0:00:00.7 Max Havey: Hola, y bienvenidos a una nueva edición de Security Visionaries, un podcast sobre el mundo de la infraestructura cibernética, de datos y tecnológica, que reúne a expertos de todo el mundo y de todos los ámbitos. Soy tu anfitrión, Max Havey. Y hoy nos sumergimos en el mundo de los lagos de datos con Troy Wilkinson, CISO de Interpublic Group, también conocido como IPG. Troya, bienvenido al espectáculo.
0:00:21.5 Troy Wilkinson: Gracias Max. Realmente es un gran placer estar aquí.
0:00:23.8 Max Havey: Me alegro de tenerte. Entonces, para comenzar las cosas aquí, ¿puede explicarnos qué es el concepto de lagos de datos y por qué son importantes? Como un aspecto de la seguridad moderna.
0:00:34.2 Troy Wilkinson: Sí, absolutamente. Creo que es importante dar un paso atrás y hablar sobre la razón por la que recopilamos datos en primer lugar, todo lo que sentimos, vemos y tocamos y la tecnología tiene algún tipo de registros de máquina que salen de él. Algunos de esos registros de eventos son simplemente inicios de sesión y cierres de sesión normales, pero parte de eso es una telemetría de seguridad muy importante. Y lo que hemos estado haciendo en los últimos 25 o 30 años, es realmente tratar de decidir qué es importante para nosotros desde la perspectiva de las operaciones de seguridad, qué datos necesitamos recopilar, qué datos son importantes para un evento o un incidente, y luego realmente sumergirnos en la lógica o la ciencia de datos detrás de cómo podemos vincular esos incidentes o eventos. y por lo tanto, este ha sido un problema de datos durante el período de tiempo más largo, y realmente estamos entrando en la próxima generación o la próxima frontera de estos datos al desacoplar los datos de la analítica durante tanto tiempo, se nos ha pedido que pongamos estos datos en un lugar singular, lo que me gusta llamar SIM heredada, donde canalizas tus datos a una base de datos masiva y luego haces los análisis sobre ellos para recopilar información de todos tus incidentes, ahora con la estructura del lago de datos, poder poner tus datos en un esquema común en un lago de datos te permite desacoplar esos datos de tus análisis, así que si llega la próxima solución de IA genial y quieres aplicar esa IA a.
0:01:55.3 Troy Wilkinson: Este conjunto de datos, eso es genial. Es un cambio de interruptor, no tienes que mover tus datos a una solución Nuevo, no tienes que portarlos a ningún lugar, puedes simplemente aplicar esos análisis de Nuevo, y creo que esto realmente les da a los líderes de seguridad y a los operadores de seguridad flexibilidad en la forma en que realizan operaciones de seguridad y búsquedas de correlación en sus lagos de datos. por lo tanto, realmente siento que esa flexibilidad, esa transparencia y la propiedad de los datos, y realmente poder decidir cuánto tiempo se conservan esos datos, es un criterio de toma de decisiones realmente importante para los lagos de datos y cómo van a cambiar el sector de las operaciones de seguridad.
0:02:30.5 Max Havey: Hasta cierto punto, es una especie de lugar que sirve como repositorio para todos estos datos que han creado durante todos estos años, y que ahora pueden usar esos datos para cualquier propósito que puedan necesitar, ya sea con un modelo de IA o con análisis o lo que sea, pero es esencialmente algo que les ayuda a mantenerlo todo contenido de una manera que puedan mantenerlo seguro como pozo.
0:02:51.7 Troy Wilkinson: Sí, absolutamente, y quiero mencionar el costo también, así que si piensas en el costo de los datos ha bajado enormemente, por lo que almacenar datos en la nube es menos de centavos por gigabyte ahora, por lo que puedes almacenar más datos, por lo que en el pasado, realmente tenías que ser consciente de qué datos estoy trayendo a mi SIM y qué datos puedo hacer correlaciones, así que había limitaciones, y puedo decidir que, como líder de seguridad, no puedo traer esa fuente de datos tan voluminosa porque es demasiado caro hacerlo, pero realmente quería hacerlo.
0:03:17.7 Troy Wilkinson: Y ahora, con la estructura del lago de datos, puede incorporarla a un costo mucho menor y usarla para realizar búsquedas de correlación, que nunca antes había podido hacer. Por ejemplo, los registros de DNS suelen ser muy ruidosos y muy inusuales, por lo que muchos líderes seguros no los traen, sin embargo, son muy valiosos en tiempos de incidentes o si desea volver atrás y ver si un usuario fue a un sitio en particular y realmente ponerse manos a la obra. Por lo tanto, tener esos datos en un lago de datos donde el almacenamiento es muy barato, puede tenerlos para investigaciones a largo plazo y muy profundas, especialmente en una investigación forense después de un incidente.
0:03:51.5 Max Havey: Totalmente, el advenimiento de tener ese almacenamiento barato y poder tener todos estos datos, en última instancia, crea nuevas oportunidades sobre cómo puede usarlos mejor y tener más almacenamiento está llevando a una mayor innovación con estos datos, y cosas más emocionantes que la gente de seguridad y de otros lugares puede hacer con estos datos.
0:04:08.7 Troy Wilkinson: Absolutamente, y otra cosa a mencionar es que poder almacenar estos datos a lo largo del tiempo permite al líder de seguridad aplicarles diferentes tipos de análisis. Por ejemplo, hoy en día tenemos varios tipos de búsquedas generadas por IA y eventos de correlación generados por IA, y podemos unir la telemetría de todas sus fuentes de datos a escala y a gran velocidad, o nunca antes habíamos podido hacerlo. Ahora, esa era la promesa de SIM en el pasado, reunir todos sus datos en un solo lugar, hagamos toda esta interpretación elegante de ello, sin embargo, creo que nunca llegamos allí desde la perspectiva de los operadores de la calle a gran escala debido al costo, debido al conocimiento que se necesitó para ejecutarlo y debido al mantenimiento de la misma, estuvimos en las instalaciones durante mucho tiempo, por lo que el centro de datos estaba lleno de servidores que tenías que mantener, y luego pasamos a una era de la nube en la que ahora tu SIM está en la nube, y es muy caro con la potencia de cómputo necesaria para hacer esos análisis altamente complejos, poder desacoplar tus datos y, lo que es más importante, tener esos datos en un esquema común o en el esquema de marco de seguridad cibernética abierto, de modo que cada fuente de registro esté en el mismo esquema, de modo que un nombre de host sea un nombre de host y una computadora sea una computadora, y una dirección IP sea una dirección IP, no tenga que traducir eso, no tiene que buscar en múltiples índices o fuentes de datos y traducirlo.
0:05:24.2 Troy Wilkinson: En otras palabras, todo está en el mismo idioma, puedes hacer preguntas sobre tus datos a escala y en múltiples lugares diferentes, y eso realmente ayuda a encontrar esa aguja en la pila de agujas, como nos gusta decir, para encontrar a los actores de amenazas que hacen cosas malas, moviéndose lateralmente exportando tu infraestructura, tus servidores, tu nube, Realmente uniendo todo lo que puede que te hayas perdido esas percepciones antes.
0:05:45.8 Max Havey: Absolutamente. Y eso me lleva a mi siguiente pensamiento aquí, ¿cuáles son algunos de los desafíos con los que te enfrentaste como CISO cuando se trata de usar lagos de datos y protegerlos?
0:05:54.6 Troy Wilkinson: Bueno, creo que los desafíos tienden a ser los mismos que para cualquier tipo de fuente de datos, tienes que tener protecciones de datos en su lugar, tienes que tener la propiedad y el linaje de los datos, tienes que asegurarte de que estás desutilizando los datos en el marco de tiempo adecuado según los requisitos regulatorios que tienes. Por lo tanto, sigue teniendo los mismos problemas de protección de datos que con cualquier otra fuente de datos.
0:06:14.5 Max Havey: Absolutamente, y luego en ese mismo tipo de línea, ¿por qué los lagos de datos se han convertido en una superficie de amenaza cada vez más importante para proteger de los actores maliciosos y otras personas que intentan ingresar o envenenar esos datos, por qué se está convirtiendo en una superficie de amenaza importante a tener en cuenta para los profesionales de la seguridad?
0:06:31.9 Troy Wilkinson: Sí, buena pregunta. Creo que desde una perspectiva de datos, los actores de amenazas siempre están buscando datos para exfiltrar, creo que hemos visto que como un tema creciente en los actores de amenazas en los últimos años, los recientes incidentes de copos de nieve que hemos visto en múltiples grandes organizaciones nos muestran que los actores de amenazas están buscando grandes fuentes de datos para exfiltrar, Por lo tanto, las protecciones de datos son extremadamente importantes, ciertamente la protección de datos y la exfiltración son lo más importante para los actores de amenazas, por lo que siempre buscamos protegerlo. Creo que los actores de amenazas están realmente decididos a acceder a los datos de la empresa y los encuentran muy valiosos. Solíamos ver ataques de ransomware en los que solo se cifraba los servidores y retenía a las empresas para pedir un rescate, ahora en realidad están exfiltrando esos datos. Y así son datos secundarios e incluso terciarios, ransomware, donde dices: si no nos pagas, vamos a liberar tus datos al público, por lo que los datos se han convertido en un producto monetizado para que los actores de amenazas puedan seguir siendo un objetivo.
