Llegamos a ustedes gracias a:



Reportajes y análisis

8 tendencias atractivas de la seguridad cibernética

(y 4 que se están enfriando)

[11/04/2018] Toda la industria de la tecnología es dinámica y cambia constantemente. Y si se encuentra en seguridad de TI, está en una posición única en que los cambios pueden ser impuestos sobre usted por técnicas desarrolladas por hackers malintencionados. Eso significa que siempre hay algo nuevo en la industria, y también existen algunas técnicas y herramientas cuya utilidad se ha quedado en el camino.

Hablamos con un grupo de profesionales en seguridad para averiguar qué tendencias tienen en mente para este año, y sus respuestas abarcaron desde herramientas y tecnologías, hasta amenazas, tácticas y capacitación. También recibimos algunos consejos sobre ideas que alguna vez fueron atractivas.

Atractivo: Ransomware

WannaCry y NotPetya llegaron a titulares enormes el año pasado, y la mayoría de los expertos con los que hablamos dijeron que las compañías han estado poniendo la defensa contra el ransomware en lo más alto de su lista de prioridades. Hyder Rabbani, COO de CyberSight, dice que una cosa que ha impulsado esta amenaza es "la capacidad de 'externalizar' el desarrollo de variedades de ransomware personalizadas a hackers dispuestos a ofrecer ransomware creativo con ingresos compartidos -también conocido como ransomware-as-a-service. Veremos a más hackers sin base técnica involucrando a desarrolladores de ransomware de manera gratuita y compartiendo una parte de los ingresos como forma de pago, sin requerir habilidades o dinero para lanzar un ataque malicioso".

¿Otro factor que alimenta el boom del ransomware? "Criptomonedas", anota Josh Mayfield, director de FireMon. "Las divisas emitidas por el gobierno están fuera de discusión para el ransomware: es demasiado fácil ser atrapado. Sin embargo, si requiere el pago con una criptomoneda, obtiene una mayor probabilidad de éxito".

Atractivo: Blockchain

La criptomoneda es solo una aplicación de la tecnología de blockchain -y se está haciendo un gran esfuerzo para aprovecharla en el aumento de la seguridad de las transacciones. "Blockchain en un mundo de identidad es una aplicación interesante, si no bastante especulativa, del mundo real", anota Lawrence Aucoin, CTO y socio director de Optimal IdM. "Algunos de los componentes fundamentales convincentes de un blockchain de identidad son que no necesita una 'tienda' (o banco) central como intermediario para comerciar con un socio. De hecho, ni siquiera necesita saber quién es el socio -solo que es un participante verificado en el blockchain. La confianza es esencial para el comercio y ese es el punto ideal de blockchain".

No: VPNs

Establecer conexiones confiables con socios externos a su organización es cada vez más importante. "Vemos que muchas organizaciones empresariales tienen que gestionar un número cada vez mayor de proveedores que acceden de forma remota a sus redes -hasta diez veces más que la cantidad de empleados en muchos casos", afirma Rob Palermo, VP de Producto en SecureLink. "Por lo tanto, asegurar, administrar y monitorear tantas sesiones privilegiadas diferentes, es realmente un tema candente en este momento".

Pero una de las formas tradicionales de asegurar ese acceso externo (conexiones VPN) está comenzando a perder popularidad. "Aunque las VPNs ofrecen comodidad, fueron desarrolladas originalmente para crear una conexión entre dos puntos internos dentro de una red, no para ser utilizadas como un camino externo para contratistas o terceros proveedores", anota Sam Elliott, director de gestión de productos de seguridad en Bomgar. "Debido a la complejidad de la configuración y las dependencias en ACLs y la buena segmentación de red, el resultado final del acceso de externo a interno impulsado por VPN, a menudo, permite el acceso 'todo o nada'. Si (o cuando) un proveedor externo con acceso a los sistemas de una empresa está comprometido, los atacantes pueden lograr un acceso sin restricciones a las redes de esa compañía usando a ese proveedor como punto de pivote. Durante los últimos años, las organizaciones han estado buscando soluciones más robustas que permitan el control granular: dando el nivel de acceso correcto, a las personas correctas, en el momento correcto, mientras también se registra y monitorea toda la actividad de soporte remoto".

Atractivo: El engaño

Para combatir ataques cibernéticos, muchos profesionales recurren a medidas activas para confundir a sus oponentes. "Los equipos de respuesta a incidentes están buscando formas de combatir de manera más activa la presencia maliciosa en la empresa, sobrepasando la práctica de simplemente identificar qué sistemas se han visto comprometidos", anota Lenny Zeltser, vicepresidente de productos de Minerva Labs. Por ejemplo, las empresas podrían "vacunar sistemas contra familias de malware específicas, 'convenciendo' al malware de que ya está en el sistema para prevenir la infección en primer lugar".

