0:00:00.7 Max Havey: Hola, y bienvenidos a una nueva edición de Security Visionaries, un podcast sobre el mundo de la infraestructura cibernética, de datos y tecnológica, que reúne a expertos de todo el mundo y de todos los ámbitos. Soy tu anfitrión, Max Havey. Y hoy nos sumergimos en el mundo de los lagos de datos con Troy Wilkinson, CISO de Interpublic Group, también conocido como IPG. Troya, bienvenido al espectáculo.
0:00:21.5 Troy Wilkinson: Gracias Max. Realmente es un gran placer estar aquí.
0:00:23.8 Max Havey: Me alegro de tenerte. Entonces, para comenzar las cosas aquí, ¿puede explicarnos qué es el concepto de lagos de datos y por qué son importantes? Como un aspecto de la seguridad moderna.
0:00:34.2 Troy Wilkinson: Sí, absolutamente. Creo que es importante dar un paso atrás y hablar sobre la razón por la que recopilamos datos en primer lugar, todo lo que sentimos, vemos y tocamos y la tecnología tiene algún tipo de registros de máquina que salen de él. Algunos de esos registros de eventos son simplemente inicios de sesión y cierres de sesión normales, pero parte de eso es una telemetría de seguridad muy importante. Y lo que hemos estado haciendo en los últimos 25 o 30 años, es realmente tratar de decidir qué es importante para nosotros desde la perspectiva de las operaciones de seguridad, qué datos necesitamos recopilar, qué datos son importantes para un evento o un incidente, y luego realmente sumergirnos en la lógica o la ciencia de datos detrás de cómo podemos vincular esos incidentes o eventos. y por lo tanto, este ha sido un problema de datos durante el período de tiempo más largo, y realmente estamos entrando en la próxima generación o la próxima frontera de estos datos al desacoplar los datos de la analítica durante tanto tiempo, se nos ha pedido que pongamos estos datos en un lugar singular, lo que me gusta llamar SIM heredada, donde canalizas tus datos a una base de datos masiva y luego haces los análisis sobre ellos para recopilar información de todos tus incidentes, ahora con la estructura del lago de datos, poder poner tus datos en un esquema común en un lago de datos te permite desacoplar esos datos de tus análisis, así que si llega la próxima solución de IA genial y quieres aplicar esa IA a.
0:01:55.3 Troy Wilkinson: Este conjunto de datos, eso es genial. Es un cambio de interruptor, no tienes que mover tus datos a una solución Nuevo, no tienes que portarlos a ningún lugar, puedes simplemente aplicar esos análisis de Nuevo, y creo que esto realmente les da a los líderes de seguridad y a los operadores de seguridad flexibilidad en la forma en que realizan operaciones de seguridad y búsquedas de correlación en sus lagos de datos. por lo tanto, realmente siento que esa flexibilidad, esa transparencia y la propiedad de los datos, y realmente poder decidir cuánto tiempo se conservan esos datos, es un criterio de toma de decisiones realmente importante para los lagos de datos y cómo van a cambiar el sector de las operaciones de seguridad.
0:02:30.5 Max Havey: Hasta cierto punto, es una especie de lugar que sirve como repositorio para todos estos datos que han creado durante todos estos años, y que ahora pueden usar esos datos para cualquier propósito que puedan necesitar, ya sea con un modelo de IA o con análisis o lo que sea, pero es esencialmente algo que les ayuda a mantenerlo todo contenido de una manera que puedan mantenerlo seguro como pozo.
0:02:51.7 Troy Wilkinson: Sí, absolutamente, y quiero mencionar el costo también, así que si piensas en el costo de los datos ha bajado enormemente, por lo que almacenar datos en la nube es menos de centavos por gigabyte ahora, por lo que puedes almacenar más datos, por lo que en el pasado, realmente tenías que ser consciente de qué datos estoy trayendo a mi SIM y qué datos puedo hacer correlaciones, así que había limitaciones, y puedo decidir que, como líder de seguridad, no puedo traer esa fuente de datos tan voluminosa porque es demasiado caro hacerlo, pero realmente quería hacerlo.
