¡Si pensó que el 2016 fue malo, abróchese los cinturones, el año que viene va a ser aún peor!
Desde estafas W-2 a las vulnerabilidades de WordPress, ransomware, comprometimiento de correos electrónicos empresariales, ataques DDoS y las acusaciones de una elección presidencial hackeada, 2016 ha sido un infierno en materia de seguridad cibernética y aún no ha terminado.
No hay ninguna razón para creer que el 2017 será mejor. En todo caso, podría ser aún peor, ya que los cibercriminales continúan desarrollando la ingeniería social, encontrando nuevas formas de distribuir malware, crackeando bases de datos vulnerables y tomando ventaja la tecnología móvil para encontrar maneras de conseguir penetrar las defensas corporativas y atacar individuos.
Le preguntamos a dos de los principales expertos en ciberseguridad, Matt Dircks, CEO de la compañía de software de acceso seguro Bomgar y Scott Millis, director de tecnología de gestión segura de dispositivos y la empresa de seguridad para móviles Cyber adAPT , qué esperar en el 2017.
1. Las contraseñas “evolucionarán”
El reciente ataque DDoS que causó estragos en una gran parte de la internet el 21 de octubre fue, al menos en parte, posible por contraseñas por defecto sin cambiar en los dispositivos habilitados para IoT, que según Dircks, los hackers fueron capaces de explotar. No creas que eres inmune; ¿Cuántos de tus usuarios tienen contraseñas simples, comunes o no actualizadas? En 2017 mejores servicios de gestión de contraseñas ganarán fuerza a medida que las empresas entiendan lo vulnerables que son.
“Yo solía hacer un truco de fiesta en el que iba a la casa de alguien y hackeaba su router. Hay tantos dispositivos especialmente diseñados por ahí como los routers utilizados para facilitar los ataques DDoS hace unos meses, que están haciendo del trabajo de los hackers algo fácil “, dijo Dircks.
Los profesionales de seguridad cibernética tendrán problemas para proteger la infraestructura critica, los sistemas conectados, de acceso remoto y dispositivos si el uso de contraseñas débiles sigue siendo la norma, pero el problema no son solo las amenazas externas.
La mitigación de amenazas internas también puede realizarse mediante una mejor gestión de las contraseñas. La mejor manera de hacerlo es poner en práctica una solución para almacenar de forma segura las contraseñas en donde estas permanecen desconocidas para los usuarios, y que luego periódicamente valida e intercambia esas contraseñas para garantizar la seguridad.
“De lo que estamos hablando es de bóvedas de credenciales. En un mundo ideal, un usuario no tendría que saber cuál fue su contraseña – esta seria generada automáticamente por la bóveda y rotada y cambiada cada semana. Mira, los hackers son intrínsecamente vagos, y no tienen el tiempo de su lado. Si usted les hace el trabajo más difícil, van a ir a otro lugar en vez de invertir energía para solo hacer una mella “, explicó Dircks.
2. Los privilegios ganan poder
Los hackers quieren acceso de alto nivel, el que consiguen obteniendo las credenciales de los usuarios privilegiados como profesionales de TI, directores generales y vendedores, dice Dircks. Y aunque las organizaciones han aplicado medidas seguridad a los sistemas, aplicaciones y datos que son más críticos para su negocio, estas medidas preventivas, simplemente ya no son suficientes. En 2017, las organizaciones inteligentes finalmente tendrán que poner serios con la protección no sólo de los sistemas, si no de los usuarios privilegiados mediante su identificación, monitoreando su acceso y prohibiéndoles el acceso a lo que no es necesario.
“Hemos tenido algunos clientes que dicen: ‘Bueno, acabo de meter a mis usuarios o proveedores externos en una VPN y están bien” ¡pero no tienen ni idea a lo que realmente están accediendo! Hay que pensar en la gestión de privilegios como un vestíbulo de ascensores en donde dependiendo de su rol, sólo se podrá acceder a ciertos pisos. Realmente limita lo que se puede hacer, especialmente si se tienen malas intenciones. Incluso si tengo una contraseña válida, si mi privilegio me deja acceder a los pisos uno y siete, pero trato de ir al seis, entonces el sistema me bloqueará y notificará a alguien”, comentó Dircks.
Al abordar esta cuestión, se involucrarán organizaciones dispuestas a proporcionar una amplia educación y capacitación acerca de los peligros potenciales implicados, sobre todo con una mano de obra cada vez más móvil, donde muchas personas prefieren sacrificar los datos personales y privacidad por accesibilidad y creen que su seguridad será estará a salvo con los proveedores de servicios de terceros y los creadores de aplicaciones.
