Perfil del experto: David Atch
La carrera de David Atch en el campo de la seguridad y su camino hasta Microsoft son atípicos para la mayoría: "Empecé en las Fuerzas de Defensa de Israel (IDF) en un rol de ciberseguridad defendiendo ataques y buscando amenazas. Trabajé mucho en la respuesta a incidentes, el análisis forense y la interacción con sistemas de control industrial".
Mientras servía en las FDI, Atch conoció a dos colegas que fundarían la empresa de seguridad industrial de IoT y OT CyberX. Más tarde fue contratado por CyberX cuando terminó su servicio en las FDI. "Bromeo diciendo que nunca he tenido una entrevista de trabajo. El Ejército no hace entrevistas, solo te recluta. CyberX me contrató y después Microsoft adquirió la empresa, así que nunca he tenido una entrevista de trabajo formal. Ni siquiera tengo un currículum".
"Casi todos los ataques que hemos visto en el último año empezaron por un acceso inicial a una red de TI que se aprovechó en el entorno de OT. La seguridad de las infraestructuras críticas es un reto mundial y difícil de abordar. Debemos ser innovadores a la hora de crear herramientas y realizar investigaciones para aprender más sobre este tipo de ataques.
El trabajo de Atch en Microsoft se centra en asuntos relacionados con la seguridad de IoT y OT. Incluye el estudio de protocolos, el análisis de malware, la investigación de vulnerabilidades, la búsqueda de amenazas del Estado nación, la elaboración de perfiles de dispositivos para comprender cómo se comportan en una red y el desarrollo de sistemas que enriquezcan los productos de Microsoft con conocimientos sobre IoT.
"Estamos en una era conectada, existe la expectativa de que todo debe estar conectado para proporcionar una experiencia en tiempo real en la que el software informático se conecte a una red que permita que los datos de OT fluyan a la nube. Creo que es ahí donde Microsoft ve el futuro, donde todo está conectado a la nube. Esto proporciona análisis de datos más valiosos, automatización y eficiencia que las empresas antes no podían conseguir. La velocidad abrumadora de la evolución conectada de estos dispositivos, y el inventario y la visibilidad incompletos de los mismos por parte de las organizaciones, a menudo inclinan la balanza hacia los atacantes", explica Atch.
Dicho esto, el mejor enfoque para combatir a los atacantes que tienen como objetivo las TI y las OT es la Confianza cero y la visibilidad de los dispositivos, comprender lo que tienes en una red y a qué está conectado es fundamental. ¿El dispositivo está expuesto a Internet? ¿Se comunica con la nube, o puede acceder alguien externo? Si es así, ¿tienes medios para detectar el acceso de un atacante? ¿Cómo administras el acceso de los empleados o contratistas para detectar anomalías?
Dado que la administración de revisiones puede resultar imposible en algunas organizaciones (o llevar muchísimo tiempo) y que parte del software de la comunidad de operadores carece de soporte, debes mitigar las vulnerabilidades con otras medidas. Por ejemplo, un fabricante no puede cerrar fácilmente una fábrica para probar y revisar algo.
Tengo que añadir que no hago este trabajo solo. El talentoso equipo de investigadores, cazadores de amenazas y defensores me permite seguir aprendiendo cada día".