El pánico y el verdadero problema

Su organización va a entrar en pánico. Toda la industria de la seguridad de la información está en ebullición por las vulnerabilidades de día cero, la microsegmentación y la confianza cero.

Apuesto a que todos están tan ocupados corriendo de un lado a otro, y suponiendo que su equipo de EA se mueve lentamente, que nadie ha tenido ni idea. pidió ayuda.

Las alertas de tsunami son un buen ejemplo de este patrón. Se emiten con anticipación, no para provocar pánico, sino para darte tiempo para actuar. Donde vivo en Victoria, Columbia Británica, He visto tres alertas de este tipo este año, cada una con un aviso de 8 a 12 horas. Así que, si nadie ha preguntado, póngase en marcha. No tenemos mucho tiempo y no tiene que esperar. Hay varios puntos en el TOGAF ADM donde el método formal admite un Solicitud de trabajo de arquitectura redactada por el propio solicitante.. Disfruto del pragmatismo que está en el centro de la TOGAF.

Inmediatamente nos topamos con el primer desafío crítico de nuestra metodología: ¿cuál es el problema que estamos diseñando? La fase A del ADM distinguió la 'petición' (Solicitud de Trabajo de Arquitectura) del problema arquitectónico real (Declaración de trabajo arquitectónico).

Dediquemos un minuto a desarrollar el conocimiento que produce la Fase A.

Comenzamos por exponer la realidad con claridad.

Glasswing es un entorno seguro. Los ciberdelincuentes no tienen acceso a la hoja de ruta de las vulnerabilidades de día cero. Las herramientas de código con IA son útiles, pero aún requieren mucho tiempo para explorar el código fuente del universo. Especialmente si la exploración debe ocultarse al administrador del sistema del proveedor de LLM mediante la ejecución local. Podemos suponer que los ciberdelincuentes más comunes están esperando el parche.

Un proveedor principal —el que crea las bibliotecas y sistemas básicos que todos usamos— lanza un parche y se inicia la batalla. El desarrollo impulsado por IA reduce drásticamente el tiempo entre el lanzamiento de un parche y la explotación de una vulnerabilidad. Especialmente cuando existen numerosos parches que facilitan el acceso a la vulnerabilidad.

Podemos esperar vagas "actualizaciones de seguridad" en lugar de vulnerabilidades CVE. Al menos, los ciberdelincuentes más inexpertos no tendrán una hoja de ruta bien definida. Sin embargo, podemos esperar que estemos trabajando a ciegas. No podremos evaluar el riesgo ni priorizar.

Luego están los proveedores secundarios. Aquellos que no pertenecen a Glasswing y que utilizan los productos del proveedor principal para desarrollar los suyos. Proveedores comerciales, proveedores de plataformas, proveedores de bibliotecas y los proveedores más temidos: los que proporcionan sistemas operativos de TI. Nuestros proveedores secundarios comienzan al mismo tiempo que los proveedores principales.

Al menos algunos de nuestros proveedores no podrán, o no estarán dispuestos, a realizar retroportaciones. Nos enfrentaremos a notificaciones que resultarán en La versión anterior está irremediablemente comprometida, necesitas realizar una actualización que cause problemas..

Así que nos enfrentaremos a parches en cascada en toda nuestra infraestructura. ¿Recuerdan Log4J? Todo el mundo tuvo una actualización de Log4J. Imaginemos 10 instancias de Log4J simultáneas. O 100.

Nos enfrentamos exposición sincronizada, retraso garantizado, y la aplicación de parches en cascada a través de la pila. Incluso si pudiéramos superar en parches a un adversario a velocidad de máquina en un entorno heredado a medida, el primer problema es que tendremos vulnerabilidades latentes a medida que los parches se propagan a través de la pila. Nuestro problema crítico no es cómo aplicar parches más rápido. El problema radica en sobrevivir a un retraso garantizado.

Esto ya no es un problema de gestión de vulnerabilidades, sino un problema de arquitectura definido por el tiempo, el retardo y la supervivencia bajo una velocidad asimétrica.

Sin soluciones falsas

Tenemos que brindar orientación sobre cómo sobrevivir a armas. retraso garantizado.

Fase B, Fase C, y Fase D Todos comienzan con el mismo paso: averiguar qué modelos arquitectónicos y modelos de referencia le ayudarán a comprender el problema y encontrar una solución.

Seré sincero, la pizarra blanca de mi primera mañana estaba llena del estándar arquitectura de seguridad materiales. Tenía NIST, MITRE ATT&CK, OWASP10. Tenía garabatos y notas.

Entonces miré fijamente sobrevivir al retardo convertido en arma. Sacudí la cabeza. En cada Taller de participación de las partes interesadas Desafío a nuestro cliente con "¿quién dijo eso?". la prioridad'?

Me dejé llevar por la euforia. Supuse que, al ver un tsunami, todos debíamos entrar en pánico. Proyecté una serie de suposiciones, prioridades y preferencias.