A medida que las empresas luchan por proteger sus redes, una tendencia creciente es utilizar el engaño como parte de una estrategia de seguridad. Anthony James, VP de marketing de CipherCloud, dice que los emuladores están aprendiendo a atraer a los atacantes con cajeros automáticos y dispositivos médicos "falsos", y mucho más. "Una vez frustrados por encontrar que han sido engañados", señala Setu Kulkarni, VP de Producto y Estrategia Corporativa en WhiteHat Security, "es probable que los adversarios pasen a objetivos 'más suaves' y fáciles".

Atractivo: La nube

"En todos los sectores", comenta Stan Engelbrecht, director de Práctica de Seguridad Cibernética en D3 Security, "las empresas se están dando cuenta de que ejecutar todo en las instalaciones es costoso, y están descargándolo en entornos como Azure. Están dispuestos a asumir el riesgo de la nube frente al costo de propiedad".

La palabra "riesgo" parece que significara más trabajo para los profesionales de seguridad. Pero, de hecho, podría darse el caso contrario. "Si bien se rumoreaba que la nube era insegura hace apenas un par de años", anota Alexandra Bohigian, coordinadora de marketing en Enola Labs, "las empresas no han podido moverse lo suficientemente rápido este año para llevar sus datos a un entorno más seguro como AWS".

Las herramientas de seguridad también se están moviendo hacia la nube, indica Peter Martini, presidente y cofundador de iboss. "Ya sea que se trate de portales web, prevención de pérdida de datos o protección avanzada contra amenazas, todo se va a la nube".

No: Antivirus estático

A medida que las empresas dan la bienvenida a lo nuevo con tecnología de seguridad basada en la nube, también aprovechan la oportunidad para deshacerse de lo viejo. "Hacer este traslado a la nube se realiza, a menudo, junto con la sustitución del antivirus heredado, que es notorio por ser reactivo, engorroso y en gran medida ineficaz contra los ataques modernos", dice Michael Viscuso, CTO y cofundador de Carbon Black.

De hecho, Paul Bischoff, defensor de la privacidad en Comparitech.com, señala que "es probable que los antivirus se enfrenten al mayor declive en lo que respecta a los servicios tecnológicos". Incluso aquellos que lo utilizan, en gran parte ya no tienen que pagar por este: "Los fabricantes de sistemas operativos, particularmente Microsoft, han tomado las riendas de la seguridad", continúa. "Windows 10 viene equipado con Windows Defender de fábrica, lo que hace que muchos programas antivirus de terceros sean redundantes. No es que el antivirus sea menos importante de lo que solía ser, sino que la mayoría de la gente ya no tiene que pagarlo".

Atractivo: Seguridad mediante el diseño

Los profesionales de seguridad han estado predicando durante años que la seguridad debe ser horneada en los sistemas y procesos desde el principio -y algunos piensan que finalmente el mensaje está siendo escuchado. "En el mundo DevOps, el movimiento hacia la seguridad mediante el diseño ha ido ganando impulso rápidamente", indica Robert Hawk, líder de privacidad y seguridad en xMatters. "Las prácticas de DevSecOps están impulsando a las organizaciones a abordar la seguridad como un componente fundamental integrado a lo largo de todo el ciclo de vida del software, en lugar de simplemente insertado como un parche de último momento. Trasladar el enfoque de seguridad a la izquierda de las medidas secundarias como firewalls o antivirus, está permitiendo a las organizaciones adelantarse a las amenazas y vulnerabilidades antes de que se conviertan en incidentes importantes, lo que a su vez les ahorra una cantidad importante de dinero, horas y dolores de cabeza".

Esta actitud se está dando en el mundo de la integración de sistemas. "Estamos viendo un aumento significativo en requisitos de integración más fuertes por parte de los clientes y proveedores de tecnología", señala Frank Andrus de Bradford Networks. "Desde el punto de vista del cliente, especialmente el cliente empresarial, es posible que no tenga la capacidad de unir productos continuamente. Desde el punto de vista del socio tecnológico, se convierte en una situación beneficiosa para todos, proporcionando capacidades adicionales que pueden ser limitadas o deficientes".

Atractivo: IA y automatización

Existe una ansiedad genuina en la economía moderna sobre trabajos reemplazados por robots o algoritmos; pero muchos de los expertos con los que hablamos creen que los procesos automatizados de seguridad, dirigidos por inteligencia artificial y aprendizaje profundo, ayudarán a multiplicar las habilidades humanas para lidiar con un número abrumador de amenazas de seguridad. "La analítica de comportamiento impulsada por el aprendizaje profundo puede analizar inteligencia de seguridad y correlacionarla con datos de amenazas externas para dirigir a los analistas humanos hacia las agujas en el pajar", indica Nick Bilogorskiy, estratega de seguridad cibernética en Juniper Networks. "IA se puede usar para asistir a más que la mera identificación de amenazas: también puede ayudar a organizar la remediación, automatizando la respuesta a incidentes mediante la utilización del concepto de libro de tácticas -flujos de trabajo de respuesta a incidentes programados".

