Julian tiene más de 30 años de experiencia en la industria del software y ha estado con Security Service durante los últimos 13 años, liderando y haciendo crecer los equipos de desarrollo de aplicaciones. Security Service Federal Credit Union se encuentra entre las principales cooperativas de ahorro y crédito de la nación y la cooperativa de ahorro y crédito más grande de Texas.
Julian y yo hablamos específicamente sobre por qué inició su investigación, los recursos útiles que encontró y qué respuestas fueron difíciles de descubrir. Toda la conversación es grabado en este webinaro puede revisar una transcripción parcial a continuación.
Los temas incluyen:
Julian: Soy vicepresidente sénior de arquitectura empresarial y desarrollo de aplicaciones en Security Service Federal Credit Union. Llevo 30 años en la industria del software.
Empecé como desarrollador de IBM en Inglaterra. Estaba trabajando en las partes internas de CICS, el gran procesador de transacciones en línea. Tuve el privilegio de trabajar en la reestructuración de los dominios de seguridad, lo que me inició en la seguridad. De ahí en IBM, pasé a la consultoría mundial, principalmente en instituciones financieras, y pasé a Siebel Systems, en su Centro de Competencia Global de Servicios Financieros.
Fui Arquitecto de Operaciones para comercio electrónico en USAA durante unos cinco años, y he estado trabajando en Security Service Federal Credit Union durante los últimos 13 años. He tenido el honor y el privilegio de poder hacer crecer todos los equipos de desarrollo de aplicaciones y las iniciativas asociadas que hemos realizado en prácticamente todas las líneas de negocio y procesos de negocio que apoyamos.
He vivido muchos cambios en la industria a lo largo de los años. He visto cómo evolucionan las cosas desde el acceso a la cuenta basada en el cliente de mi banca en casa, la banca por Internet, la banca móvil, los dispositivos portátiles y la voz, ese tipo de tecnologías.
¿Qué aprendiste al rediseñar tu canal digital?
Scott: ¿Puedes explicarnos qué aprendiste al investigar tu canal digital?
Julian: Siempre se ha dado el caso de que la industria ha ido cambiando. Obviamente, ha habido algunas revoluciones radicales en los últimos 30 años. Estoy acostumbrado a ver cómo suceden los cambios y ver cómo se unen las cosas. Una de las cosas que fue un poco diferente en el mundo de las plataformas digitales fue cómo la industria estaba cambiando más rápido que el ecosistema de participantes.
Lo que quiero decir es que hay una gama completamente diferente de participantes. Algunos, desde proveedores de banca móvil, empresas de seguridad, proveedores, proveedores de herramientas de servicios públicos y todo tipo de cosas compatibles con la madurez operativa y otras partes, y no fue una distribución uniforme de cómo las personas se mantenían al día con los cambios.
Lo comparo con la forma en que hay autos de combustión interna y autos eléctricos. Algunos elementos permanecen iguales y mantienen el ritmo, y algunas cosas han cambiado radicalmente. Todos necesitamos neumáticos. Todos necesitamos volantes, tableros y ventanas.
Sin embargo, cuando comienzas a observar los motores y el tipo de mecánica subyacente, las baterías, las cajas de cambios, la transmisión… todo ese tipo de cosas está evolucionando, al igual que la distribución de los proveedores y los servicios. De vuelta en nuestro mundo, era irregular en cuanto a cuánto cubrían el espacio total de los canales digitales.
Parte de la información disponible no era fácil de entender – – hubo o no una evaluación completa de los diferentes aspectos – – no por algún tipo de deseo, de engañar, ocultar o suprimir.
Fue solo la velocidad del cambio, la velocidad de aparición de las diferentes partes del mundo del autoservicio digital significaba que no todos estaban actualizados y tenían una imagen completa de todos los diferentes aspectos del mundo de la banca digital.
Scott: Cuando dices «todos», ¿puedes poner límites a eso? ¿Estas personas están produciendo soluciones o son personas que buscan soluciones?
Julian: Ambos. Por un lado, las personas que buscaban una solución fueron desafiadas y aún lo son. Al conocer las preguntas correctas, los tipos correctos de áreas para comenzar, dónde profundizar en las cosas.
Aquí hay un ejemplo: puedo recordar hace unos 15 años cuando el primer tipo de ideas en torno a la banca móvil estaba comenzando a formarse y comenzamos a buscar soluciones reales.