“Especialmente en las últimas generaciones de nativos digitales, la gente está más que dispuesta a renunciar a su información personal y datos por acceso a las aplicaciones, colectividad e información – esto puede ser fácilmente vulnerado. Y están dispuestos a confiar en que estos desarrolladores de aplicaciones y proveedores, se asegurarán de que sus datos están a salvo. Eso es peligroso. Combine la brecha de habilidades de seguridad cibernética, la escasez de talento, una fuerza de trabajo móvil, medio ambiente centrado en las aplicaciones, una piratería informática cada vez más sofisticada y tendrá una tormenta perfecta. Creemos que sólo va a empeorar antes de mejorar “, agregó Dircks.
3. El juego de culpar a la seguridad se incrementará
“Cuando hablamos con nuestros clientes, una tendencia realmente horrible que estamos viendo es que ni siquiera dicen “si” se produce otro ataque, sino que suelen decir “cuando”. Es como si, en este momento sólo levantan las manos y dicen, “Bueno, voy a recibir un golpe ¿qué tan malo será?’ y eso, para mí, es simplemente aterrador “, mencionó Dircks.
El IoT y el aumento de la dependencia de los proveedores de soluciones de seguridad significa que las empresas no se dan cuenta de la autoría u origen una vez que el ataque ocurre, dice. ¿Quién es responsable de la seguridad, mantener y parchear las diversas tecnologías? Peor aún ¿un producto ha sido conectado a sistemas internos que aún no pueden ser parcheados? Un número de dispositivos IoT se suelen pasar por alto porque quedan fuera del ámbito tradicional, esto significa que se está expuesto a amenazas.
“Con la integración del IoT, la automatización y la nube, nadie parece del todo seguro de quien es en realidad el responsable de mantener la seguridad de todas estas diversas piezas: ¿será el fabricante del dispositivo IoT? ¿El proveedor de servicios de seguridad? ¿El departamento de TI interno? ¿Los usuarios individuales? Usted estará tan seguro como el dispositivo menos seguro”, dijo Dircks.
Cuando se produce una violación, incluso teniendo capas de seguridad, la cuestión de quién es el “dueño” y quien tuvo o tiene poder para hacer algo al respecto creará reacciones intensas y señalamientos.
Las empresas pueden hacer frente a este juego de la culpa, garantizando una comunicación abierta entre el departamento de TI y los ejecutivos de la empresa para entender las amenazas potenciales, las opciones para la seguridad y las dificultades y limitaciones que existen dentro de la organización.
“Parte del problema es que, como OSC, un CISO o incluso un CIO – cualquier persona responsable de la seguridad – o eres invisible, si estás haciendo bien tu trabajo, o estás en la silla caliente. Si usted aplica grandes políticas, procedimientos y medidas de seguridad, normalmente dejará a los de TI funcionar. Pero si fallan debido a que no entendió las necesidades del negocio, los presupuestos, los requisitos, entonces usted no estará ayudando realmente”, dijo.
4. El ransomware girará fuera de control
Desde el 1 de enero de 2016, el grupo de respuesta de seguridad de Symantec ha visto un promedio de más de 4.000 ataques ransomware por día: un aumento del 300 por ciento respecto de 2015, según su Informe sobre las amenazas de seguridad de Internet 2016 .
La mayoría de las organizaciones se basan en técnicas de prevención de bajo presupuesto, tales como cortafuegos y antivirus o prevención de intrusiones para mitigar las amenazas de este tipo, dijo Scott Millis de Cyber adAPT. Sin embargo, estas herramientas son insuficientes, y los datos muestran que los fallos en la detección y la respuesta a los incidentes debe ser mejorada.
Y a medida que los atacantes continúan utilizando la ingeniería social y las redes sociales para atacar a individuos dentro de una organización y así llegar a los datos, la necesidad de una educación integral de seguridad se vuelve aún más crítica.
“Si las políticas y tecnologías de seguridad no toman en cuenta estos vectores, el ransomware seguirá cuajando. También está la cuestión de la detección. Algunos atacantes pueden residir dentro de los entornos de la empresa durante meses, a menudo se mueve lateralmente dentro de los entornos, los silos entre los sistemas de seguridad de los datos de red, borde y punto final y los procesos pueden restringir la capacidad de una organización para prevenir, detectar y responder a ataques avanzados “, comentó Millis.