Toda esta "IA" y "aprendizaje profundo" suena terriblemente futurista; pero en la práctica, gran parte de los procesos automatizados abordan trabajo bastante banal y de bajo nivel. "He tenido varios clientes y posibles clientes que buscaban la automatización", indica Engelbrecht de D3 Security. "Lo más importante es el ahorro de tiempo al automatizar tareas mundanas en las que un analista podría demorarse, en lugar de trabajar en alguna investigación -cosas simples como bloquear el tráfico en un puerto o hacer otros ajustes, que pueden programarse para que nadie tenga que iniciar sesión en los dispositivos y hacerlo manualmente en el área de configuración".

Y no piense que los buenos chicos de ciberseguridad son los únicos que se aprovechan de la automatización. "La gente que está buscando la industrialización del hacking con fines comerciales definitivamente utilizará esta tecnología porque los hace mucho más eficientes", señala John Michelsen, CTO de Zimperium. "Si es un estado-nación, ya está usando esta tecnología, pues está tratando de encontrar zero-days. En el futuro cercano, creo que más atacantes usarán el aprendizaje automático para encontrar vulnerabilidades y días cero, o para desarrollar mejores campañas de phishing".

No: Intercambio de inteligencia

Los profesionales en tecnología pueden estar dispuestos a confiar en la inteligencia artificial, pero resulta que todavía sospechan de compartir ideas con sus compañeros humanos en compañías rivales. "La comunidad de seguridad solía creer que algún día llegaríamos a tener un intercambio de inteligencia de amenazas difundido ampliamente, y que conduciría a una mejor comunicación con la industria privada y la aplicación de la ley", asegura Ron Schlecht, fundador y socio director de BTB Security. "Universalmente, todavía no existe un catalizador real para esa relación, y la inteligencia de amenazas sigue siendo predominantemente propiedad intelectual".

Atractivo: Capacitación

Hablando de la inteligencia artificial o no, todavía existe una crisis real cuando se trata de contratar y retener a buenos profesionales. "Si bien la escasez de talentos en ciberseguridad no es nueva, veo nuevos enfoques sobre la forma en la que estamos trabajando para cerrar la brecha", señala James Condon, director y fundador de 401TRG (Grupo de Investigación de Amenazas) en ProtectWise. "Durante décadas, la experiencia práctica ha sido el principal impulsor del desarrollo de habilidades en el campo, lo que ha llevado a muchas organizaciones a competir por analistas experimentados en lugar de formar nuevos talentos. Sin embargo, estamos comenzando a priorizar la pasión, no las habilidades técnicas, como el factor más importante para el éxito a largo plazo de un nuevo analista. Un candidato con pasión es primordial para ser capacitado y asesorado hasta llegar a ser un analista de seguridad de red altamente calificado. Convertir a los analistas en cazadores de amenazas, capacitándolos para buscar de forma proactiva puntos de exposición y vulnerabilidades desconocidas, y llevarlos más allá de un trabajo de nivel 1/nivel 2 también aumentará la satisfacción laboral de analistas e impulsará la retención prolongada para los empleadores".

No: Silos

A medida que esos analistas crecen en sus puestos de trabajo, también se les anima a colaborar más. "Una mayor cantidad de clientes de grandes empresas se están mudando a un centro de operaciones de seguridad convergente para sus departamentos cibernéticos y físicos", anota Engelbrecht de D3 Security. "La necesidad de colaboración lo ha impulsado en gran medida. He estado viendo menos del enfoque de silos de los centros de operaciones de seguridad".

Caliente: Empresas de seguridad administradas

Pero, tal vez, la mejor manera de consolidar sus operaciones de seguridad en un solo lugar es asignar la función de seguridad completa a una empresa administrada. Esto se está volviendo especialmente atractivo para organizaciones más pequeñas, para quienes la carga de ejecutar la seguridad en la empresa puede llegar a ser demasiado.

"Hemos visto un cambio hacia los servicios de seguridad gestionados, especialmente en el mercado medio, donde las empresas no necesariamente necesitan un ingeniero de seguridad a tiempo completo para monitorear y asegurar su red", afirma Jeremy Steinert, CTO de WSM International. "En cambio, buscan compañías que proporcionen una oferta de seguridad administrada detrás de un conjunto de productos. De esta forma, el cliente tiene el beneficio de la supervisión y alerta de seguridad todo el tiempo, sin el costo total de un ingeniero de seguridad".

"Gartner predice que el gasto en servicios de externalización de seguridad crecerá significativamente en 2019", señala Mike O'Malley, vicepresidente de marketing en Radware. Una brecha en experiencia y recursos, junto con amenazas cada vez más complejas y una escasez de talento en seguridad de TI impulsará a las empresas a buscar seguridad automatizada que sea administrada fuera de su organización por vendedores de seguridad, operadores de telecomunicaciones y otros proveedores".

"Muchos no entienden la diferencia entre varios servicios y tecnologías, y francamente no les importa", agrega O'Malley. "Simplemente quieren esa seguridad de que cuando ocurre un intento de violación en su organización, están protegidos".