Había algunas suposiciones por ahí. Cosas como «no hay mucho que puedas hacer» y «el proveedor del dispositivo de la plataforma no te permitirá tocar esta parte». iOS es otro gran ejemplo de enclaves artificiales que se dibujaron en torno a la forma en que trabajaba o cómo pensaba sobre su solución de banca móvil.
Y con el tiempo, esas suposiciones se acaban. Te das cuenta, «eso no está permitido» o «eso no está permitido». En este día y edad, ya no se pueden hacer suposiciones.
Aquí hay un buen ejemplo de las pruebas de fuego que he estado usando en algunas de estas áreas: haré la pregunta sobre los dispositivos de jailbreak, y cuando obtenga la respuesta, puede tener una idea de qué tan bien alguien o un proveedor institucional está pensando en eso.
Hace diez años, una respuesta podría haber regresado y dicho: «bueno, sí, verificamos el jailbreak». Hoy en día, esa pregunta debe responderse mucho más profundamente porque debe comprender cómo se protegen los dispositivos contra el jailbreak.
Qué tipo de controles se están realizando porque los delincuentes siempre están adaptando lo que significa liberar un teléfono y tienen diferentes mecanismos para ocultar lo que están haciendo.
Volteando la pregunta hacia adelante y hacia atrás, obtiene una idea de la madurez de las personas que hablan en el espacio móvil sobre el jailbreak, qué hacer y cuán profundamente piensan sobre los tipos de jailbreak, las formas en que se engaña y las formas en que los malos básicamente están usando eso para ocultar lo que están haciendo.
Es una de las pruebas que hemos estado usando para evaluar solo un sentido general de cuando se trata de diferentes participantes en el espacio de la banca móvil.
Hemos estado analizando algunas otras áreas más allá de eso, por ejemplo, profundizando en la naturaleza confiable de los clientes que los dispositivos que tenemos muestran que hay un espacio que realmente se está consolidando como una categoría ahora para la gente.
Lo que quiero decir con esto es autoprotección de aplicaciones en tiempo de ejecución, RASP y detección del lado del cliente; ese tipo de acrónimos ahora están comenzando a ganar terreno con respecto a poder ver esas cosas de una manera más crítica y poder para evaluar exactamente lo que está pasando con ese dispositivo. Averigüe qué puede hacer para protegerse contra ese tipo de amenazas, como malware u otros tipos de actividad. Realmente tienes que hacerte cargo de tu propio análisis y evaluación de las cosas que son importantes para ti porque no hay una imagen completa.
Gartner nos ayudó a señalar algunas de las áreas a observar, pero realmente aconsejo que las personas sean conscientes de sus propias necesidades, sus propios riesgos, salgan y busquen muchas fuentes diferentes. Revise diferentes perspectivas para averiguar en qué tipo de estado nos encontramos en esa parte particular de protección, seguridad y capacidad, y hágalo con frecuencia porque está evolucionando y cambiando.
¿Hubo un mandato específico o hubo algún tipo de evento que inició su proyecto?
Scott: ¿Hubo un mandato específico o hubo algún tipo de evento que inició su proyecto?
Julian: Absolutamente. No hace mucho tiempo, hubo una pieza de malware que llamó nuestra atención llamada Anubis. Empecé a leer un poco sobre eso, y estaba bastante desdeñoso – – ¿Qué es esto? ¿Qué está sucediendo? ¿Y qué significa eso para nosotros?
Realmente no le presté demasiada atención hasta que comencé a leer más y a entender lo que estaba pasando. Empecé a tener más y más epifanía sobre cuánto esfuerzo e investigación se estaba realizando con los malos actores del mundo.
Al ver el esfuerzo que se estaba realizando, en este malware, para apuntar a instituciones financieras específicas, para personalizarlo, adaptarlo y hacer algunas cosas furtivas como esperar hasta que el acelerómetro le dijera que alguien se estaba moviendo para luego despertar. arriba y empezar a transmitir información.
Este tipo de mundo de aplicaciones uno al lado del otro, donde una aplicación maliciosa finge ser algo pero estaba recopilando información o haciendo otras cosas maliciosas, comenzó a abrir la puerta sobre cuántas otras cosas había y qué estaba pasando.
