Window Snyder lanza inicio para completar la seguridad de IoT …


Thistle Technologies tiene como objetivo ayudar a los fabricantes de dispositivos conectados a entregar actualizaciones de forma segura a sus productos.

(imagen de ZinetroN, a través de Adobe Stock)

(imagen de ZinetroN, a través de Adobe Inventory)

El veterano de la seguridad Window Snyder ha lanzado una nueva puesta en marcha para abordar los crecientes y complejos problemas de seguridad de los dispositivos conectados a World wide web a medida que se vuelven más frecuentes en las organizaciones.

Snyder ha pasado más de 20 años ayudando a algunas de las firmas de tecnología más grandes a incorporar seguridad en sus productos, con roles de seguridad senior en Mozilla, Apple, Fastly, Intel, Microsoft y Sq.. Su nueva empresa, Thistle Systems, tiene como objetivo ayudar al mercado de dispositivos conectados a ponerse al día facilitando a los fabricantes la implementación segura de actualizaciones en sus productos.

«Los sistemas de software han pasado por mucho trabajo para llegar al lugar donde están ahora, y he tenido un asiento de primera fila para la mayor parte de eso … más que una primera fila de hecho, estoy en las trincheras». dice Snyder. Pero, agrega, «gran parte del trabajo no se ha realizado en el espacio de los dispositivos».

Para los sistemas que enfrentan ataques altamente visibles, como los sistemas operativos, se asignan más tiempo y recursos para desarrollar la resiliencia. Como ejemplo, Snyder señala parte del trabajo que hizo en Home windows para reducir la superficie de ataque o dificultar que un atacante se aproveche de las fallas de corrupción de la memoria. Con el tiempo, este trabajo ha dado lugar a mecanismos de seguridad más sólidos.

En el mercado de dispositivos conectados, ve una gran superficie de ataque y una pequeña inversión en seguridad.

«Hay tantos dispositivos que no cuentan con ninguno de estos mecanismos», explica. «Incluso para aquellos que tienen mecanismos de seguridad, no todos están diseñados para el tipo de resiliencia que es apropiado para las amenazas a las que se enfrentan».

Es un gran problema por múltiples razones. Algunas organizaciones tienen pequeños equipos de ingeniería y pocos recursos para desarrollar resiliencia en sus productos. Algunos tienen equipos grandes pero no priorizan la seguridad porque están en una operación de fabricación de sistema cerrado, por ejemplo, y las máquinas no tienen acceso a la pink. Muchos dispositivos conectados están en el campo durante largos períodos de tiempo y es difícil entregar actualizaciones, por lo que los fabricantes no las envían a menos que sea necesario.

«Existe esta combinación de necesidad de seguridad y, además, este requisito de un mecanismo de actualización que sea confiable», continúa Snyder.

A menudo, los fabricantes no confían en cómo se implementan las actualizaciones y no confían en que el mecanismo entregará actualizaciones de seguridad de gravedad media o alta de forma common. Como resultado, los dispositivos permanecen sin parches y expuestos a ataques que podrían brindar a los intrusos una puerta de entrada fácil al entorno objetivo.

Snyder planea abordar este problema con Thistle Technologies, que esta semana anunció $ 2.5 millones en fondos semilla de Legitimate Ventures.

La compañía tiene como objetivo hacer que el proceso de actualización sea más fácil y más confiable para los fabricantes con una infraestructura que pueden usar para implementar actualizaciones, de modo que no tengan que construir la tecnología para hacerlo ellos mismos. Snyder llama al mecanismo de actualización la «característica de seguridad central»: con esto en su lugar, los fabricantes tienen la capacidad de volver a un «buen estado conocido» si un dispositivo se ve comprometido.