Por último, las nuevas superficies de ataque – por ejemplo, IaaS, SaaS e IoT – siguen siendo tan modernas que las organizaciones aún no han podido averiguar la mejor manera de garantizar su seguridad.
5. Los tiempos de permanencia no verán ninguna mejora significativa
El tiempo de permanencia, o el intervalo entre un ataque con éxito y su descubrimiento por parte de la víctima, verá cero mejoras significativas en 2017, dijo Millis. En algunos casos extremos, los tiempos de permanencia pueden llegar a ser tan largos como dos años y pueden costarle a una empresa millones por incumplimiento .
“¿Por qué tanto tiempo? En mi opinión, esto es molestamente sencillo – existe poca o ninguna atención puesta en la detección de ataques. Con la llegada de la “era malware”, las empresas, los proveedores y los individuos estaban preocupados por “alejar a los chicos malos”, debido a esto toda una industria creció rápidamente para centrarse en dos temas básicos: “defensa en profundidad”, lo que veo como capas de tácticas de prevención en línea para hacer más difícil la penetración desde el exterior; y la “identificación de malware “, que se manifestó como una carrera armamentística hacia una identificación 100 por ciento confiable de malware”.
Mientras que las tecnologías de respuesta y las funciones de corrección, mejoraron, las víctimas fueron capaces de aislar y reparar daños muy rápidamente. El problema es que estas tecnologías no ayudaron a reducir el tiempo de permanencia; a no ser que los equipos de respuesta tropezaran con algo malicioso o descubrieran una anomalía accidentalmente.
Hoy en día, los profesionales de seguridad están utilizando archivos de registro de dispositivos de red para buscar pistas sobre si se ha intentado un ataque o si ha tenido éxito, sin embargo, el almacenamiento y la clasificación de las enormes cantidades de datos necesarios para este enfoque es costoso e ineficiente.
“La necesidad de grandes almacenes de datos y motores de análisis masivos impulsó la nueva industria de seguridad de la información y gestión de eventos (SIEM). Mientras el SIEM es una gran herramienta forense posterior a los hechos para los investigadores, todavía no es eficaz en la identificación de los ataques en curso. Lo que nosotros, y algunas otras empresas, estamos haciendo ahora es desarrollando productos centrados en el análisis del tráfico de red en bruto para detectar los indicadores de ataques. Encontrar a atacantes tan pronto como sea posible después de que hayan golpeado el borde o el guante del dispositivo de prevención, o que lo hayan circunvalado por completo como una información privilegiada inocente o maliciosa, acorta drásticamente el tiempo de permanencia “, dijo.
6. Los dispositivos móviles continuarán aumentando como puntos de entrada
Al menos unas, si no más, de las principales violaciones de seguridad en las empresas serán atribuidas a los dispositivos móviles en 2017, predice Millis. Un informe del Instituto Ponemon encontró que para una empresa, el riesgo económico de las violaciones de datos móviles puede ser tan alto como de $26.4 millones, el 67 por ciento de las organizaciones encuestadas reportaron haber tenido una fuga de datos como resultado de empleados que utilizan sus dispositivos móviles para acceder a la información confidencial y sensible de la empresa.
Las personas y sus dispositivos móviles ahora se están moviendo demasiado y demasiado rápido, como para que las estrategias de seguridad cibernética anticuadas sean eficaces, dice Millis. Añada a esto un creciente sentido de derecho por los usuarios con respecto a los dispositivos que optan por utilizar, y tendrá una situación propicia para los incidentes.
“Muchos usuarios sienten que pueden proteger su privacidad mientras a su vez tienen un acceso seguro y sin interrupciones a los negocios y los servicios personales. Y aun así muchas personas piensan que no son ellos los responsables de las violaciones de la seguridad; si pueden evitar la “seguridad” para mejorar su experiencia de usuario, lo harán. Los CISO, CIOs y CEOs consideran que esto es un desafío complejo para la implementación de estrategias de seguridad para sus empresas, y esto no será resuelto al tener los datos de correo electrónico y calendario entregados a través de una capa SSL a un OS aprobado”, explicó Millis.
Los pagos móviles, también se convertirán en una carga. El selfie pay de MasterCard y el True Key de Intel son sólo la punta del iceberg. Las personas deben entender que necesitan tratar sus datos biométricos con tanto cuidado como lo hacen con otros datos financieros y personales; de nuevo, esto se reduce a la educación y la formación, dice.
Referencia: ITNOW, Enero 2017
No hay comentarios.:
Publicar un comentario