“Queremos utilizar tecnologías como la IA o cualquier otra tecnología de vanguardia para hacerte más eficiente, para que puedas tomarte ese tiempo libre”, dijo, refiriéndose a la necesidad de nuevas estrategias y nuevas herramientas para garantizar que los ciberdefensores sufran menos agotamiento. . Eventos como el problema de actualización de CrowdStrike Falcon y la interrupción resultante de Microsoft no deberían obligar a las personas a sacrificar su salud o tiempo con sus familias mientras “trabajan largas horas para combatir los problemas que enfrentamos colectivamente”, dijo Johnson.
Y añadió: “La IA tiene un papel muy importante en el mundo de los CISO y en el mundo de los ciberdefensores, pero… queremos hablar de los seres humanos, la comunidad, los defensores. »