0:07:24.6 Max Havey: Absolutamente, y lo han visto con corporaciones u organizaciones que han tenido como giga filtraciones, recuerdo específicamente a Nought, ha habido algún tipo de gran escala como corporaciones de entretenimiento y otras personas en todo el sector a lo largo de los años donde han tenido ese tipo de enormes fugas de datos, y creo que ese es un punto interesante de que ahora hay estos tesoros de datos que tal vez no estaban allí 15, Hace 20 años, solo porque ahora somos capaces de mantenerlo.
0:07:49.2 Troy Wilkinson: A medida que observamos los conjuntos de datos, observamos el hackeo de Sony y la exfiltración de información de películas. Si nos fijamos en el otro sector bancario en el que intentan filtrar información sobre los clientes, creo que cada conjunto de datos es único y necesita protección, pero si pensamos en los lagos de datos de seguridad de los que estamos hablando aquí en la telemetría de seguridad para las operaciones de seguridad, los actores de amenazas podrían obtener una visión muy amplia de lo que hace un cliente para protegerse. lo que les daría un camino para aprovecharlos aún más, en otras palabras, podrían encontrar formas de ingresar a sus copias de seguridad, a sus bases de datos, a sus servidores, por lo que esta telemetría de seguridad también es muy valiosa para los actores de amenazas, por lo que incluso necesitamos poner más rieles de Proteja alrededor de nuestros lagos de datos.
0:08:29.4 Max Havey: Absolutamente, y luego, sé que hablamos de la idea de usar lagos de datos como algo para ayudar a entrenar modelos de IA y cosas por el estilo. Sé que la idea de envenenar los datos es algo que supone un riesgo real cuando se trata de formación, IA generativa y otros modelos de IA, ¿cómo es eso un problema, y cuáles son algunas de las formas en que la gente puede pensar en protegerse contra eso cuando se trata de lagos de datos?
0:08:47.5 Troy Wilkinson: Por lo tanto, a medida que observamos grandes modelos de lenguaje y otros tipos de modelos básicos para la inteligencia artificial que nos estamos alimentando a nosotros mismos, este es un modelo que se está construyendo y manteniendo en las instalaciones o en su propia nube. Creo que es muy importante entender que esta opción de envenenamiento de datos está ahí para que los actores de amenazas se aprovechen. Es necesario tener validación de entrada, debe asegurarse de que nadie pueda básicamente envenenar las entradas y también exfiltrar, incluso si tiene una arquitectura rag o una arquitectura de referencia para compartir un modelo de IA, aún puede tener algo de envenenamiento de datos a nivel de entrada, y también puede tener exfiltración de datos donde hay un intercambio entre la entrada del usuario y el intercambio con el modelo de base subyacente, por lo que creo que es muy importante proteger todos los componentes de eso.
0:09:32.9 Troy Wilkinson: Y es un género diferente de seguridad en este punto, donde estamos viendo la protección de la IA, la protección del modelo de base, la protección y la detección del envenenamiento de datos también el sesgo, y ese sesgo puede ser un sesgo inherente o puede ser un sesgo desconocido, donde ni siquiera te das cuenta de que tu modelo se está convirtiendo en un gran algoritmo que te está llevando por el camino equivocado. así que en lo que se refiere a la seguridad, los lagos de datos y el aumento de SIM y las operaciones de seguridad, creo que estamos un poco lejos de allí, creo que estamos bastante seguros en eso porque no estamos implementando o instituyendo modelos de IA sobre nuestros lagos de datos de seguridad a escala, sin embargo, hay proveedores que lo están haciendo detrás de escena, por lo tanto, tendrían un gran desafío para proteger esos modelos subyacentes, pero para nosotros, creo que como profesionales de todo el sector, poder obtener todos nuestros datos en un lago de datos central e implicar Advanced Analytics a él sigue siendo lo que consideraría aprendizaje automático y algunas de las búsquedas de correlación de seguridad del tipo de la vieja escuela. Ahora, la mejor parte de un lago de datos, nuevamente, es tener sus datos en un esquema común y en un lugar centralizado como ese, puede cambiar los análisis, por lo que si aparece la próxima solución de IA, digamos en los próximos 12 meses, donde.
