El futuro de la ciberseguridad: lo que NO sucederá en el próximo año

En nuestra industria, muchos expertos en seguridad se han acostumbrado a predecir los problemas importantes para el próximo año, pero sería más preciso predecir lo que no sucederá en ciberseguridad en 2020, o incluso en el futuro previsible.

Matias Madou y Pieter Danhieux armaron esta lista que pretende ser una perspectiva algo alegre, pero te hace reflexionar sobre el largo camino por recorrer para fortalecer a todas las organizaciones contra ataques cibernéticos maliciosos.

Echemos un vistazo a las predicciones de estos dos cofundadores de Secure Code Warrior.

Inyecciones SQL erradicadas de todo el software

Todos los profesionales de seguridad en el planeta han estado esperando el día en que ya no se descarrilen para identificar errores de inyección SQL, hasta la saciedad.

Lamentablemente, hemos estado esperando este día durante más de veinte años, y seguiremos esperando al menos uno más. Es la vulnerabilidad que, como una cucaracha, ha sobrevivido a todas las tácticas hasta ahora para erradicarla definitivamente.

Es frustrante por decir lo menos, ya que el remedio se conoce desde hace casi el mismo período de tiempo. Sin embargo, la priorización de las mejores prácticas de seguridad en cada etapa del desarrollo de software (especialmente desde el principio) sigue siendo demasiado baja, y ciertamente inadecuada a la luz del gran aumento de la producción de código desde el descubrimiento de la inyección SQL.

Los desarrolladores y AppSec se convierten en mejores amigos

Los desarrolladores y el equipo de AppSec. ¿Se llevarán bien alguna vez, o están destinados a una vida de rivalidad como Rocky vs. Apollo? La respuesta corta es sí, pueden llevarse bien, pero en este momento sus prioridades son a menudo muy diferentes.

Cuando se encuentran en un entorno de proyecto, están en páginas opuestas y chocan justo en el obstáculo final: cuando los especialistas de AppSec analizan detenidamente el código de un desarrollador. El desarrollador ha creado características hermosas y funcionales (que es su máxima prioridad) que se desgarran si se descubren vulnerabilidades de seguridad. El gurú de la seguridad del software, en efecto, calificó a su bebé de feo y obligó al desarrollador a volver y corregir cualquier error, a menudo retrasando la implementación.

En nuestro estado actual, esto no se solucionará hasta que los desarrolladores y los equipos de AppSec trabajen hacia un objetivo común, que es la creación de software seguro. No va a suceder como un proceso predeterminado en 2020 (y con muchas compañías, unos años después de eso), pero con la llegada del movimiento DevSecOps y más allá, los desarrolladores reconocen la necesidad de mejorar la seguridad y trabajar para mejorar estándar; uno que incluye objetivos de seguridad desde el principio.

Una sobreoferta de profesionales de seguridad

En 2020, 2025, 2030 … está casi garantizado que tendremos poco personal a nivel mundial cuando se trata de experiencia en seguridad.

Según un informe del ISC (2), hay alrededor de 2,93 millones de puestos de seguridad cibernética actualmente vacantes. Es casi seguro que esto empeorará antes de mejorar, y no hay un ejército de seguridad oculto esperando marchar en nuestro rescate en los próximos años.

En el futuro inmediato, nuestra mejor oportunidad para abordar esta escasez de habilidades es hacer de la seguridad una prioridad organizacional y mejorar nuestra fuerza laboral existente, y eso significa capacitar a los desarrolladores con la capacitación y las herramientas para codificar de forma segura, así como crear una cultura de seguridad en toda la empresa. La mayoría de los equipos actuales de AppSec probablemente luchan contra errores de seguridad antiguos y conocidos. Si nos aseguramos de que no tengan que gastar tiempo y esfuerzos valiosos en solucionar estos problemas comunes, tendrán más ancho de banda para enfocarse en problemas de seguridad difíciles (en este momento, es probable que abarquen problemas con las API, así como herramientas de construcción que puede encajar en tuberías de desarrollo).

 

Menos código siendo producido

El mundo se está digitalizando a un ritmo asombroso, y la demanda social no va a flaquear. Cada año se escriben aproximadamente 111 mil millones de líneas de código, y este número solo aumentará y será más aterrador (de todos modos, para los equipos AppSec ya extendidos).

El aumento en el volumen del código inevitablemente aumenta las vulnerabilidades de seguridad potenciales, por lo que cualquier idea de que 2020 sea un año más lento para la producción de software y las infracciones es tan realista como las carreras de unicornios que se celebran en el Grand National.

Una reducción en los registros de datos robados

Como se menciona anteriormente, más código significa más vulnerabilidades, y esto presenta más oportunidades para que los atacantes encuentren una manera de robar datos.

Al menos 5.300 millones de registros fueron robados en todo el mundo en 2019, y la defensa contra los atacantes sigue siendo una lucha desesperada y reactiva. Es posible que este número no se duplique en los próximos doce meses, pero probablemente se acercará.