Luego comenzó a generar más preguntas en mi mente: ¿no hay algo que podamos hacer mejor? ¿No hay algo que podamos hacer más proactivamente en torno a esto? Qué podemos hacer para aislar a nuestra membresía de cualquiera de estas actividades que están ocurriendo?
Eso es lo que nos hizo mirar más de cerca toda la plataforma que existe en Android y el mundo de Apple. Empezamos a hacer preguntas – – ¿Qué podemos deducir? ¿Qué podemos saber sobre el entorno en el que se encuentran nuestras aplicaciones para poder enfocarnos mejor en el nivel de confianza que podemos tener en las aplicaciones?
Ese fue uno de los impulsores clave para darnos cuenta de que debemos comenzar a observar más de cerca esta nueva amenaza, este mundo en maduración que ocurre en este espacio, e incluso la integridad en torno al marco de iOS ahora eran preguntas que necesitaban respuestas. Necesitábamos tomar una mirada más seria porque, evidentemente, estaban sucediendo cosas en el mundo de Apple que no creíamos que necesariamente sucedieran o no permitieran que sucedieran.
Scott: ¿Cómo cambia la crisis del coronavirus a los empleados de sus cooperativas de ahorro y crédito? ¿Cómo cambia su autoservicio remoto, sus canales digitales? ¿Qué crees que veremos después de esto?
Julian: Creo que es probable que veamos una aceleración de las tendencias que ya han estado ocurriendo con respecto al delito cibernético. Una de las cosas interesantes que he visto en algunos informes, más bien anecdóticamente, es cómo el crimen se ha reducido radicalmente en el mundo COVID. Bueno, los malos también están en autoaislamiento. Hay muchos tipos diferentes de delitos que no están ocurriendo tanto. El fraude, el robo, el robo son simplemente más difíciles de promulgar cuando la población no está presente.
Los delincuentes, sin embargo, todavía están buscando sus fuentes de ingresos, lo que puede obligarlos a comenzar a buscar otros tipos de vías de actividad maliciosa. Si algo de eso significa que esos malos actores ahora se desvían hacia el mundo del fraude de comercio electrónico, el fraude de tarjeta no presente, el robo de identidad y las apropiaciones de cuentas. En la web oscura, incluso hay instalaciones creadas para personas que no tienen habilidades tecnológicas sólidas para poder explotar y comprar acciones que son perjudiciales para posibles fraudes y actividades más bien maliciosas.
Con más personas mirando este canal para detectar cualquier tipo de actividad maliciosa, habrá más habilidades e inversiones. Es por eso que digo que las tendencias actuales pueden acelerarse al tener ese tipo adicional de participación y demanda en ese tipo de espacio de mercado.
Cuando miramos esto desde el otro lado de la moneda, desde el punto de vista de nuestra membresía, ahora hay un cambio. Sus percepciones de cómo están realizando sus transacciones y el impulso por un mayor autoservicio están muy vivos. Tener cierta cantidad de servicios en nuestras plataformas es bueno, pero en el mundo post COVID, la gente va a decir: “lo que quiero hacer es más sin tener que salir. Quiero poder hacer más y más de este tipo de transacciones”.
Eso impulsará más servicios en las plataformas de comercio electrónico en las plataformas de la industria financiera y de banca en línea. Lo que significa que el nivel de seguridad, toda la confianza que está tratando de comprender, se produce cuando alguien interactúa con usted en sus servicios en línea. Eso también significa que se debe prestar más atención a la confianza que se tiene, lo que se relaciona con lo que dije acerca de enfocar la confianza. Si lo hace, significa que está tomando un punto de vista más amplio: capas adicionales en cuanto a lo que constituye la percepción total de lo que trata y el nivel de confianza que está asociando con este actor que interactúa con su sitio.
Las personas que trabajan de forma más remota son otro factor determinante aquí. Vamos a tener más personas trabajando desde casa, y eso va a introducir más vectores de ataque para que los malos los usen a través de las redes domésticas y otros equipos que ahora están potencialmente disponibles.
Incluso si es solo un pequeño aumento de lo que está sucediendo, definitivamente es un punto en el que las organizaciones deben prestar atención y pensar detenidamente cuál es la totalidad de las diferentes capas de seguridad que tienen implementadas para lo que no solo están haciendo. ahora, sino también lo que deben hacer en el futuro como resultado del cambio de hábitos que nos está trayendo el mundo post-COVID-19.