0:10:44.9 Troy Wilkinson: Los operadores de seguridad dicen quiero aplicar esa IA Nuevo a mi lago de datos, es muy fácil accionar ese interruptor y hacerlo sin tener que mover esos datos, por lo que tenemos la flexibilidad allí, pero no creo que estemos en el punto aún para proteger ese modelo de Foundation en nuestro lago de datos.
0:10:58.8 Max Havey: Absolutamente, y vuelve a lo que decías sobre cómo la idea es que todos los datos hablan el mismo idioma, que todo lo que hay necesita ser decodificado de una manera que va a confundir a tus operadores de seguridad y demás. Y creo que es especialmente interesante teniendo en cuenta la rapidez con la que la seguridad, la IA y toda la innovación tecnológica se están moviendo en este momento, estamos viendo soluciones nuevas que aparecen cada dos semanas en este punto, y ser capaz de ajustar esos datos y aplicarlos en consecuencia, si ves una solución que se te está presentando, Creo que eso es realmente emocionante y muy interesante, y dice mucho de lo que se puede hacer con la innovación en el futuro.
0:11:33.2 Troy Wilkinson: Absolutamente, creo que una de las ventajas más singulares que veo ahora a corto plazo para la IA es poder traducir consultas complejas para que un operador de seguridad las escriba en lenguaje natural. Creo que el equipo de operaciones de seguridad se ha vuelto realmente experto en escribir scripts y consultas complejas para consultar sus datos, pero entrenar a la próxima generación de operadores de seguridad va a ser mucho más fácil si pueden hacer preguntas sobre sus datos, mostrarme dónde está esto, o mostrarme dónde tengo esta vulnerabilidad siendo capaz de hacer preguntas normales y luego hacer que la IA traduzca eso en una consulta compleja que pueda buscar en el Data lake muy rápido nos va a ayudar a tener mejores resultados y más rápidos. También creo que el lago de datos nos va a permitir conservar estos datos durante períodos de tiempo más largos, de modo que si se produce una infracción, si una empresa tiene una infracción, se puede mirar hacia atrás y unir la telemetría que quizás no se haya tenido la opción de hacer antes.
0:12:25.6 Troy Wilkinson: Por ejemplo, el IBM Ponemon Institute del año pasado, la duración media de una brecha antes de la detección es de unos 180 días, es decir, seis meses antes de que una empresa se dé cuenta de que los actores de amenazas están en su entorno, por lo que si no se conservan seis meses de esa telemetría completa de los firewalls, la detección y respuesta de los puntos finales y el antivirus, Le faltarán algunos de esos componentes de datos críticos para recomponer la historia de cómo entró ese actor de amenazas y qué hizo al principio de este acceso, Data Lake le permite almacenar esos datos a un costo muy bajo durante períodos de tiempo más largos, por lo que puede volver atrás y usarlos en su investigación para averiguar exactamente qué sucedió desde el momento de la entrada todo el camino hasta el día de hoy.
0:13:06.3 Max Havey: Y en ese mismo tipo de pensamiento, ¿ha habido algún incidente de seguridad importante que haya visto reportado que haya sido el resultado de lagos de datos mal protegidos, y si es así, hay alguna lección importante que se pueda aprender de ese tipo de incidentes?
0:13:19.6 Troy Wilkinson: Sí, creo que el reciente número de Snowflake es un buen ejemplo. Así que esta es una base de datos masiva Lago de datos que los clientes usan por una variedad de razones, usamos Ticketmaster, que es uno de los incidentes más conocidos relacionados con Copo de Nieve este año, creo que es un buen ejemplo de cómo usar la higiene cibernética adecuada, tener todas sus cuentas detrás de la autenticación multifactor, tener los firewalls de aplicaciones adecuados para asegurarse de que esas cuentas de servicio estén protegidas, así que creo que esas mejores prácticas de acceso a los datos o al lago de datos son muy importantes en esto, poder crear eso y tener esa higiene cibernética adecuada como clave para el éxito.
0:13:57.7 Max Havey: Absolutamente, no quieres tener una situación en la que tengas contraseñas en texto sin formato, o cosas por ahí que no deberían estar por ahí cuando se trata de datos de este volumen y de esta sensibilidad.
0:14:08.3 Troy Wilkinson: Absolutamente.
0:14:09.1 Max Havey: Tráenos por aquí. ¿Cuáles son algunas estrategias o consejos que recomendaría a los CISO y otros profesionales de la seguridad cuando se trata de proteger los lagos de datos, más allá de la higiene cibernética general, hay algún otro consejo o estrategia que le gustaría recomendar a la gente?
