5 lecciones aprendidas de BJJ que son aplicables a la ciberseguridad
Durante la última década, me he centrado bastante en la tecnología y el espacio de la ciberseguridad. Me ha motivado crear un mundo que sea más inclusivo y más seguro. En 2019, comencé un viaje un poco diferente. Aunque todavía estaba motivado desde el punto de vista de la seguridad, esta vez me concentré en el aspecto físico y comencé a entrenar en Brazilian Jiu-Jitsu (BJJ).
Si nunca has practicado artes marciales, te sorprenderá saber el valor de escuchar a tu cuerpo y conocer tus propios límites personales. La ciberseguridad es muy parecida. Encuentre sus fortalezas, valide continuamente su enfoque y encuentre a otros que tengan un enfoque diferente para ejecutar ejercicios de simulación y aumentar sus habilidades.
En BJJ, encuentras tu enfoque preferido y validas continuamente el tiempo que pasas en el tatami entrenando y rodando con una variedad de personas para probar tus habilidades. Una ventaja adicional es que la introspección, el aumento de la fuerza, juegan un papel maravilloso en la construcción de su confianza.
Una de las mejores decisiones que tomé fue comenzar BJJ, e incluso si no era el objetivo desde el principio, creo que hay muchas lecciones que podemos aprender de BJJ y aplicar a nuestras prácticas de seguridad cibernética:
1. Cierra la distancia: Sin experiencia, puede creer que distanciarse de un atacante lo mantendría a salvo. Sin embargo, dentro del Brazilian Jiu-Jitsu (BJJ) y la autodefensa, aprendes que la distancia es en realidad el enemigo. Cerrar la brecha entre usted y el atacante es la mejor manera de mantenerlos a raya.
¿Cómo cerramos la distancia y nos mantenemos firmes contra los actores malintencionados? capas! Es decir, eliminando brechas dentro de nuestra infraestructura, con controles en capas, implementando el Principio de Mínimo Privilegio y agregando segmentación para restringir el recorrido de la red. Podemos acortar la distancia que tiene un actor malintencionado, limitar sus movimientos y, en algunos entornos más innovadores, forzarlo a realizar las acciones que queremos.
Es importante tener en cuenta que no se requieren nuevas soluciones atractivas ni herramientas caras para hacer esto. Si bien el software más avanzado que existe puede proporcionar grandes recursos e incluso reducir el tiempo de investigación, la realidad es que si su equipo no está capacitado o su organización no puede pagar los costos de licencia o el tiempo de personalización, es inútil. Es mucho mejor hacer uso de lo que tienes para mejorar continuamente, reducir los falsos positivos y negativos.
2. Mantén a tus amigos cerca, pero tus codos más cerca: Al rodar o competir contra alguien, aprendes que los codos y los brazos son vulnerables y pueden usarse en tu contra. Esto puede conducir a sumisiones como bloqueos de hombro, bloqueos de muñeca y barras de brazo.
No dejes que tu infraestructura te traicione. Un gran ejemplo es la reciente publicación de CVE-2020-5902 una falla descubierta por un investigador de seguridad Mijaíl Klyuchnikov y revelado de forma privada a F5. Cuando se explota, el actor malicioso no autorizado tiene acceso a la configuración de la herramienta, que luego puede usar para atravesar el directorio, interceptar información e inyectar códigos y comandos del sistema. Esta falla finalmente recibió una puntuación CVSS de 10, la puntuación más alta que puede recibir una vulnerabilidad. Lea lo que NIST escribió sobre esta vulnerabilidad aquí.
Mantener su entorno no solo requiere personalizar las alertas y los controles; también implica monitorear las fuentes de inteligencia para garantizar que estas herramientas no proporcionen a los actores maliciosos una forma de entrar. A menudo, la mayor defensa contra esto es un programa sólido de administración de parches. Estos programas incluyen un proceso estructurado de validación e implementación para garantizar que todos los sistemas reciban actualizaciones periódicas, que el firmware se mantenga actualizado y que se realicen pruebas para garantizar que los flujos de trabajo de los usuarios no se vean afectados para que encuentren soluciones alternativas.