Como ejemplo, veamos las tendencias históricas de los datos robados reportados en los Estados Unidos año tras año:

Fuente: Statista

Mirando el período comprendido entre 2005 y 2010, hay un aumento constante con un pequeño flujo y reflujo entre años. Esto es interesante, pero un factor importante a destacar es que, en 2009, hubo una fuerte disminución en el número de infracciones reportadas en comparación con 2008. Sin embargo, hubo un claro aumento en el número de registros robados a pesar de menos infracciones.

Los registros de datos son el nuevo oro; tienen valor para un atacante. El gráfico refleja una tendencia general al alza en las infracciones y el número de registros robados, con un gran pico en 2017. El número de ataques disminuyó en 2018, tal vez debido a medidas de seguridad más estrictas, pero el número de registros obtenidos fue el más alto que haya tenido estado. Los ataques cibernéticos se volverán cada vez más sofisticados, de alto volumen y no desaparecerán pronto. Y a nivel mundial, es poco probable que veamos una desaceleración en 2020, ya que las empresas producen rápidamente más software que nunca. Son los guardianes de nuestros datos y necesitan trabajar de manera más inteligente para proteger nuestra privacidad.

Desarrolladores que exigen capacitación de seguridad basada en video más frecuente y prolongada

Si hay algo que les encanta a los desarrolladores, es mirar horas y horas de videos de capacitación basada en computadora (TCC). De hecho, tal es la demanda de este contenido cautivador, Netflix anunciará una subcategoría completamente nueva dedicada a videos genéricos de capacitación en seguridad. No. No ahora, no en 2020, nunca.

Para los desarrolladores, su introducción a la seguridad es a menudo a través de la capacitación en cumplimiento laboral. La codificación segura rara vez forma parte de su educación terciaria, y la capacitación en el trabajo puede ser el primer encuentro con la seguridad del software. Y, como era de esperar, a menudo no les gusta.

Para que los desarrolladores tomen en serio la seguridad, y para que la capacitación sea útil, debe ser relevante, atractiva y contextual para sus trabajos. El entrenamiento de cumplimiento único, o una secuencia interminable de videos aburridos, no es el camino al corazón de un desarrollador, y no va a reducir las vulnerabilidades.

Si desea que el grupo de desarrolladores tenga alguna posibilidad de convertirse en una fuerza defensiva consciente de la seguridad contra vulnerabilidades comunes, pídales que trabajen con ejemplos de código real, del tipo que encontrarían en sus tareas cotidianas. Haga que el aprendizaje sea del tamaño de un bocado, fácil de desarrollar e incentívelo con un sentido de diversión. Para que una cultura de seguridad prospere, debe ser positiva, involucrar y desarrollar habilidades y soluciones reales en toda la organización.

¿Quién sabe? Con la capacitación adecuada, un desarrollador podría reconocer a su defensor de la seguridad interna y difundir los beneficios de la codificación segura en todas partes.

Cero muertes por un incidente relacionado con la seguridad cibernética

Esto claramente no es cosa de risa. Al mundo simplemente no le importará la seguridad cibernética hasta que las personas comiencen a morir por un incidente relacionado con un ataque cibernético.

El problema es que esto ya sucedió y pasó desapercibido.

Los ataques cibernéticos contra hospitales de EE. UU. Se han relacionado con un aumento en las muertes por ataques cardíacos en 2019. Por supuesto, los atacantes no causaron eventos cardíacos letales en los pacientes, pero sus ataques de ransomware en los sistemas y equipos hospitalarios ralentizaron los tiempos de tratamiento para la atención crítica.

Este estudio de la Universidad de Florida Central analizó 3000 hospitales, 311 de los cuales habían experimentado una violación de datos. En aquellos que fueron afectados por un incidente de seguridad, tomaron un promedio de 2.7 minutos más para dar un ECG a las presuntas víctimas de ataque cardíaco; probablemente debido a cambios en el procedimiento, medidas de seguridad recientemente implementadas y problemas de soporte de TI que requieren más tiempo que antes. Identificar y tratar un ataque cardíaco es una carrera contra el tiempo, y esos hospitales vieron 36 muertes adicionales por cada 10,000 ataques cardíacos por año en promedio.

Esto es impactante y, desafortunadamente, empeorará antes de mejorar. Esto debería servir como un claro recordatorio de que todos debemos hacer más para mejorar la seguridad del software y hacer que sea una prioridad en todas las empresas.

Menos imágenes de archivo de “hackers encapuchados”

Si escribe “pirata informático” en una búsqueda de imágenes, inevitablemente descubrirá miles de imágenes de una figura encapuchada y sin rostro escribiendo en una computadora portátil, o una figura similar en una máscara de Guy Fawkes.

Esta imagen estereotipada de un hacker se está cansando mucho y, bueno, hace que todos parezcan malos. Hay mucha seguridad, buenos chicos y chicas, y las connotaciones negativas en torno a la imagen del “pirata informático” perjudican a todos.

¿Vemos que esto cambia pronto? Probablemente no, pero es agradable soñar. Por ahora, es importante recordar que la seguridad no tiene que ser aterradora.

Referencia:

Pieter Danhieux (2020) El futuro de la ciberseguridad: lo que NO sucederá en el próximo año. Secure Code Warrior. Recuperado de:

https://insights.securecodewarrior.com/2020-predictions-what-wont-happen-in-cybersecuri

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Top