¿Qué información buscaba que le resultó difícil encontrar?
Scott: Cuando estaba haciendo toda su investigación renovada, dijo que alguna información era difícil de encontrar, o no estaba disponible, o no era fácilmente accesible. ¿Puede explicar un poco sobre lo que está buscando y por qué fue difícil de encontrar?
Julian: Una de las cosas que fue difícil de encontrar fue la consistencia de la información. Realmente buscábamos consejos completos, imparciales, maduros, actuales y honestos sobre el estado de algunos de los servicios, y era en gran medida un caso de una mezcolanza de información que estaba por todas partes.
Parte era contradictoria, parte era de ideas afines, pero parte estaba aislada, y era muy obvio que tenías que trazar tu propio curso a través de la información a partir de hoy. Significaba que realmente lo que necesitaba hacer era tener un enfoque iterativo a través de toda la información que estaba disponible para obtener muchos tipos diferentes de lecturas sobre lo que estaba sucediendo; lo que era posible; cuál fue la imagen emergente de lo que puedes hacer.
Por ejemplo, en el mundo de Anubis:
- Es horrible, ¿qué está pasando?
- Está bien, pero ¿está solo?
- ¿Qué significa eso?
- ¿Cuántos otros tipos de malware hay?
- ¿Qué tan avanzados están?
- ¿Qué tan rápido están cambiando?
- ¿Qué tipos de protecciones están disponibles?
- ¿Qué están haciendo las otras personas?
- ¿Qué tan omnipresentes son estas cosas?
Esa información era muy difícil de obtener, y significaba que tenía que hacer algunas deducciones informadas sobre el estado de lo que realmente podía hacer… qué tipo de cosas eran posibles.
Eso fue muy esclarecedor para nosotros al decir todas estas cosas que podemos hacer. Hay mecanismos por ahí. Hay algunas capacidades que han evolucionado que nos brindan otra oportunidad de poder tener una mejor comprensión de lo que está sucediendo, cuál fue el contexto general de los otros procesos y las actividades que ocurren en ese dispositivo en relación con cuando un tipo de banca en línea de transacción está ocurriendo.
Eso fue importante para nosotros y un pequeño avance. Ahora bien, hay cosas que podemos hacer y que deberíamos estar haciendo.
Francamente, fue difícil llegar a él, ya que estaba diciendo que esto está surgiendo, esto es posible, este es un camino que ahora se está convirtiendo en un camino mucho más transitado, y lo que la gente debe hacer es simplemente hornear otra capa a la forma en que aseguran sus aplicaciones.
¿Cómo está utilizando su investigación para proteger sus canales digitales y experiencias móviles?
Scott: ¿Qué vas a hacer ahora? Has hecho esta investigación; ¿Qué va a hacer de manera diferente con sus canales digitales y experiencias móviles, y tal vez algunos de los servicios que estarán disponibles en línea en los próximos meses?
Julian: La clave es observar más de cerca cómo pensamos sobre la confianza y cómo pensamos sobre el riesgo en ese tipo de entornos.
Informará lo que hacemos con respecto a las capacidades que están disponibles y las políticas de ajuste que reflejan mucho más el nivel de confianza que tenemos.
Es un conjunto de ingredientes que tiene que seguir analizando lo que ha logrado con la autenticación, la seguridad del dispositivo que tiene, y luego los límites de la actividad y los tipos de servicio/la expansión que puede tener. las cosas que te pones.
Todas esas serán cosas que veremos de manera diferente y tomaremos una idea más cercana de lo que eso significa para nuestros diferentes tipos de miembros. El tipo de cosas que les permitimos hacer, la cantidad de cosas que sucedieron, la frecuencia, la velocidad de las cosas que sucedieron primero. Y luego poder decir: “esto es algo que miramos, algo que revisamos o algo que rechazamos”. Pero creo que, en general, esto definitivamente cambiará en cuanto a nuestra percepción o nuestro proceso de pensamiento en el dispositivo real.
Mecanismos y controles que deben tener las aplicaciones de banca móvil
Scott: ¿Existen algunos mecanismos y controles fundamentales que las aplicaciones de banca móvil deberían haber implementado? ¿Tal vez podamos hablar de lo que deberían haber implementado como mínimo y como máximo?