0:03:17.7 Troy Wilkinson: Y ahora, con la estructura del lago de datos, puede incorporarla a un costo mucho menor y usarla para realizar búsquedas de correlación, que nunca antes había podido hacer. Por ejemplo, los registros de DNS suelen ser muy ruidosos y muy inusuales, por lo que muchos líderes seguros no los traen, sin embargo, son muy valiosos en tiempos de incidentes o si desea volver atrás y ver si un usuario fue a un sitio en particular y realmente ponerse manos a la obra. Por lo tanto, tener esos datos en un lago de datos donde el almacenamiento es muy barato, puede tenerlos para investigaciones a largo plazo y muy profundas, especialmente en una investigación forense después de un incidente.
0:03:51.5 Max Havey: Totalmente, el advenimiento de tener ese almacenamiento barato y poder tener todos estos datos, en última instancia, crea nuevas oportunidades sobre cómo puede usarlos mejor y tener más almacenamiento está llevando a una mayor innovación con estos datos, y cosas más emocionantes que la gente de seguridad y de otros lugares puede hacer con estos datos.
0:04:08.7 Troy Wilkinson: Absolutamente, y otra cosa a mencionar es que poder almacenar estos datos a lo largo del tiempo permite al líder de seguridad aplicarles diferentes tipos de análisis. Por ejemplo, hoy en día tenemos varios tipos de búsquedas generadas por IA y eventos de correlación generados por IA, y podemos unir la telemetría de todas sus fuentes de datos a escala y a gran velocidad, o nunca antes habíamos podido hacerlo. Ahora, esa era la promesa de SIM en el pasado, reunir todos sus datos en un solo lugar, hagamos toda esta interpretación elegante de ello, sin embargo, creo que nunca llegamos allí desde la perspectiva de los operadores de la calle a gran escala debido al costo, debido al conocimiento que se necesitó para ejecutarlo y debido al mantenimiento de la misma, estuvimos en las instalaciones durante mucho tiempo, por lo que el centro de datos estaba lleno de servidores que tenías que mantener, y luego pasamos a una era de la nube en la que ahora tu SIM está en la nube, y es muy caro con la potencia de cómputo necesaria para hacer esos análisis altamente complejos, poder desacoplar tus datos y, lo que es más importante, tener esos datos en un esquema común o en el esquema de marco de seguridad cibernética abierto, de modo que cada fuente de registro esté en el mismo esquema, de modo que un nombre de host sea un nombre de host y una computadora sea una computadora, y una dirección IP sea una dirección IP, no tenga que traducir eso, no tiene que buscar en múltiples índices o fuentes de datos y traducirlo.
0:05:24.2 Troy Wilkinson: En otras palabras, todo está en el mismo idioma, puedes hacer preguntas sobre tus datos a escala y en múltiples lugares diferentes, y eso realmente ayuda a encontrar esa aguja en la pila de agujas, como nos gusta decir, para encontrar a los actores de amenazas que hacen cosas malas, moviéndose lateralmente exportando tu infraestructura, tus servidores, tu nube, Realmente uniendo todo lo que puede que te hayas perdido esas percepciones antes.
0:05:45.8 Max Havey: Absolutamente. Y eso me lleva a mi siguiente pensamiento aquí, ¿cuáles son algunos de los desafíos con los que te enfrentaste como CISO cuando se trata de usar lagos de datos y protegerlos?
0:05:54.6 Troy Wilkinson: Bueno, creo que los desafíos tienden a ser los mismos que para cualquier tipo de fuente de datos, tienes que tener protecciones de datos en su lugar, tienes que tener la propiedad y el linaje de los datos, tienes que asegurarte de que estás desutilizando los datos en el marco de tiempo adecuado según los requisitos regulatorios que tienes. Por lo tanto, sigue teniendo los mismos problemas de protección de datos que con cualquier otra fuente de datos.