0:14:24.8 Troy Wilkinson: Sí, creo que desde la perspectiva de la protección de los lagos de datos, creo que tienes que decidir qué es lo mejor para tu empresa en particular, puedes ejecutar esto en las instalaciones, puedes ejecutar esto en la nube, y todas las mismas protecciones que normalmente aplicarías aquí, por lo que el acceso inicial, la autenticación multifactor, tus credenciales de administrador utilizando un administrador de acceso privilegiado, Todo ello con el mismo tipo de protección que se le daría a cualquier otro software como servicio o a una aplicación local con un alto valor o datos críticos. Pero lo más importante es que creo que los lagos de datos son una excelente opción para las personas que buscan decidir cómo cambiar el futuro de sus operaciones de seguridad, las búsquedas de correlación. Creo que es un momento adecuado en el sector para SIM y dispararse para esta próxima generación de lagos de datos que están saliendo. Hay tantos en el mercado, no quiero dar nombres, pero hay muchos proveedores que están entrando en el género de los lagos de datos, y siempre que tengas ese esquema común, puedes portar tus datos si lo necesitas, puedes mantenerlos por más tiempo y puedes hacer correlaciones a gran velocidad y a escala. lo cual es tan importante en el Centro de Operaciones de Seguridad.
0:15:24.8 Max Havey: Absolutamente. Y para traer todo a casa, Troy, ¿qué es lo que más te emociona sobre el futuro de lo que podemos lograr con seguridad, lagos de datos y cosas por el estilo? ¿Qué es lo que más le entusiasma de ese tipo de innovación de cara al futuro?
0:15:36.8 Troy Wilkinson: Sí, creo que hay dos cosas aquí. El número uno es poder incorporar más telemetría o más datos de seguridad que no hemos tenido antes por una variedad de razones, y ponerlos en ese esquema común para que podamos hacer un Advanced Analytics. Eso es el número uno, definitivamente ha demostrado que estamos aumentando nuestras capacidades a escala aquí con la ayuda de los lagos de datos y también con el advenimiento de la IA y algunos de los análisis que estamos aplicando allí, pero el número dos es realmente el costo, ser capaz de reducir el costo de los datos es útil para traer más datos y tenerlos almacenados para que pueda hacer estas correlaciones en un conjunto de datos más amplio. y eso es tan importante cuando se piensa en todas las grandes cantidades de fuentes de datos muy ruidosas de los registros de seguimiento en la nube, los registros de flujo y los registros de DNS, cosas que tradicionalmente la gente no recopilaría ni almacenaría durante un período de tiempo, ahora se pueden almacenar y realizar búsquedas de correlación.
0:16:27.7 Troy Wilkinson: Nos da esperanza de que podemos encontrar las cosas más rápido, la razón por la que las empresas almacenan este tipo de datos y los mantienen en el tiempo es encontrar a los malos más rápido, encontrar al actor de amenazas que está tratando de aprovecharse de su empresa más rápido, y creo que los lagos de datos realmente potencian eso al tener la capacidad de hacer Advanced Analytics en conjuntos de datos más grandes y la velocidad y a escala, Lo digo muchas veces, me gusta ese término, porque si somos capaces de hacer esto a mayor escala y realmente traer estos datos y hacerlo más rápido, vamos a empoderar a los operadores de seguridad para que puedan actuar más rápido y detener a los malos más rápido y sacarlos de su sistema más rápido. así que solo nos da una ventaja, los actores de amenazas siempre están evolucionando, tenemos que estar al día con ellos y creo que esto nos da una muy buena oportunidad para hacerlo.
0:17:09.0 Max Havey: Absolutamente, Troy, creo que eso nos lleva al final de nuestras preguntas aquí, así que solo quiero agradecerte por acompañarnos hoy. Esta fue una conversación fascinante, y creo que hemos aprendido mucho aquí sobre los lagos de datos y por qué estar emocionados a medida que las cosas continúan innovando en este mundo, mirando hacia el futuro.
0:17:23.4 Troy Wilkinson: Absolutamente, Max, gracias por invitarme. Y esperamos con ansias la próxima.
0:17:26.1 Max Havey: Sí, absolutamente. Y has estado escuchando el podcast Security Visionaries. He sido tu anfitrión, Max Havey, y si te ha gustado este episodio, compártelo con un amigo y suscríbete a Security Visionaries en tu podcast favorito Plataforma, allí podrás escuchar nuestro catálogo de episodios y estar atento a los nuevos que se estrenan cada dos semanas. Presentado por mí o por mi co-anfitriona, la maravillosa Emily Wearmouth. Y con eso, nos vemos en el próximo episodio.
Por qué Netskope 
){kind=icon}