Julian: Una de las guías que salió hace mucho tiempo, y sigue siendo válida hoy en día, es del FFIEC, cuando hablaba de seguridad en capas y otros tipos de nombres como defensa en profundidad en diferentes áreas. Esa es una de las áreas clave que continúa aquí, pero ahora puede ser una expansión de los diferentes tipos de capas.
Está mirando más allá de su organización con respecto a lo que están haciendo otros actores (buenos y malos); mirando algunos de sus procesos de inscripción; mirando la autenticación; como estas autorizando diferentes transacciones; la administración y el seguimiento que se está llevando a cabo; y la auditoría también es importante en nuestro mundo financiero.
En cuanto a los controles que se implementan, obviamente hay diferentes dimensiones de lo que controla los tipos de servicios que existen. Cada institución financiera tiene su propia tolerancia a diferentes riesgos. Tienen sus propios tipos de perfiles que asocian con diferentes tipos de actividad, no solo sobre la naturaleza del miembro del cliente o del cliente que ingresa, sino también sobre el contexto de cómo se lleva a cabo; de dónde viene; cualquier otro tipo de frecuencia de actividad que esté ocurriendo; luego el monto de su base transaccional.
La organización define cuál va a ser un riesgo apropiado en función de la confianza, los tipos de servicio y otros tipos de atributos de perfil asociados con alguien.
Cómo resistir la presión si la empresa quiere ejecutar una aplicación financiera en un dispositivo con jailbreak o rooteado
Scott: ¿Cómo resistir la presión si la empresa quiere ejecutar una aplicación financiera en un dispositivo con jailbreak o rooteado?
Julian: Es una pregunta interesante. Una pregunta realista que surge. Tienes que pensar en cuál es el peor de los casos de lo que puede pasar. Eso significa comprender cuáles son los tipos de formas en que se puede usar su aplicación. ¿Qué tipo de servicios se ofrecen? Si hay transacciones de dinero en vivo, transacciones de mucho dinero y tipos importantes de cosas que suceden, eso podría dañar la reputación de la organización o por otros tipos de amenazas que podrían continuar.
Realmente se trata de destacar los tipos de riesgo y exposición que puede haber en estas cosas diferentes, y a veces puede ser otra conversación incómoda porque puede señalar algunas áreas en las que su organización puede necesitar inversiones adicionales.
Entonces, por ejemplo, puede ser que si vamos a permitir que una capacidad particular se abra en un dispositivo con jailbreak, entonces necesitamos invertir más en monitoreo. Necesitamos invertir en personas que puedan ver esta actividad y revisarla más. Vamos a limitar la cantidad de funcionalidad que tenemos que hacer, o vamos a implementar otros tipos de controles, como la autenticación intensificada, que continúa evaluando si se necesita otra autenticación. Tal vez se requiera una autenticación adicional.
Se trata de ayudar a la empresa a comprender cuál es la exposición que podrían estar abriendo. Pero también proporcionar las alternativas en torno a los refuerzos adicionales en los que se podría invertir ayudaría a mitigar algunas de esas cosas. Además, brinda capacidades para poder suprimir o incluso desactivar cualquier funcionalidad que comience a mostrar signos de comprometer a la organización.
Es un desafío, pero nosotros, como tecnólogos, debemos enfrentarlo siempre. Estamos aquí para apoyar el negocio. En última instancia, se trata de educar a la empresa sobre el tipo de riesgo y el peor de los casos y las probabilidades y la probabilidad de una manera objetiva, y luego presentar esos tipos de inversiones que podrían ayudar a mitigar lo que está sucediendo. En última instancia, se dejará más como una decisión comercial.
A menudo descubrí que una vez que las personas comprenden un poco lo que están pidiendo y las consecuencias, comienzan a darse cuenta de que necesita otra ayuda organizativa. Los grupos de gestión de riesgos o diferentes tipos de grupos de control dentro de las organizaciones también pueden proporcionar ese tipo de información. Al final es una decisión colectiva.
Scott: Julian, gracias por pasar tiempo conmigo y nuestra audiencia hoy. Aprecio tu perspicacia.
Julian:Un placer, Scott. Gracias.
Relacionado:
Cuándo usar la protección en la aplicación
Quadrant Knowledge Solutions nombra a Zimperium líder en protección dentro de la aplicación
Las aplicaciones de banca móvil son un activo valioso