3. El tamaño no importa: curiosamente, la persona a la que se atribuye la fundación del Jiu-Jitsu brasileño, Mitsuyo Maeda (apodado Conde Koma, o simplemente Koma), era de hecho de complexión media, 164 cm y 64 kg. Koma fue un preciado luchador de judo y uno de los primeros luchadores de artes marciales mixtas en la era moderna. Desde mi experiencia personal, las enseñanzas de los entrenadores Mariusz Grzywinski, Sergio “Malibu” Jardim, Mickey Musumaci y Caio Terra, he aprendido que, afortunadamente, el tamaño no importa. Lo más importante son las técnicas que usas y cómo las aplicas. La parte más importante es sentir los movimientos del oponente y predecir sus pasos antes de que lo tomen, como el ajedrez.
Así como el tamaño no importa en BJJ, su equipo de seguridad que tiene un presupuesto ilimitado o miembros del equipo no es lo que lo protege. Un programa sólido de ciberseguridad es la forma en que protege de manera proporcional e inteligente su superficie de ataque de posibles amenazas y escenarios.
Para equipos y presupuestos reducidos, un enfoque híbrido proteger y comprender su entorno es clave. Debe asegurarse de que su equipo interno esté debidamente capacitado y con los recursos necesarios para manejar la gobernanza de terceros y cumplir con sus responsabilidades.
4. Cuando sabes defender, sabes atacar: El entrenador Mariusz Grzywinski dice que su objetivo no era atacar cuando era cinturón blanco. Era para defender, simplemente para sobrevivir. Mientras hacía esto, pudo aprender y sentir la forma en que el oponente reaccionaba a diferentes cosas, enseñándole finalmente áreas de debilidad y vulnerabilidad que pueden ser explotadas.
De manera similar a la lección uno, como defensor, conoce el sistema y comprende cómo se interconectan las cosas. Al comprender cómo funcionan las cosas, podrá identificar brechas, errores y omisiones que están disponibles.
“Mentalidad de hacker: mirar algo no por lo que está destinado a hacer, sino por lo que puedes hacer que haga por ti”.
Cuando Mariusz se defendía de los ataques hasta que el oponente estaba cansado, pudo identificar las debilidades en la defensa y sortearlas. En su entorno, puede mejorar continuamente los controles y las defensas encontrando formas de eludirlos. Para mejorar continuamente, debe contar con un programa de gestión de vulnerabilidades. Esto incluirá herramientas y escáneres automáticos, pero también validación e investigación prácticas, así como un equipo para recibir informes. Cuando identifique una vulnerabilidad dentro de su entorno, use este punto de vista de «¿qué puedo hacer que haga?» para remediar problemas potenciales antes de que un actor malintencionado se aproveche de ellos.
5. Todo en la vida cambia, pero el jiu-jitsu sigue igual: Independientemente de la escuela de formación, los entrenadores que tengas, incluso tu estilo personal, las bases del jiu-jitsu brasileño siguen siendo las mismas. Reduzca la brecha, mantenga su cuerpo listo y bajo control para que no pueda traicionarlo, planifique proactivamente el ataque y cómo defenderse y dedique las horas a la lona.
Independientemente de su situación y recursos, los principios de la ciberseguridad siguen siendo los mismos. Las fundaciones son tan vitales para ser el objetivo menos atractivo.
Como se señala dentro del Informe de investigaciones de violación de datos de Verizon 2020, los actores malintencionados buscan ataques que se puedan lograr con menos pasos. Por lo tanto, agregar controles adicionales, como la autenticación multifactor en caso de robo de credenciales, contribuye en gran medida a reducir las amenazas. Considere los cortafuegos PoLP o dispositivos finales y la segmentación de la red. Todas estas son formas de agregar barreras en la forma de obtener acceso no autorizado a sistemas y servicios.