(imagen de ZinetroN, a través de Adobe Stock)

(imagen de ZinetroN, a través de Adobe Inventory)

Snyder dice que el proceso de cómo funcionará Thistle es equivalent a cómo podría usar una biblioteca de gráficos o una biblioteca de comunicaciones. Un fabricante incorporará la biblioteca en el producto que está creando y entregará la funcionalidad de actualización. Señala que existen otros mecanismos, en la parte inferior del sistema y en el again-finish, para gestionar la entrega de actualizaciones y las configuraciones.

Si bien la tecnología de Thistle puede ser utilizada por cualquier fabricante, Snyder dice que ahora se enfoca en aquellos con dispositivos de alta seguridad bien entendidos y reconocidos. Esto podría incluir dispositivos de punto de venta, cajeros automáticos o dispositivos automotrices, así como dispositivos en industrias altamente reguladas como la medicina y la aviación. Las personas más motivadas para ponerse al día tienen clientes que están preocupados por la seguridad, agrega, y quieren un mecanismo que se pueda integrar fácilmente.

Aprender, construir y crecer
Con la ronda de semillas asegurada, Snyder dice que la compañía ahora está dotando de own y construyendo su organización de ingeniería. También está trabajando con socios desarrolladores para garantizar que la tecnología que está desarrollando Thistle satisfaga sus necesidades, así como las restricciones contra las que operan.

Comprender las necesidades de los desarrolladores y los factores más allá del riesgo de seguridad que enfrentan los desarrolladores es útil, explica. Thistle quiere comprender y abordar las necesidades de múltiples empresas en todas las industrias, y saber cómo piensan puede ayudar a informar un producto que realmente usarán.

«Veo que, en standard, a lo largo de toda mi carrera, una solución de seguridad perfecta es inútil si la empresa no la implementa», continúa Snyder. «En realidad, nunca puede entregar esa solución de seguridad perfecta … la seguridad siempre está en desacuerdo con el rendimiento o con su cronograma de envío de un producto», junto con otros factores como el espacio y el costo, agrega.

A medida que Thistle desarrolla su tecnología, la necesidad de proteger una gran cantidad de dispositivos conectados continúa creciendo. A menudo, es difícil para los CISO evaluar la seguridad de un producto antes de comprarlo, señala, y no todas las empresas tienen los recursos para aplicar ingeniería inversa a los dispositivos y probar la seguridad por sí mismos. Los CISO a menudo tienen que enviar un cuestionario al fabricante del dispositivo, que da pocas respuestas, por ejemplo, el tipo de cifrado utilizado pero no su implementación.

«Creo que llegar a un lugar donde puedan hablar, &#39Este es el tipo de mecanismo que estamos usando para la seguridad esta es la forma en que almacenamos las credenciales esta es la forma en que brindamos resiliencia en nuestra implementación». puede ayudar a los CISO a comprender si deben adquirir un dispositivo, dice. Sin las respuestas adecuadas a estas preguntas, más dispositivos se suman a la superficie de ataque.

Mientras continúa construyendo Thistle, Snyder dice que una consideración fundamental es brindar a los empleados un entorno en el que les guste trabajar, una lección aprendida en sus años como líder de seguridad. Es difícil asegurar una organización cuando el equipo de seguridad opera constantemente a alta capacidad, tiene que intensificar después de un ataque y luego vuelve a operar por encima de una tasa sostenible.

«Una de las cosas que he aprendido de mis años en el liderazgo es asegurarme de que nos inscribamos en lo que podemos ofrecer en una semana laboral razonable: que la gente tenga una cantidad adecuada de equilibrio entre el trabajo y la vida», dice.

¿Por qué el nombre Thistle? Un cardo es una planta con flores con un mecanismo de defensa incorporado que ahuyenta a los herbívoros que, de otro modo, podrían comerlo. La plan de este «mecanismo de defensa orgánico» se relaciona con la strategy de Snyder para la empresa y las tecnologías que está construyendo.

«Siento que el problema al que nos enfrentamos es enorme, y realmente se necesita algo así como la tenacidad de una mala hierba para intentar hacer una diferencia significativa aquí», dice.

Kelly Sheridan es la editora de particular de Dim Reading, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique