Por: Greg Young
Lo que hace realmente buenas las predicciones de seguridad
Cada año, Trend Micro publica su informe anual de predicciones de seguridad. Las buenas predicciones de seguridad son muy difíciles de desarrollar, y las empresas y los consumidores deben ser selectivos sobre los consejos de seguridad que toman. ¿Qué hace una buena predicción de seguridad?
Cuatro aspectos clave:
1. Accionable: es la principal directiva ante cualquier pronóstico sobre el cual se debe tener información para actuar.
2. A tiempo: algo que ya sucedió o no sucederá pronto no es útil. Mientras algunas acciones se pueden tomar de manera oportuna, generalmente en 1 a 2 años se encuentran dentro de un período de tiempo de utilidad. Sin embargo, si el aviso es demasiado breve, tampoco se pueden tomar medidas importantes, especialmente si requiere algún cambio en la adquisición o la arquitectura.
Si está demasiado lejos en el futuro, no solo tendrá un bajo impacto y capacidad de acción, sino que el margen de error aumentará con el tiempo: los cambios en la tecnología y las amenazas son demasiado amplias para que las predicciones de seguridad basadas en el futuro sigan siendo probables.
Esta puntualidad y capacidad de acción se combinan de esta manera (por ejemplo, con un auto volador para ilustrar el futuro incierto, es decir, ¡todavía estoy esperando mi jetpack!):
[image url=”/wp-content/uploads/2018/12/security.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”1000″ height=”562″]
3. Probable: cuanto mayor sea la probabilidad, mayor será el impacto de acción. Las predicciones de probabilidad del 1% no son útiles. Las predicciones de probabilidad del 100% son útiles si tienen un impacto en las operaciones o son menos obvias, mientras que la probabilidad del 100% de una tendencia obvia y continua no lo es.
4. Hecho anclado: El análisis y los datos deben estar presentes para que una predicción de seguridad sea significativa. Las predicciones no son solo ejercicios estadísticos, y solo las estadísticas son datos, no información. Sin embargo, las predicciones deben provenir de un análisis basado en alguna observación que sea objetiva, incluso si es anecdótica, y ese análisis es lo que lo hace probable, por lo tanto, procesable. La buena noticia es que al ser un proveedor de seguridad muy grande, con ubicaciones en todo el mundo y la mayor cantidad de CVE acreditados a una organización (sí, la más grande), tenemos un conjunto importante de datos y observaciones para derivar predicciones significativas.
El Informe de Predicciones de Seguridad 2019
Las predicciones de seguridad de este año de Trend Micro abarcan las categorías de nube, consumidor, ciudadanía digital, SCADA, hogares inteligentes y la industria de la seguridad en general. No arruinaré su lectura, pero una de las predicciones que saltaron fuera de mí fue con respecto a Business Email Compromise (BEC) y cómo las amenazas dirigidas se reducirán en el organigrama.
Esto tiene mucho sentido, dado que los CxO se están volviendo más conscientes de la amenaza y están implementando más protecciones BEC para contrarrestar los ataques, los cuales se están tornando más difíciles de explotar. Un ejemplo de este tipo de protección es el aprendizaje automático en los estilos de escritura de los ejecutivos con huellas dactilares, es decir nuestro ADN de estilo de escritura.
Esta predicción es bastante práctica, dado que existen herramientas y técnicas que se implementan para proteger la suite C, que se puede expandir para proteger sus informes directos a medida que esta amenaza gira.
Envíenos sus comentarios sobre el informe, ya que su retroalimentación tiene valor para nosotros.
Una predicción adicional
Como un agregado al informe, una recompensa por ser un lector de este blog y un marcador de que las predicciones son una tarea continua para nosotros y no solo al final de un año calendario:
Los Exploits derivados de la ingeniería inversa, sobre los parches para las vulnerabilidades de no ser revelados, se triplicarán para el año 2020.
Es un malentendido común que los parches relacionados con la seguridad son siempre una respuesta a una vulnerabilidad divulgada públicamente o CVE. Este no es el caso, ya que muchos proveedores de productos que tienen conocimiento de una vulnerabilidad, ya sea a través de medios internos o a través de un programa de recompensas de errores restrictivo, parcharán esa vulnerabilidad con poco detalle y sin CVE.
Desarrollar un exploit implica tres pasos clave: encontrar una vulnerabilidad, luego elaborar una prueba de concepto funcional y luego un exploit. Mediante parches de ingeniería inversa, los atacantes pueden reducir el esfuerzo en el primer y más intensivo paso de recursos, encontrando una falla. Cuando se hace un parche relacionado con un problema de seguridad vagamente descrito, los atacantes pasan de “¿hay un fallo en alguna parte?”, a “hay un fallo, y existe un parche que involucra un código que se podría aplicar ingeniería inversa o un examen para encontrarlo”. Los parches usualmente están sujetos a un componente o característica, facilitando aún más el trabajo del atacante.
Los investigadores de amenazas éticas ya están empleando esta técnica con un éxito considerable, por lo que se deduce que los actores de amenazas usarán técnicas similares. La acción que se debe tomar implica brindar mayor énfasis a la actualización de parches, y seleccionar soluciones IPS y AV que tengan firmas basadas en conjuntos de vulnerabilidades de ingeniería inversa.
Leave a Reply