Así que saqué mis materiales de SABSA y miré riesgo. Específicamente, nos centramos en el apetito de riesgo y los Indicadores Clave de Riesgo (KRI). Necesitábamos superar el error fundamental de la mayoría de los análisis de riesgo: basarnos en el apetito de riesgo de las partes interesadas y analizar los KRI. Los KRI son con visión de futuro. El punto en el que estaremos y aconséjenos tomar las medidas necesarias para mantenerse dentro del nivel de tolerancia al riesgo..

No te pongas a salvo. Llega hasta dentro apetito por el riesgo.

Es un detalle sutil, pero es en estos detalles donde los marcos de mejores prácticas establecidos como SABSA, DAMA y TOGAF dan resultado. mejores prácticas.

Aceptamos muchos riesgos para hacer negocios. Vendemos a crédito. Contratamos a gente que no conocemos. Impulsamos proyectos. Todos los días recorro en bicicleta una zona turística muy concurrida.

Estar más seguro

¿Cómo podemos saber si estamos más seguros? Leyendo DBIR de Verizon, Mandiant y Informe de Defensa Digital de Microsoft 2025 nos llevó a tres pruebas para más seguro. Llegamos a la conclusión de que la seguridad mejora de forma práctica mediante:

1. Reducción del acceso no autorizado
   Los ciberdelincuentes acceden mediante credenciales comprometidas y configuraciones incorrectas.
2. Reducción del tiempo de permanencia no autorizado
   El acceso no detectado y la autoridad no autorizada crean un riesgo latente y acumulativo.
3. Reducir el impacto potencial del "radio de explosión" del acceso no autorizado
   El acceso adicional (movimiento lateral) generalmente se proporciona mediante la búsqueda más acceso mientras vivienda.

El acceso y la permanencia fueron factores agravantes. El movimiento lateral parece ser particularmente sensible a las credenciales comprometidas en los sistemas de operaciones de TI.

Nuestro apetito de riesgo

Así que aquí estamos. El primer informe que leí decía: ¡Confianza cero! Es hora de tomarse en serio la microsegmentación. En serio. Tenemos una alerta de tsunami. No tenemos ni idea de la magnitud de la marejada ni de cuándo llegará. El consejo es seguir un camino en el que, tras una década de esfuerzos, no hemos logrado ningún avance significativo.

En cualquier diatriba de un experto en la materia se encuentran las raíces de una buena idea. Pero necesitamos contrastar esa buena idea con la realidad.

Primero, nuestras aplicaciones web. Ya saben, las innumerables conexiones del puerto 443/HTTPS diseñadas para permitir que desconocidos envíen comandos a nuestro software empresarial. O las más aterradoras internas, donde nuestro personal conecta su computadora portátil y presiona aplicaciones web internas que tienen una identidad implícita. Sí, identidad implícita porque la portátil de la empresa Se está utilizando. Ya sabes, ese portátil que pasó la semana navegando por puntos de acceso WiFi y aplicaciones web aleatorias. Si miras los informes de Zscalar o de phishing, verás que esos portátiles están siendo utilizados por muchos desconocidos. Sin embargo, son la base de la identidad corporativa.

Segundo, el legado. Los entornos heredados a medida de 30 años de antigüedad que son de alta entropía. Es como decirle a nuestro personal de seguridad que encuentre a los delincuentes mirando las cámaras de seguridad de la estación de Tokio. Recuerde que 5000 personas entrarán aleatoriamente. Chocar con alguien por cada pase de carterista.

Ahora, afrontemos la dura realidad: lo que acabo de describir es... dentro de nuestra tolerancia al riesgo. Tal vez, es Amarillo, en términos del KRI de SABSA. Probablemente, Esto es verde!

SABSA Matemáticas y Decisión de las Partes Interesadas

Durante la última década, la mayoría de las empresas han cedido y vivido en Naranja para seguridad y resiliencia. El territorio heredado genera dinero. Las soluciones rompen estos frágiles agentes de ingresos. Las soluciones propuestas en realidad no nos mueven a Verde. En cambio, impulsan nuestro apetito de riesgo de resiliencia a Rojo. Nadie elige el rojo. Nadie.

Entonces mi primera pregunta es: ¿El impacto de Glasswing simplemente empujó violentamente nuestra postura de seguridad directamente hacia el Rojo¿Hemos superado nuestro nivel de tolerancia al riesgo? Mi formación en SABSA es clara: la regla es absoluta; no puedes elegir conscientemente permanecer en la zona roja. Debes dejarlo todo y correr directamente a la zona verde.

Estás fuera de tu tolerancia al riesgo. Puede que monte en bicicleta. a través de La zona turística de Victoria y bajando por una carretera principal con una carril bici pintado. No lo hago durante las horas pico de viaje. Durante las horas pico de viaje, alguien intenta matarme sin querer todos los días. Aprovecho que vivo en la zona horaria del Pacífico y trabajo en la del Este. Al regresar a casa a las 2:30 (5:30 hora del Este), solo hay un intento de asesinato contra mi vida. una vez por semana. Y eso es dentro de mi tolerancia al riesgo.