0:06:14.5 Max Havey: Absolutamente, y luego en ese mismo tipo de línea, ¿por qué los lagos de datos se han convertido en una superficie de amenaza cada vez más importante para proteger de los actores maliciosos y otras personas que intentan ingresar o envenenar esos datos, por qué se está convirtiendo en una superficie de amenaza importante a tener en cuenta para los profesionales de la seguridad?
0:06:31.9 Troy Wilkinson: Sí, buena pregunta. Creo que desde una perspectiva de datos, los actores de amenazas siempre están buscando datos para exfiltrar, creo que hemos visto que como un tema creciente en los actores de amenazas en los últimos años, los recientes incidentes de copos de nieve que hemos visto en múltiples grandes organizaciones nos muestran que los actores de amenazas están buscando grandes fuentes de datos para exfiltrar, Por lo tanto, las protecciones de datos son extremadamente importantes, ciertamente la protección de datos y la exfiltración son lo más importante para los actores de amenazas, por lo que siempre buscamos protegerlo. Creo que los actores de amenazas están realmente decididos a acceder a los datos de la empresa y los encuentran muy valiosos. Solíamos ver ataques de ransomware en los que solo se cifraba los servidores y retenía a las empresas para pedir un rescate, ahora en realidad están exfiltrando esos datos. Y así son datos secundarios e incluso terciarios, ransomware, donde dices: si no nos pagas, vamos a liberar tus datos al público, por lo que los datos se han convertido en un producto monetizado para que los actores de amenazas puedan seguir siendo un objetivo.
0:07:24.6 Max Havey: Absolutamente, y lo han visto con corporaciones u organizaciones que han tenido como giga filtraciones, recuerdo específicamente a Nought, ha habido algún tipo de gran escala como corporaciones de entretenimiento y otras personas en todo el sector a lo largo de los años donde han tenido ese tipo de enormes fugas de datos, y creo que ese es un punto interesante de que ahora hay estos tesoros de datos que tal vez no estaban allí 15, Hace 20 años, solo porque ahora somos capaces de mantenerlo.
0:07:49.2 Troy Wilkinson: A medida que observamos los conjuntos de datos, observamos el hackeo de Sony y la exfiltración de información de películas. Si nos fijamos en el otro sector bancario en el que intentan filtrar información sobre los clientes, creo que cada conjunto de datos es único y necesita protección, pero si pensamos en los lagos de datos de seguridad de los que estamos hablando aquí en la telemetría de seguridad para las operaciones de seguridad, los actores de amenazas podrían obtener una visión muy amplia de lo que hace un cliente para protegerse. lo que les daría un camino para aprovecharlos aún más, en otras palabras, podrían encontrar formas de ingresar a sus copias de seguridad, a sus bases de datos, a sus servidores, por lo que esta telemetría de seguridad también es muy valiosa para los actores de amenazas, por lo que incluso necesitamos poner más rieles de Proteja alrededor de nuestros lagos de datos.
0:08:29.4 Max Havey: Absolutamente, y luego, sé que hablamos de la idea de usar lagos de datos como algo para ayudar a entrenar modelos de IA y cosas por el estilo. Sé que la idea de envenenar los datos es algo que supone un riesgo real cuando se trata de formación, IA generativa y otros modelos de IA, ¿cómo es eso un problema, y cuáles son algunas de las formas en que la gente puede pensar en protegerse contra eso cuando se trata de lagos de datos?
0:08:47.5 Troy Wilkinson: Por lo tanto, a medida que observamos grandes modelos de lenguaje y otros tipos de modelos básicos para la inteligencia artificial que nos estamos alimentando a nosotros mismos, este es un modelo que se está construyendo y manteniendo en las instalaciones o en su propia nube. Creo que es muy importante entender que esta opción de envenenamiento de datos está ahí para que los actores de amenazas se aprovechen. Es necesario tener validación de entrada, debe asegurarse de que nadie pueda básicamente envenena