4 temas relevantes de ciberseguridad - Paralelo24 Skip to main content

La conferencia Black Hat USA regresó a Las Vegas para celebrar su 25.º aniversario, cuando miles de profesionales de la ciberseguridad se reunieron en el desierto para conocer mejor los desafíos críticos, incluida la seguridad en la nube, los riesgos de la cadena de suministro de software, el ransomware y el agotamiento y el estrés desenfrenados entre sus filas. Esto es lo que llamó nuestra atención en el evento.

1.    La cadena de suministro y la seguridad en la nube entre las mayores preocupaciones de los profesionales de seguridad de la información

Black Hat encuestó a 180 asistentes actuales y anteriores a la conferencia a principios de este año sobre lo que más les preocupa, y el riesgo de la cadena de suministro y la seguridad en la nube se encuentran entre las principales preocupaciones actuales y futuras, junto con el phishing y los ataques sofisticados directos.

Con respecto a la amenaza de la cadena de suministro, que ha ganado fuerza en los últimos dos años con la violación de SolarWinds y la falla masiva de Log4j, los encuestados están más preocupados por las vulnerabilidades que afectan:

  • Servicios en la nube o de red proporcionados por proveedores externos
  • Sistemas, aplicaciones o redes mantenidas por contratistas, proveedores y clientes
  • Software comercial o sistemas comprados a terceros
  • Software comercial o servicios en la nube que utilizan componentes de código abierto inseguros
  • Las conexiones a Internet o de red que vinculan sus sistemas con clientes y proveedores.

Con respecto a la nube, el informe señala una disparidad entre el alto nivel de preocupación de los encuestados y su relativamente baja adopción de tecnologías de seguridad en la nube, que incluyen:

  • Gestión de permisos en la nube: implementada por el 35% de los encuestados
  • Gestión de la postura de seguridad en la nube: 31%
  • Plataforma de protección de aplicaciones nativa de la nube: 20%
  • Plataforma de protección de cargas de trabajo en la nube: 16%

¿Por qué es esto? El informe aventura que puede tratarse menos de rechazar la tecnología “y más del hecho de que los profesionales de la seguridad no están interesados ​​en herramientas independientes” y estarían más inclinados a adoptar nuevas características de seguridad si son parte de una plataforma de seguridad más amplia.

Para profundizar en todos los detalles, consulte el informe, que también incluye hallazgos interesantes sobre ransomware, agotamiento, ataques de desinformación, problemas de presupuesto y personal, y seguridad de infraestructura crítica.

2.    Detrás de escena: el informe Log4j de CSRB

Los asistentes de Black Hat obtuvieron una visión interna del proceso para crear el muy discutido informe “post mortem” de la Junta de Revisión de Seguridad Cibernética (CSRB) sobre el descubrimiento de la vulnerabilidad Log4j. 

Dos miembros de la junta revelaron, entre muchas otras cosas, que estaban gratamente sorprendidos por el nivel de cooperación que encontraron cuando se acercaron a empresas privadas, gobiernos, fundaciones de software de código abierto y proveedores.

“En general, fue muy bueno ver a 80 partes interesadas diferentes dispuestas a sentarse a la mesa con nosotros, hablar con nosotros, obtener datos; eso fue extraordinario”, dijo Robert Silvers, presidente de la CSRB y subsecretario de política del Departamento de Estado de EE. UU. Seguridad nacional.

Por ejemplo, fue sorprendente que el gobierno chino respondiera al llamado de la junta y compartiera sus hallazgos e ideas sobre Log4j. 

“Es un testimonio del apetito que tiene la gente por sacar a la luz los hechos y reunir este tipo de información de una manera en la que todos puedan confiar en los hechos, o al menos confiar en que han sido analizados profundamente”, dijo Heather Adkins, subdirectora presidente de CSRB y vicepresidente de ingeniería de seguridad en Google.

Otros temas interesantes que surgieron:

  • La junta determinó que después de que Alibaba descubriera la vulnerabilidad, siguió el proceso correcto y establecido para notificar a la Fundación Apache, pero que la existencia de la falla probablemente se hizo pública prematuramente porque Apache, como es común en la comunidad de código abierto, comenzó a corregirla. públicamente, aunque en silencio, y el trabajo aparentemente fue notado. Una pregunta sobre la mesa es cómo evitar que este escenario se repita.
  • La junta apoya totalmente el concepto de la lista de materiales del software (SBOM), pero reconoce que estos productos deben desarrollarse aún más para cumplir realmente su promesa de proporcionar una visibilidad granular y precisa de todos los componentes de una pieza de software.
  • Debe haber incentivos y recursos destinados a impulsar el conocimiento y las capacidades de seguridad de los desarrolladores de código abierto, para que el código que escriben sea más seguro.

3.    Un enfoque compasivo para la concienciación sobre la seguridad de los empleados

Es una fuente constante de preocupación y frustración entre los equipos de seguridad: a pesar de la capacitación frecuente sobre concientización sobre seguridad, los empleados continúan actuando de manera peligrosa, haciendo clic en enlaces de correo electrónico sospechosos, reutilizando contraseñas, descargando aplicaciones sospechosas y similares. ¿Qué hacer? Cambie su enfoque, dice Kyle Tobener, jefe de seguridad en el startup de DevOps Copado. Compartió una forma alternativa basada en la reducción de daños y la compasión, en lugar de reglas rígidas y tácticas de miedo. 

Leave a Reply