Llegado este punto, el análisis deja de aportar valor; solo lo hace una recomendación limitada que se ajuste al nivel de riesgo aceptable.

Así que lo que nos lleva a Verde?

Recomendamos tres acciones:

• Instalar un WAF de actualización automática en cada interfaz web en el entorno heredado.
  Los proveedores comerciales de WAF se encuentran en la sala limpia. Esperamos que coordinen las actualizaciones de última hora.
• Ponga todas las API de socios comerciales a través de una puerta de enlace API.
• poner un canario dentro de cada perímetro—un sistema sin ningún posible uso legítimo que nos diga incontrovertiblemente que algo malo es buscando acceso simplemente buscando acceso. Incluso si están usando credenciales de administrador comprometidas o una identidad de computadora portátil implícita, activar un canario es incontrovertible: un badnick está intentando hacer parkour en el terreno heredado.

Hicimos dos preguntas difíciles:

• ¿Está bien si las aplicaciones heredadas dejan de funcionar cuando...? firmas ilegítimas conocidas ¿Se utilizan para transacciones normales y el WAF de actualización automática las bloquea?
• ¿Autorizará la suspensión inmediata de la autoridad de red para cualquier sistema que llame a la puerta de un canario? Nuestro peor escenario es un pirata informático al acecho que pasa de ser un espía silencioso a un destructor cuando cree haber sido descubierto.

Ahí estás De vuelta en verde. Ir al trabajo en bicicleta en silencio y aceptar un intento de asesinato a la semana.

Una vez que volvamos a la fase verde, podremos analizar otras medidas para mejorar nuestra seguridad y la resiliencia de nuestras aplicaciones. Al fin y al cabo, queremos que esos sistemas heredados, aunque frágiles, sigan generando ingresos para la empresa. Tenemos problemas empresariales reales —aranceles, competencia, confianza del consumidor— y necesitamos el dinero. Hay cambios pendientes que mejorarán nuestra posición competitiva y de costes, y que, además, mejorarán gradualmente la seguridad y la resiliencia.

Conclusión de «Diseñando el choque de alas de cristal»

En términos de TOGAF, simplemente saltamos de arquitecto este a un objetivo recomendado. Al igual que Claude Mythos, no tenemos juicio moral. Usted me dice el contexto de su empresa, los objetivos, las expectativas de rendimiento, las limitaciones y apetito por el riesgo y yo haré tu mejor objetivo. Eso es mejores prácticas EA—nuestros accionistas poseen tanto las ganancias como las pérdidas. Como arquitecto empresarial Doy consejos excelentes. Les diré verdades incómodas. Cuando tomen una decisión, la asumiré como si fuera mía. Al fin y al cabo, es la decisión oficial de la organización, tomada por un responsable autorizado.

Espero que hayan disfrutado del viaje. Mi equipo lo hizo en un par de días. En el camino tuvimos que retroceder varias veces. libre de prejuicios. Sí, un día terminé trabajando hasta tarde y salí a dar una vuelta en bici en hora punta. Tengo la grabación de la cámara de la bici que muestra los intentos de asesinato que sufrieron. ¡En serio, meterse en el carril bici es peligroso!

Así que aquí está tu desafío. Sé que quieres ser el mejor. arquitecto empresarial En tu empresa. Sé que quieres que las historias de éxito que cuento sobre empresas innovadoras se conviertan en un éxito. Francamente, están ahí, esperando a que sigas las mejores prácticas de nuestra profesión. Da un paso al frente, ponte manos a la obra. Di la verdad a tus grupos de interés. Sé que requiere valentía personal.

Cuando haces los cálculos, dejas atrás a los expertos monomaníacos en la materia y Casandra fuera de la oficina del líder. Casandras señalando el incendio del contenedor de basura trabajan gratis en internet. Tu trabajo es hacer los cálculos y hacer una recomendación que ponga a tu empresa en una mejor posición. Podría ser volver al verde. Podríamos estar entrando en un nuevo mercado.

Confía en mí. Están esperando buenos consejos.

Para terminar, miremos hacia adelante. Si Claude Mythos es eso bueno leyendo el código y creando sistemas que funcionan, sorteando API no previstas y escribiendo código funcional sin ningún juicio moral... ¡maldita sea, quiero algo de eso! Quiero ese trabajador de IA de mi lado. Me encantaría darle un par de restricciones más y que demostrara seguridad, resiliencia y modularidad. Quiero una canalización CI/CD moderna, de alta velocidad y con pruebas automatizadas. El desarrollo habilitado por IA está cambiando para siempre el juego de las pruebas y la resiliencia. Mi próxima generación de productos digitales será renacer seguro.

Haz los cálculos. Guía el cambio.

¡Qué tengas un lindo día!

Saludos,

Dave

Dave Hornford
Conexiam

PD: Si tiene prisa, eche un vistazo a nuestra Taller sobre gobernanza de la arquitectura O bien, hablemos de establecer una hoja de ruta dinámica. Lograr la contención no tiene por qué llevar mucho tiempo.